Jak velké změny přijdou od září v online platbách?
Na naše otázky odpovídali Jakub Ouhrabka (CEO, ComGate) a Jan Vodička (CMO, GoPay).
1. K jakým hlavním změnám v oblasti plateb dojde a kdy se tyto změny projeví?
ComGate
V září vstupuje v účinnost část zákona o platebním styku (PSD2) týkající silného ověření uživatele.Tato úprava má vliv na uživatele platící platební kartou v prostředí internetu. Touto úpravou se musí řídit vydavatelé platebních karet (issuer) a tím i ostatní subjekty zajištující proces platby kartou.
Silné ověření znamená, že plátce musí být nově ověřen přes kombinaci dvou různých způsobů (ze tří možných) – údaj, který zná jen uživatel (např. přihlašovací údaje, heslo, pin), věc, kterou má u sebe uživatel (např. karta, mobil, token), biometrické údaje (např. otisk prstu).
V tuto chvíli to vypadá, že výklad ČNB bude takový, že dnes známé 3D secure ověření pomocí hesla zaslaného v SMS nebude postačovat - karta i mobil, na který je zaslaný kód spadají do stejné kategorie “uživatel má u sebe”. Banky vydávající karty se zřejmě vydají dvěma směry. Jednak se budou snažit mezi své zákazníky co nejvíce rozšířit novou aplikaci mobilního bankovnictví, která bude po přihlášení (pin, otisk prstu) poskytovat funkčnost ověřování plateb provedených na internetu. Nebo, pro zákazníky nepoužívající mobilní aplikaci, zavedou nový tzv. e-PIN, který bude nutné zadávat při 3D Secure ověření.
Z pravidla silného ověření budou existovat určité výjimky, na základě kterých se může vydavatel karty rozhodnout nevyžadovat po uživateli silné ověření při platbě na e-shopu. Mezi tyto výjimky patří white list dobře známých e-shopů, opakující se transakce s fixní částkou, transakce do určité výše apod.
GoPay
Od 14. září 2019 musí veškeré online platby probíhat v režimu silnějšího ověření, tzv. Strong Customer Authentication (SCA). Znamená to, že obchodníci resp. poskytovatelé plateb nebo banky musí zajistit, aby platící zákazník platbu autentizoval kombinací alespoň dvou z následujících způsobů:
- něco, co znám (např. heslo, pin)
- něco, co vlastním (např. telefon, chytré hodinky)
- něco, co jsem (např. otisk prstu, obličej).
Očekává se, že nástrojem pro zajištění SCA, alespoň ve světě platebních karet, bude nová generace standardu 3DS, tzv. 3DS 2.0 (3DS2). 3DS2 značně rozšiřuje datový tok informací mezi vydavatelskou bankou a poskytovatelem platby. Díky tomu bude potvrzení platby pro zákazníka příjemnější, než doposud. Poskytovatelé plateb i banky zase získají efektivnější nástroj pro řízení rizik nad transakcemi.
Samozřejmě i z SCA budou existovat výjimky. Zákazník například bude moci určit, u jakých příjemců plateb nechce do cesty SCA zařadit. Mimo SCA budou i opakované platby na vyžádání obchodníka, nebo i tzv. transakce s nízkou mírou rizika. Půjde např. o transakce do 30 EUR, nebo transakce označené jako nízkorizikové na základě real-time dat o plátci, příjemci i samotné transakci.
2. Co to bude znamenat pro vývojáře e-shopových řešení, tedy např. i oXyShop?
ComGate
Konkrétní kroky v tuto chvíli připravují vydavatelé platebních karet. Dochází k úpravě celého platebního schématu tak, aby se pro účely vyhodnocení bezpečnosti transakce dostalo k vydavateli karty podstatně více informací než dnes. Veškeré tyto změny pečlivě sledujeme, ale nepředpokládáme, že by nová pravidla měla ovlivnit vývojáře e-shopových řešení, kteří využívají služeb platebních bran.
GoPay
SCA se sice týká obchodníků, tedy potažmo i vývojářů řešení, které obchodníci používají, čekáme ale, že hlavní tíži ponesou na bedrech banky a poskytovatele plateb. U vývojářů e-shopových řešení záleží na rozsahu služeb, které nabízejí pro platby. Pokud mají naintegrované moduly jednotlivých platebních bran, může teoreticky dojít k jejich částečným úpravám nebo rozšířením, a to v závislosti na technickém řešení a přístupu každého poskytovatele k řešení SCA. V GoPay ale tento scénář nepředpokládáme.
3. Jaké změny to přinese pro provozovatele českých e-shopů?
ComGate
Je možné, že ne všechny banky stihnou připravit zákaznicky jednoduché řešení silného ověření, a proto od září bude pro jejich klienty složitější zaplatit kartou na internetu. Pak bude hodně záviset na poskytovateli platební brány. My v ComGate se na novou situaci intenzivně připravujeme a nabídneme našim e-shopům vysoce konverzní platební bránu. U jiných poskytovatelů, zejména těch s omezenou nabídkou alternativních platebních metod, může dojít k růstu počtu nedokončených plateb.
GoPay
SCA může být pro obchodníky vhodný impulz k ještě většímu úsilí věnovanému zvyšování důvěryhodnosti. Platí, že u obchodníků, které si zákazníci přidají na seznam důvěryhodných příjemců, nebude SCA povinné. Nepředpokládám ale, že i když vstoupí do platebního flow transakce SCA, dojde k propadu konverze oproti současnému stavu. Naopak díky možnostem 3DS2 čekáme v tomto směru zlepšení. Reálně také klesne počet fraudových transakcí, čímž obchodníkům ubydou starosti i náklady spojené s jejich vyřizováním.
4. Jaké změny a přínosy to bude znamenat pro zákazníky českých e-shopů?
ComGate
Součástí nového procesu ověření bude větší ochrana uživatelů při používání platební karty v prostředí internetu. Zároveň nový proces silného ověření umožňuje využití moderních technologií (mobilní aplikace, otisk prstu), takže po fázi náběhu bude platba v prostředí internetu jednodušší.
GoPay
Dojde sice k úpravě platebního procesu. Změna ale přinese zákazníkům více pohodlí i jistoty. Například placení na mobilních telefonech bude daleko snazší, kdy zákazník bude moci transakci potvrdit otiskem prstu nebo fotografií obličeje.