XS2A в рамках PSD 2 вызывает вполне обоснованные опасения относительно обеспечения неприкосновенности банковских счетов для ловких рук, управляемых хитрыми умами и преступными намерениями.
Если не понимаешь, о чем речь, добро пожаловать в статью о PSD 2
Безопасность пользовательских данных обеспечивается процедурами SCA (Strong Customer Authentication). SCA представляет из себя двухфакторную аутентификацию плательщика (2FA), т.е. требует использования минимум двух факторов аутентичности, исключающим взаимное влияние (компрометацию одного в случае компометации второго). К таким факторам относят:
- знание (напр., PIN-код);
- имущество (напр., карта или смартфон);
- свойство (биометрия). [Article 4 (30), PSD 2]
Сейчас и далее для обозначения Directive (EU) 2015/2366 используется сокращение PSD 2; для Regulatory technical standards for strong customer authentication and common and secure open standards of communication — EBA RTS
SCA применяется, если плательщик:
- получает дистанционный доступ к своему счету;
- инициирует электронный платеж;
- осуществляет любую операцию в удаленных каналах, допускающую мошеннические действия. [Article 97 / 1, PSD 2]
В целом, все убытки от мошеннических действий возмещает тот, кто не соответствует требованиям SCA. (PSP плательщика без SCA платит за фрод плательщику; получатель платежа или PSP получателя платежа без SCA платит за фрод PSP плательщика) [Article 74 / 2, PSD 2]
------------------------------------------------------------------
В целях обеспечения удобства пользователя PSD 2 допускает ряд исключений относительно SCA.
Разработкой стандартов по аутентификации и коммуникации (RTS— Regulatory technical standards on authentication and communication) занимается EBA (European Banking Authority) [Article 98, PSD 2].
Исключения (exemptions) из SCA — часть этих стандартов — должны основываться на уровне риска сервиса, сумме, периодичности и канале совершения платежа. [Article 98 / 3, PSD 2]
PSP не обязан использовать SCA:
- при запросе плательщиком информации об остатках на банковском счете за исключением исторически первого запроса такой информации. При запросе информации о совершенных платежных операциях в течении 90 дней с момента прохождения процедур SCA [Article 10, EBA RTS];
- при бесконтактной POS-оплате с использованием платежного инструмента, если сумма операции не превышает €50; накопленная с момента последнего прохождения процедур SCA сумма операций не превышает €150, а их число — 5 [Article 11, EBA RTS];
- при совершении платежей с использованием парковочных и транспортных терминалов [Article 12, EBA RTS];
- при совершении платежей в пользу доверенных бенефициаров, список которых составляется плательщиком на стороне ASPSP за исключением первых платежей в пользу доверенных бенефициаров [Article 13, EBA RTS];
- при совершении рекуррентных платежей за исключением первой инициации такого платежа [Article 14, EBA RTS];
- при совершении кредитовых переводов самому себе [Article 15, EBA RTS];
- при инициации удаленной транзакции, если сумма операции не превышает €30; накопленная с момента последнего прохождения процедур SCA сумма операций не превышает €100, а их число — 5 [Article 15, EBA RTS];
- при совершении корпоративных платежей по выделенным каналам, удовлетворяющим требованиям национального регулирующего органа [Article 16, EBA RTS].
- при совершении операций с низким уровнем риска в соответствии с «механизмом мониторинга транзакций» в рамках TRA [Article 18 / 1, EBA RTS].
------------------------------------------------------------------
TRA (Transaction Risk Analysis) — риск-ориентированный подход к определению максимальной суммы операции, принимаемой как исключение в рамках EBA RTS и не подлежащей обязательной SCA. Такая сумма называется пороговым значением исключения (ETV — Exemption Threshold Value). [Article 18 / 2 (b), EBA RTS]
Особое место в TRA занимает коэффициент фрода (fraud rate). Коэффициент фрода рассчитывается на основании данных за последние 90 дней по формуле:
AFi / Ai, где
AFi — общая сумма мошеннических транзакций для типа транзакции i;
Ai — общая сумма транзакций для типа транзакции i. [Article 19 / 1, EBA RTS]
------------------------------------------------------------------
Значение коэффициента фрода подвержено аудиту, а методики расчета должны быть задокументированы и доступны для регулятора и EBA. [Article 19 / 2-3, EBA RTS]
О нарушении порогового коэффициента фрода, а также о мерах, направленных на его снижение, PSP сообщает регулятору. [Article 20 / 1, EBA RTS] В случае несоблюдения порогового коэффициента фрода в течении двух кварталов PSP перестает использовать данное исключение. [Article 20 / 1, EBA RTS]
Помимо прочего, в результате анализа риска в реальном времени (real time risk analysis) не должны быть выявлены следующие факторы:
- аномальные расходы или действия не совпадающие с действующими паттернами поведения плательщика;
- необычный способ доступа (гаджет, программное обеспечение);
- заражение вредоносным ПО;
- поведение, попадающие под паттерн мошенничества;
- необычная геолокация плательщика;
- геолокация плательщика, определенная как высокорисковая [Article 18 / 2 (с), EBA RTS].
------------------------------------------------------------------
