Może to co się dzieje (nie tylko w Polsce) ma związek z tym, nie mam pojęcia, ale skoro to się dzieje w różnych krajach to może dotyczyć digital wallet (portfeli cyfrowych) na większą skalę i niektórym się nie opłaca trzymać kart
www.eba.europa.eu
The European Banking Authority (EBA) today published three Q&As that, jointly with three other Q&As that the EBA had published previously, clarify comprehensively the application of strong customer authentication (SCA) to digital wallets under the revised Payment Service Directive (PSD2). This press release provides a summary of these Q&As and, thus, aims at bringing about a consistent understanding by all market stakeholders of the applicable requirements.
The six Q&As clarify the application of SCA to the enrolment of a payment card to a digital wallet and to the initiation of payment transactions with digitised versions of a payment card. They also clarify the requirements applicable to the outsourcing of the application of SCA to digital wallet providers.
Starting with the enrolment of a payment card to a digital wallet,
Q&A 5622, for example, clarifies that this process leads to the creation of a token/digitised version of the payment card and requires the application of strong customer authentication (SCA) under Article 97(1)(c) of PSD2, because it is an action that may imply the risk of fraud or other abuses. By applying SCA, the payment service provider (PSP) verifies remotely that the payment service user (PSU) is the rightful user of the payment card and associates the PSU and the digitised version of the payment card with the respective device.
Q&A 6141 had already clarified that the PSP that has issued the payment card (the issuer) is required to apply SCA when adding a payment card to a digital wallet and is responsible for providing the respective SCA elements to the PSU. The issuer is also required to ensure that adequate security measures are in place to protect the confidentiality and integrity of PSU’s personalised security credentials.
Turning to outsourcing, the Q&As, overall, clarify that issuers may outsource the provision and verification of the elements of SCA to a third party (e.g. by concluding contractual arrangements with the third party), such as a digital wallet provider, in compliance with the general requirements on outsourcing, including the requirements of the
EBA Guidelines on Outsourcing arrangements . However, the responsibility for compliance with the SCA requirements cannot be outsourced and issuers remain fully responsible for the compliance with the requirements in PSD2 and the Regulatory Technical Standards (RTS) on SCA&CSC.
When it comes to the initiation of electronic payment transactions,
Q&A 5622 clarifies that the initiation of transactions with the digitised version of the payment card also requires the application of SCA under Article 97(1)(b) of PSD2, unless one of the specific exemptions from the application of SCA set out in the RTS on SCA&CSC applies.
Finally,
Q&A 6145 clarifies that the unlocking of a mobile phone with biometrics (e.g. a fingerprint) or with a PIN/password cannot be considered a valid SCA element for the purpose of adding a payment card to a digital wallet, if the screen locking mechanism of the mobile device is not a process under the control of the issuer.
Q&A 6464 further clarifies that the issuance of a new token, replacing a previously existing one, and binding it to a device/user also requires the application of SCA.
Legal basis and background
The six Q&As referred to in this press release comprises three Q&As the EBA had previously published (
4047,
4827 and
6141) and three Q&As the EBA has published today (
5622,
6145 and
6464).
Article 97(1) of PSD2 states that “a payment service provider applies strong customer authentication where the payer: (a) accesses its payment account online; (b) initiates an electronic payment transaction; (c) carries out any action through a remote channel which may imply a risk of payment fraud or other abuses”.
Article 24(1) of the Commission Delegated Regulation (EU) 2018/389 provides that ‘payment service providers shall ensure that only the payment service user is associated, in a secure manner, with the personalised security credentials, the authentication devices and the software’. Paragraph 2, letter ‘b’ of the same article continues by specifying that ‘the association by means of a remote channel of the payment service user's identity with the personalised security credentials and with authentication devices or software is performed using strong customer authentication.’
Article 16b of the EBA Regulation (No 1093/2010) provides that “[…] questions relating to the practical application or implementation of the provisions of legislative acts […], associated delegated and implementing acts, and guidelines and recommendations, adopted pursuant to those legislative acts, may be submitted by any natural or legal person, including competent authorities and Union institutions and bodies, to the Authority in any official language of the Union”.
Europejski Urząd Nadzoru Bankowego (EBA) opublikował dziś trzy pytania i odpowiedzi, które wraz z trzema innymi pytaniami i odpowiedziami, które EBA opublikował wcześniej, wyczerpująco wyjaśniają zastosowanie silnego uwierzytelniania klienta (SCA) do portfeli cyfrowych zgodnie ze
zmienioną dyrektywą w sprawie usług płatniczych (PSD2). Niniejsza informacja prasowa zawiera podsumowanie tych pytań i odpowiedzi, a tym samym ma na celu doprowadzenie do spójnego zrozumienia obowiązujących wymagań przez wszystkich interesariuszy rynku.
Sześć pytań i odpowiedzi wyjaśnia zastosowanie SCA do rejestracji karty płatniczej w cyfrowym portfelu oraz do inicjowania transakcji płatniczych za pomocą cyfrowych wersji karty płatniczej. Wyjaśniają również wymagania mające zastosowanie do outsourcingu stosowania SCA do dostawców portfeli cyfrowych.
Rozpoczynając od wpisania karty płatniczej do portfela cyfrowego, w pytaniu i odpowiedzi 5622 wyjaśniono na przykład, że proces ten prowadzi do utworzenia tokena/cyfrowej wersji karty płatniczej i wymaga zastosowania silnego uwierzytelnienia klienta (SCA) zgodnie z art. 97 ust. 1 lit. c) PSD2, ponieważ jest to działanie mogące wiązać się z ryzykiem oszustwa lub innych nadużyć. Stosując SCA, dostawca usług płatniczych (PSP) weryfikuje zdalnie, czy użytkownik usług płatniczych (PSU) jest pełnoprawnym użytkownikiem karty płatniczej i kojarzy PSU oraz cyfrową wersję karty płatniczej z odpowiednim urządzeniem.
W pytaniu i odpowiedzi 6141 wyjaśniono już, że PSP, który wydał kartę płatniczą (wydawca), jest zobowiązany do zastosowania SCA podczas dodawania karty płatniczej do portfela cyfrowego i jest odpowiedzialny za dostarczenie PSU odpowiednich elementów SCA. Emitent jest również zobowiązany do zapewnienia odpowiednich środków bezpieczeństwa w celu ochrony poufności i integralności spersonalizowanych danych uwierzytelniających PSU.
Jeśli chodzi o outsourcing, w pytaniach i odpowiedziach ogólnie wyjaśniono, że emitenci mogą zlecić świadczenie i weryfikację elementów SCA osobie trzeciej (np. poprzez zawarcie ustaleń umownych z osobą trzecią), takiej jak dostawca portfela cyfrowego, zgodnie z ogólne wymogi dotyczące outsourcingu, w tym wymogi Wytycznych EBA w sprawie uzgodnień dotyczących outsourcingu. Jednak odpowiedzialność za zgodność z wymaganiami SCA nie może zostać zlecona na zewnątrz, a emitenci pozostają w pełni odpowiedzialni za zgodność z wymogami PSD2 i regulacyjnymi standardami technicznymi (RTS) dotyczącymi SCA&CSC.
Jeśli chodzi o inicjowanie elektronicznych transakcji płatniczych, Q&A 5622 wyjaśnia, że inicjowanie transakcji zdigitalizowaną wersją karty płatniczej wymaga również zastosowania SCA zgodnie z art. obowiązują wyjątki ze stosowania SCA określone w RTS w sprawie SCA&CSC.
Wreszcie, w pytaniu i odpowiedzi 6145 wyjaśniono, że odblokowanie telefonu komórkowego za pomocą danych biometrycznych (np. urządzenia mobilnego nie jest procesem kontrolowanym przez emitenta. Pytania i odpowiedzi 6464 wyjaśniają ponadto, że wydanie nowego tokena, zastąpienie poprzednio istniejącego i powiązanie go z urządzeniem/użytkownikiem również wymaga zastosowania SCA.
Podstawa prawna i kontekst
Sześć pytań i odpowiedzi, o których mowa w niniejszym komunikacie prasowym, obejmuje trzy pytania i odpowiedzi, które EUNB opublikował wcześniej (4047, 4827 i 6141), oraz trzy pytania i odpowiedzi, które EUNB opublikował dzisiaj (5622, 6145 i 6464).
Artykuł 97 ust. 1 PSD2 stanowi, że „dostawca usług płatniczych stosuje silne uwierzytelnianie klienta, gdy płatnik: (a) uzyskuje dostęp do swojego rachunku płatniczego online; (b) inicjuje elektroniczną transakcję płatniczą; c) przeprowadza za pośrednictwem kanału zdalnego jakiekolwiek działania, które mogą wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć”.
Art. 24 ust. 1 rozporządzenia delegowanego Komisji (UE) 2018/389 stanowi, że „dostawcy usług płatniczych zapewniają, aby tylko użytkownik usług płatniczych był powiązany w bezpieczny sposób ze spersonalizowanymi danymi uwierzytelniającymi, urządzeniami uwierzytelniającymi i oprogramowaniem '. Ustęp 2 litera „b” tego samego artykułu stanowi dalej, że „kojarzenie za pośrednictwem kanału zdalnego tożsamości użytkownika usług płatniczych z indywidualnymi danymi uwierzytelniającymi oraz z urządzeniami lub oprogramowaniem uwierzytelniającym odbywa się przy użyciu silnego uwierzytelniania klienta”.
Art. 16b rozporządzenia w sprawie EUNB (nr 1093/2010) stanowi, że „[…] kwestie dotyczące praktycznego stosowania lub wdrażania przepisów aktów ustawodawczych […], powiązanych aktów delegowanych i wykonawczych oraz wytycznych i zaleceń przyjętych na mocy art. te akty ustawodawcze mogą być przedkładane Urzędowi przez każdą osobę fizyczną lub prawną, w tym właściwe organy oraz instytucje i organy Unii, w dowolnym języku urzędowym Unii”.
www.eba.europa.eu
Nie jestem prawnikiem, ekonomistą, księgowym ani nikim jakby co
