С 15 мая покупки в Интернете будут защищены более надежной аутентификацией.

Изменение направлено на борьбу с мошенничеством, которое слишком часто присутствует при онлайн-платежах.

Фото с сайта paiement-en-ligne-compta-e-commerce

По мнению сайта MoneyVox , это поворотный момент в истории электронной торговли.

Кризис в области здравоохранения вызвал беспрецедентный бум дистанционных продаж, рост которых оценивается в 30% в год при этом оплата осуществляется в основном банковскими картами.

Что изменится в интернет-платежах

В 2018 году европейские учреждения приняли 2-ю Директиву о платежных услугах (PSD2) с целью «создания стабильного и безопасного пространства для электронной торговли в Европе», — вспоминает Саша Понс, директор по продуктам в Dalenys, дочерней компании Natixis (Groupe BPCE), специализирующейся на платежах.

С точки зрения безопасности платежей отрасль по-прежнему выглядит как джунгли, где каждый торговец делает то, что хочет.

Во Франции в 2019 году уровень мошенничества при онлайн-платежах с помощью банковской карты был в 17 раз выше, чем при бесконтактных платежах в традиционных магазинах.

Чтобы сократить этот разрыв, PSD2 хочет ввести строгую аутентификацию для всех онлайн-платежей.

Что такое строгая аутентификация

Чтобы убедиться, что банковская карта, которой вы платите, принадлежит вам, вас просят не одно, а два отдельных доказательства. Т.е. комбинации уникальный номер / дата действия / криптограмма недостаточно: перед принятием платежа ваш банк попросит вас предоставить еще одно доказательство. Принцип не нов.

Это протокол 3D Secure (3DS), который долгое время использовался для защиты определенных удаленных платежей.

Второй фактор обычно представляет собой одноразовый код, полученный по SMS, который необходимо ввести на странице оплаты. Сохраняя этот принцип, DSP2 вносит два изменения.

Новые методы аутентификации

Оказалось, что SMS-код недостаточно надежен для противодействия мошенничеству. Удар был особенно тяжелым для французских банков: «В отличие, например, от немецких банков, они сделали ставку на этот SMS-код», — объясняет Саша Понс.

Новые системы называются Securipass в Crédit Agricole, Secur'Pass в Caisse d´Epargne, Certicode Plus в Banque Postale и мобильное подтверждение в Crédit Mutuel Alliance Fédérale. Имена разные, но принцип у всех примерно одинаковый.

Наиболее часто предлагаемый способ замены СМС-кода — это подтверждение платежа в мобильном приложении банка после отправки уведомления.

Но смартфон есть не у всех. Для тех, кто не может или не желает устанавливать приложение своего банка, запланированы два других метода.

Предоставляемый банком специальный терминал

Клиент вставляет карту, вводит секретный код и получает одноразовый код для аутентификации платежа. По словам Саши Понса, это самый безопасный метод против мошенничества. Недостаток в том, что надо всегда иметь коробку под рукой, а для банков — это очень дорого.

Частота строгой аутентификации

Согласно данным за март 2021 года, опубликованным Natixis Payments, 32% транзакций в настоящее время проходят строгую аутентификацию. Это вдвое больше, чем два года назад, — вспоминает Жан-Мишель Чанавас президент Mercatel, — но недостаточно для требований PSD2.

Во Франции до недавнего времени все покупки без аутентификации на сумму более 250 евро подлежали отказу. С 15 апреля этот порог снижен до 100 евро, а с 15 мая коснется абсолютно всех платежей

При этом риск ухудшения качества обслуживания клиентов высок.

Что рискует забуксовать

Это касается покупок, совершаемых на смартфоне. Mercatel подсчитал, что вероятность успешной покупки с аутентификацией в соответствии с новыми правилами составляет около 85% для настольных компьютеров, но на 75% или на десять пунктов ниже для мобильных устройств.

Причина — отсутствие автоматического перенаправления. Когда покупка идет с мобильного телефона, покупатель покидает сайт продавца, чтобы пройти аутентификацию платежа в приложении банка. Но после не всегда идет автоматическое перенаправление к продавцу для завершения процесса, хотя это важно.

Не забывайте возвращаться на сайт или в приложение продавца, чтобы завершить транзакцию

Чтобы снизить риск, сайты электронной коммерции могут расширить способы оплаты, предлагаемые Apple Pay на iPhone или Google Pay на Android.

Некоторые магазины уже приучили своих покупателей использовать устройства строгой аутентификации, для них переход должен пройти хорошо. Другие никогда не запрашивали аутентификацию. Словом, в некоторых случаях придется забыть о простоте покупки в один клик.

Избежать ухудшения качества платежей

PSD2 предусматривает исключения, которые позволяют отказаться от строгой аутентификации. Банки и другие эмитенты карт, которые теперь несут ответственность за активацию строгой аутентификации (ранее это был выбор продавца), могут обойтись без строгой аутентификации для платежей до 30 евро, если не накоплено более 5 платежей на сумму 100 евро с момента последней аутентификации.

Или если у банка, или у продавца достаточно низкий уровень мошенничества.

Напомним, общий уровень мошенничества во Франции при удаленных платежах с помощью банковской карты в 2019 году составил 0,17%. Если банку удастся удержать его ниже 0,13%, он может освободить клиента от строгой аутентификации до 100 евро.