В настоящее время EBA опубликовала предложенные Комиссией ЕС поправки к своему проекту RTS о строгой аутентификации клиентов (SCA) и общей и безопасной связи в соответствии с пересмотренной Директивой о платежных услугах (PSD2), а также сопроводительное письмо Комиссии с изложением основных внесенных изменений. Оба документа были представлены в EBA в среду, 24 мая, но не были обнародованы до пятницы, 1 июня.

1. Независимый аудит мер безопасности в случаях, когда применяется исключение для анализа транзакционных рисков. (См. Главу 1, Статью 3(2) проекта EBA и измененного RTS Комиссии).
   Провайдеры платежных услуг (PSP), использующие освобождение SCA «Анализ риска транзакций» (в соответствии со статьей 18), должны проводить обязательный аудит методологии, модели и сообщаемых показателей мошенничества как минимум раз в год. основа. Комиссия ввела это, чтобы гарантировать, что используемая методология анализа рисков является объективной и последовательной.
2. Введение нового исключения из SCA для определенных корпоративных платежных процессов . (См. Главу III, НОВУЮ Статью 17)
   ППУ должно быть разрешено не применять SCA в отношении юридических лиц, инициирующих электронные платежные транзакции посредством использования специальных корпоративных платежных процессов или протоколов, при условии, что соответствующий компетентный орган подтверждает экс- ante, что они удовлетворены тем, что эти процессы или протоколы гарантируют, по крайней мере, уровни безопасности, эквивалентные тем, на которые нацелен PSD2.
3. Сообщения о мошенничестве со стороны PSP напрямую в EBA. (См. главу III, статьи 16(2) и 17(2) проекта EBA – статьи 18 и 19 измененного RTS Комиссии)
   Комиссия добавила больше деталей к тому, как PSP должны рассчитывать риск оценка каждой платежной операции. Кроме того, методология и любая модель, используемая PSP для расчета показателей мошенничества, а также сами показатели мошенничества, должны быть задокументированы и полностью доступны для компетентных органов, а также для EBA. Это означает, что EBA будет иметь доступ к отдельным данным о мошенничестве от PSP, а не полагаться на агрегированные данные высокого уровня, предоставленные компетентными органами.
4. Непредвиденные меры в случае недоступности или неадекватной работы выделенного интерфейса связи. (См. главу 5, статью 28 проекта EBA – статью 33 измененного RTS Комиссии)

Как и ожидалось, Комиссия внесла поправку в RTS о том, что если выделенный интерфейс недоступен более 30 секунд во время сеанса связи между PSP или если он не работает в соответствии с требованиями статей 30 и 32 (Общих обязательства по выделенному интерфейсу), поставщикам услуг инициирования платежей (PISP) ​​и поставщикам услуг информации о счетах (AISP) должен быть разрешен доступ к интерфейсам, предоставленным пользователям платежных услуг для прямого доступа к их платежному счету в Интернете, до тех пор, пока выделенный интерфейс не будет возобновлен. функционирование. Применяется несколько условий (подробнее см. Статью 33 (3)), включая процедуры идентификации и аутентификации, но фактически это положение вновь вводит элемент очистки экрана в качестве меры на случай непредвиденных обстоятельств.

Банки приветствовали предложение EBA о запрете очистки экрана, но вызвало бурное оспаривание со стороны финтех-сектора, который считал, что это поставит сторонних поставщиков (TPP) в невыгодное положение. Чтобы развеять опасения, Комиссия внесла это изменение, чтобы гарантировать, что недоступность или неадекватная производительность выделенного интерфейса не помешает PISP и AISP предлагать свои услуги своим пользователям. В противном случае банк мог бы предлагать свои собственные платежные услуги через интерфейсы, ориентированные на пользователя, которые работают без каких-либо затруднений, в то время как ПУИП и ПИИП не смогли бы этого сделать.

Хотя компромисс имеет смысл в теории, еще предстоит увидеть, насколько он работоспособен на практике. С одной стороны, банкам потребуется обновить свои пользовательские интерфейсы, чтобы иметь возможность идентифицировать TPP, убедиться, что им разрешен доступ только в том случае, если выделенный интерфейс недоступен, и защитить конфиденциальную информацию клиентов, к которой TPP не имеют разрешения. С другой стороны, поскольку коммуникационные интерфейсы могут различаться для каждого банка, TPP должны будут создавать и поддерживать различные решения для подключения для каждого банка, к которому они хотят подключиться, а также для выделенного и пользовательского интерфейсов банка, что может оказаться дорогостоящим и затратным по времени. потребление.

Наконец, хотя дополнительное освобождение от SCA для корпоративных платежей и дополнительные гарантии анализа транзакционных рисков и моделей мошенничества приветствуются, предлагаемые поправки еще больше продлевают переходный период между датой внедрения PSD2 (январь 2018 г.) и датой, когда положения были включены в этой РТС станет применимым — по оценкам, весной 2019 года. Это создает дополнительные проблемы как для новых участников, которые, например, не смогут полагаться на API еще почти два года, так и для действующих банков, которым придется продолжать поддерживать существующие решения (например, очистка экрана), одновременно разрабатывая свои коммуникационные интерфейсы, совместимые с RTS.

Дальнейшие шаги

• У EBA есть время до 5 июля, чтобы высказать свое мнение об измененном RTS.
• По истечении этого периода Комиссия может принять РТС с учетом мнения ЕВА или без его учета.
• После того, как Комиссия официально примет RTS, начнется трехмесячный период проверки парламентом и советом

Для получения дополнительной информации по этой теме посетите:

• PSD2 открывает двери для новых участников рынка
• Платежи прерваны
• PSD2 RTS по аутентификации и обмену данными | Дьявол в (отсутствии) деталей
• PSD2 — EBA повышает гибкость для достижения более сбалансированного подхода.

Этот пост был написан Стивеном Леем и Стивеном Бейли из группы консультантов по рискам Deloitte и Валерией Галло из Центра стратегии регулирования в регионе EMEA. Впервые он был опубликован в блоге Deloitte Financial Services UK.