Zmiany w płatnościach kartą. Co zmienia standard 3DS 2 dla sklepu internetowego?

PSD2 to europejska dyrektywa w sprawie usług płatniczych, która trochę już namieszała w znanej nam bankowości i płatnościach. Ma ona zminimalizować próbę oszustw podczas płatności w internecie i zwiększyć bezpieczeństwo wszystkich obywateli Unii Europejskiej, a także ujednolicić rynek płatności online. Banki oraz wszyscy dostawcy usług płatniczych, jak PayU, Blue Media, Tpay czy Stripe wdrażają wymagania SCA dla płatności internetowych.

Bezpieczeństwo transakcji a porzucone koszyki w sklepie online

SCA, czyli procedura silnego uwierzytelniania dla płatności internetowych, jest wymogiem unijnej dyrektywy. Jest to najbardziej odczuwalna zmiana dla klientów Twojego sklepu, ale również dla Ciebie, gdy dokonujesz transakcji np. w banku. SCA to nic innego, jak dwuskładnikowe uwierzytelnianie każdej płatności online za pomocą kodu SMS czy w aplikacji bankowej. Dotychczas wykorzystywano technologię 3D Secure 1.

 Przykładowe potwierdzenia transakcji w standardzie 3D Secure 1.

W e-commerce dwuskładnikowe uwierzytelnienie było postrzegane raczej negatywnie, ponieważ wiązało się z dodatkowym krokiem dla kupującego i mogło prowadzić do porzucenia koszyka. Od 1 stycznia 2021 r. jednak ten problem znika, dzięki nowemu standardowi 3D Secure 2 (3DS 2).

Co zmienia standard 3DS 2?

3DS 2 to następca standardu 3D Secure, który wprowadza bezproblemowe uwierzytelnienia i poprawia komfort zakupów w sieci. Nowe wymogi obowiązują w Polsce i innych krajach UE od 1 stycznia 2021 roku. Na czym polegają najważniejsze zmiany?

Po pierwsze, zmienia się cała logika uwierzytelnienia. Dotychczas w standardzie 3DS użytkownik kupujący w sieci był odsyłany do strony banku w celu weryfikacji płatności i płatnika. Banki często udostępniały niedostosowane strony pod mobile i/lub wymagały posiadanie smartfonu blisko siebie w celu potwierdzenia transakcji specjalnym kodem SMS lub w aplikacji mobilnej banku.

W wyniku tego dodatkowego zabezpieczenia zdarzyły się pomyłki, przerwane połączenia, a to oczywiście przekładało się na spadek konwersji w sklepie i utratę klientów w najważniejszym momencie zakupów - finalizacji.

3DS 2 to nowy standard wdrożony przez głównych operatorów kart kredytowych. Nowa metod uwierzytelnienia zupełnie zmienia podejście do autoryzacji transakcji i poprawia doświadczenie klienta w zakupach. Technologia pozwala na wymianę danych pomiędzy bankami a sklepami w tle. Są to m.in. informacje o adresie dostawy, identyfikator urządzenia i historia transakcji. Bank decyduje, czy dane są wystarczające, aby potwierdzić, że to posiadacz karty dokonuje zakupu a następnie, czy transakcja może zakończyć się bez dodatkowego potwierdzenia. Docelowo 3D Secure 2 ma zwiększyć liczbę transakcji, które można uwierzytelnić bez udziału klienta, poprawić konwersję w sklepach i zmniejszyć udział porzuconych koszyków.

Jakie nowości oferuje technologia? Lepszy user experience, zwłaszcza na urządzeniach mobilnych. Właściciel karty będzie mógł potwierdzić płatność, używając odcisku palca lub rozpoznania twarzy (a nie przepisywać hasła z SMS-a).

 Różnica pomiędzy podejściem 3DS1 a nową metodą obowiązującą od 1 stycznia 2021 roku. Najkrócej mówiąc - jest szybciej i łatwiej!

Dla sklepów internetowych istotny jest fakt, że sam protokół 3DS 2 pozwala dostawcom płatności na zwolnienie z SCA w wybranych przypadkach. Dotyczy to płatności niskokwotowych do kwoty 30 euro (ok. 135 zł), z wyjątkiem sytuacji, gdy:

• w ciągu 24 godzin przeprowadzono transakcje bez silnego uwierzytelnienia, na łączną kwotę powyżej 100 EUR,
• w ciągu 24 godzin wykonano 5 transakcji bez silnego uwierzytelnienia;

oraz transakcji niskiego ryzyka. Ryzyko ustala pośrednik płatności, tj. oznacza ją jako mało ryzykowną. Ostateczna decyzja o ryzyku pozostaje jednak w rękach wydawcy karty, który może takie żądanie odrzucić, w efekcie transakcja będzie wymagać silnego uwierzytelnienia.

Trzecie odstępstwo dotyczy płatności cyklicznych, np. sprzedaży w modelu subskrypcyjnym. Podwójne uwierzytelnienie jest wymagane tylko przy pierwszej płatności, kolejne są z tego wymogu zwolnione.

Co powinien zrobić sklep internetowy w obliczu nowych przepisów?

Niewiele. :) Jeżeli korzystasz z usług wiodących dostawców bramek płatności, najprawdopodobniej wdrożyli już oni nowy standard zabezpieczeń. Sprawdziliśmy dla Was, jakie zmiany wprowadzili dostawcy płatności, z którymi współpracuje AtomStore:

• Blue Media - wspiera standard uwierzytelnienia płatności kartowych - 3DS 2, nie są konieczne żadne zmiany ani aktualizacje,
• Tpay - nie wymaga od klientów jakiekolwiek zmiany czy aktualizacji,
• PayU - strona płatności PayU wspiera 3DS 2. Jeżeli jej używasz, nie musisz nic robić. Również, jeśli wykorzystujesz tokenizację kart (poprzez własny formularz lub Secure Form) na stronie internetowej, nie nie musisz zmieniać,
• PayPal Pro hosted - PayPal automatycznie zaktualizuje usługę do najnowszych standardów, nie jest wymagana żadna zmiana integracji.

Jeżeli masz wątpliwości, czy Twój sklep spełnia wymagania unijne PSD2, skontaktuj się z Twoim dostawcą płatności.