Что такое SCA?
SCA определяется в PSD2 как:«аутентификация, основанная на использовании двух или более элементов, классифицированных как знание (что-то, что знает только пользователь), владение (то, что есть только у пользователя) и неотъемлемость (то, что свойственно только пользователю), которые являются независимыми в том, что нарушение одного не ставит под угрозу надежность других».К слову, под понятием «неотъемлемости» может восприниматься биометрия (отпечатки, скан сетчатки глаза, голос и т.д.), под понятием «владения» – специальные устройства (генерирующие одноразовый пароль, карта, динамический код и пр.), а под понятием «знания» – пин-код, пароль, ответ на вопрос и т.д. Реализация SCA до 14 сентября была признана EBA сложной, особенно для действующих предприятий, предоставляющих неплатежные услуги, и для лиц, которые только собираются зарегистрировать компанию под финансовую деятельность:
«в исключительных случаях и во избежание непреднамеренных негативных последствий для некоторых пользователей платежных услуг после 14 сентября 2019 года, национальные компетентные органы могут принять решение о сотрудничестве с провайдерами платежных услуг (PSP) и соответствующими заинтересованными сторонами (включая потребителей и продавцов, с целью предоставить ограниченное дополнительное время, чтобы позволить эмитентам перейти на методы аутентификации, соответствующие SCA».Стоит отметить, что в EBA подчеркнули, что это все может быть доступным только в том случае, если провайдер согласовал свои действия с компетентным органом.
Подробнее о мнении EBA
Документ предоставляет неисчерпывающий список подходов аутентификации, которые в настоящее время наблюдаются на рынке, и указывает, считаются ли они совместимыми с SCA. Мнение также отвечает на обеспокоенность по поводу готовности рынка, разъясняя, что EBA юридически не может отложить дату принятия правил. Мнение также объясняет, что у индустрии было достаточно времени для подготовки к дате применения SCA, поскольку определение SCA было изложено в PSD2 в 2015 году. Мнение EBA также предоставило некоторые комментарии к мерам SCA, которые в настоящее время внедряют провайдеры платежных услуг. В то же время управление выразило надежды о том, что дополнительные руководства обеспечат достаточную ясность для провайдеров, а также лиц, желающих зарегистрировать финансовую компанию в ЕС.Заключение
Поскольку дата внедрения SCA запланирована на 14 сентября, до этого момента необходимо провести процедуры гарантирующие соответствие предприятия новым правилам. Откровенно говоря, поскольку принятия правил совсем близко, юридическую сторону разрешения вопроса желательно поручить опытным специалистам.
