Andreea Șerban, Senior Managing Associate, Lorena Roșia, Senior Associate, și Geanina Stîngaciu, Associate, Reff & Asociaţii
Lorena Roșia, Senior Associate Reff & Asociaţii
Directiva PSD 2 transformă modul în care se va efectua plata cumpărăturilor online. Transpusă în legislația națională prin Legea nr. 209/2019 privind serviciile de plată, promulgată recent, directiva instituie măsuri mult mai stricte de securitate pentru efectuarea plăților online, acestea fiind cunoscute în jargonul de specialitate drept „SCA” („Strong Customer Authentication” – autentificarea strictă a clienților).
De-a lungul timpului s-au exprimat îngrijorări cu privire la potențialele efecte negative ale PSD 2 asupra comerțului electronic, vehiculându-se inclusiv pierderi de miliarde de euro la nivelul UE și riscul de refuz al plăților pentru aproximativ 30% din tranzacțiile din sfera cumpărăturilor online. Întrebarea care apare în mod natural este cum a reușit o directivă care are drept scopuri declarate inovarea, simplificarea și securitatea, să genereze astfel de îngrijorări?
Ce dificultăți au apărut?
Se pare că prestatorii de servicii de inițiere a plății nu sunt încă pregătiți să preia o mare parte din volumul de plăți online, iar cerințele noi de securitate sunt dificil de implementat. PSD 2 modifică modul în care se efectuează plățile online prin reglementarea unui standard de securitate care presupune utilizarea împreună a cel puțin două dintre elementele clasificate drept cunoștințe (parolă, PIN), posesie (diverse dispozitive de tip token) și inerență (citirea amprentei, scanarea irisului sau retinei). SCA s-a dovedit greu de implementat în întreaga Uniune Europeană în comerțul electronic, din cauza nivelului de complexitate tehnică și a multiplelor sisteme care trebuie integrate.
Geanina Stîngaciu, Associate, Reff & Asociaţii
În timp ce acest mod de efectuare a tranzacțiilor devine regula, excepțiile de la aplicarea sa sunt limitate și pot presupune investiții semnificative din partea prestatorilor de servicii de plată pentru detectarea riscului de fraudă. Mai mult, întârzie să fie implementate sisteme tehnice care să se prevaleze de aceste excepții, în continuare existând discuții privind modul de aplicare a acestora.
Ce rezolvare au găsit autoritățile europene?
Autoritatea Bancară Europeană nu ia în calcul, momentan, schimbarea standardelor de securitate prevăzute de PSD 2 și de normele sale tehnice de reglementare. Ca soluție de compromis, însă, autoritatea le-a acordat timp prestatorilor de servicii de plată până la sfârșitul anului 2020 pentru implementarea unor planuri de migrare către noile soluții tehnice de aplicare a autentificării stricte a clienților pentru tranzacțiile cu cardul în comerțul electronic.
Până la expirarea acestui termen, autoritatea europeană recomandă Băncii Naționale a României să evite sancționarea prestatorilor de servicii de plată pentru neaplicarea SCA pentru tranzacțiile cu cardul în comerțul online, însă numai în măsura în care aceștia vor respecta calendarul și cerințele stabilite la nivel individual de către BNR.
Jucătorii din piață nu sunt însă feriți de răspundere
Chiar și înainte de finalul anului 2020, prestatorii de servicii de plată pot fi sancționați de autoritățile competente naționale de supraveghere, în cazul în care nu vor respecta regulile impuse de acestea cu privire la planurile de migrare către noile soluții tehnice de aplicare a SCA pentru tranzacțiile cu cardul în comerțul electronic.
Mai mult, prestatorii de servicii de plată ar trebui să realizeze cât mai repede migrarea către soluții tehnice care să respecte cerințele SCA, din moment ce măsura luată de Autoritatea Bancară Europeană nu îi scutește de răspundere față de clienții lor, reglementată de Legea nr. 209/2019. Astfel, în cazul tranzacțiilor neautorizate, prestatorii de servicii de plată ai plătitorilor pot fi nevoiți să ramburseze propriilor clienți suma aferentă operațiunilor neautorizate, imediat sau cel târziu la sfârșitul următoarei zile lucrătoare după ce au constatat sau au fost notificați cu privire la aceste operațiuni.
În noul cadru legislativ, nu doar prestatorii de servicii de plată, ci și comercianții trebuie să dea mai multă atenție mecanismelor de alocare a răspunderii pentru tranzacții neautorizate.
Pentru a asigura un proces de cumpărare a produselor cât mai prietenos pentru clienții lor, comercianții ar putea fi interesați să se prevaleze de excepțiile de la aplicarea noului standard de securitate tehnică în procesul de autentificare. Această abordare ar putea atrage anumite riscuri, a căror distribuire recomandăm să fie reglementată contractual între partenerii implicați în procesul de plată – comercianți, prestatorul de servicii de inițiere a plății, bănci, procesatori. Modul în care aceste excepții vor opera și distribuirea răspunderii între comerciant, banca sa, banca plătitorului și alți intermediari rămâne însă o discuție deschisă, iar prevederile contractelor aferente procesării tranzacțiilor de plată vor fi extrem de importante.
Ce ne rezervă viitorul?
„Răbdare” rămâne cuvântul de bază cu privire la PSD 2 și efectele sale asupra comerțului electronic. Este de așteptat ca efectele PSD 2 să se cristalizeze în decursul următorilor ani, pe măsură ce apar mai mulți prestatori de servicii de inițiere a plății și industria se ajustează la noul mod de lucru, urmând ca, în cele din urmă, concurența și inovația avansată să aducă beneficii consumatorului prin creșterea simultană a securității și a calității experienței în materie de plăți online.
