Bezkontakta maksājumi, kas ir vienlīdz droši

31.01.2021 Bezkontakta maksājumi, kas ir vienlīdz droši

Kas ir bezkontakta maksājumi?

Šajā pandēmijas laikā mūs mudina ievērot distanci un sazināties attālināti. Interesanti, ka arī finanšu un maksājumu nozarē jau ir labi pazīstams jēdziens “bezkontakta maksājumi”, kurus palīdz realizēt jaunās finanšu tehnoloģijas. Proti, divas savā starpā nesaistītas ierīces nelielā attālumā apmainās ar datiem, kā rezultātā tiek veikts maksājums par preci vai pakalpojumu. Veicot šādus maksājumus nav nepieciešams ievietot norēķinu karti karšu lasītāja un ievadīt PIN kodu; tas tiek uzskatīts par drošāku veidu veikt maksājumus pandēmijas apstākļos. Turklāt, viena no ierīcēm var būt karte vai viedtālrunis. Lai gan tā jau ir samērā ierasta prakse un vienkāršs veids kā ātri un droši veikt maksājumu, tomēr līdz šādam risinājumam tika nonākts, pieņemot turpmāk izklāstītos tiesību aktus un balstoties uz jaunākajiem finanšu tehnoloģiju risinājumiem, kas nereti aizsteidzas priekšā tiesiskajam regulējumam.  

Tiesiskais regulējums

Eiropas Savienība izvērtēja maksājumu pakalpojumu regulējumu, kas bija izveidots 2007.gadā ar tā saucamo Maksājumu pakalpojumu direktīvu,  un pieņēma Eiropas Parlamenta un Padomes Direktīvu (ES) 2015/2366 (2015. gada 25. novembris) par maksājumu pakalpojumiem iekšējā tirgū, ar ko groza Direktīvas 2002/65/EK, 2009/110/EK un 2013/36/ES un Regulu (ES) Nr. 1093/2010 un atceļ Direktīvu 2007/64/EK, kas saīsināti tiek saukta par Maksājumu pakalpojumu direktīvu II. Tam bija vairāki iemesli, proti, Eiropas Savienības virsuzdevums attīstīt iekšējo tirgu starp dalībvalstīm, kas aptvertu arī drošu maksājumu iekšējo tirgu; tika secināts, ka dalībvalstīs ir atšķirīgs maksājumu pakalpojumu regulējums un piemērošana, kā arī dalībvalstīs bija atšķirīgs maksājumu pakalpojumu attīstības līmenis. Jāpiemin arī, ka finanšu tehnoloģijas strauji attīstās, kas izraisa lielākus  ar elektroniskajiem maksājumiem saistītos drošības riskus. Latvija ieviesa direktīvas noteikumus ar 2018.gada 20.jūnija grozījumiem Maksājumu pakalpojumu un elektroniskās naudas likumā.  

Lai gan direktīva paredz plašu regulējumu maksājumu pakalpojumu nozarē, tai skaitā, tādiem jauniem pakalpojumiem kā konta informācijas pakalpojumam un maksājumu iniciēšanas pakalpojumam, šī raksta tēmas mērķiem būtiskākā ir ar direktīvu ieviestā stingrā autentifikācija. Tās mērķis ir elektronisko maksājumu drošība, lai garantētu lietotāju aizsardzību un stabilas vides attīstību e-komercijai. Tomēr likumdevējs arī direktīvā atzina, ka pastāv arī zema riska maksājumu darījumi – maza apjoma darījumi, kurus maksājuma pakalpojumu lietotāji vēlas veikt ātri un viegli un kuriem piemērot stingro autentifikāciju varētu būt nesamērīgi. Tādējādi direktīvā ir paredzēts izstrādāt izņēmumus no stingrās autentifikācijas, piemēram, bezkontakta maksājumus. 

Attiecībā uz stingrās autentifikācijas piemērošanu tika noteikts pārejas periods Maksājumu pakalpojumu un elektroniskās naudas likumā atbilstoši Maksājumu pakalpojumu direktīvai II, un šīs prasības bija jāpiemēro sākot ar 2019.gada 14.septembri. Šajā pārejas periodā Komisija, balstoties uz Eiropas banku iestādes īpašajām zināšanām, izstrādāja pamatnostādnes un regulatīvi tehnisko standartu, kas tika ietverts Komisijas deleģētajā Regulā (ES) 2018/389 (2017. gada 27. novembris), ar ko Eiropas Parlamenta un Padomes Direktīvu (ES) 2015/2366 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem par drošu lietotāja autentificēšanu un vienotiem un drošiem atklātiem saziņas standartiem. Attiecīgi minēto regulu bija jāpiemēro sākot ar 2019.gada 14.septembri.

Tādējādi, no vienas puses, stingrā autentifikācija ir tas instruments, ar kuru Eiropas Savienība cenšas nodrošināt drošus maksājumus, garantējot drošu autentifikāciju, bet no otras puses Eiropas Savienība vēlas atbilstoši pielāgot drošības prasības noteiktiem maksājumu veidiem, paredzot izņēmumus no stingrās autentifikācijas, piemēram, bezkontakta maksājuma veidā, tādējādi uzlabojot maksājumu izpildes pieejamību un ātrumu e-komercijas jomā.

Stingrā autentifikācija

Saskaņā ar Maksājumu pakalpojumu un elektroniskās naudas likuma 1.panta 251) punktā iekļauto stingrās autentifikācijas definīciju tā ir autentifikācija, kura sastāv no diviem vai vairākiem elementiem, kas ir zināšanas (tas, ko zina tikai maksājuma pakalpojuma izmantotājs), valdījums (tas, kas ir tikai maksājuma pakalpojuma izmantotāja valdījumā) un neatņemamas īpašības (maksājuma pakalpojuma izmantotājam raksturīgas īpašības). Šie elementi ir savstarpēji neatkarīgi, proti, viena elementa uzticamības zaudēšanas gadījumā cita elementa uzticamība netiek apdraudēta, un tie izstrādāti tā, lai nodrošinātu autentifikācijas datu konfidencialitātes aizsardzību.

Šiem autentifikācijas elementiem ir jābūt no divām dažādām kategorijām. Turklāt vienam no šiem elementiem ir jābūt unikālam un otrreiz neizmantojamam. Tātad saskaņā ar Eiropas Banku iestādes skaidrojumu maksājumu pakalpojumu sniedzējiem ir jāizveido tāda autentifikācija, kura izmanto divus elementus no divām dažādām kategorijām, piemēram, viens elements ir zināšanas, kas varētu būt parole, un otrs elements ir neatņemama īpašība, kas varētu būt pirkstu nospiedums. Kā citi piemēri neatņemamai īpašībai tiek minēti citi bio-metriskie dati, piemēram, plauksta, balss. Attiecībā uz zināšanām – tas, ko zina tikai maksājuma pakalpojuma izmantotājs, bet, piemēram, norēķinu kartes numurs un CVV kods vai derīguma termiņš nav uzskatāmas par atbilstošām zināšanām. Par valdījumu – lai iekārtu uzskatītu par esošu valdījumā, ir jābūt ticamam veidam, kā pārliecināties par ierīces valdījumu, ģenerējot vai saņemot apstiprinājuma elementu uz ierīces. Tomēr, tai nav noteikti jābūt materiālai ierīcei, tā var būt arī lietotne.

Atbilstoši tikai tad, kad maksātājs ir veicis stingro autentifikāciju, maksātājs var piekļūt savam maksājumu kontam tiešsaistē vai ierosināt maksājumu.

Jānorāda, ka autentifikācijas prasības attiecas uz maksājumiem, kurus ierosina kā maksātājs gan juridiska, gan fiziska persona.

Bezkontakta maksājums

Saskaņā ar Regulu 2018/389 maksājumu pakalpojumu sniedzējiem ir atļauts nepiemērot stingro autentifikāciju gadījumos, kad maksātājs iniciē bezkontakta maksājumu darījumu, ja ir izpildīti šādi nosacījumi:

a)

bezkontakta elektroniskā maksājumu darījuma atsevišķā vērtība nepārsniedz EUR 50; un

 

b)

iepriekšējo bezkontakta elektronisko maksājumu darījumu, kas iniciēti ar maksājumu instrumentu, kam ir bezkontakta funkcionalitāte, kumulatīvā summa, skaitot no drošas lietotāju autentifikācijas pēdējā piemērošanas datuma, nepārsniedz EUR 150; vai

 

c)

secīgo bezkontakta elektronisko maksājumu darījumu, kas iniciēti ar maksājumu instrumentu, kam ir bezkontakta funkcionalitāte, skaits kopš drošas lietotāju autentifikācijas pēdējās piemērošanas, nepārsniedz piecus.

Šāds izņēmums no stingrās autentifikācijas bezkontakta maksājuma veidā pieļauj maksājumu pakalpojumu sniedzējiem izstrādāt lietotājiem ērtus un ātrus maksājumu veikšanas veidus attiecībā uz zema riska maksājumiem.

Tātad attiecībā uz bezkontakta maksājumiem ir paredzēti divi nosacījumi, kas iezīmē secīgu to darījumu maksimālo skaitu un noteiktu maksimālo vērtību secīgiem darījumiem. Izpildoties nosacījumiem, maksājums var tikt veikts, nepiemērojot autentifikāciju. Tas no vienas puses ļauj veikt noteiktus zema riska maksājumus kā bezkontakta maksājumus, bet no otras puses, neizpildoties jebkuram no nosacījumiem, maksājuma pakalpojuma sniedzējs vēlēsies pārliecināties, ka šis maksājums tiek veikts tiesiski no kartes īpašnieka puses. Ja karte tiek, piemēram, nozaudēta, tad kartes atradējs nevarēs veikt maksājumu par pirkumu, kas pārsniedz EUR 50, jo veicot maksājumu būs nepieciešams ievadīt PIN kodu.

Divi būtiski aspekti

Pirmkārt, kiberdrošība ir izšķiroši svarīga gandrīz jebkurai nozarei, ievērojot komersantu paļaušanos ikdienas darbībā uz informācijas tehnoloģijām.  Drošība ir īpaši svarīga maksājumu iestādēm, jo, lai uzturētu stabilu un sekmīgi darbojušos finanšu sistēmu, ir nepieciešama klientu uzticēšanās.

Saskaņā ar Maksājumu pakalpojumu direktīvu II maksājumu pakalpojumu sniedzējiem ir jāveic operacionālo un drošības risku pārvaldība, gan regulāri sagatavojot visaptverošu risku novērtējumu, gan arī efektīvas incidentu pārvaldības procedūras. Tādējādi tiek ieviesti pasākumi, kas novērtē gan iestājušos riskus, gan iespējamos riskus nākotnē attiecībā uz maksājumu pakalpojumiem.

Pamatojoties uz Regulu 2018/389, maksājumu pakalpojumu sniedzēji ir tiesīgi nepiemērot stingro autentifikāciju, ja tie ir ieviesuši tādus mehānismus, kas ļauj identificēt krāpnieciskus vai neatļautus darījumus. Šie mehānismi ir balstīti uz analīzi par maksājumu darījumiem, ko veic maksājumu pakalpojumu lietotājs parastas lietošanas apstākļos.

Otrkārt, maksājumu pakalpojumu lietotāju finanšu pratībai ir būtiska nozīme. Kamēr maksājumu iestādes rūpēsies par savu risku pienācīgu pārvaldību, maksājumu lietotājiem, patērētājiem, ir jābūt uzmanīgiem un rūpīgiem, neatklājot savus finanšu datus personām, kuras tos var izmantot krāpnieciskos nolūkos, kā arī jāpielieto zināma piesardzība un vienmēr jāpārliecinās par tās personas, kura sniedz maksājumu pakalpojumu, tiesisko statusu un patiesumu.

Maksājumu lietotājiem arī nepārtraukti jāseko līdzi un lietotāja līmenī arī jāizprot jaunākie finanšu tehnoloģiju produkti un pakalpojumu sniedzēju darbības modeļi, lai droši un ar pārliecību tos varētu izmantot, minot kā piemēru faktu, ka maksājumu pakalpojumu sniedzēji nekad neprasīs ievadīt vai nosaukt datus, kas saistīti ar autentifikāciju.

Nobeigums

Manuprāt, nav apstrīdami, ka bezskaidras norēķinu īpatsvars Eiropas Savienībā tikai pieaugs. Tāpēc arī atbilstoši Eiropas Savienības likumdevējs ir pievērsies maksājumu pakalpojumu regulējuma izstrādei, kas nodrošina drošus, efektīvus un vienkāršus maksājumus, kā arī diferencē drošības prasības atkarībā no secīgu darījumu vērtības un darījumu skaita. Tomēr šis nav maksājumu pakalpojumu tiesiskā regulējuma attīstības beigu punkts; attīstīsies finanšu tehnoloģijas, kas piedāvās jaunus maksājumu pakalpojumu produktus, kas iespējams radīs strīdīgu piemērošanu vai nepieciešamību pēc jauna papildinoša regulējuma. Turpinām sekot līdzi.