Europejski Urząd Nadzoru Bankowego (The European Banking Authority - EBA) opublikował na swojej stronie internetowej pytania i odpowiedzi, które wraz z poprzednio opublikowanymi mają wyjaśnić zastosowanie silnego uwierzytelniania klienta (strong customer authentication - SCA) do portfeli cyfrowych zgodnie ze zmienioną dyrektywą w sprawie usług płatniczych (Payment Service Directive - PSD2).
EBA wyjaśniła zastosowanie SCA do rejestracji karty płatniczej w cyfrowym portfelu oraz do inicjowania transakcji płatniczych za pomocą cyfrowych wersji karty płatniczej, a także wymagania mające zastosowanie do outsourcingu w zakresie stosowania SCA do dostawców portfeli cyfrowych.
Przykładowo, w zakresie zagadnienia związanego z wpisaniem karty płatniczej do portfela cyfrowego wyjaśniono, że proces ten prowadzi do utworzenia tokena/cyfrowej wersji karty płatniczej i wymaga zastosowania silnego uwierzytelnienia klienta (SCA), zgodnie z art. 97 ust. 1 lit. c) PSD2, ponieważ jest to działanie mogące wiązać się z ryzykiem oszustwa lub innych nadużyć. Stosując SCA, dostawca usług płatniczych (payment service provider - PSP) weryfikuje zdalnie, czy użytkownik usług płatniczych (payment service user - PSU) jest pełnoprawnym użytkownikiem karty płatniczej i kojarzy PSU oraz cyfrową wersję karty płatniczej z odpowiednim urządzeniem.
W kolejnym pytaniu i odpowiedzi wyjaśniono, że PSP, który wydał kartę płatniczą, jest zobowiązany do zastosowania SCA podczas dodawania karty płatniczej do portfela cyfrowego i jest odpowiedzialny za dostarczenie PSU odpowiednich elementów SCA. Emitent jest również zobowiązany do zapewnienia odpowiednich środków bezpieczeństwa w celu ochrony poufności i integralności spersonalizowanych danych uwierzytelniających PSU.
W zakresie outsourcingu, wyjaśniono, że emitenci mogą zlecić świadczenie i weryfikację elementów SCA osobie trzeciej (np. poprzez zawarcie ustaleń umownych z osobą trzecią), takiej jak dostawca portfela cyfrowego, zgodnie z ogólnymi wymogami dotyczącymi outsourcingu, w tym wymogi Wytycznych EBA w sprawie uzgodnień dotyczących outsourcingu. Jednak odpowiedzialność za zgodność z wymaganiami SCA nie może zostać zlecona na zewnątrz, a emitenci pozostają w pełni odpowiedzialni za zgodność z wymogami PSD2 i regulacyjnymi standardami technicznymi (RTS) dotyczącymi SCA&CSC.
Źródło: https://www.eba.europa.eu/eba-clarifies-application-strong-customer-authentication-requirements-digital-wallets