Wyjaśnienie SCA i 3DS2: uwierzytelnianie płatności w ramach PSD2
Sprzedaż online klientom europejskim oznacza konieczność przestrzegania zasad SCA i 3DS2, niezależnie od tego, czy chcesz, czy nie. Silne uwierzytelnianie klienta to surowy wymóg prawny wynikający z dyrektywy PSD2, a 3D Secure 2 to sposób, w jaki większość sprzedawców go spełnia. Co SCA 3DS2 oznacza w praktyce, gdzie występują skrajne przypadki i ile kosztują błędy – o tym właśnie traktuje ten poradnik.
Czym jest SCA? Definicja silnego uwierzytelniania klienta
Silne uwierzytelnianie klienta to wymóg weryfikacji wynikający z PSD2 — dyrektywy UE w sprawie usług płatniczych 2. Ma ono zastosowanie, gdy klient inicjuje płatność elektroniczną, a zarówno bank wydający kartę, jak i bank nabywający kartę sprzedawcy znajdują się na terenie Europejskiego Obszaru Gospodarczego.
Sama zasada opiera się na czynnikach. Bezpieczne uwierzytelnianie musi uwzględniać co najmniej dwa z trzech czynników, które muszą pochodzić z różnych kategorii:
- Wiedza — coś, co zna posiadacz karty: hasło, PIN lub pytanie bezpieczeństwa
- Posiadanie — coś, co posiada posiadacz karty: telefon komórkowy, token sprzętowy lub karta inteligentna
- Nieodłączność — coś, czym jest posiadacz karty: odcisk palca, rozpoznawanie twarzy, identyfikacja głosowa
Czynniki muszą być od siebie niezależne – naruszenie jednego nie może narazić na szwank drugiego. Muszą być również dynamicznie powiązane z konkretną kwotą transakcji i odbiorcą. Statyczne hasło, które działa przy każdym zakupie, nie spełnia tego warunku.
Zakres: SCA obejmuje zakupy online kartą inicjowane przez klienta. Nie dotyczy transakcji inicjowanych przez sprzedawcę (płatności cykliczne po wstępnej autoryzacji), zamówień pocztowych lub telefonicznych ani żadnych transakcji, w których sprzedawca lub bank posiadacza karty znajduje się poza EOG. Ta ostatnia kategoria nazywa się „one-leg-out” i ma zastosowanie do sprzedawców z mieszaną, globalną bazą klientów.
Czym jest 3DS2 i jaki jest związek z SCA?
Nazwa w skrócie wygląda następująco: 3D oznacza trzy domeny – bank wydający kartę posiadacza karty, bank akceptujący płatności, który przetwarza płatności sprzedawcy, oraz sieć kart pomiędzy nimi. Wersja 2 odróżnia ją od pierwotnego protokołu, który Visa wprowadziła w 1999 roku pod nazwą „Verified by Visa”. Firma EMVCo, będąca wspólną własnością Visy, Mastercard, Amex i innych organizacji, opracowała i obecnie utrzymuje standard 3D Secure 2.
Jaki jest związek z silnym uwierzytelnianiem (SCA)? PSD2 wymaga, aby płatności kartą były uwierzytelniane za pomocą dwóch czynników. 3D Secure 2 to mechanizm, którego sprzedawcy używają do faktycznego uwierzytelniania transakcji bez użycia karty. Teoretycznie, przepływy w ramach otwartej bankowości i przekierowania aplikacji bankowych również mogą spełniać wymogi silnego uwierzytelniania (SCA), ale w rzeczywistości 3DS2 obsługuje zdecydowaną większość płatności kartą online.
Visa i Mastercard przestały obsługiwać 3DS1 dla transakcji europejskich w październiku 2022 roku. Po tym terminie przesyłanie płatności kartami przez 3DS1 stało się nie tylko przestarzałe, ale i niezgodne z systemem. To, co kiedyś było opcjonalne, stało się obowiązkowe, a aktualizacja do 3D Secure 2, którą firmy przetwarzające płatności rekomendowały od lat, stała się jedyną drogą naprzód.
Historia 3D Secure: od 3DS1 do 3DS2
3DS1 wprowadzono na rynek na początku XXI wieku. Mechanizm uwierzytelniania opierał się na wyskakującym okienku przekierowania, zazwyczaj hostowanym przez bank wydający kartę. Posiadacze kart widzieli nowe okno przeglądarki, wprowadzali statyczne hasło, o którym często zapominali, i albo uzyskiwali połączenie, albo rezygnowali. Porzucenie transakcji na tym etapie stanowiło mierzalny problem dla sprzedawców z każdej kategorii.
| Funkcja | 3DS1 | 3DS2 |
|---|---|---|
| Interfejs użytkownika uwierzytelniania | Przekierowanie wyskakującego okienka/nowego okna | Wbudowana ramka iframe lub natywny zestaw SDK |
| Dane wysłane do wystawcy | ~15 punktów danych | Ponad 100 punktów danych (urządzenie, zachowanie, historia) |
| Wsparcie mobilne | Słabo — brak natywnego zestawu SDK | Pełny natywny zestaw SDK dla systemów iOS i Android |
| Przepływ bez tarcia | Niedostępne | Tak — większość transakcji |
| Metoda wyzwania | Hasło statyczne | OTP, powiadomienie push, biometria |
| Przeniesienie odpowiedzialności | Tak | Tak (rozszerzony zasięg) |
| Status UE | Wycofane z użytku w październiku 2022 r. | Obowiązkowy |
Protokół 3DS2 został zaprojektowany, aby naprawić szkody wyrządzone przez protokół 3DS1 w procesie konwersji. Wysyłając ponad 100 sygnałów ryzyka do wystawcy na początku przepływu transakcji, protokół zapewnia bankom wystarczającą ilość danych do zatwierdzenia większości transakcji bez proszenia klienta o jakiekolwiek działanie. W przypadku uruchomienia wyzwania, jest to kod SMS lub dane biometryczne, a nie hasło ustawione przez posiadacza karty trzy lata temu.
Jak działa uwierzytelnianie 3DS2: krok po kroku
Każda transakcja 3DS2 przechodzi jedną z dwóch ścieżek. Bank wystawiający kartę wybiera ją na podstawie otrzymanych danych o ryzyku. W większości przypadków klienci w ogóle nie zauważają uwierzytelnienia.
Przepływ bez tarcia (70–90% transakcji):
- Klient wprowadza dane karty podczas realizacji transakcji
- Bramka płatnicza sprzedawcy lub serwer 3DS zbiera ponad 100 punktów danych: odcisk palca urządzenia, geolokalizację IP, charakterystykę przeglądarki, historię transakcji, sygnały behawioralne
- Są one wysyłane w żądaniu uwierzytelnienia (AReq) do serwera katalogowego sieci kart, a następnie przekazywane do serwera kontroli dostępu (ACS) banku wydającego kartę.
- ACS przeprowadza automatyczną ocenę ryzyka — zwykle w czasie krótszym niż sekunda
- Jeśli transakcja zostanie oceniona jako ryzyko niskie, ACS wydaje bezproblemową zgodę, bez konieczności podejmowania jakichkolwiek działań przez klienta
- Transakcja kończy się przeniesieniem odpowiedzialności na bank wystawiający
Przepływ wyzwań (10–30% transakcji):
- Kroki 1–3 są takie same — zbieranie danych i przesyłanie AReq
- ACS oznacza transakcję jako o wyższym ryzyku: nowe urządzenie, nietypowa kwota, nowy adres dostawy lub podwyższony wskaźnik oszustw dla danej kategorii sprzedawcy
- Klient zostanie poproszony o podanie drugiego czynnika — jednorazowego kodu dostępu SMS, powiadomienia push z aplikacji bankowej lub danych biometrycznych
- Klient kończy wyzwanie
- Transakcja zatwierdzona z przeniesieniem odpowiedzialności na wystawcę
Bezproblemowa ścieżka to cecha, która odróżnia 3DS2 od jego poprzednika. Większość klientów dokonuje uwierzytelnionej transakcji bez żadnych dodatkowych działań. Gdy pojawia się wyzwanie, jest to znana metoda – to samo powiadomienie push, którego używają do zatwierdzenia przelewu bankowego.
Zwolnienia z SCA i kiedy mają zastosowanie
Nie każda transakcja wymaga silnego uwierzytelniania (SCA). PSD2 definiuje wyjątki, które umożliwiają realizację płatności bez uwierzytelniania dwuskładnikowego. Złożenie wniosku o wyjątki nie jest równoznaczne z jego uzyskaniem. Bank wystawiający decyduje, czy je zaakceptować. Odrzucenie oznacza odrzucenie płatności, a sprzedawca musi ponownie przesłać wniosek z włączonym silnym uwierzytelnianiem (SCA).
| Rodzaj zwolnienia | Stan | Limit |
|---|---|---|
| Transakcja o niskiej wartości | Transakcja poniżej 30 € | Maksymalnie 5 kolejnych transakcji lub 100 EUR łącznie od ostatniego SCA |
| Analiza ryzyka transakcyjnego (TRA) | Wskaźnik oszustw nabywcy lub wystawcy poniżej progu | 100 EUR przy wskaźniku oszustw ≤0,13% / 250 EUR przy wskaźniku ≤0,06% / 500 EUR przy wskaźniku ≤0,01% |
| Transakcje cykliczne (stała kwota) | Ta sama kwota, ten sam odbiorca po początkowym SCA | Bez limitu |
| Transakcja zainicjowana przez sprzedawcę | Rozliczenia abonamentowe, raty | SCA wymagane tylko przy pierwszej transakcji |
| Zaufany beneficjent | Posiadacz karty dodał sprzedawcę do białej listy w swoim banku | Specyficzne dla sprzedawcy, kontrolowane przez posiadacza karty |
| Bezpieczne płatności korporacyjne | Dedykowane systemy płatności B2B | Tylko systemy zatwierdzone przez organ regulacyjny |
Odpowiedzialność zależy od tego, kto skorzystał ze zwolnienia. Jeśli agent rozliczeniowy złoży wniosek o zwolnienie z podatku TRA, a wystawca je zaakceptuje, agent rozliczeniowy (a co za tym idzie, sprzedawca) ponosi odpowiedzialność za oszustwo, jeśli coś pójdzie nie tak. Jeśli wystawca zastosował zwolnienie niezależnie, odpowiedzialność spoczywa na nim. Sprzedawcy realizujący dowolny wolumen transakcji na podstawie zwolnień z podatku TRA powinni śledzić, która ścieżka obejmowała każdą transakcję.
Jak SCA i 3DS2 wpływają na sprzedawców
Uzasadnienie biznesowe przemawiające za właściwym zastosowaniem sca 3ds2 wykracza daleko poza zgodność z przepisami:
- Przeniesienie odpowiedzialności : pełne uwierzytelnianie 3DS2 przenosi odpowiedzialność za oszustwa związane z obciążeniem zwrotnym ze sprzedawcy na bank wystawiający kartę. Brak uwierzytelnienia oznacza, że sprzedawca ponosi bezpośrednią odpowiedzialność za oszustwa związane z kartami. Oszustwa związane z kartami w UE są 17 razy częstsze w regionach, w których silne uwierzytelnianie (SCA) nie jest wymagane.
- Wskaźniki autoryzacji : 3DS2 często poprawia wskaźniki autoryzacji w porównaniu z płatnościami nieuwierzytelnionymi. Wydawcy autoryzują pewniej, mając 100 punktów danych zamiast numeru karty i kodu CVV.
- Konwersja w kasie : przepływ wyzwania dodaje jeden krok, ale bezproblemowy 3DS2 praktycznie nie dodaje żadnych tarć. Dobrze zaimplementowany 3DS2 zazwyczaj zapewnia stały lub pozytywny wpływ na konwersję w porównaniu z 3DS1.
- Jakość danych : jakość danych AReq decyduje o tym, jaki odsetek transakcji przebiega bezproblemowo. Sprzedawcy, którzy wysyłają tylko pola obowiązkowe, uzyskują wyższe wskaźniki weryfikacji niż ci, którzy wypełniają pola opcjonalne – odcisk palca urządzenia, historyczną liczbę transakcji, wiek adresu wysyłki.
- Geografia : Zasady SCA różnią się w państwach członkowskich EOG, w Wielkiej Brytanii (zgodnie z jej harmonogramem SCA po Brexicie) i na innych rynkach. Globalne zamówienie musi poprawnie segmentować te rynki na poziomie żądania.
Lista kontrolna zgodności z SCA dla sprzedawców internetowych
Prawidłowa konfiguracja sca 3ds2 wymaga czegoś więcej niż tylko włączenia 3DS2 na bramie. Bieżąca praca również ma znaczenie:
- Sprawdź, czy Twój PSP lub bramka obsługuje 3DS2. Większość głównych procesorów (Stripe, Adyen, Worldpay, Braintree) obsługuje to automatycznie. Regionalne lub starsze procesory mogą nadal działać na 3DS1 lub mieć częściową implementację.
- Przeprowadź audyt danych AReq. Skontaktuj się z dostawcą płatności, aby upewnić się, że wysyłasz wszystkie ponad 100 opcjonalnych pól danych, a nie tylko obowiązkowe minimum. Każde dodatkowe pole zwiększa pewność wystawcy w zakresie bezproblemowego zatwierdzania.
- Zmapuj swoje typy transakcji. Określ, które płatności są inicjowane przez sprzedawcę (subskrypcje po konfiguracji), zamówienia pocztowe/telefoniczne, a które są realizowane jednoetapowo. Oznacz je poprawnie — nie przechodzą przez 3DS2 i nie powinny być tam kierowane.
- Przetestuj UX przepływu wyzwania. Gdy uruchamia się wyzwanie o wyższym poziomie trudności, doświadczenie powinno być przejrzyste i dostosowane do urządzeń mobilnych. Niejasny ekran jednorazowego hasła (OTP) generuje koszty konwersji. Przetestuj na różnych urządzeniach i przeglądarkach przed uruchomieniem.
- Monitoruj wskaźniki bezproblemowe i wskaźniki wyzwań. Spadek wskaźnika bezproblemowego sygnalizuje problem — obniżoną ładowność danych, zmianę modelu ryzyka przez wystawcę lub przekroczenie progu TRA przez wskaźnik oszustw w kategorii sprzedawców.
- Śledź wyniki zwolnień. Dowiedz się, o które zwolnienia wnioskujesz, które są akceptowane, a które wracają jako łagodne odrzucenia. Łagodne odrzucenia zwolnień o niskiej wartości często oznaczają, że łączny limit 100 euro został osiągnięty bez resetowania.
- Obejrzyj harmonogram PSD3. Propozycja PSD3 Komisji Europejskiej jest w trakcie procesu legislacyjnego; wdrożenie przez państwa członkowskie jest spodziewane w latach 2026–2027. Rozszerza ona SCA, a nie je zastępuje — wymogi uwierzytelniania stają się bardziej szczegółowe, a nie mniej restrykcyjne.
Wielu sprzedawców nie zdaje sobie sprawy z tego, że SCA 3DS2 obejmuje wyłącznie elektroniczne transakcje płatnicze regulowane przez PSD2, co oznacza, że waluty fiducjarne są obsługiwane przez banki i sieci kart płatniczych. Płatności kryptowalutowe całkowicie wykraczają poza ten zakres.
Kiedy klient płaci Bitcoinem, Ethereum lub stablecoinem, transakcja nie jest realizowana przez sieć kart ani bank. Żaden wystawca nie obsługuje ACS. Nie ma AReq, serwera katalogowego ani procesu weryfikacji płatności, którym trzeba zarządzać. Zasady SCA nie mają zastosowania, ponieważ rodzaj płatności wykracza poza zakres regulacyjny.
Dla sprzedawców ma to konkretne znaczenie. Płatność kryptowalutowa nie wymaga uwierzytelniania 3DS2, żądania jednorazowego hasła (OTP) ani weryfikacji. Klient płaci ze swojego portfela, a środki są naliczane. Nie ma też obciążeń zwrotnych — transakcje kryptowalutowe są nieodwracalne, co całkowicie eliminuje mechanizm odpowiedzialności za oszustwo.
Sprzedawcy chcący dodać opcję płatności całkowicie wykraczającą poza ramy uwierzytelniania kart mogą skorzystać z oferty Plisio , która obsługuje ponad 20 kryptowalut bez obciążenia SCA, bez ryzyka obciążenia zwrotnego i bez zależności od modelu ryzyka banku wystawiającego kartę.
Co SCA i 3DS2 oznaczają dla Twojego systemu płatności
SCA nie staje się prostsze. PSD3 jeszcze bardziej rozszerzy wymogi uwierzytelniania, a Wielka Brytania uruchomi własny tryb egzekwowania SCA po Brexicie. Praktycznym pytaniem dla sprzedawców jest to, jak dobrze działa implementacja SCA 3DS2, a nie czy w ogóle ją wdrażać.
Dobrze wdrożone rozwiązanie działa dla wszystkich zaangażowanych. Sprzedawcy otrzymują ochronę przed odpowiedzialnością za oszustwa związane z obciążeniami zwrotnymi. Wydawcy otrzymują bogatsze sygnały dzięki rozszerzonemu pakietowi danych 3D Secure 2 i pewniej akceptują więcej transakcji. Klienci otrzymują bezpieczne uwierzytelnianie, które zazwyczaj w ogóle nie przerywa procesu płatności. Sprzedawcy, którzy napotykają na problemy, to ci, którzy włączyli 3DS2 na minimalnym poziomie bramki i nigdy więcej nie sprawdzili swoich bezproblemowych stawek, jakości pakietu danych AReq ani wskaźników trafień w przypadku wyjątków.
