Digitaalitekniikan kehittyminen ja internetin kasvu ovat johtaneet nettirikollisuuden räjähdysmäiseen kasvuun. Perinteiset rikokset, kuten murtovarkaudet ja autovarkaudet, vähenevät edelleen, mutta verkkopetoksista on tullut nopeasti yleisin rikos Yhdistyneessä kuningaskunnassa, ja lähes joka kymmenes ihminen joutuu niiden uhriksi.
Rikolliset ovat muuttaneet strategioitaan, ja verkkorikollisuus on mahdollistanut sen, että he voivat kohdistaa rikoksensa tuhansiin uhreihin samanaikaisesti lähes mistä päin maailmaa tahansa. Rikolliset voivat käyttää tietojenkalastelua, haittaohjelmia ja monia muita taktiikoita ja päästä käsiksi ihmisten pankkitileihin huijaamalla heitä paljastamaan salasanansa ja henkilötietonsa.
Näillä verkkorikoksilla voi olla tuhoisa vaikutus uhriin, ja joissakin tapauksissa ihmiset eivät edes tiedä, että he ovat joutuneet hyökkäyksen kohteeksi, ennen kuin he huomaavat, että heidän pankkitilinsä on tyhjennetty.
Rahoituspalveluala on panostanut voimakkaasti uusiin toimenpiteisiin asiakkaiden suojaamiseksi verkossa, ja tämä on auttanut estämään yli 1,6 miljardin punnan arvosta luvattomia petoksia. Näistä investoinneista huolimatta verkkorikolliset onnistuivat kuitenkin varastamaan 1,2 miljardia puntaa petosten ja huijausten avulla vuonna 2018.
Tammikuussa 2018 otettiin käyttöön uusi EU:n maksupalveludirektiivi (PSD2), joka tuo mukanaan uusia lakeja, joiden tarkoituksena on parantaa kuluttajien oikeuksia ja vähentää verkkopetoksia. Tämä oli päivitys edelliseen ensimmäiseen maksupalveludirektiiviin (PSD1), joka pantiin täytäntöön vuonna 2009. Direktiivin päivitetyn version taustalla olivat sähköisen kaupankäynnin kasvu ja teknologiset innovaatiot maksualalla.
Mikä on PSD2:n vahva asiakastodennus?
Yksi PSD2:n keskeisistä osatekijöistä on yli 30 euron arvoisiin verkkotapahtumiin liittyvien lisäturvatodennusten käyttöönotto, joka tunnetaan nimellä asiakkaan vahva tunnistus (Strong Customer Authentication, SCA). Aikaisemmin asiakkaat saattoivat vain tehdä maksun verkossa syöttämällä korttinsa numeron ja CVC-tarkistuskoodin. Uusien PSD2-asetusten mukaan asiakkaiden on kuitenkin annettava lisätodistus.
Mikä on asiakkaan vahvaa tunnistautumista koskeva vaatimus?
Uuden asetuksen mukaan kaikki sähköiset maksutapahtumat on todennettava vähintään kahdella kolmesta mahdollisesta menetelmästä:
- Tieto: Esim: Salasana.
- Hallussapito: Esim: Matkapuhelin, poletti tai kortinlukija.
- Epäjohdonmukaisuus: Esim: Biometrinen - sormenjälki, kasvojentunnistus, äänentunnistus.
Mihin vahvaa asiakastodennusta sovelletaan?
SCA-sopimusta sovelletaan vain Euroopan talousalueella (ETA) tapahtuviin maksutapahtumiin, jos sekä maksaja että maksunsaaja ovat kyseisellä alueella. Jos jompikumpi näistä sijaitsee Euroopan ulkopuolella, Euroopassa toimivan maksupalveluntarjoajan on tehtävä parhaansa SCA-sopimuksen soveltamiseksi.
Mikä on SCA-maksu?
Vahvaa asiakastodennusta sovelletaan asiakkaan käynnistämiin verkkomaksuihin Euroopassa. Tämä tarkoittaa, että suurin osa korttimaksuista ja kaikki pankkisiirrot edellyttävät SCA:ta.
Tällä hetkellä yleisin tapa todentaa verkkokorttimaksu on 3D Secure. Tätä palvelua tarjoavat useat luottokorttitoimittajat, ja se antaa kortin käyttäjille lisäsuojaa ottamalla käyttöön toisen kerroksen salasanasuojausta. Nykyisen menetelmän haittapuolia ovat muun muassa se, että ponnahdusikkunassa käytetään eri URL-osoitetta, joka voidaan tulkita phishing-sivustoksi. Lisäksi voi olla vaikeaa muistaa useita salasanoja eri kortteja varten.
Näiden haasteiden ratkaisemiseksi ja uusien SCA-vaatimusten täyttämiseksi eurooppalaiset pankit ovat ottaneet käyttöön päivitetyn 3D Secure -version. Uusi 3DSecure2 on mobiiliystävällinen ja tukee biometristen tunnisteiden käyttöä, mikä parantaa yleistä käyttökokemusta.
Mitkä ovat asiakkaan vahvaa tunnistautumista koskevat poikkeukset?
PSD2:n tarkoituksena oli tehdä SCA:sta vaatimus kaikille verkkotapahtumille. Eräät poikkeukset auttavat kuitenkin säilyttämään asiakkaan kitkattoman maksuprosessin ja auttavat saavuttamaan oikean tasapainon kuluttajan mukavuuden ja petostentorjunnan välillä.
Poikkeuksia ovat muun muassa:
- Vähäarvoiset liiketoimet - Alle 30 euron arvoiset liiketoimet on vapautettu SCA:sta. Jos asiakas kuitenkin yrittää suorittaa yli viisi peräkkäistä arvoltaan vähäistä maksua tai jos maksujen kokonaisarvo ylittää 100 euroa, SCA:ta vaaditaan.
- Toistuvat maksutapahtumat - Kun asiakas maksaa säännöllisesti saman summan samalle yritykselle, SCA:ta vaaditaan vain ensimmäisestä maksutapahtumasta. Jos summa muuttuu, 3D secure vaaditaan jokaisesta uudesta summasta.
- Valkoiselle listalle merkityt kauppiaat - Kuluttajat voivat määrittää yritykset luotettavien edunsaajien valkoiselle listalle. Kun ensimmäinen todennus on suoritettu, kaikki seuraavat maksutapahtumat vapautetaan todennuksesta.
- Vähäriskiset maksutapahtumat - Vähäriskiset maksutapahtumat, joille on tehty reaaliaikainen arviointi, voidaan käsitellä ilman SCA:ta. Tämä päätös perustuu kortin myöntäjän keskimääräiseen petostasoon, ja kortin myöntäjä päättää viime kädessä, tarvitaanko SCA:ta.
- Posti- ja puhelintilaukset (MOTO) - Posti- ja puhelintilaustapahtumia ei pidetä sähköisinä maksuina, joten ne on vapautettu SCA:sta.
- Yritysmaksut - Kun maksutapahtuman käynnistää yritys eikä kuluttaja, se ei vaadi erillistä todentamista.
Milloin PSD2:n vahva asiakastodennus tulee voimaan?
PSD2:n vahvan asiakastodennuksen täytäntöönpano tulee voimaan 14. syyskuuta 2019.
Yhdistyneen kuningaskunnan finanssivalvontaviranomainen Financial Conduct Authority (FCA) on viime viikolla suostunut lykkäämään uuden verkkomaksuja koskevan asetuksen täytäntöönpanoa 18 kuukaudella. Yrityksillä on maaliskuuhun 2021 asti aikaa panna uusi ominaisuus tehokkaasti täytäntöön.
Lykkäys myönnettiin sen jälkeen, kun toimialaryhmät olivat painostaneet kortinmyöntäjiä, maksuyrityksiä ja verkkokauppiaita, jotka varoittivat, että muutosten toteuttamiseen ei olisi riittävästi aikaa ja että se voisi vaikuttaa asiakkaisiin.
Kilpailuvirasto ilmoitti, että se ei ryhdy toimenpiteisiin yrityksiä vastaan, jotka eivät noudata uutta lainsäädäntöä tänä aikana, jos ne voivat osoittaa, että ne ovat ryhtyneet toimenpiteisiin järjestelmän noudattamiseksi. 18 kuukauden karenssiajan jälkeen kaikkiin verkkomaksuihin sovelletaan uusia turvatoimia.
Päätelmä
PSD2:n täytäntöönpano tuo epäilemättä valtavia muutoksia maksupalveluntarjoajille. Monien on muutettava järjestelmiään, jotta ne voivat käsitellä 3D Secure2:ta ja muita SCA-menetelmiä ja tasapainottaa samalla huolellisesti asiakkaiden mukavuus- ja turvallisuustarpeet. Uusi asetus auttaa kuitenkin vähentämään petosten määrää alalla, mikä lisää kuluttajien luottamusta ja parantaa viime kädessä asiakkaiden maksupalveluja.
MetaCompliance on erikoistunut luomaan markkinoiden parasta kyberturvallisuuskoulutusta. Tuotteemme vastaavat suoraan kyberuhkien ja yritysjohtamisen aiheuttamiin erityishaasteisiin helpottamalla käyttäjien osallistumista kyberturvallisuuteen ja vaatimustenmukaisuuteen. Ota yhteyttä, niin saat lisätietoja siitä, miten voimme auttaa muuttamaan kyberturvallisuuskoulutuksen organisaatiossasi.