Den digitala tekniken och Internets tillväxt har lett till en explosionsartad ökning av brottsligheten på nätet. Medan traditionella brott som inbrott och bilstölder fortsätter att minska har bedrägerier på nätet snabbt blivit det vanligaste brottet i Storbritannien, där nästan en av tio personer faller offer.
Brottslingar har ändrat sina strategier och brottslighet på nätet har gjort det möjligt för dem att rikta in sig på tusentals offer samtidigt från nästan var som helst i världen. Med hjälp av nätfiske, skadlig kod och en mängd andra metoder kan brottslingar få tillgång till människors bankkonton genom att lura dem att avslöja sina lösenord och personuppgifter.
Dessa brott på nätet kan ha en förödande inverkan på offret, och i vissa fall är de inte ens medvetna om att de har blivit utsatta förrän de märker att deras bankkonto har tömts.
Finansbranschen har gjort stora investeringar i nya åtgärder för att skydda kunderna på nätet, vilket har bidragit till att förhindra obehöriga bedrägerier till ett värde av mer än 1,6 miljarder pund. Men trots dessa investeringar lyckades cyberkriminella ändå stjäla 1,2 miljarder pund genom bedrägerier och bedrägerier under 2018.
I januari 2018 infördes ett nytt EU-direktiv om betaltjänster (PSD2), som innehåller nya lagar som syftar till att stärka konsumenternas rättigheter och minska bedrägerier på nätet. Detta var en uppdatering av det tidigare första betaltjänstdirektivet (PSD1) som genomfördes 2009. Den uppdaterade versionen av direktivet drevs av den ökande e-handeln och tekniska innovationer inom betalningssektorn.
Vad är PSD2 stark kundautentisering?
En viktig del av PSD2 är införandet av ytterligare säkerhetsautentisering för onlinetransaktioner på över 30 euro, så kallad Strong Customer Authentication (SCA). Tidigare kunde kunderna bara betala online genom att ange sitt kortnummer och en CVC-verifieringskod. Enligt de nya PSD2-bestämmelserna måste kunderna dock tillhandahålla ytterligare en form av identifiering.
Vad är kravet på stark kundautentisering?
Enligt den nya förordningen måste alla elektroniska betalningstransaktioner autentiseras med minst två av tre möjliga metoder:
- Kunskap: Något som bara användaren känner till - t.ex. ett lösenord.
- Innehav: Något som endast användaren har - t.ex. mobiltelefon, token- eller kortläsare.
- Inherens: Något som användaren är - Ex: Biometrisk - Fingeravtryck, ansiktsigenkänning, röstigenkänning
Var tillämpas stark autentisering av kunder?
SCA kommer endast att tillämpas på transaktioner inom Europeiska ekonomiska samarbetsområdet (EES) om både betalaren och betalningsmottagaren finns i regionen. Om en av dem är belägen utanför Europa krävs det att betaltjänstleverantören i Europa gör sitt bästa för att tillämpa SCA.
Vad är SCA-betalning?
Stark kundautentisering kommer att tillämpas på kundinitierade onlinebetalningar inom Europa. Detta innebär att det kommer att krävas en stark autentisering för de flesta kortbetalningar och alla banköverföringar.
För närvarande är 3D Secure det vanligaste sättet att autentisera en kortbetalning på nätet. Denna tjänst erbjuds av flera kreditkortsleverantörer och ger ytterligare skydd för kortanvändare genom att införa ytterligare ett lager av lösenordsskydd. Nackdelarna med den nuvarande metoden är bland annat att man använder en annan webbadress för popup-skärmen, vilket kan misstolkas som en phishing-webbplats. Det kan också vara svårt att komma ihåg flera lösenord för olika kort.
För att hantera dessa utmaningar och uppfylla de nya SCA-kraven har en uppdaterad version av 3D Secure antagits av europeiska banker. Den nya 3DSecure2 är mobilanpassad och stöder användningen av biometri, vilket bidrar till att förbättra den övergripande användarupplevelsen.
Vilka är undantagen från stark autentisering av kunderna?
PSD2 utformades för att göra SCA till ett krav för alla transaktioner online. Vissa undantag kommer dock att bidra till att bibehålla en friktionsfri betalningsresa för kunderna och hjälpa till att uppnå rätt balans mellan bekvämlighet för konsumenten och bedrägeribekämpning.
Undantag omfattar:
- Transaktioner av lågt värde - Transaktioner under 30 euro är undantagna från SCA. Men om kunden försöker göra mer än fem på varandra följande betalningar av lågt värde eller om det totala värdet av betalningen överstiger 100 euro, krävs SCA.
- Återkommande transaktioner - När en kund regelbundet betalar samma belopp till samma företag krävs SCA endast för den första transaktionen. Om beloppet ändras krävs 3D secure för varje nytt belopp.
- Vitlistade köpmän - Konsumenter kan välja att placera företag på en vitlista över betrodda mottagare. När den första autentiseringen har genomförts kommer alla ytterligare transaktioner att undantas från autentisering.
- Transaktioner med låg risk - Transaktioner med låg risk som har genomgått en bedömning i realtid kan behandlas utan SCA. Detta beslut kommer att baseras på kortutgivarens genomsnittliga bedrägerinivåer, och det är kortutgivaren som i sista hand avgör om SCA krävs.
- Postorder och telefonorder (MOTO) - Postorder- och telefonordertransaktioner betraktas inte som elektroniska betalningar och är därför undantagna från SCA.
- Företagsbetalningar - När en transaktion initieras av ett företag och inte av en konsument krävs ingen separat autentisering.
När träder PSD2 Strong Customer Authentication i kraft?
Genomförandet av PSD2 Strong Customer Authentication kommer att träda i kraft från och med den 14 september 2019.
Under den senaste veckan har den brittiska finansinspektionen, Financial Conduct Authority (FCA), gått med på att skjuta upp tillämpningen av den nya förordningen om onlinebetalningar med 18 månader. Företagen kommer att ha fram till mars 2021 på sig att effektivt införa den nya funktionen.
Fördröjningen beviljades efter påtryckningar från branschgrupper som varnade för att kortutgivare, betalningsföretag och nätbutiker inte skulle ha tillräckligt med tid för att genomföra ändringarna och att kunderna skulle kunna drabbas.
FCA har meddelat att man inte kommer att vidta åtgärder mot företag som bryter mot den nya lagstiftningen under denna period, förutsatt att de kan visa att de har vidtagit åtgärder för att följa systemet. Efter den 18 månader långa fristperioden kommer alla onlinebetalningar att omfattas av de nya säkerhetsåtgärderna.
Slutsats
Det råder ingen tvekan om att genomförandet av PSD2 kommer att medföra stora förändringar för betaltjänstleverantörer. Många kommer att behöva ändra sina system för att hantera 3D Secure2 och andra SCA-metoder, samtidigt som de noggrant måste balansera kundernas behov av bekvämlighet och säkerhet. Men genom att bidra till att minska bedrägerierna i branschen kommer den nya förordningen att leda till ökat förtroende hos konsumenterna och i slutändan förbättra kundernas totala betalningsresa.
MetaCompliance specialiserar sig på att skapa den bästa utbildningen för medvetenhet om cybersäkerhet som finns på marknaden. Våra produkter tar direkt itu med de specifika utmaningar som uppstår i samband med cyberhot och företagsstyrning genom att göra det lättare för användarna att engagera sig i cybersäkerhet och efterlevnad. Kontakta oss för mer information om hur vi kan hjälpa till att omvandla Cyber Security-utbildningen inom din organisation.