Uprzejmie informujemy i przypominamy, że od 1.01.2021 r. zmianie uległ sposób uwierzytelniania „transakcji na odległość” tj. transakcji Internetowych realizowanych za pomocą kart płatniczych. Do 31.12.2020 r. podczas wykonywania płatności kartą w Internecie, transakcja potwierdzana będzie jednorazowym kodem 3D Secure, który przekazywany jest SMSem . Od dnia 01.01.2021 dotychczasowy jednorazowy kod 3D Secure może być uzupełniony o konieczność podania numeru PIN do karty. Wprowadzenie powyższej zmiany znacząco podniesie bezpieczeństwo płatności kartą w Internecie.
To czy płatność będzie wymagała dodatkowej autoryzacji, zależy od tego, czy sklep internetowy, z którego korzystamy oferuje obsługę płatności z użyciem kodu 3D Secure. Podczas niektórych płatności system poprosi o:
Imię i nazwisko Użytkownika oraz dane karty - numer karty, datę ważności, kod CVV2 (trzycyfrowy numer, który znajduje się na odwrocie karty),
Kod 3D Secure - z SMSa,
PIN do karty.
Powyższa zmiana to efekt dyrektywy unijnej PSD2 wdrożonej w Polsce ustawą o usługach płatniczych, nakładającej obowiązek stosowania tzw. silnego uwierzytelniania, które wymaga dodatkowej weryfikacji tożsamości użytkownika.
PSD2 (ang. Payment Services Directive 2) to dyrektywa unijna z 25 listopada 2015 r. w sprawie usług płatniczych. Dyrektywa PSD2 zwraca szczególną uwagę na bezpieczeństwo finansów klientów banków, dlatego banki zostały zobowiązane, by wprowadzić obowiązek stosowania silnego uwierzytelniania, m.in. podczas płatności kartą.
Zgodnie z Dyrektywą PSD2 banki są zobowiązane stosować silne uwierzytelnianie klienta (ang. SCA - strong customer authentication). Oznacza to, że w przypadku transakcji z użyciem karty, klient będzie zobligowany potwierdzać płatność przy użyciu co najmniej dwóch elementów uwierzytelniania z poniższych kategorii:
• wiedza o czymś , o czym wie wyłącznie Użytkownik (np. hasło, PIN),
• cechy charakterystyczne Użytkownika (np. biometria),
• posiadanie czegoś, co posiada wyłącznie Użytkownik (np. smsKod przesyłany na smartfon).
Każdy z elementów musi należeć do odrębnej kategorii. Przepisy wykonawcze do dyrektywy PSD2 definiują również sytuacje, w których można odstąpić od stosowania silnego uwierzytelniania.