EBA hiện đã công bố các sửa đổi được đề xuất của Ủy ban Liên minh Châu Âu đối với dự thảo RTS về Xác thực khách hàng mạnh mẽ (SCA) và giao tiếp phổ biến và an toàn theo Chỉ thị dịch vụ thanh toán sửa đổi (PSD2), cũng như thư đi kèm của Ủy ban nêu rõ những thay đổi chính được đưa ra. Cả hai tài liệu đã được nộp cho EBA vào thứ Tư ngày 24 tháng 5, nhưng không được công khai cho đến thứ Sáu ngày 1 tháng 6.

1. Kiểm toán độc lập các biện pháp bảo mật trong các trường hợp áp dụng miễn trừ phân tích rủi ro giao dịch. (Tham khảo Chương 1, Điều 3 (2) của dự thảo EBA và RTS sửa đổi của Ủy ban). Nhà cung cấp dịch vụ thanh toán
   (PSP) sử dụng quyền miễn trừ “Phân tích rủi ro giao dịch” của SCA (theo Điều 18) sẽ có một cuộc kiểm toán theo luật định được thực hiện đối với phương pháp luận, mô hình và tỷ lệ gian lận được báo cáo ở mức tối thiểu hàng năm nền tảng. Ủy ban đã đưa ra điều này để đảm bảo rằng phương pháp phân tích rủi ro được sử dụng là khách quan và nhất quán.
2. Đưa ra mức miễn trừ mới đối với SCA đối với một số quy trình thanh toán của công ty . (Tham khảo Chương III, Điều 17 MỚI)
   PSP sẽ không được phép áp dụng SCA đối với pháp nhân thực hiện các giao dịch thanh toán điện tử thông qua việc sử dụng các quy trình hoặc giao thức thanh toán dành riêng cho công ty, miễn là cơ quan có thẩm quyền liên quan xác nhận ex- tức là họ hài lòng rằng các quy trình hoặc giao thức đó đảm bảo ít nhất mức độ bảo mật tương đương với các quy trình hoặc giao thức mà PSD2 hướng tới.
3. Báo cáo gian lận của PSP trực tiếp cho EBA. (Tham khảo Chương III, Điều 16 (2) và 17 (2) của dự thảo EBA - Điều 18 và 19 của RTS sửa đổi của Ủy ban)
   Ủy ban đã bổ sung thêm chi tiết về cách mà các PSP cần tính toán rủi ro điểm của từng giao dịch thanh toán. Ngoài ra, phương pháp luận và bất kỳ mô hình nào được PSP sử dụng để tính toán tỷ lệ gian lận, cũng như tỷ lệ gian lận, phải được lập thành văn bản và cung cấp đầy đủ cho các cơ quan có thẩm quyền cũng như EBA. Điều này có nghĩa là EBA sẽ có quyền truy cập vào dữ liệu gian lận cá nhân từ các PSP thay vì dựa vào dữ liệu tổng hợp, cấp cao do các cơ quan có thẩm quyền báo cáo.
4. Các biện pháp dự phòng trong trường hợp không có sẵn hoặc hoạt động không đầy đủ của giao diện liên lạc chuyên dụng. (Tham khảo Chương 5, Điều 28 của dự thảo EBA - Điều 33 của RTS sửa đổi của Ủy ban)

Như dự kiến, Ủy ban đã đưa ra một sửa đổi đối với RTS nêu rõ rằng, nếu giao diện chuyên dụng không khả dụng trong hơn 30 giây trong phiên giao tiếp giữa các PSP hoặc khi nó không hoạt động tuân thủ các yêu cầu theo Điều 30 và 32 (Chung nghĩa vụ đối với giao diện chuyên dụng), Nhà cung cấp dịch vụ khởi tạo thanh toán (PISP) ​​và nhà cung cấp dịch vụ thông tin tài khoản (AISP) phải được phép truy cập vào các giao diện được cung cấp cho người dùng dịch vụ thanh toán để truy cập trực tiếp vào tài khoản thanh toán của họ trực tuyến, cho đến khi giao diện chuyên dụng hoạt động trở lại hoạt động. Một số điều kiện được áp dụng (xem Điều 33 (3) để biết thêm chi tiết), bao gồm thủ tục nhận dạng và xác thực, nhưng về mặt hiệu quả, điều khoản này giới thiệu lại yếu tố sàng lọc như một biện pháp dự phòng.

Đề xuất cấm cạo màn hình của EBA đã được các ngân hàng hoan nghênh, nhưng bị tranh chấp gay gắt bởi lĩnh vực FinTech, vốn cho rằng nó sẽ khiến các nhà cung cấp bên thứ ba (TPP) gặp bất lợi. Để giảm bớt những lo ngại, Ủy ban đã thực hiện thay đổi này để đảm bảo rằng việc không có sẵn hoặc hoạt động không đầy đủ của giao diện chuyên dụng không ngăn cản PISP và AISP cung cấp dịch vụ cho người dùng của họ. Nếu không, một ngân hàng sẽ có thể cung cấp các dịch vụ thanh toán của riêng mình thông qua các giao diện dành cho người dùng, hoạt động mà không gặp bất kỳ khó khăn nào, trong khi PISP và AISP sẽ không thể làm như vậy.

Mặc dù thỏa hiệp có ý nghĩa về mặt lý thuyết, nhưng vẫn còn phải xem nó khả thi như thế nào trong thực tế. Một mặt, các ngân hàng sẽ cần nâng cấp giao diện hướng tới người dùng để có thể xác định TPP, đảm bảo rằng họ chỉ được phép truy cập nếu giao diện chuyên dụng không khả dụng và bảo vệ thông tin nhạy cảm của khách hàng mà TPP không được phép truy cập. Mặt khác, vì các giao diện truyền thông có thể khác nhau đối với từng ngân hàng, các TPP sẽ cần xây dựng và duy trì các giải pháp kết nối khác nhau cho mọi ngân hàng mà họ muốn kết nối và cho cả giao diện dành riêng cho ngân hàng và giao diện người dùng - điều này có thể gây tốn kém và thời gian tiêu thụ.

Cuối cùng, trong khi việc SCA miễn bổ sung cho các khoản thanh toán của doanh nghiệp và các đảm bảo bổ sung về các mô hình phân tích rủi ro giao dịch và gian lận được hoan nghênh, các sửa đổi được đề xuất tiếp tục kéo dài thời gian chuyển đổi giữa ngày thực hiện PSD2 (tháng 1 năm 2018) và ngày bao gồm các điều khoản trong RTS này sẽ được áp dụng - hiện được ước tính vào Mùa xuân năm 2019. Điều này tạo ra thêm thách thức cho cả những người mới tham gia, chẳng hạn như sẽ không thể dựa vào API trong gần hai năm nữa và đối với các ngân hàng đương nhiệm, sẽ phải tiếp tục hỗ trợ các giải pháp hiện có (ví dụ:sàng lọc màn hình), đồng thời phát triển các giao diện truyền thông tuân thủ RTS của chúng.

Các bước tiếp theo

• EBA có thời hạn đến ngày 5 tháng 7 để đưa ra ý kiến ​​về RTS sửa đổi
• Sau giai đoạn này, Ủy ban có thể thông qua RTS có tính đến ý kiến ​​của EBA hoặc bỏ qua ý kiến ​​đó
• Sau khi Ủy ban đã chính thức thông qua RTS, giai đoạn giám sát ba tháng của Nghị viện và Hội đồng sẽ bắt đầu

Để đọc thêm về chủ đề này, vui lòng truy cập:

• PSD2 mở ra cánh cửa cho những người mới tham gia thị trường
• Thanh toán bị gián đoạn
• PSD2 RTS về xác thực và giao tiếp | Ma quỷ ở trong (thiếu) chi tiết
• PSD2 - EBA tăng tính linh hoạt để đạt được cách tiếp cận cân bằng hơn

Bài đăng này được viết bởi Stephen Ley và Steven Bailey trong nhóm Tư vấn rủi ro của Deloitte và Valeria Gallo trong Trung tâm Chiến lược Quy định EMEA và được xuất bản lần đầu tiên trên blog Deloitte Financial Services UK.