Mihaela Ciupală, Mastercard: biometria, preferata românilor pentru autentificarea tranzacţiilor

Discuţia a privit schimbările generate de aplicarea Directivei Europene PSD2 asupra comerţului electronic, ce înseamnă autentificarea în doi factori şi cum funcţionează aceasta, care este varianta optimă de autorizare a tranzacţiilor, atât pentru consumatori, cât şi pentru bănci şi comercianţi, şi de asemenea, care este modalitatea aleasă de români pentru autentificarea plăţilor online cu cardul.

Reporter: Ce înseamnă practic, pentru insul de pe stradă, noile standarde de securitate?

Mihaela Ciupală: Într-o formulare succintă, noile standarde de securitate înseamnă un set de măsuri ce aduc şi mai multă siguranţă pentru plăţile online cu cardul.

De la 1 ianuarie 2021, toate tranzacţiile online cu cardul efectuate în aplicaţiile sau pe site-urile comercianţilor din Spaţiul Economic European, vor trebui confirmate prin autentificarea în doi factori. Această schimbare este o componentă obligatorie a Directivei Revizuite a Uniunii Europene privind serviciile de plată, numită PSD2, care introduce standarde de securitate mai ridicate pentru plăţile online cu cardul. Prin urmare, de fiecare dată când vom cumpăra online, ni se va solicita să utilizăm două elemente, din trei disponibile, clasificate drept „informaţii cunoscute”, aşa cum este PIN-ul, „informaţii deţinute”, aşadar un lucru deţinut doar de utilizator, precum telefonul mobil, şi o informaţie prin care este confirmată identitatea clientului, deci un anumit lucru care îl defineşte pe utilizator, precum amprenta sau recunoaşterea facială.

Însă, în conformitate cu anumite excepţii de la autentificarea în doi factori, plata poate fi aprobată în mod automat, pe baza unei analize de risc, fără nicio interacţiune suplimentară a posesorului de card. Analiza de risc pentru fiecare tranzacţie în parte este realizată cu ajutorul unui protocol de securitate actualizat, numit EMV® 3-D Secure (EMV 3DS), creat pentru a îmbunătăţi experienţa consumatorilor în timpul plăţilor online, în timp ce reduce frauda şi simplifică finalizarea procesului de achiziţie. EMV 3DS este un standard global la nivelul industriei care ajută la verificarea cu acurateţe a posesorilor de card în timpul cumpărăturilor online, inclusiv în cazul plăţilor recurente şi a tranzacţiilor care folosesc credenţiale salvate pe site-ul sau în aplicaţia comerciantului. Astfel, începând de acum, este necesară procesarea prin EMV 3-D Secure a tuturor tranzacţiilor din e-commerce.

Mastercard a dezvoltat un program de autentificare a plăţilor cu cardul online, bazat pe standardul global al industriei, EMV® 3-D Secure, care permite un nivel sporit de securitate şi o experienţă mai simplă a utilizatorului. Soluţia Mastercard Identity Check, utilizează date contextuale pentru a oferi un standard de autentificare uşor de utilizat, în concordanţă cu noua reglementare europeană. Acest lucru înseamnă că toate plăţile cu cardul online sunt verificate în timp real, iar o parte dintre acestea pot fi autentificate de către emitent sau comerciant în baza unor algoritmi de securitate, fără a mai solicita date suplimentare deţinătorului de card în timpul plăţii.

Rep: Autentificarea în doi paşi presupune mai mult timp sau abilităţi tehnice sporite? Cum se descurcă cei mai puţin ştiutori în tehnologie?

Mihaela Ciupală: Autentificarea în doi paşi este simplă şi rapidă, mai ales în cazul tranzacţiilor autentificate cu ajutorul biometriei. Practic, în acest caz, consumatorii nu mai primesc acel cod primit prin SMS, ci sunt redirecţionaţi către aplicaţia băncii emitente pentru autorizarea tranzacţiei prin amprentă sau recunoaştere facială.

De asemenea, băncile prezente pe piaţa locală pun la dispoziţia românilor tutoriale video şi conţinut scris care detaliază, pe înţelesul tuturor, paşii necesari de urmat atunci când achiziţionează online cu cardul, aşa încât tranziţia către noul proces de autorizare a tranzacţiilor online să fie cât mai facilă.

Mai mult, pe măsură ce consumatorii vor tranzacţiona online, va creşte şi posibilitatea aplicării unei analize de risc de către băncile emitente şi comercianţi şi, astfel, tot mai multe plăţi vor fi exceptate de la autentificarea în doi factori.

Rep: Ce măsuri ar trebui să ia comercianţii? Dar băncile?

Mihaela Ciupală: De la începutul anului, participanţii la sistemul de plăţi din Spaţiul Economic European, aşadar atât comercianţii, cât şi băncile, sunt obligaţi să implementeze prevederile legale, prin aplicarea şi permiterea autentificării în doi factori a tranzacţiilor. Aşadar, comercianţii trebuie să solicite autentificarea plăţilor, în timp ce băncile emitente ale cardurilor trebuie să asigure autentificarea strictă în doi factori a tranzacţiilor.

Rep: Ce trebuie să ştie utilizatorul? Cum funcţionează o autentificare?

Mihaela Ciupală: Înainte de toate, important de menţionat este că, pentru anumite tranzacţii, utilizatorului nu i se va mai solicita o autorizare suplimentară. Aceste situaţii sunt la latitudinea emitentului de card, care îşi va baza decizia pe o analiză de risc efectuată pentru fiecare tranzacţie, pe baza valorii tranzacţiei, spre exemplu atunci când valoarea tranzacţiei este sub 30 de euro, în limita a maximum cinci tranzacţii consecutive, sau când plata este una recurentă, aşa cum, de exemplu, se întâmplă în cazul abonamentelor de streaming. Însă, atunci când o tranzacţie nu se înscrie în situaţiile descrise anterior, este necesar ca utilizatorul să urmeze o serie de paşi simpli pentru autorizarea în doi factori.

Dacă luăm exemplul autentificării direct în aplicaţia de mobile banking sau e-token a băncii, paşii sunt următorii: consumatorul selectează produsul dorit de pe website-ul sau din aplicaţia comerciantului, selectează metoda de plată cu cardul şi introduce datele acestuia, urmând ca ulterior să fie transferat către pagina 3DSecure, unde sunt afişate detaliile comenzii, precum valoarea şi data tranzacţiei, şi numele comerciantului, apoi va fi direcţionat către aplicaţia de mobile banking sau eToken a băncii sale. Odată accesată aplicaţia băncii, acesta va identifica tranzacţia pe care doreşte să o autorizeze, va confirma plata cu amprenta, recunoaştere facială sau cod PIN, iar apoi va reveni pe pagina comerciantului pentru a urmări finalizarea tranzacţiei. Dacă plata a fost finalizată cu succes, utilizatorul va primi un mesaj care va conţine informaţii despre tranzacţia efectuată.

În cazul autentificării cu parolă statică şi parolă dinamică prin SMS, pentru prima tranzacţie consumatorul trebuie să introducă parola iniţială, predefinită de către emitentul cardului pe baza informaţiilor despre acesta, cum ar fi CNP, număr de telefon, pe care va trebui să o modifice definind o parolă în funcţie de cerinţele băncii, cunoscută doar de acesta. După introducerea parolei va trebui să introducă acel cod unic primit prin SMS şi să confirme tranzacţia. Ulterior, următoarele plăţi online vor fi autorizate cu parola setată de acesta la prima tranzacţie şi codul primit prin SMS.

Rep: Există o variantă optimă? Care este cea mai puţin optimă?

Mihaela Ciupală: Analizând toate metodele de autentificare disponibile în prezent, din punct de vedere al securităţii, simplităţii şi eficienţei, biometria este de departe modalitatea optimă de autentificare, aceasta utilizând caracteristicile utilizatorului şi, totodată, asigurând prezenţa personală şi participarea activă pentru aprobarea unei tranzacţii. În plus, biometria este şi cea mai uşoară şi prietenoasă modalitate pentru consumator. Toţi cei care deţin un smartphone sunt deja mai mult decât familiari cu autentificarea biometrică, dat fiind că o utilizăm de fiecare dată când ne deschidem telefoanele, prin scanarea amprentei sau Face ID. Iar aceasta funcţionează la fel şi în cazul plăţilor în e-commerce.

De altfel, conform celui mai recent studiu Mastercard desfăşurat pe plan local, referitor la percepţia şi utilizarea consumatorilor a funcţiilor biometrice pentru serviciile bancare mobile şi online, 62% dintre respondenţi au o aplicaţie cu autentificare biometrică de la banca lor, iar 78% dintre aceştia deja utilizează această modalitate de autentificare. Pe de altă parte, 17% dintre români spun că aplicaţia de banking a băncii lor nu permite autentificarea biometrică, dar că, atunci când aceasta va oferi această funcţionalitate, 61% o vor folosi.

Rep: Ce a stat la baza deciziei autorităţilor europene, de ce a fost necesară o astfel de măsură?

Mihaela Ciupală: Trăim într-o era a digitalizării, în care volumul plăţilor online se majorează anual. De exemplu, anul trecut Mastercard a observat o dublare a ratei de creştere a tranzacţiilor online, în timp ce anumiţi comercianţi au înregistrat creşteri de peste 50% a ratei de penetrare a cardului în comenzile online.

Aşadar, toţi cei implicaţi în ecosistemul de plăţi sunt atenţi în mod special la securizarea tranzacţiilor şi prevenirea fraudelor, iar directiva PSD2 şi obligativitatea legală de a implementa autentificarea în doi factori reprezintă o măsură de siguranţă sporită pentru consumatorii care efectuează plăţi online, astfel încât dacă un factor este compromis, precum cartela telefonică, cel de-al doilea factor să poată preveni o posibilă tentativă de fraudare a contului bancar.

Rep: Ce alegeri au făcut românii în materie de autorizare a tranzacţiilor?

Mihaela Ciupală: Rezultatele studiului Mastercard ne-au arătat că biometria este lider detaşat în topul preferinţelor românilor privind metodele de autentificare a tranzacţiilor. Mai exact, 62% dintre respondenţi au o aplicaţie cu autentificare biometrică de la banca lor, iar 78% dintre aceştia deja utilizează această modalitate de autentificare. Pe de altă parte, 17% dintre români spun că aplicaţia de banking a băncii lor nu permite autentificarea biometrică, dar că, atunci când aceasta va oferi această funcţionalitate, 61% o vor folosi.

Aceste date ne arată că posesorii de carduri conştientizează tot mai mult beneficiile superioare ale autentificării biometrice şi ne aşteptăm ca adoptarea acestei tehnologii în peisajul serviciilor financiare să se accelereze exponenţial în perioada următoare.