Snažna autentifikacija korisnika (SCA) propisana PSD2 regulativom obavezna je za većinu online kartičnih transakcija – ali ne za sve. PSD2 i prateći EBA Regulatory Technical Standards (RTS) definiraju nekoliko jasnih izuzeća.

MIT transakcije (Merchant Initated Transaction)

MIT transakcije smatraju se one pokrenute od strane trgovca bez interakcije platitelja (kupca). Karakterizira ih nedostatak sudjelovanja platitelja u pokretanju svake pojedinačne isplate. Takva plaćanja zahtijevaju da se SCA primijeni na prvu transakciju kojom se od trgovca zahtijeva da pokrene plaćanje i da između platitelja i trgovca postoji sporazum o pružanju proizvoda ili usluga i potencijalnim troškovima povezanim s njima. Takva plaćanja mogu se dogoditi u sljedećim slučajevima:

  • Ponavljajuće transakcije (Recurring transakcije) za fiksne iznose definiranog roka plaćanja – točno određeni iznos u točnim intervalima po unaprijed dogovorenom rasporedu (mjesečno, tjedno, dnevno ili godišnje).
  • Izravno terećenje (Direct payment) za transakcije koje se provode sa varijabilnim ili promjenjivim iznosima.
  • Slijedna plaćanja (Incremental authorization) za transakcije koje se pokreću na temelju ugovora trgovca i kupca, nemaju zadani iznos niti dužinu trajanja (do otkaza ugovora). Naprimjer, naknadne naplate u rent-a-caru.

SCA se primjenjuje samo na prvu transakciju. Detaljnije u tekstu o MIT transakcijama.

 

Transakcije male vrijednosti i niskog rizika

Ovo izuzeće primjenjivat će su slučajevima kad su ispunjeni neki preduvjeti:

  • iznos transakcije ne prelazi 30 EUR
  • kumulativna vrijednost prethodnih beskontaktnih transakcija od posljednje SCA potvrde ne prelazi 150 EUR
  • broj uzastopnih beskontaktnih transakcija od posljednje SCA potvrde nije veći od pet

Transakcije s malim rizikom također su izuzete od SCA. Rizik izračunava ili stjecatelj ili izdavatelj (issuer), ali ne i Payment Service Provider (PSP).

 

 

Plaćanje karticama izdane izvan EEA

Kartice izvan EEA nisu predmet PSD2 i SCA-a. Trgovci mogu prihvatiti plaćanja bez SCA challengea, ali zadržavaju puni rizik prijevare (liability shift ne vrijedi). Preporuka: svejedno aktivirati 3DS2 ako banka izdavatelja podržava.

 

MOTO transakcije (Mail Order and Telephone Order)

Transakcije obavljene putem telefonske prodaje ili prodaje putem maila gdje se kartice prihvaćaju putem nekog elektronskog kanala ili telefona. Trgovci moraju obrađivati kartice koristeći sigurnu (SSL) vezu, primjenjujući stroga pravila PCI DSS-a te su tada takve transakcije izuzete od primjene SCA.

SCA - 3DS izuzeća kod provođenja transakcija

Sigurna lista (Trusted Merchants)

Kupac može zatražiti od svoje banke da trgovca stavi na sigurnu listu. Ako kupac koristi za kupnju određenog trgovca, dodavanjem tog trgovca na popis “dopuštenih” olakšat će mu postupak plaćanja. Isto tako banke mogu pridodati određene trgovce u popis “sigurnih” trgovaca.

Plaćanja korporativnim karticama (Business Cards)

Plaćanjem karticama izdanim na tvrtku, a obrađene se putem sigurnog namjenskog protokola plaćanja, trebala bi biti izuzeta od primjene SCA. Npr. kada tvrtka plaća troškove poslovnog putovanja (hotel, let,…) putem putne agencije koristeću poslovnu (bussines) karticu.

 

Plaćanje spremljenim karticama – Card on File (CoF)

PSD2 regulativa mijenja proces plaćanja spremljenim karticama ako transakciju inicira kupac. Ovakva transakcija, koju inicira kupac (Customer Initiated Transaction – CIT transakcija), podliježe pod SCA. Dosadašnji proces plaćanja sa spremljenim karticama (osim ako je proces koji podrazumijeva neko od izuzeća) prestaje i mora se implementirati proces koji je do sada važio samo za Maestro plaćanja.

Više o tokenizaciji u postu o tokenizaciji.

Važna napomena: Trgovci koji nisu u EEA mogu i dalje imati kompletan tijek kao i do sada, tj. sve transakcije mogu ići po žutom toku. Svakako za ovu napomenu vrijedi da se povećanje sigurnosti naplate i smanjenje pritužbi kupaca smanjuje ako tijek transakcije ide kroz SCA tj. crno označenim strelicama.

Što se promijenilo s 3DS 2.2

S risk-based autentifikacijom, izdavatelj sam procjenjuje rizik. Kupci s niskorizičnim profilom prolaze frictionless flow čak i bez formalnog izuzeća. Više u tekstu o 3D Secure 2.

Kako Monri konfigurira izuzeća za vaš webshop

Kroz Monri online plaćanja sustav automatski prepoznaje tip transakcije i provodi pravilan flow – sa ili bez SCA challengea. Uz PCI DSS Level 1 i 3DS 2.2 risk-based authentication.

Ako želite optimizirati checkout konverziju, javite nam se.

Sadržaj