Европейская служба банковского надзора смягчила требования безопасности

- kbrbank

Европейская служба банковского надзора смягчила требования безопасности

Европейская работа банковского надзора (EBA) опубликовала финальную редакцию RTS — Нормативных технических стандартов в отношении строгой аутентификации клиентов и надёжной унифицированной связи.

RTS разрабатывались Европейской работой банковского надзора в соответствии с положениями второй платежной директивы (PSD2) в тесном сотрудничестве с Европейским центробанком. Как сообщается в пресс-релизе EBA, на подготовку финальной редакции стандартов ушло 18 месяцев. Разработчикам документа приходилось много раз искать компромисс, дабы обеспечить исполнение разнообразных и подчас противоречащих друг другу задач PSD2.

К таким задачам относятся: усиление мер безопасности, увеличение удобства для пользователей, обеспечение нейтральности с позиций разработок и бизнес-моделей, углубление интеграции рынков европейских платежных одолжений, защита потребителей, создание благоприятной среды для инноваций и упрочнение борьбы за счет создания условий для работы вторых участников рынка платежных одолжений.

Новые участники рынка

PSD2 разделяет участников рынка платежных одолжений на три категории:

  1. Платежные сервисы, обслуживающие квитанции (Account Servicing Payment Service Providers — ASPSP). К данной группе относятся банки.
  2. Поставщики одолжений по предоставлению информации о счете (Account Information Service Providers — AISP). Это смогут быть как банки, так и иные участники рынка, каковые будут иметь доступ к информации о квитанциях, обслуживаемых банками.
  3. Поставщики одолжений по инициированию платежей (Payment Initiation Service Providers — PISP). Это участники рынка, каковые смогут снабжать связь между клиентскими квитанциями и предлагать услуги по проведению платежей.

В соответствии с директивой, AISP и PISP приобретают доступ к информации о клиентских квитанциях, что прежде было прерогативой банков. Не смотря на то, что банки смогут функционировать в качестве ASPSP, AISP и PISP, директива предусматривает возможность исполнения этих функций и другими участниками рынка. Она делает совокупность обработки платежей более открытой, что в конечном итоге должно содействовать формированию борьбы и обеспечить потребителю более широкий выбор поставщиков одолжений.

Чем не пришлись по нраву прошлые RTS

Проект RTS объединил индустрию до невиданной ранее степени

В собственном обзоре новой версии RTS Зильвинас Барейзис (Zilvinas Bareisis), старший аналитик банковской практики консалтинговой компании Celent, характеризует меры защиты клиентов, предложенные в консультационной версии стандартов, как «строгие». Как пример он приводит предложения «не допускать исключений на основании анализа рисков транзакции, совершённого платежным сервисом» и «покинуть процедуру аутентификации […] в сфере компетенции ASPS [т. е. банков]».

Согласно точки зрения Барейзиса, проект RTS объединил индустрию до невиданной ранее степени. Представители платежных совокупностей, компаний, занимающихся торговлей через интернет, небольших предпринимателей, разработчиков цифровых разработок, телекоммуникационных и иных компаний выразили обеспокоенность тем, что стандарты EBA, если они буду введены в неизменном виде, существенно снизят привлекательность онлайн-шопинга и очень очень плохо отразятся на развитии единого цифрового рынка.

Что изменилось

По окончании публикации в августе 2016 года консультационной версии технических стандартов EBA взяла в общем итоге 224 ответа от заинтересованных лиц, в которых находилось более 300 запросов и конкретных замечаний о разъяснении. Как говорится в пресс-релизе EBA, по итогам оценки предложений в RTS были внесены следующие главные коррективы:

  • Введено два новых исключения из правила о применении строгой аутентификации клиентов. Одно из них относится к операциям, проводимым по итогам анализа уровня транзакционного риска. В рамках анализа учитываются такие факторы, как сумма сделки, ее повторяемость, метод платежа и т. д. Второе исключение относится к работе независимых платежных терминалов, каковые употребляются, к примеру, для оплаты проезда в транспорте либо для оплаты парковки.
  • Внесены коррективы в уже существующие исключения. Так, для сделок с дистанционным платежом пороговая сумма увеличена с €10 до €30.
  • Удалены ссылки на ISO 27001 и другие конкретные показатели строгой аутентификации. Это сделано чтобы сохранить нейтральность RTS в отношении конкретных разработок и упростить внедрение инновационных ответов в будущем.

Наряду с этим в текущей версии RTS сохранилось требование о том, что ASPSP, другими словами банки, должны обеспечить как минимум один интерфейс, через что AISP и PISP смогут приобретать доступ к банковским квитанциям. Это требование связано с тем, что PSD2 запрещает действующую практику получения третьими сторонами доступа к таковой информации без идентификации. Запрет вступит в силу по окончании предусмотренного PSD2 переходного периода, в то время, когда RTS будут введены в воздействие.

Финальный проект RTS был утвержден Европейской работой банковского надзора и направлен на рассмотрение в Европейскую комиссию.

ЕС ужесточает банковский надзор

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: