Snažna autentifikacija korisnika (SCA), propisana PSD2 regulativom, obavezna je za većinu online kartičnih transakcija – ali ne za sve. PSD2 i prateći EBA Regulatory Technical Standards (RTS) definiraju nekoliko jasnih izuzeća.

MIT transakcije (Merchant Initated Transaction)

MIT transakcijama smatraju se transakcije koje pokreće trgovac bez direktne interakcije platitelja (kupca). Karakteriše ih odsustvo učestvovanja platitelja u pokretanju svake pojedinačne naplate. Takva plaćanja zahtijevaju da se SCA primijeni na prvu transakciju kojom se trgovcu daje saglasnost za pokretanje naplate, te da između platitelja i trgovca postoji dogovor o pružanju proizvoda ili usluga i potencijalnim troškovima povezanim s njima.

  • Ponavljajuće transakcije (Recurring transakcije) za fiksne iznose definisanog roka plaćanja – tačno određeni iznos u unaprijed definisanim intervalima (mjesečno, sedmično, dnevno ili godišnje).
  • Izravno terećenje (Direct payment) za transakcije koje se provode sa varijabilnim ili promjenjivim iznosima.
  • Slijedna plaćanja (Incremental authorization) za transakcije koje se pokreću na osnovu ugovora između trgovca i kupca, bez unaprijed definisanog iznosa ili trajanja (do otkazivanja ugovora). Naprimjer, naknadne naplate u rent-a-car industriji.

SCA se primjenjuje samo na prvu transakciju. Detaljnije u tekstu o MIT transakcijama.

 

Transakcije male vrijednosti i niskog rizika

Ovo izuzeće primjenjivat će su slučajevima kad su ispunjeni neki uslovi:

  • iznos transakcije ne prelazi 30 EUR
  • kumulativna vrijednost prethodnih beskontaktnih transakcija od posljednje SCA potvrde ne prelazi 150 EUR
  • broj uzastopnih beskontaktnih transakcija od posljednje SCA potvrde nije veći od pet

Transakcije s niskim rizikom također mogu biti izuzete od SCA autentifikacije. Rizik procjenjuje banka prihvatilac (acquirer) ili banka izdavalac kartice (issuer), ali ne i Payment Service Provider (PSP).

 

Plaćanje karticama izdane izvan EEA

Kartice izdane izvan EEA područja nisu direktno obuhvaćene PSD2 i SCA regulativom. Trgovci mogu prihvatiti plaćanja bez SCA challengea, ali tada zadržavaju puni rizik od prijevare (liability shift se ne primjenjuje).

Preporuka: i dalje aktivirati 3DS2 ako banka izdavalac podržava ovu funkcionalnost.

 

MOTO transakcije (Mail Order and Telephone Order)

MOTO transakcije su transakcije izvršene putem telefonske prodaje ili narudžbi putem e-maila, gdje se kartični podaci zaprimaju preko elektronskog kanala ili telefona. Trgovci moraju obrađivati kartice koristeći sigurnu (SSL) konekciju i pridržavati se PCI DSS sigurnosnih standarda. Takve transakcije izuzete su od primjene SCA autentifikacije.

SCA - 3DS izuzeća kod provođenja transakcija

Sigurna lista (Trusted Merchants)

Kupac može zatražiti od svoje banke da trgovca stavi na sigurnu listu. Ako kupac koristi za kupnju određenog trgovca, dodavanjem tog trgovca na popis “dopuštenih” olakšat će mu postupak plaćanja. Isto tako banke mogu pridodati određene trgovce u popis “sigurnih” trgovaca.

Plaćanja korporativnim karticama (Business Cards)

Plaćanja karticama izdanim na pravna lica, koja se obrađuju putem sigurnih namjenskih protokola plaćanja, mogu biti izuzeta od primjene SCA autentifikacije. Naprimjer, kada kompanija plaća troškove službenog putovanja (hotel, avionske karte i slično) putem putničke agencije koristeći poslovnu (business) karticu.

 

Plaćanje spremljenim karticama – Card on File (CoF)

PSD2 regulativa mijenja proces plaćanja spremljenim karticama ako transakciju inicira kupac. Ovakva transakcija, koju inicira kupac (Customer Initiated Transaction – CIT transakcija), podliježe pod SCA. Dosadašnji proces plaćanja sa spremljenim karticama (osim ako je proces koji podrazumijeva neko od izuzeća) prestaje i mora se implementirati proces koji je do sada važio samo za Maestro plaćanja.

Više o tokenizaciji u postu o tokenizaciji.

Važna napomena: trgovci izvan EEA područja i dalje mogu koristiti postojeći tok obrade transakcija bez obavezne SCA autentifikacije. Ipak, treba imati na umu da dodatna sigurnost naplate i smanjenje broja prigovora kupaca dolaze upravo kroz SCA proces i 3DS autentifikaciju.

Što se promijenilo s 3DS 2.2

Uz risk-based autentifikaciju, banka izdavalac sama procjenjuje nivo rizika transakcije. Kupci s niskorizičnim profilom mogu proći frictionless flow bez dodatne autentifikacije, čak i kada formalno izuzeće nije primijenjeno. Više u tekstu o 3D Secure 2.

Kako Monri konfigurira izuzeća za vaš webshop

Kroz Monri online plaćanja sustav automatski prepoznaje tip transakcije i provodi pravilan flow – sa ili bez SCA challengea. Uz PCI DSS Level 1 i 3DS 2.2 risk-based authentication.

Ako želite optimizirati checkout konverziju, javite nam se.

Sadržaj