Европейская служба банковского надзора смягчила требования безопасности - «Финансы»

опубликовала[/b] финальную редакцию RTS — Нормативных технических стандартов в отношении строгой аутентификации клиентов и безопасной унифицированной связи.

RTS разрабатывались Европейской службой банковского надзора в соответствии с положениями второй платежной директивы (PSD2) в тесном сотрудничестве с Европейским центральным банком. Как сообщается в пресс-релизе EBA, на подготовку финальной редакции стандартов ушло 18 месяцев. Разработчикам документа приходилось неоднократно искать компромисс, чтобы обеспечить выполнение разнообразных и подчас противоречащих друг другу задач PSD2.

К таким задачам относятся: усиление мер безопасности, повышение удобства для пользователей, обеспечение нейтральности с точки зрения технологий и бизнес-моделей, углубление интеграции европейских рынков платежных услуг, защита потребителей, создание благоприятной среды для инноваций и укрепление конкуренции за счет создания условий для работы других участников рынка платежных услуг.

Новые участники рынка

PSD2 разделяет участников рынка платежных услуг на три категории:

1. Платежные сервисы, обслуживающие счета (Account Servicing Payment Service Providers — ASPSP). К этой группе относятся банки.


2. Поставщики услуг по предоставлению информации о счете (Account Information Service Providers — AISP). Это могут быть как банки, так и иные участники рынка, которые будут иметь доступ к информации о счетах, обслуживаемых банками.


3. Поставщики услуг по инициированию платежей (Payment Initiation Service Providers — PISP). Это участники рынка, которые смогут обеспечивать связь между клиентскими счетами и предлагать услуги по проведению платежей.

В соответствии с директивой, AISP и PISP получают доступ к информации о клиентских счетах, что прежде было прерогативой банков. Хотя банки могут действовать в качестве ASPSP, AISP и PISP, директива предусматривает возможность выполнения этих функций и другими участниками рынка. Она делает систему обработки платежей более открытой, что в конечном счете должно способствовать развитию конкуренции и обеспечить потребителю более широкий выбор поставщиков услуг.

Чем не понравились прежние RTS

Проект RTS объединил индустрию до невиданной ранее степени

В своем обзоре новой версии RTS Зильвинас Барейзис (Zilvinas Bareisis), старший аналитик банковской практики консалтинговой компании Celent, характеризует меры защиты покупателей, предложенные в консультационной версии стандартов, как «драконовские». В качестве примера он приводит предложения «не допускать исключений на основании анализа рисков транзакции, проведенного платежным сервисом» и «оставить процедуру аутентификации […] в сфере компетенции ASPS [т. е. банков]». По мнению Барейзиса, проект RTS объединил индустрию до невиданной ранее степени. Представители платежных систем, компаний, занимающихся торговлей через интернет, мелких предпринимателей, разработчиков цифровых технологий, телекоммуникационных и иных компаний выразили обеспокоенность тем, что стандарты EBA, если они буду введены в неизменном виде, значительно снизят привлекательность онлайн-шопинга и крайне негативно отразятся на развитии единого цифрового рынка.

Что изменилось

После публикации в августе 2016 года консультационной версии технических стандартов EBA получила в общей сложности 224 ответа от заинтересованных лиц, в которых содержалось более 300 конкретных замечаний и запросов о разъяснении. Как говорится в пресс-релизе EBA, по результатам оценки предложений в RTS были внесены следующие основные коррективы:

• Введено два новых исключения из правила о применении строгой аутентификации клиентов. Одно из них относится к операциям, проводимым по результатам анализа уровня транзакционного риска. В рамках анализа учитываются такие факторы, как сумма сделки, ее повторяемость, способ платежа и т. д. Второе исключение относится к работе автономных платежных терминалов, которые используются, например, для оплаты проезда в транспорте или для оплаты парковки.


• Внесены коррективы в уже существующие исключения. Так, для сделок с дистанционным платежом пороговая сумма увеличена с ?10 до ?30.


• Удалены ссылки на ISO 27001 и прочие конкретные показатели строгой аутентификации. Это сделано для того, чтобы сохранить нейтральность RTS в отношении конкретных технологий и упростить внедрение инновационных решений в будущем.

При этом в текущей версии RTS сохранилось требование о том, что ASPSP, то есть банки, должны обеспечить как минимум один интерфейс, через который AISP и PISP смогут получать доступ к банковским счетам. Это требование связано с тем, что PSD2 запрещает действующую практику получения третьими сторонами доступа к такой информации без идентификации. Запрет вступит в силу по окончании предусмотренного PSD2 переходного периода, когда RTS будут введены в действие.

Финальный проект RTS был утвержден Европейской службой банковского надзора и направлен на рассмотрение в Еврокомиссию.