Что изменится для бизнеса с переходом на 3DS2 — эксперты ECOMMPAY - «Интервью»
В следующем году Европа должна перейти на 3DS2. Эксперты рассказали о плюсах и минусах нового стандарта и процессе перехода
С конца 2019 года банки начинают поддерживать 3DS2 — новый протокол аутентификации карточных онлайн-платежей, который сделает их более безопасными и улучшит пользовательский опыт, предоставляя возможность беспрепятственной (frictionless) аутентификации. Для Европы переход на 3DS2 является регуляторным требованием, обусловленным платежной директивой PSD2. Обеспечить поддержку 3DS2 необходимо до 1 января 2021 года.
Редакция обсудила изменения, грядущие с переходом на новый протокол, с руководителями проектов Mastercard и Visa международного платежного провайдера и прямого эквайера ECOMMPAY Людмилой Желенковой и Викторией Сафроновой.
Какие преимущества 3DS2 вы можете выделить?
Людмила: Их много, поскольку со времен появления 3DS1 прошло уже более 17 лет. Одним из самых существенных преимуществ я считаю появление нового варианта аутентификации — frictionless flow. Для пользователя такая аутентификация является невидимой. Он просто нажимает кнопку “Оплатить”, идет прогрузка, и оплата совершена. Для мерчанта это также безусловный плюс, потому что не нужно ждать, пока пользователь пройдет аутиентификацию. Также исчезает риск того, что пользователь закроет страницу оплаты, забыв пароль или еще что-то.
Виктория: Учитывая нарастающее стремление нашего общества все делать быстрее, frictionless flow — это несомненное преимущество как для пользователя, так и для мерчанта. Необходимость вовлекать кардхолдера существенно снижается, поскольку вторая версия протокола расширила набор параметров, которые мерчант передает эмитенту в рамках аутентификации. Мерчант в запросе на аутентификацию передает доступные ему данные, например, о браузере и страницах, об активности пользователя и так далее, а также ряд дополнительных параметров, позволяя эмитенту определить, согласен ли он на прохождение аутентификации по frictionless flow, или же все таки хочет вовлечь кардхолдера, чтобы убедиться в его желании совершить покупку.
Остались ли какие-то недостатки у нового протокола?
Людмила: На мой взгляд, основное преимущество (frictionless flow — ред.) и есть, с другой стороны, недостаток. Несмотря на ориентированность общества на то, чтобы делать платежи быстро, в одно касание, по факту далеко не все люди готовы к этому. Многие привыкли к тому, что если они себя аутентифицировали, то есть подтвердили платеж, то это безопасная транзакция. А если у них не запросили никакой пароль, то это мошенничество. Понадобится какое-то время для того, чтобы люди адаптировались. Мы уже сталкивались с ситуациями, когда пользователь говорит: “Я раньше всегда вводил код подтверждения на этом сайте, почему сейчас перестали запрашивать? Видимо, что-то пошло не так”. На самом деле это не “что-то пошло не так”, а просто осведомленность людей о новых нормах для европейского региона пока недостаточно высока. И это проблема, которую нужно решать, в том числе давая больше информации в публичные источники.
Также из минусов можно выделить то, что рынок далеко не полностью перешел на 3DS2. До полного перехода во всем мире, необходимо поддерживать обе версии протокола, и это немного усложняет ситуацию. Например, если мерчант перешел на 3DS2 и отправляет аутентификацию по новому протоколу, а эмитент карты пользователя, совершающего оплату, не перешел, мерчант вынужден “откатиться” на 3DS1 и провести аутентификацию по старому протоколу. Это удлиняет время транзакции и требует задействовать пользователя, возвращая все старые риски: возможность того, что пользователь закроет страницу оплаты, что он забыл свой пароль или кодовую карту. Такое сосуществование и необходимость поддержки обоих протоколов тоже какое-то время будет являться минусом. К тому же, далеко не все мерчанты готовы к переходу технически и знают, как им правильно организовать этот процесс, как поддерживать работу, нужно ли им делать все это на своей стороне, или эквайер возьмет организацию перехода на себя.
Виктория: К тому же, помимо Европейского региона, для которого 3DS2 обязателен с точки зрения выполнения требований регулятора, есть и весь мир в целом, который тоже должен перейти на второй протокол, но сроки такого перехода для каждого региона свои. Поэтому необходимость поддержки обоих протоколов обусловлена не только неготовностью европейского рынка, но и ожиданием перехода на 3DS2 других регионов. Это нормально для переходного периода, но с точки зрения ресурсов на поддержку двух протоколов, это немного усложняет положение вещей на текущий момент.
Людмила: Для эмитента также минусом может оказаться биометрия. Во-первых, продуманная имплементация решения для аутентификации с использованием биометрии, это сам по себе процесс не быстрый и затратный. Во-вторых, не все пользователи имеют достаточного уровня девайсы, позволяющие, к примеру, сканировать отпечаток пальца. Получается, что эмитентам необходимо в своем аутентификационнном решении предусмотреть максимальное количество вариантов применения, учитывая также пользовательский опыт.
В целом все то, что с одной стороны является плюсами для развивающегося общества, в то же время являет собой и минусы для тех, кто не готов двигаться в таком же быстром темпе.
Как вы думаете, кто должен взять на себя основную роль в этом образовательном процессе, чтобы пользователь не думал, что что-то идет не так, а радовался удобству и скорости платежей?
Людмила: Если мы говорим про пользователя, то эмитенты. Они, выдавая карту, и предоставляя новый метод аутентификации, должны про него рассказать максимально доступно и подробно, объяснить пользователям, как с этим работать и что делать, если им что-то непонятно.
Со стороны мерчанта это, конечно, эквайер. Мы, как эквайер, должны своим клиентам рассказать о том, почему необходимо переходить на новый протокол, как он будет работать, какие действия требуются с их стороны, и что меняется в процессе в целом. Повышая уровень осведомленности с обеих сторон, переход будет намного более безболезненным, и люди сами будут в нем заинтересованы.
Виктория: Стоит отметить, что платежные системы принимают достаточно активное участие в разъяснении, как работает новый протокол, какие у него преимущества и недостатки. Они информируют об этом эквайеров и эмитентов, а те доносят эту информацию к конечным пользователям в лице кардхолдеров или онлайн-торговцев. Тут возникает важный момент — информация должна быть передана правильно и полно, чтобы все участники были в одном информационном поле.
Сколько времени потребуется на полный переход с 3DS1 на 3DS2?
Людмила: Как минимум, он продлится до конца 2021 года. В Европе сейчас установлен переходный период по соблюдению требований SCA (Strong Customer Authentication — ред.) до конца 2020-го года. Плюс, как уже упоминалось ранее, остальные регионы имеют свои сроки перехода. В целом, все будет зависеть от готовности рынка, но как минимум еще два года нужно будет обеспечивать поддержку работы двух протоколов.
Виктория: Это действительно глобальное изменение, которое затрагивает все уровни участников проведения транзакции — от кардхолдера до платежных систем. Поэтому это довольно неповоротливый процесс, всех сразу перевести на новый протокол невозможно.
Не создают ли исключения к SCA пространство для каких-то неправомерных манипуляций?
Людмила: Нет, потому что исключения обусловлены законами. Есть директива PSD2, которая в части SCA говорит о том, что все транзакции внутри Европейской экономической зоны должны проводиться с аутентификацией. За скоупом требований остаются транзакции, у которых один из участников (эмитент или эквайер) вне Европейской экономической зоны – так называемые one-leg out, транзакции МОТО (Mail orderTelephone order), транзакции по анонимным картам (потому что пользователь которого можно позвать на аутентификацию не известен), и транзакции, которые инициирует сам онлайн-торговец (например, оплата по подписке). Для транзакций, которые в скоупе и попадают под требования SCA, то есть для классических покупок, предусмотрен ряд исключений, позволяющих эквайеру не делать аутентификацию, передав специальный параметр — так называемый флаг в авторизации. Есть перечень исключений как для эквайера, так и для эмитента. Однако тут важно понимать, что то, что со стороны эквайера отправлен флаг исключения не значит, что эмитент будет с этим согласен, и транзакция так пройдет. Именно это устраняет риск манипуляций, потому что решение все равно принимает эмитент. Получив авторизацию с флагом исключения, он проверяет, действительно ли имеет место быть исключение (например, действительно ли уровень фрода низкий, действительно ли платеж на маленькую сумму, действительно ли мерчант находится в white list и т.д.), и если да, эмитент ее одобряет и она проходит — исключение сработало. Если же нет, эмитент может отправить так называемый soft decline (мягкий отказ — ред.), которым просит мерчанта повторить запрос, но все таки с аутентификацией.
Эмитенты также могут добавлять своих надежных доверенных мерчантов в white list, чтобы в ответ на их запросы ничего не нужно было делать. Этот механизм стимулирует всех участников быть более ответственными в том, как они ведут свою деятельность.
Виктория: Хочу еще раз подчеркнуть, что есть исключения, а есть out-of-scope транзакции. Это два разных блока, к которым применяются разные требования. Важно понимать, что out-of-scope транзакции не являются исключениями, это другая группа транзакций, которая выделяется отдельно и проводится по другим требованиям.
Как необходимость обязательного проведения аутентификации может повлиять на продажи, конверсию?
Людмила: Говорить про реальную статистику пока рановато, поскольку все таки рынок не готов стопроцентно. Сами платежные системы ожидают, что по новому протоколу 3DS2 уровень одобрения будет сильно выше, чем по старому 3DS1, или чем без 3DS вообще. Они полагают, что наличие двух вариантов аутентификации и совместная работа экосистемы (чем больше мерчант передает о себе параметров, тем лучше эмитенты “тренируют” свои риск-системы) сильно снизят количество отказов по транзакциям. Так, Mastercard ожидает, что доля принятых транзакций составит 94%, а доля фродовых будет только 4%. Хочется верить в такие цифры, но пока мы, к сожалению, не можем сказать, что так оно и будет.
Виктория: Если не принимать во внимание out-of-scope транзакции, остаются обычные покупки, по которым и так почти всегда была аутентификация (у мерчанта была возможность выбирать либо 3DS, либо non-3DS, но при этом был высокий уровень фрода). Теперь же транзакции, попадающие под требования регулятора и 3DS2, будут с более высоким уровнем защиты и безопасности. Собственно, это как раз и подтверждают цифры, которые приводит Mastercard.
Не выльется ли простота оплаты в увеличение числа возвратов и чарджбеков?
Людмила: Liability shift применяется по тем же принципам, как и при первом 3DS. По второму протоколу просто появляется две возможности одобрить транзакцию: или эмитент одобряет за пользователя, или сам пользователь одобряет лично. Соответственно, как только одно из двух совершается, транзакцию уже нельзя рассматривать как мошенническую. Ответственность остается на стороне эмитента и его пользователя, а мерчант в этом смысле будет защищен, то есть для него здесь ничего не поменяется.
Если же мерчант решил остаться на первом 3DS, либо вообще не использовать протокол по каким-либо причинам, то он становится полностью ответственным за любое мошенничество, прошедшее через его торговую точку.
Как вы оцениваете готовность бизнеса к переходу на новый протокол?
Людмила: Сложно сказать, потому что для Европы не стоит вопрос “готов/не готов”. Это надо. Как и любые законодательные нововведения, бизнес внедряет это неохотно. Мы со своей стороны стараемся поменять мнение бизнеса о том, что 3DS2 — это очередная тяжелая глобальная доработка, которая на пользу только регуляторам, и донести, какие это влечет преимущества и почему все же стоит потратить на это ресурс уже сейчас. Это впоследствии поможет обеспечить бизнесу должный уровень безопасности и, возможно, получить прогнозируемый платежными системами высокий approval rate, к которому, по-сути, все и стремятся.
Как избежать карточного мошенничества: 3 совета от антифрод-специалиста
Не стоит бояться: 5 мифов о бесконтактных платежах
GDPR в деталях: как соответствовать требованиям и избежать штрафов
В Украине растет количество киберпреступлений: как защититься от мошенников
Brexit: Как выход Великобритании из ЕС повлияет на финансовый сектор
В следующем году Европа должна перейти на 3DS2. Эксперты рассказали о плюсах и минусах нового стандарта и процессе перехода Что изменится для бизнеса с переходом на 3DS2 — эксперты ECOMMPAY. Фото: hakin9.org С конца 2019 года банки начинают поддерживать 3DS2 — новый протокол аутентификации карточных онлайн-платежей, который сделает их более безопасными и улучшит пользовательский опыт, предоставляя возможность беспрепятственной (frictionless) аутентификации. Для Европы переход на 3DS2 является регуляторным требованием, обусловленным платежной директивой PSD2. Обеспечить поддержку 3DS2 необходимо до 1 января 2021 года. Редакция обсудила изменения, грядущие с переходом на новый протокол, с руководителями проектов Mastercard и Visa международного платежного провайдера и прямого эквайера ECOMMPAY Людмилой Желенковой и Викторией Сафроновой. Какие преимущества 3DS2 вы можете выделить? Людмила: Их много, поскольку со времен появления 3DS1 прошло уже более 17 лет. Одним из самых существенных преимуществ я считаю появление нового варианта аутентификации — frictionless flow. Для пользователя такая аутентификация является невидимой. Он просто нажимает кнопку “Оплатить”, идет прогрузка, и оплата совершена. Для мерчанта это также безусловный плюс, потому что не нужно ждать, пока пользователь пройдет аутиентификацию. Также исчезает риск того, что пользователь закроет страницу оплаты, забыв пароль или еще что-то. Виктория: Учитывая нарастающее стремление нашего общества все делать быстрее, frictionless flow — это несомненное преимущество как для пользователя, так и для мерчанта. Необходимость вовлекать кардхолдера существенно снижается, поскольку вторая версия протокола расширила набор параметров, которые мерчант передает эмитенту в рамках аутентификации. Мерчант в запросе на аутентификацию передает доступные ему данные, например, о браузере и страницах, об активности пользователя и так далее, а также ряд дополнительных параметров, позволяя эмитенту определить, согласен ли он на прохождение аутентификации по frictionless flow, или же все таки хочет вовлечь кардхолдера, чтобы убедиться в его желании совершить покупку. Остались ли какие-то недостатки у нового протокола? Людмила: На мой взгляд, основное преимущество (frictionless flow — ред.) и есть, с другой стороны, недостаток. Несмотря на ориентированность общества на то, чтобы делать платежи быстро, в одно касание, по факту далеко не все люди готовы к этому. Многие привыкли к тому, что если они себя аутентифицировали, то есть подтвердили платеж, то это безопасная транзакция. А если у них не запросили никакой пароль, то это мошенничество. Понадобится какое-то время для того, чтобы люди адаптировались. Мы уже сталкивались с ситуациями, когда пользователь говорит: “Я раньше всегда вводил код подтверждения на этом сайте, почему сейчас перестали запрашивать? Видимо, что-то пошло не так”. На самом деле это не “что-то пошло не так”, а просто осведомленность людей о новых нормах для европейского региона пока недостаточно высока. И это проблема, которую нужно решать, в том числе давая больше информации в публичные источники. Людмила Желенкова, спикер конференции ECOMMTALKS. Фото: ECOMMPAY Также из минусов можно выделить то, что рынок далеко не полностью перешел на 3DS2. До полного перехода во всем мире, необходимо поддерживать обе версии протокола, и это немного усложняет ситуацию. Например, если мерчант перешел на 3DS2 и отправляет аутентификацию по новому протоколу, а эмитент карты пользователя, совершающего оплату, не перешел, мерчант вынужден “откатиться” на 3DS1 и провести аутентификацию по старому протоколу. Это удлиняет время транзакции и требует задействовать пользователя, возвращая все старые риски: возможность того, что пользователь закроет страницу оплаты, что он забыл свой пароль или кодовую карту. Такое сосуществование и необходимость поддержки обоих протоколов тоже какое-то время будет являться минусом. К тому же, далеко не все мерчанты готовы к переходу технически и знают, как им правильно организовать этот процесс, как поддерживать работу, нужно ли им делать все это на своей стороне, или эквайер возьмет организацию перехода на себя. Виктория: К тому же, помимо Европейского региона, для которого 3DS2 обязателен с точки зрения выполнения требований регулятора, есть и весь мир в целом, который тоже должен перейти на второй протокол, но сроки такого перехода для каждого региона свои. Поэтому необходимость поддержки обоих протоколов обусловлена не только неготовностью европейского рынка, но и ожиданием перехода на 3DS2 других регионов. Это нормально для переходного периода, но с точки зрения ресурсов на поддержку двух протоколов, это немного усложняет положение вещей на текущий момент. Людмила: Для эмитента также минусом может оказаться биометрия. Во-первых, продуманная имплементация решения для аутентификации с использованием биометрии, это сам по себе процесс не быстрый и затратный. Во-вторых, не все пользователи имеют достаточного уровня девайсы, позволяющие, к примеру, сканировать отпечаток пальца. Получается, что эмитентам необходимо в своем аутентификационнном решении предусмотреть максимальное количество вариантов применения, учитывая также пользовательский опыт. В целом все то, что с одной стороны является плюсами для развивающегося общества, в то же время являет собой и минусы для тех, кто не готов двигаться в таком же быстром темпе. Как вы думаете, кто должен взять на себя основную роль в этом образовательном процессе, чтобы пользователь не думал, что что-то идет не так, а радовался удобству и скорости платежей? Людмила: Если мы говорим про пользователя, то эмитенты. Они, выдавая карту, и предоставляя новый метод аутентификации, должны про него рассказать максимально доступно и подробно, объяснить пользователям, как с этим работать и что делать, если им что-то непонятно. Со стороны мерчанта это, конечно, эквайер. Мы, как эквайер, должны своим клиентам рассказать о том, почему необходимо переходить на новый протокол, как он будет работать, какие действия требуются с их стороны, и что меняется в процессе в целом. Повышая уровень осведомленности с обеих сторон, переход будет намного более безболезненным, и люди сами будут в нем заинтересованы. Виктория: Стоит отметить, что платежные системы принимают достаточно активное участие в разъяснении, как работает новый протокол, какие у него преимущества и недостатки. Они информируют об этом эквайеров и эмитентов, а те доносят эту информацию к конечным пользователям в лице кардхолдеров или онлайн-торговцев. Тут возникает важный момент — информация должна быть передана правильно и полно, чтобы все участники были в одном информационном поле. Виктория Сафронова. Фото: ECOMMPAY Сколько времени потребуется на полный переход с 3DS1 на 3DS2? Людмила: Как минимум, он продлится до конца 2021 года. В Европе сейчас установлен переходный период по соблюдению требований SCA (Strong Customer Authentication — ред.) до конца 2020-го года. Плюс, как уже упоминалось ранее, остальные регионы имеют свои сроки перехода. В целом, все будет зависеть от готовности рынка, но как минимум еще два года нужно будет обеспечивать поддержку работы двух протоколов. Виктория: Это действительно глобальное изменение, которое затрагивает все уровни участников проведения транзакции — от кардхолдера до платежных систем. Поэтому это довольно неповоротливый процесс, всех сразу перевести на новый протокол невозможно. Не создают ли исключения к SCA пространство для каких-то неправомерных манипуляций? Людмила: Нет, потому что исключения обусловлены законами. Есть директива PSD2, которая в части SCA говорит о том, что все транзакции внутри Европейской экономической зоны должны проводиться с аутентификацией. За скоупом требований остаются транзакции, у которых один из участников (эмитент или эквайер) вне Европейской экономической зоны – так называемые one-leg out, транзакции МОТО (Mail orderTelephone order), транзакции по анонимным картам (потому что пользователь которого можно позвать на аутентификацию не известен), и транзакции, которые инициирует сам онлайн-торговец (например, оплата по подписке). Для транзакций, которые в скоупе и попадают под требования SCA, то есть для классических покупок, предусмотрен ряд исключений, позволяющих эквайеру не делать аутентификацию, передав специальный параметр — так называемый флаг в авторизации. Есть перечень исключений как для эквайера, так и для эмитента. Однако тут важно понимать, что то, что со стороны эквайера отправлен флаг исключения не значит, что эмитент будет с этим согласен, и транзакция так пройдет. Именно это устраняет риск манипуляций, потому что решение все равно принимает эмитент. Получив авторизацию с флагом исключения, он проверяет, действительно ли имеет место быть исключение (например, действительно ли уровень фрода низкий, действительно ли платеж на маленькую сумму, действительно ли мерчант находится в white list и т.д.), и если да, эмитент ее одобряет и она проходит — исключение сработало. Если же нет, эмитент может отправить так называемый soft decline (мягкий отказ — ред.), которым просит мерчанта повторить запрос, но все таки с аутентификацией. Эмитенты также могут добавлять своих надежных доверенных мерчантов в white list, чтобы в ответ на их запросы ничего не нужно было делать. Этот механизм стимулирует всех участников быть более ответственными в том, как они ведут свою деятельность. Виктория: Хочу еще раз подчеркнуть, что есть исключения, а есть out-of-scope транзакции. Это два разных блока, к которым применяются разные требования. Важно понимать, что out-of-scope транзакции не являются исключениями, это другая группа транзакций, которая выделяется отдельно и проводится по другим требованиям. Как необходимость обязательного проведения аутентификации может повлиять на продажи, конверсию? Людмила: Говорить про реальную статистику пока рановато, поскольку все таки рынок не готов стопроцентно. Сами платежные системы ожидают, что по новому протоколу 3DS2 уровень одобрения будет сильно выше, чем по