Wdrożenie SCA okiem branży – opinie i podsumowania

Silne uwierzytelnianie klientów ma zwiększyć zaufanie konsumentów do zakupów w internecie. Może także przełożyć się na wydłużenie procesu płatności, ponieważ zgodnie z wymaganiami regulacji SCA (ang. Strong Customer Authentication) wymaga identyfikacji płacącego przez bank. Uwierzytelnienie musi wykorzystywać co najmniej dwa elementy w ramach kategorii „tego, co płacący posiada”, „tego, co płacący wie” oraz „tego, czym/kim płacący jest”. Do pierwszej grupy należy chociażby fakt posiadania smartfona (powiązanego z kartą SIM, na który przychodzi kod SMS) czy też karty płatniczej, w drugiej grupie mogą się znaleźć PIN czy hasło, w trzeciej – skan twarzy czy odcisk palca. Widać więc, że proces płatności może stać się bardziej skomplikowany, a co za tym idzie, wpływać na częstsze porzucanie koszyka zakupowego przez klientów z uwagi na wydłużenie czasu realizacji transakcji.

W procesie wdrożenia SCA nie bez znaczenia są tzw. transakcje wyłączone spod obowiązku silnego uwierzytelnienia (na przykład związane z niskim ryzykiem) oraz transakcje w ogóle nie podlegające nowym wymogom. Są to przede wszystkim transakcje inicjowane przez sprzedającego, takie jak miesięczne opłaty za subskrypcje czy rachunki, lecz także na przykład… jednorazowe opłaty parkingowe. Osobną kwestią są sytuacje, w których jedna ze stron transakcji znajduje się poza Europejskim Obszarem Gospodarczym i nie ma możliwości technicznych, by przeprowadzić dodatkową weryfikację. Są to tak zwane transakcje „one-leg-out”.

Trudności związane z wdrożeniem SCA można przekuć na sukces

Te i wiele innych czynników powodują, że wdrożenie SCA może rodzić pewne trudności. O to, czy faktycznie tak było, zapytaliśmy Bartosza Chwiłkowskiego, Business Lead, Payments w Allegro oraz Jakuba Seiferta, Head of Acquiring and Relationship Management w PayU. Z kolei Katarzyna Zubrzycka, dyrektorka działu detalistów i agentów rozliczeniowych w Europie Środkowo-Wschodniej w Visa podzieliła się swoimi radami i spostrzeżeniami na temat najlepszych dostępnych rozwiązań oraz tzw. Dynamic Linking.

Bartosz Chwiłkowski, Business Lead, Payments w Allegro

Klient kupujący na platformie Allegro oczekuje, że znajdzie tutaj produkt którego właśnie szuka, otrzyma go w atrakcyjnej cenie i z możliwie najkrótszym czasem dostawy. Dbamy o to, aby na całej ścieżce zakupowej towarzyszyły klientom wyłącznie pozytywne emocje. Cieszymy się ogromnym zaufaniem naszych klientów, którzy wiedzą, że Allegro jest gwarantem udanych zakupów, za które płaci się szybko, wygodnie i bez obaw o bezpieczeństwo transakcji. Doskonałą miarą jakości procesu płatności, oczywiście nie jedyną, jest czas potrzebny użytkownikowi na opłacenie zakupów. Część naszych użytkowników potrzebuje teraz więcej czasu, aby sfinalizować swój zakup w procesie z silnym uwierzytelnieniem, co niestety zwiększa ryzyko porzucenia koszyka, osłabia poziom satysfakcji oraz wygody korzystania z serwisu i może prowadzić do zmiany metody płatności przy kolejnych zakupach. Stosowanie zasady silnego uwierzytelnienia klienta nie zawsze jednak musi prowadzić do pogorszenia jakości procesu. Okazuje się, że niektórzy wydawcy potrafili wykorzystać konieczność wprowadzenia zmian oraz możliwości techniczne nowego standardu EMV 3DS, by zaprojektować proces uwierzytelnienia klienta tak, aby trwał on krócej i nie zaskakiwał kupującego koniecznością podawania danych, których dawno już nie pamięta lub nigdy wcześniej nie używał przy płatności w internecie. Odnoszę się tutaj do rozwiązań bazujących na wykorzystaniu aplikacji mobilnych, które korzystając z biometrii pozwalają skrócić proces potwierdzania płatności do niezbędnego minimum, przy jednoczesnym spełnieniu wymogów SCA. W Allegro rozumiemy, że jako jeden z większych serwisów e-commerce w Europie, mamy istotny wpływ na adaptację nowych rozwiązań, dlatego od samego początku wdrożenia SCA wspieraliśmy nowy standard EMV 3DS. Wciąż pracujemy nad doskonaleniem tych elementów procesu SCA, na które możemy wpływać w sposób bezpośredni. Widzimy również duże zaangażowanie po stronie Visa, dostawców usług płatniczych oraz wydawców w pracę nad rozwiązywaniem najbardziej palących problemów. Jesteśmy przekonani, że przy dobrej współpracy wszystkich uczestników ekosystemu płatniczego już wkrótce nastąpi stabilizacja, wskaźniki wrócą do poziomów sprzed wdrożenia lub nawet lepszych, a ciesząc się dużym zaufaniem kupujących, będziemy mogli dostarczać nowe, innowacyjne i wciąż bezpieczne rozwiązania.

Jakub Seifert, Head of Acquiring and Relationship Management w PayU

Będąc liderem wśród dostawców usług płatniczych dla e-commerce, koncentrujemy się w PayU się na zapewnieniu możliwie najwyższego stopnia bezpieczeństwa transakcji, jednocześnie dbając o to, aby proces ich uwierzytelniania był wygodny dla konsumentów i miał wyłącznie pozytywny wpływ na konwersję w sklepach. Regulacje dotyczące silnego uwierzytelniania użytkowników oraz idąca w ślad za tym nowa wersja protokołu 3DSecure (3DS 2.0) mają wpływ na ten proces. Z założenia zasady SCA podnoszą bezpieczeństwo transakcji internetowych, jednak w pewnych przypadkach j mogą spowodować, że potwierdzenie transakcji stanie się trudniejsze niż obecnie, co oznacza, że może znaleźć się grupa klientów, którzy nie dokończą płatności. Odpowiedzią na to ryzyko ma być nowy standard EMV 3DS , który umożliwia zastosowanie nowoczesnych i wygodnych sposobów potwierdzenia transakcji. Jak pokazują pierwsze tygodnie po wdrożeniu SCA przez wydawców, przeważa aspekt bezpieczeństwa, natomiast aspekt wygody użycia wymaga jeszcze czasu i pracy. By w pełni skorzystać z możliwości jakie daje 3DS2 w zakresie wygody, konieczna jest przejrzysta informacja tak, aby klient miał świadomość w jaki sposób będzie teraz potwierdzać swoje transakcje i z czego ta zmiana wynika.  Najwygodniejszym i najszybszym sposobem na autoryzowanie swoich płatności online, jest aplikacja mobilna banku. Można w niej bezpiecznie potwierdzić płatność na kilka sposobów, w zależności od tego, co oferuje aplikacja danego banku. Może się też zdarzyć, że zgromadzone na urządzeniach informacje wystarczają, by przeprowadzić proces autoryzacji bez dodatkowych kroków po stronie klienta.  Zachęcanie posiadaczy kart do instalowania aplikacji bankowych i aktywowania mobilnej autoryzacji transakcji, to sposób, aby dla klienta silne uwierzytelnianie było rzeczywiście wygodne. Jednak nie można zapominać o tych użytkownikach, których bank nie przygotował jeszcze aplikacji mobilnej. Tu też niezwykle ważna jest przedstawiona w zwięzły sposób informacja jak mogą zmienić się doświadczenia klienta, aby płacący poczuł się zaopiekowany i zachęcony do korzystania z tej bezpiecznej formy akceptowania transakcji.  PayU aktywnie pracuje zarówno z Visa jak i wydawcami kart nad poprawą UX procesu uwierzytelnienia, a także edukacją klientów po to, by wysokie bezpieczeństwo zawsze szło w parze z wygodą płacenia.

Katarzyna Zubrzycka dyrektor ds. relacji z detalistami i agentami rozliczeniowymi w Europie Środkowo-Wschodniej w Visa

Wprowadzenie SCA w taki sposób, by nie spowodowało to przedłużenia procesu płatności, to poważne wyzwanie, szczególnie teraz, gdy tak dynamicznie rośnie sprzedaż w e-commerce. Bez wątpienia istotnym czynnikiem to ułatwiającym jest wdrożenie 3DSecure, standardu branżowego, wykorzystywanego m.in. przez organizację Visa i służącego jako mechanizm uwierzytelniania płatnika w czasie zakupów w e-commerce. Jego znaczącą zaletą jest umożliwienie uwierzytelnienia z użyciem biometrii, którą można wdrożyć w aplikacji mobilnej banku. Wspominam o tym dlatego, że biometrię, a szerzej cały element uwierzytelnienia określany jako „to, czym/kim płacący jest” postrzegam jako najlepszy drugi element procesu, dzięki któremu płatność przebiega sprawniej. Pierwszym w mojej opinii powinna być natomiast kategoria „to co płacący posiada”. Sugeruję unikać rozwiązań bazujących na kodach PIN i hasłach. Jak pokazują nasze ubiegłoroczne badania ponad 55% ankietowanych zrezygnowało z dokonania zakupu online, napotkawszy utrudnienia, takie jak np. zapomnienie hasła. Moim zdaniem sprzedający w internecie nie powinni liczyć na dobrą pamięć swoich klientów, lecz używać rozwiązań, które ułatwiają płatność. 3DSecure, podobnie zresztą jak Visa Token Services pozwala spełnić wymagania określone jako Dynamic Linking, czyli możliwości potwierdzenia i zarchiwizowania informacji dotyczącej maksymalnej kwoty transakcji oraz nazwy akceptanta. To istotny element wymagania SCA, o którym moim zdaniem za rzadko się wspomina. Silne uwierzytelnianie konsumentów w czasie zakupów w internecie, nawet już raz wdrożone, powinno nadal być dostosowywane do ich potrzeb, tak by transakcje internetowe, tak ważne w czasach dystansowania społecznego, przebiegały szybko i sprawnie.

Jeżeli sprzedajecie w internecie i zainteresował was temat SCA polecamy lekturę artykułu Katarzyny Zubrzyckiej „Masz sklep internetowy? Twoi klienci wkrótce mogą przestać w nim płacić”. Jeżeli z koleii temat SCA interesuje Was z zupełnie innej - bankowej strony, może zainteresować Was artykuł, który ostatnio opublikowaliśmy na blogu: Visa to nie tylko płatności. Co jeszcze oferujemy razem z wydawcami kart?