Строгая аутентификация клиента SCA
Что такое Строгая аутентификация клиента (SCA, Strong Customer Authentication) или 2FA?
Строгая аутентификация клиента / SCA (Strong Customer Authentication — это механизм проверки личности, который требует использования как минимум двух независимых факторов 2FA перед подтверждением электронного платежа. Это обязательство установлено статьёй 97 Директивы (ЕС) 2015/2366 (PSD2) и в Испании — Королевским законодательным декретом 19/2018.
Цель строгой аутентификации клиента — снизить уровень мошенничества в дистанционных и очных транзакциях внутри Европейской экономической зоны. С 31 декабря 2020 года, даты окончательного внедрения в Испании, SCA применяется ко всем электронным платежам, инициированным клиентом, за исключением операций, подпадающих под предусмотренные исключения Регламента Делегированного (ЕС) 2018/389.
Как работает строгая аутентификация клиента
SCA требует комбинации двух из трёх категорий факторов аутентификации:
- Знание: то, что знает только пользователь — Пин (PIN), пароль, секретный код.
- Владение: то, чем владеет только пользователь — мобильный телефон, токен, карта с чипом.
- Присущие характеристики: то, чем является пользователь — отпечаток пальца, распознавание лица, биометрия.
Факторы должны быть независимыми: компрометация одного не должна ставить под угрозу другой. Кроме того, Регламент 2018/389 вводит требование динамической привязки — код аутентификации должен быть связан с точной суммой и конкретным получателем. Любая попытка изменить сумму или получателя делает код недействительным.
На практике наиболее распространённым каналом выполнения строгой аутентификации клиента в интернет‑платежах по картам является протокол 3D Secure 2 (3DS2). Он передаёт эмитенту более ста параметров контекста, что позволяет применять аутентификацию на основе риска (RBA) и завершать многие проверки без видимой фрикции для покупателя.
Регламент Делегированный (ЕС) 2018/389 требует, чтобы код аутентификации был динамически привязан к сумме и получателю. Если один из параметров изменяется, код автоматически становится недействительным — это ключевой барьер против манипуляции платежами в реальном времени.
Нормативные требования и безопасность при использовании SCA
SCA функционирует в рамках трёхуровневой нормативной структуры:
- Директива PSD2 (Директива (ЕС) 2015/2366): устанавливает обязательство применения усиленной аутентификации.
- Регламент Делегированный (ЕС) 2018/389 (RTS EBA): определяет технические требования, допустимые факторы и исключения.
- Королевский законодательный декрет 19/2018: транспонирует PSD2 в испанское право и наделяет Банк Испании полномочиями по надзору и санкциям, включая штрафы до 10 % оборота или 10 млн евро.
Основные исключения из SCA, влияющие на ecommerce:
- Операции малого размера: платежи до 30 €, с лимитом 100 € или пяти последовательных операций без аутентификации.
- Анализ риска транзакции (TRA): PSP может освободить операцию, если его уровень мошенничества ниже установленных порогов. Например, для платежей до 100 € требуется уровень мошенничества ниже 0,13 %.
- Регулярные платежи фиксированной суммы: SCA применяется только к первой операции; последующие списания того же размера освобождаются.
- Доверенные получатели: клиент может добавить мерчанта в «белый список» через банк‑эмитент.
Требования PCI DSS v4.0 дополняют SCA на техническом уровне. Требование 8.4 обязывает применять многофакторную аутентификацию (MFA) для любого доступа к среде обработки данных карт, усиливая защиту по всей цепочке.
Преимущества и недостатки использования Строгой аутентификации клиента
| Преимущества | Недостатки |
|---|---|
| Существенное снижение мошенничества в дистанционных платежах по картам | Дополнительная фрикция в процессе оплаты может увеличить отказ от покупки |
| Перенос ответственности: при успешной аутентификации ответственность за мошенничество обычно лежит на эмитенте | Зависимость от инфраструктуры банка‑эмитента: сбой приложения или SMS приводит к потере продажи |
| Рост доверия покупателей благодаря ощущению безопасности | Техническая сложность интеграции 3DS2 и корректного управления исключениями |
| Грамотное использование исключений (TRA, малые суммы) позволяет сохранить конверсию | Затраты на интеграцию и поддержку для платёжных шлюзов и мерчантов |
Ключевая задача — применять умную стратегию SCA: запускать полную аутентификацию только при повышенном риске и использовать исключения там, где это допускают модели риска. Такой баланс между безопасностью и удобством — основа высокой конверсии.
Отключение 3D Secure ради уменьшения фрикции — распространённая ошибка. Современный 3DS2 позволяет проводить операции без видимого вызова (challenge) при низком риске, сохраняя защиту от чарджбэков по мошенничеству.
Был ли этот термин полезным?
Оставить комментарий