״האימות המוגבר״ המבוסס על רגולצית הPSD2 שנכנסה לתוקף באיחוד הארופאי לפני כשנתיים כעת מומלץ גם על ידי בנק ישראל.

לפני כשלוש שנים (אולי קצת יותר), הובלתי את הכנסת הרגולציה החדשה לחברה והתחלנו לעבוד על הפיתוחים והכנות האתרים לקראת בואה של המפלצת,The conversion rate killer או בשמה הרשמי PSD2.

הכל נעשה כדי שנהיה מוכנים ונמזער את נזקיה הצפויים. וכשזו הגיעה, היינו בכוננות ממשית, ניטרנו את האתרים ללא הרף ואנשי הפיתוח והדאטה שלנו ושל הסולקים עבדו יחד כדי לוודא שהסליקה ממשיכה ללא בעיות.

לאחרונה, בטח שמעתם הרבה על ״האימות המוגבר״ שבנק ישראל פרסם בסרטונים ברשת (מומלץ לצפות), אני אנסה לתמצת מיהי המפלצת ואולי היא בכלל לא מפלצת אחרי הכל.

וכמובן כמו תמיד, מי שרוצה מוזמן לפנות אלי ליותר מידע.

״האימות המוגבר״ (Strong Customer Authentication) מבוסס על רגולצית הPSD2 שנכנסה לתוקף באיחוד הארופאי לפני כשנתיים וחייבה את כל מי שקשור לעסקה האינטרנית (עסק, סולק, מנפיק, לקוח) לעשות את ההתאמות הנדרשות.

מה הרגולציה הזו אומרת בעצם?

האיחוד האירופאי יצר הגדרת בסיס הנקראת SCA (Strong Customer Authentication) המקבילה בעצם לעקרון ״האימות המוגבר״.

למעשה, כדי להגן על בעל העסק והלקוחות מהונאות, יש לאמת את זהות מבצע העסקה באמצעים השונים העומדים לרשות בעל העסק, המנפיק והלקוח.

וכאשר מתקיימים 2 מ-3 הקריטריונים הבאים (המיוחסים ללקוח עצמו כמובן) תאושר העסקה:

1. משהו שהוא יודע- כמו סיסמה, קוד.

2. משהו שזה הוא- טביעת אצבע, זיהוי פנים וכד׳ (ת.ז לא נכנסת לקטגוריה).

3. משהו שיש לו- טלפון נייד וכד׳.

כשהעסקה תושלם על פי 2 קריטריונים, האחריות לעסקה תהיה של הלקוח והוא לא יוכל להכחיש אותה.

לפי איזה פרוטוקול יש להטמיע את ההמלצה?

3D SECURE Ver. 2.2

פרוטוקל זה יודע לשלוח נתונים על העסקה ומבצע העסקה מבית העסק (האתר) למנפיק, לפעמים בשילוב הלקוח, ובאמצעות נתונים אלו מבוצעת הערכת הסיכונים של העסקה עד לאישורה, במקרים מסוימים מבלי שהלקוח יודע שבוצעה הערכת הסיכונים ובאחרים, היא תופנה ללקוח להשלמת אימות העסקה (למשל בהתאם לקריטריון 1 ע״י הזנת קוד).

הנתונים המועברים יכילו מידע כגון: מכשיר, מיקום, סכום קניה ועוד.

מה השפעת הפרוטוקול על ביצועי העסק?

באירופה ראינו ירידה באחוזי האישורים של עסקאות (במיוחד בהתחלה עד שכולם, כולל הבנקים למדו את התהליכים) אבל גם ראינו ירידה חדה בהונאות האשראי.

מה בעל העסק צריך לעשות עכשיו?

אציין כי בישראל כרגע זו רק המלצה ואינה חובה כפי שהיא באיחוד האירופאי ובית העסק יחליט אם הוא רוצה להטמיע את ההמלצה או לא.

עוד אציין כי ההתנהגות הצרכנית בישראל ובאירופה מאוד שונה והשימוש ב3DS בישראל הפך נפוץ יותר ויותר ולכן כל בעל עסק צריך לעשות את שיקוליו כשמצד אחד יש הונאות ומהצד השני CVR.

דיקלה שרעבי

מומחית למסחר בינלאומי, לוגיסטיקה וסליקה

Dmelio

——————

מי שטרם הצטרף לקבוצת הסליקה שלנו בוואטצאפ מוזמן לשלוח לי הודעה ואצרף אותו.