Tiêu chuẩn đảm bảo an toàn trong giao dịch điện tử và thanh toán trong giao dịch Ngân hàng (Phần 3)
PSD2 – Chỉ thị dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu
Quá trình số hóa và chuyển đổi số trong nền kinh tế của EU đem tới nhiều thành phần tham dự vào thanh toán điện tử (ví dụ: tiền ảo, ví điện tử), đồng hành cùng các rủi ro mới nhằm ngoài các văn bản luật hiện hành. Cùng sự phê chuẩn bộ Quy định eIDAS, Liên minh Châu Âu soạn thảo Chỉ thị Dịch vụ Thanh toán sửa đổi PSD2 (tên đầy đủ “Payment Service Directive 2 – Directive 2015/2366) thay thế cho Chỉ thị 2007/64/EC lần đầu vào tháng 7 năm 2013 và chính thức có hiệu lực trên toàn lãnh thổ vào tháng 9 năm 2019.
Chỉ thị Dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu nhằm mục đích tăng cường tính bảo mật trong thanh toán điện tử, cải thiện khả năng bảo vệ người tiêu dùng, nâng cao động lực đổi mới sáng tạo và tính cạnh tranh – đồng thời đảm bảo môi trường công bằng cho tất cả các thành phần tham gia vào mô hình giao dịch điện tử (bao gồm cả những đối tượng không được quy định trong phiên bản đầu tiên của Chỉ thị Dịch vụ Thanh toán)
Nội dung chính
Chỉ thị Dịch vụ Thanh toán sửa đổi có tổng cộng 117 điều khoản, bao hàm những điều khoản chính như sau:
– Tăng cường tính minh bạch trong thanh toán điện tử thông qua việc cho phép các tổ chức được ủy quyền truy cập thông tin khách hàng, sử dụng thông tin khách hàng để thu hộ chi hộ (XS2A – Access service to Account). Việc truy cập này được cho phép qua API, nhờ đó giảm thiểu thời gian và quy trình thanh toán điện tử một khi bên thứ ba được ủy quyền thực hiện giao dịch trực tiếp với ngân hàng/tổ chức tín dụng. Tuy nhiên, hiện tại chưa có một cổng Open API chung cho toàn Liên minh Châu Âu mà các ASPSP (các ngân hàng) sử dụng API của riêng mình, tạo nên khó khăn nhất định khi tiếp cận dịch vụ XS2A do số lượng API phát sinh là rất lớn.
– Tăng cường định nghĩa về các thành phần mới trong thanh toán điện tử của nền kinh tế số, bao gồm:
- Nhà cung cấp dịch vụ thanh toán bên thứ ba (TPP – Third Party Payment Service Providers): các tổ chức tham gia thanh toán trên danh nghĩa của khách hàng. Trong PSD2, các tổ chức này có thể thực hiện dưới danh nghĩa “Nhà cung cấp dịch vụ thông tin khách hàng” hoặc “Nhà cung cấp dịch vụ khởi tạo thanh toán”.
- Nhà cung cấp dịch vụ quản lý tài khoản trong thanh toán (ASPSP –Account Servicing Payment Service Providers): các tổ chức cung cấp và cho phép sử dụng tài khoản tài chính (ví dụ: ngân hàng). Các ASPSP có thể là ngân hàng hoặc tổ chức tín dụng…
- Nhà cung cấp dịch vụ thông tin khách hàng (AISP – Account Information Service Providers): các tổ chức này thống kê tài khoản thanh toán vào một điểm truy cập duy nhất nhằm giúp khách hàng quản lý tài chính tốt hơn (ví dụ: tổ chức quản lý tài chính).
- Nhà cung cấp dịch vụ khởi tạo thanh toán (PISP – Payment initiation Service Provider): các tổ chức cho phép thực hiện thanh toán giao dịch điện tử thông qua phương pháp online (ví dụ: ví điện tử).
– Tăng cường tính bảo mật trong thanh toán điện tử thông qua quy định bắt buộc áp dụng Xác thực Định danh Tăng cường (SCA – Strong Customer Authentication) đối với thanh toán điện tử thực hiện trong lãnh thổ Châu Âu. Với PSD2, để đạt quy định về xác thực định danh tăng cường cần có 2 trong 3 yếu tố: điều khách hàng biết – “Something you know” (ví dụ: mã pin), điều khách hàng có – “Something you own” (ví dụ: token) và điều khách hàng sở hữu riêng – “Something you are” (ví dụ: vân tay). Tuy những yêu cầu tăng cường về bảo mật trong SCA được đặt ra nhằm bảo vệ người sử dụng dịch vụ thanh toán điện tử, SCA cũng có những ngoại lệ không áp dụng để đảm bảo tính tiện lợi khi sử dụng dịch vụ, bao gồm:
- Giao dịch với giá trị dưới 30 EUR. Mặc dù vậy, SCA vẫn phải được áp dụng cho mỗi 5 lần giao dịch.
- Giao dịch định kỳ với khoản thanh toán cố định: trong PSD2 thì SCA chỉ được áp dụng với những giao dịch được khởi tạo bởi người dùng. Các giao dịch định kỳ (trả hóa đơn nhà, hóa đơn nước…) được coi là do nhà cung cấp dịch vụ khởi tạo, vì vậy không yêu cầu xác thực SCA sau lần thanh toán đầu tiên.
- Danh sách tin cậy (Whitelist): người sử dụng có thể kích hoạt tính năng “danh sách tin cậy” từ ngân hàng để không sử dụng SCA đối với nhà cung cấp thuộc danh sách.
- Giao dịch MOTO (Mail Order and Telephone Orders): các giao dịch gửi qua thư từ và điện thoại không thuộc phạm vi giao dịch điện tử, do đó không phải thực hiện xác thực SCA.
- Giao dịch liên khu vực: SCA không áp dụng cho giao dịch nếu người bán và người mua không nằm trong khu vực kinh tế chung Châu Âu.
- Giao dịch B2B: các giao dịch giữa công ty với công ty có thể được loại trừ SCA, tùy thuộc vào các luật giao dịch áp dụng với những trường hợp cụ thể.
PSD2 và eIDAS – Cách mạng hóa ngành Ngân hàng
Sự chấp thuận của Chỉ thị Dịch vụ Thanh toán điện tử sửa đổi PSD2 và Quy định về Định danh, Xác thực điện tử và Dịch vụ tin cậy eIDAS tạo nên hệ sinh thái về pháp lý hoàn chỉnh cho giao dịch điện tử. Với PSD2, các PISP và AISP có thể kết nối với ASPSP (ngân hàng, tổ chức tín dụng) để truy xuất thông tin khách hàng, và eIDAS cung cấp những tiêu chuẩn pháp lý và kỹ thuật để thực hiện các tác vụ này một cách an toàn, bảo mật, chống chối bỏ. Đồng thời, eIDAS cung cấp một hệ thống chuẩn hóa quy trình trên toàn mạng lưới, cho phép hoạt động liên thông không rào cản trên không gian mạng.
“Quy trình định danh điện tử cấp quốc gia e-ID đạt mức độ tin cậy “cao” theo eIDAS cho phép chứng thực danh tính điện tử để mở tài khoản ngân hàng tại mọi nước thành viên.“
Bên cạnh khả năng cung cấp nền tảng bảo mật và pháp lý để thực hiện tác vụ trong PSD2, Quy định eIDAS còn mang tới tiềm năng bổ trợ yêu cầu Xác minh Danh tính Khách hàng KYC (Know-your-customer) trong bộ luật Chống rửa tiền tại Châu Âu. Theo Chỉ thị Chống rửa tiền sửa đổi lần 5 (The 5th Anti-Money Laundering Directive), các ngân hàng và tổ chức tài chính tại Châu Âu có trách nhiệm Xác minh danh tính KYC, theo sát các giao dịch tài chính để duy trì mối quan hệ khách hàng. Tuy nhiên, yêu cầu KYC bắt buộc bao gồm xác minh mặt-đối-mặt tạo nên rào cản không nhỏ cho doanh nghiệp hoạt động xuyên biên giới tại EU. Về vấn đề này, Sách Xanh (Green Paper) của Châu Âu về dịch vụ tài chính đã đề xuất sử dụng mạng lưới định danh eIDAS để hỗ trợ quá trình KYC, cho phép định danh từ xa tại Node quốc gia được cài đặt tại các nước thuộc Liên minh Châu Âu.