Banka e Shqipërisë miraton rregulloren me standardet e sigurisë për pagesat elektronike

0 32

Këshilli Mbikëqyrës i Bankës së Shqipërisë miratoi këtë javë një nga rregulloret më të rëndësishme në mbështetje të ligjit të ri “Për shërbimet e pagesave” dhe që i hap rrugë zbatimit të konceptit të bankingut të hapur.

Rregullorja “Për autentifikimin e thelluar të klientit dhe standardet e përbashkëta, të hapura dhe të sigurta të komunikimit” krijon mundësinë për ofruesit e shërbimeve të pagesave dhe klientët e tyre që të përdorin të njëjtat shërbime dhe standarde të krijuara nga ofruesit e shërbimeve të pagesave në vendet e BE-së.

Autentifikimi i thelluar i klientit është një nga kërkesat e Direktivës Europiane të Pagesave (PSD2), të transpozuar në ligjin 55/2020 “Për shërbimet e pagesave” që synon të rrisë sigurinë dhe të minimizojë rrezikun e mashtrimit kryesisht në fushën e pagesave elektronike.

Ky proces bazohet në përdorimin e dy ose më shumë elementëve të kategorizuar si njohuri, posedim dhe qenësi, të cilët, duke qenë të pavarur, sigurojnë që shkelja e njërit prej elementëve nuk kompromenton besueshmërinë e elementëve të tjerë, si dhe sigurojnë mbrojtje të konfidencialitetit të të dhënave të autentifikimit të klientit.

Rregullorja është e lidhur ngushtë edhe me konceptin e bankingut të hapur, që është një ndër risitë kryesore të ligjit të ri. Ajo mundëson që klientët të realizojnë shërbime pagesash nga llogaria e tyre bankare edhe nëpërmjet institucioneve të tjera financiare dhe jo domosdoshmërish nëpërmjet bankës ku kanë llogarinë.

Mbi këtë bazë, çdo zotërues i një llogarie bankare mund të marrë informacion mbi gjendjen e llogarisë dhe të iniciojë pagesa edhe nga një institucion financiar i ndryshëm nga banka, i licencuar për këto shërbime.

Rregullorja parashikon që ofruesit e shërbimeve të pagesave të disponojnë mekanizma të monitorimit të transaksioneve, që u mundësojnë atyre zbulimin apo identifikimin e transaksioneve të pagesave të paautorizuara ose me qëllime mashtrimi.

Këto mekanizma do të bazohen në analizën e transaksioneve të pagesave, duke marrë parasysh elementët që janë tipikë për përdoruesit e shërbimeve të pagesave në rrethanat e një përdorimi normal të kredencialeve të personalizuara të sigurisë.

Zbatimi i masave të sigurisë të parashikuara duhet të dokumentohet, testohet periodikisht, vlerësohet dhe auditohet nga kontrolli i brendshëm ose auditorë të jashtëm, me ekspertizë në sigurinë e teknologjisë së informacionit dhe pagesave, të cilët janë të pavarur nga pikëpamja operacionale brenda ofruesit ose nga ofruesi i shërbimeve të pagesave.

Rregullorja përcakton se autentifikimi i thelluar duhet të bazohet në dy ose më shumë elementë të pavarur.

Kodi i autentifikimit duhet të pranohet vetëm një herë nga ofruesi i shërbimeve të pagesave, në rastet kur paguesi përdor kodin e autentifikimit për të aksesuar hyrë në llogarinë e tij të pagesës online, për të iniciuar një transaksion elektronik pagese. Ofruesit e shërbimeve të pagesave duhet të zbatojnë masa sigurie, të cilat sigurojnë që kodi i autentifikimit nuk mund të falsifikohet dhe të mos jetë e mundur të gjenerohet një kod i ri autentifikimi, bazuar në njohurinë e ndonjë kodi tjetër autentifikimi të gjeneruar më parë.

Numri i tentativave të dështuara të autentifikimit që mund të ndodhin njëra pas tjetrës, pas së cilave bllokohet përkohësisht ose përgjithmonë aksesi, nuk duhet të jetë më shumë se pesë, brenda një periudhe të caktuar kohore. Pasi përdoruesi të jetë autentifikuar për të aksesuar online në llogarinë e tij të pagesës, koha maksimale pa aktivitet nuk duhet të kalojë pesë minuta.

Nga ana tjetër, rregullorja parashikon edhe disa raste kur ofruesit e shërbimeve të pagesave mund të mos zbatojnë autentifikimin e thelluar të klientit.

Raste të tilla mund të jenë kur paguesi inicion një transaksion pagese elektronike pa kontakt, nëse shuma individuale e transaksionit të pagesës elektronike pa kontakt nuk tejkalon 3 mijë Lekë, kur shuma e transaksioneve të mëparshme të pagesave elektronike pa kontakt nga data e zbatimit të fundit të autentifikimit të thelluar të klientit nuk tejkalon 10 mijë Lekë, ose kur numri i transaksioneve të njëpasnjëshme të pagesave elektronike pa kontakt që nga zbatimi i fundit i autentifikimit të thelluar të klientit nuk është më i lartë se pesë.

Përjashtim nga autentifikimi i thelluar mund të bëhet edhe në rastet kur paguesi inicion një transaksion pagese elektronike në distancë me vlerë deri në dy mijë lekë, kur shuma kumulative e transaksioneve të mëparshme të pagesave elektronike të iniciuara nga paguesi, që nga zbatimi i fundit i autentifikimit të thelluar të klientit, nuk tejkalon gjashtë mijë Lekë ose kur numri nuk i kalon pesë transaksione individuale të njëpasnjëshme.

Përjashtim tjetër nga autentifikimin i thelluar i klientit mund të bëhet kur paguesi inicion një

transaksion pagese elektronike në një terminal pagese të pambikëqyrur, për shembull, për qëllime të pagimit të një pagese transporti ose një tarife parkimi. Gjithashtu, ofruesit e shërbimeve të pagesave mund të mos zbatojnë autentifikimin e thelluar të klientit, në rastet kur paguesi kryen një transaksion pagese dhe përfituesi përfshihet në një listë të përfituesve të besuar të krijuar më parë nga paguesi. Përjashtimet nga autentifikimi i thelluar i klientit në shumicën e rasteve janë në funksion të shërbimeve të pagesave të shpejta, të llojit instant payment.

Leave A Reply

Your email address will not be published.