Niebawem, we wrześniu 2019 r., w wyniku zmian wynikających z wymogów Ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz

niektórych innych ustaw (PSD2) Klienci posiadający karty Grupy BPS i korzystający z Kartosfery zauważą jej nowe funkcje, takie jak:

• dodanie drugiego czynnika uwierzytelnienia w postaci kodu PIN dla transakcji internetowych – jeden dla Użytkownika, niezależnie od posiadanej liczby kart,
• dodanie możliwości ustanowienia „Zaufanego Akceptanta” i wykonywanie transakcji u tego Akceptanta bez silnego uwierzytelniania.

Docelowo, w ciągu kilku miesięcy, zostanie usunięty wymóg „aktywacji” zabezpieczenia 3DS na rzecz automatycznego włączenia zabezpieczenia dla wszystkich kart. Podczas dokonywania transakcji internetowej Klient zostanie poproszony o podanie „kodu PIN do transakcji internetowych” – co będzie pierwszym etapem uwierzytelnienia. W przypadku poprawnego wprowadzenia kodu PIN, Klient jako drugi czynnik uwierzytelnienia otrzyma znany już jednorazowy kod SMS.

Spodziewane są następujące scenariusze przebiegu takiej transakcji:

• Klient, który zdefiniował kod PIN w Kartosferze, realizując transakcję u Akceptanta z regionu EOG¹⁾ dostosowanego do 3DS, otrzyma prośbę o podanie kodu PIN. Po podaniu poprawnego PIN-u, zostanie poproszony o wpisanie otrzymanego kodu SMS;
• Klient, który zdefiniował kod PIN w Kartosferze, realizując transakcję u Akceptanta z regionu EOG dostosowanego do 3DS, otrzyma prośbę o wprowadzenie kodu SMS (taki scenariusz będzie występował w przypadku wydłużenia okresu dostosowawczego przez UKNF w okresie przejściowym);
• Klient, realizując transakcję u Akceptanta spoza regionu EOG lub niedostosowanego do żadnego protokołu 3DS, nie zostanie zobowiązany do uwierzytelnienia kodem PIN lub SMS – transakcja przebiegnie w oparciu o dane karty (numer, data ważności, CN/C/CW2).

Transakcje inicjowane przez Akceptantów są poza regulacją i nie będą wymagały uwierzytelnienia (np. polecenie zapłaty rachunku za prąd, transakcje cykliczne itp.). W Kartosferze, w zakładce „3DS”, pojawi się lista transakcji internetowych Klienta, w których doszło do uwierzytelnienia. Przy każdej z nich będzie przycisk pozwalający na oznaczenie danego Akceptanta jako „Zaufanego”, czyli niewymagającego uwierzytelnienia przy kolejnych transakcjach.

Przykładowo, gdy Klient regularnie wykonuje transakcje u określonego usługodawcy, który nie umożliwia zapisania danych karty w swoim portalu, to będzie mógł oznaczyć danego usługodawcę jako „Zaufanego” i kolejne transakcje wykonywać, podając jedynie dane swojej karty, a transakcja przebiegnie szybciej. Usługa ta może być także wykorzystana gdy Klient nie chce zapisywać danych swojej karty w obawie o potencjalny wyciek informacji.

Klient będzie mógł określić parametry graniczne dla transakcji realizowanych w ramach „Zaufanych", tzn. ograniczyć czas i kwotę, np. ustalając „Zaufanego Akceptanta”, np. zooplus.pl, do kwoty 150 zł na 14 dni, autoryzacje o parametrach czasu i kwoty niższych od zdefiniowanych odbędą się bez uwierzytelnienia, zaś każda transakcja przewyższająca 150 zł będzie wymagała pełnego zestawu metod uwierzytelnienia stosowanych przez Bank, w przypadku Grupy BPS – kodu PIN, SMS.

Wyłączenia przewidziane przez Grupę BPS to:

• transakcje wykonane u „Zaufanych Akceptantów”
• transakcje cykliczne
• transakcje zbliżeniowe poniżej 50 zł.

^{1) EOG (EUROPEJSKI OBSZAR GOSPODARCZY: Austria, Belgia, Bułgaria, Chorwacja (nie w pełni), Cypr, Czechy, Dania, Estonia, Finlandia, Francja, Grecja, Hiszpania, Holandia, Islandia, Liechtenstein, Litwa, Luksemburg, Łotwa, Malta, Niemcy, Norwegia, Polska, Portugalia, Rumunia, Słowacja, Słowenia, Szwecja, Węgry, Wielka Brytania, Włochy.}