İnternet üzerinden yapılan kartlı ödemelerde “Güçlü Kimlik Doğrulama (SCA)” AB Ödeme Hizmetleri Direktifi (PSD2)’nin bir gerekliliğidir. Bu gereklilik, elektronik ödemelerin güvenliğini artırmak için ödemelerin çok faktörlü kimlik doğrulama ile yapılmasını sağlar.
Özellikle ödemelerin dijitalleşmesiyle birlikte dolandırıcılık sayısı ve dolandırıcılığa konu olan para miktarı da önemli ölçüde arttı. Dijitalleşmeyi artıran pandemi öncesinde Hindistan Merkez Bankası’nın 2018–19 verilerine göre dolandırıcılık sayısı yüzde 15 artarken, dolandırıcılığa konu olan para miktarı da yüzde 74 arttı. Business Insider’a göre dünyanın en büyük 5 bankası dolandırıcılık nedeniyle yaklaşık 65 milyar dolar kaybetti. Pandemi sırasında, hesap devralma olarak dolandırıcılık 2019'da %34 iken 2020'de %54'e yükseldi. Çevrimiçi dolandırıcılıkların şirketlerin kârlarının %1,8'ine mal olduğu da tahmin edilen veriler arasında bulunuyor. Verilere baktığımızda dijitalleşme ile birlikte çevrimiçi işlemler için daha gelişmiş güvenlik sistemlerinin gerektiğini söyleyebiliriz.
Bir diğer yandan finans sektörünün en önemli oyuncularından olan bankalar, ülkelerin makro ekonomik performansını doğrudan etkileyebilecek finansal kuruluşlar olarak biliniyor. Ülkelerin makro ekonomik durumuna bu kadar etki eden kuruluşların kontrol edilmesi ve düzenleyici anlamda belirli sınırlar içinde tutulması, devlet yetkililerinin olası krizleri önlemek için aldığı tedbirler arasında bulunuyor.
Bankalar, yetkililerin tahmin ettiğinden daha yüksek risk alma potansiyelinde olsalar dahi iş performansı ve karlılıkları, risk faktörleri ile orantılı olarak değişme eğilimindedir. Bu nedenlerden dolayı bankalar ciddi risk değerlendirme süreçlerine sahiplerdir.
Bankalar devlet otoriteleri tarafından sıkı bir şekilde denetlenirken, şirket anlayışlarını bu denetim öncülleri doğrultusunda geliştirmişlerdir. Bu denetim mekanizmaları ve üstün nitelikli düzenlemeler finans sektöründe inovasyon ihtiyacını ortaya çıkarmıştır. Gelişmiş kullanıcı deneyiminin sağladığı faydaların çeşitli gelişim fırsatlarını da beraberinde getirdiğini düşündüğümüzde, finans sektörü inovasyon konusunda yetersiz kalmaya başlamış ve bu durum sektörle ilgili yeni arayışların da önünü açmıştır. Fintech şirketleri ise ürettikleri yenilikçi çözümlerle birlikte sektörde büyük bir açığı kapatmayı amaçlayan kuruluşlar olarak ön plana çıkıyorlar.
Üçüncü kaynaklar, bireylerin alışveriş deneyimini zenginleştiren yenilikçi çözümler sunarken güvenlikten de ödün vermemeleri gerekiyor. Kişilerin gizli finansal verileri hassas bir yapıya sahip olduğundan dolayı fintech’lerin regülasyonlara uygun çözümler üretmeleri gerekiyor. Fintech endüstrisinin sunduğu inovasyon günümüzde bir ihtiyaç iken, artan oyuncu sayısı güvenlikle ilgili bazı soruları da beraberinde getiriyor. PSD2, sektördeki fintech oyuncularının önünü açarken gerekli kıldığı Güçlü Kimlik Doğrulama Sistemi ile de dijitalleşme nedeniyle artan dolandırıcılık oranlarının en aza indirilmesini hedefliyor. SCA yani Güçlü Kimlik Doğrulama’nın işleyiş sürecini gelin birlikte inceleyelim.
En az iki veya daha fazla faktörlü kimlik doğrulama aşağıdaki şekilde sınıflandırılır:
Çevrimiçi bir işlemin Güçlü Kimlik Doğrulama (SCA) gereklilikleriyle uyumlu olması için kullanıcıların yukarıdaki bilgilerden en az ikisini kullanarak kimliğini doğrulaması gerekmektedir.
Müşterilerin kimlik doğrulaması ise şu durumlarda başlatılmalıdır;
- Müşterinin ödeme hesabına giriş yapması
- Elektronik ödeme başlatması
- Ayrı bir kanal kullanılsa bile ödeme güvenliği açısından dolandırıcılık riski oluşturan bir eylemin olması
Elektronik ödeme yöntemlerinin çok çeşitli olması ve Güçlü Kimlik Doğrulama şartının her işlemde yerine getirilememesi uyum süreçlerinde eksikliklere neden olmaktadır. Bu ve bazı durumlarda riskin belli bir seviyenin altında olması sebebiyle Güçlü Kimlik Doğrulama uygulanmayacak işlemler için bir “muafiyet listesi” hazırlanmış ve yayınlanmıştır. Oluşturulan muafiyet listesinde risk analizi ile yapılan işlemler, düşük tutarlı ödemeler, yinelenen ödemeler, kurumsal ödemeler, gibi SCA şartının dışında kalan işlemlere detaylı şekilde yer veriliyor. Elimizdeki verilere göre AB’de SCA şartının dışında tutularak gerçekleşen işlemler 2020’nin dördüncü çeyreğinde %12 iken Nisan 2021’e kadar olan süreçte ise %35 oranında olduğu görülmüştür. Verileri incelediğimizde muafiyet listesinde SCA şartı olmadan gerçekleştirilen işlemlerin hacminin arttığını görüyoruz. En sık uygulanan SCA muafiyetleri risk analizi ile yapılan işlemlerde olmuş ve bunu devamında düşük tutarlı işlemler, tekrarlanan işlem muafiyetleri izlemiştir.
Güçlü Kimlik Doğrulama (SCA)’nın Satışlara Etkisi
Elektronik ödeme işlemleri, belirli uzmanlık alanlarına sahip çok sayıda oyuncunun dahil olduğu karmaşık yapılar üzerine kuruludur. Bu yapıda, işletmelerin belki de en son isteyeceği şey, işlemlerdeki bir veya daha fazla oyuncunun hatası veya eksikliğinden dolayı işlemin satışa dönmemesi ve hata almasıdır. Bu, Güçlü Kimlik Doğrulama (SCA)’nın en büyük risklerinden biridir. Bu risk ile beraber işletmeler, daha fazla satışın reddedilme veya terk edilme durumuyla karşı karşıya kalmaktadırlar. Barclaycard Payments’tan elde edilen veriler, İngiltere’de SCA’nın zorunlu hale gelmesinden bu yana günde 4,3 milyon sterlin değerinde 22.000'den fazla işlemin reddedildiğini gösteriyor. Açıklanan verilerde Perakende satıcılarının ise Güçlü Kimlik Doğrulama (SCA) kurallarına tam olarak uymamaları nedeniyle şimdiye kadar 130 milyon sterlin değerinde satış kaybettiğini görüyoruz.
Güçlü kimlik doğrulama ile doğrulama yükümlülüklerinin artması ve iki faktörlü doğrulamanın gerekliliği, tüketicilerin sağlaması gereken bilgi veya verileri artırarak doğrulama sürecini uzatıyor ve satın alma deneyimini olumsuz etkileyebiliyor. Bunun sonucunda ise ödemeler daha güvenli hale gelirken internet alışverişlerinde iptal oranlarının da artacağı öngörülüyor. İptal oranlarının artması ise satışların azalması anlamına gelirken ayrıca verimsizlikler ve kötü müşteri deneyimi marka algısına da zarar verebiliyor. Bu sebeple, SCA bir gereklilik olmadan önce, ödeme sırasında sürtünme yaşanması ve alışveriş terk etme oranının yüksek olmasından dolayı perakende ve pazar yerlerinin çoğu güçlü kimlik doğrulama öğelerini kullanmayı tercih etmiyordu.
Elimizdeki verilere göre SCA gereksinimleri kapsamında müşterilerin kimliklerinin doğrulamaları istendiğinde tarayıcı tabanlı işlemlerin %14'ünü ve uygulama tabanlı işlemlerin %25'ini terk ettiği görüldü. Ancak bu kayıpları önleyecek ve sürtünmesiz bir alışveriş deneyimi yaşatacak bir fintech çözümü var: 3D Secure 2 Teknolojisi.
3D Secure, Güçlü Kimlik Doğrulama’yı destekleyen ve ödeme akışına sahip tüm kuruluşların uyum sağlamaları gereken bir teknoloji olarak karşımıza çıkıyor. 3D Secure, kullanıcılara PSD2 uyumlu Güçlü Kimlik Doğrulama’nın gerekliliklerini karşılayacak bir sistem sağlarken dolandırıcılık (fraud) riskini azaltarak son kullanıcıya da akıcı bir ödeme deneyimi yaşatıyor.
Bu yazımızda son zamanlarda ödeme dünyasının gündeminde olan Güçlü Kimlik Doğrulama’yı sizlere aktardık.
Ödeme teknolojilerinin geleceğini merakla bekliyor ve yakından takip etmeye devam ediyoruz. Gelecek yazılarımızda görüşmek üzere, keyifli okumalar :)
