Projektrregullorja “Për autentifikimin e thelluar të klientit dhe standardet e përbashkëta, të hapura dhe të sigurta të komunikimit”, që ka si objekt përcaktimin e kërkesave që duhet të plotësohen nga ofruesit e shërbimeve të pagesave, me qëllim zbatimin e masave të sigurisë, për zbatimin e procedurës së autentifikimit të thelluar të klientit, në përputhje me nenin 90 të ligjit.
Gjithashtu, rregullorja parashikon vendosjen e standardeve të përbashkëta, të hapura dhe të sigurta të komunikimit ndërmjet ofruesve të shërbimeve të ndryshme të pagesës. Kjo rregullore është e lidhur ngushtë me konceptin e bankingut të hapur, që është një ndër risitë kryesore të ligjit të ri.
Ai mundëson që klientët të realizojnë shërbime pagesash nga llogaria e tyre bankare edhe nëpërmjet institucioneve të tjera financiare dhe jo domosdoshmërisht nëpërmjet bankës ku kanë llogarinë. Mbi këtë bazë, çdo zotërues i një llogarie bankare mund të marrë informacion mbi gjendjen e llogarisë dhe të iniciojë pagesa edhe nga një institucion financiar i ndryshëm nga banka, i licencuar për këto shërbime.
Autentifikimi i thelluar nënkupton kriteret e sigurisë që duhen përmbushur, në mënyrë që klienti të aksesojë llogarinë e tij bankare nëpërmjet një institucioni tjetër financiar. Projektrregullorja parashikon që ofruesit e shërbimeve të pagesave të disponojnë mekanizma të monitorimit të transaksioneve, që u mundësojnë atyre zbulimin apo identifikimin e transaksioneve të pagesave të paautorizuara ose me qëllime mashtrimi.
Këto mekanizma do të bazohen në analizën e transaksioneve të pagesave, duke marrë parasysh elementët që janë tipikë për përdoruesit e shërbimeve të pagesave në rrethanat e një përdorimi normal të kredencialeve të personalizuara të sigurisë. Zbatimi i masave të sigurisë të parashikuara duhet të dokumentohet, testohet periodikisht, vlerësohet dhe auditohet nga kontrolli i brendshëm ose auditorë të jashtëm, me ekspertizë në sigurinë e teknologjisë së informacionit dhe pagesave, të cilët janë të pavarur nga pikëpamja operacionale brenda ofruesit ose nga ofruesi i shërbimeve të pagesave.
Projektrregullorja përcakton se autentifikimi i thelluar duhet të bazohet në dy ose më shumë elementë të pavarur. Kodi i autentifikimit duhet të pranohet vetëm një herë nga ofruesi i shërbimeve të pagesave, në rastet kur paguesi përdor kodin e autentifikimit për të aksesuar hyrë në llogarinë e tij të pagesës online, për të iniciuar një transaksion elektronik pagese.
Ofruesit e shërbimeve të pagesave duhet të zbatojnë masa sigurie, të cilat sigurojnë që kodi i autentifikimit nuk mund të falsifikohet dhe të mos jetë e mundur të gjenerohet një kod i ri autentifikimi, bazuar në njohurinë e ndonjë kodi tjetër autentifikimi të gjeneruar më parë.
Numri i tentativave të dështuara të autentifikimit që mund të ndodhin njëra pas tjetrës, pas së cilave bllokohet përkohësisht ose përgjithmonë aksesi, nuk duhet të jetë më shumë se pesë, brenda një periudhe të caktuar kohore. Pasi përdoruesi të jetë autentifikuar për të aksesuar online në llogarinë e tij të pagesës, koha maksimale pa aktivitet nuk duhet të kalojë pesë minuta.
Nga ana tjetër, projektrregullorja parashikon edhe disa raste kur ofruesit e shërbimeve të pagesave mund të mos zbatojnë autentifikimin e thelluar të klientit. Raste të tilla mund të jenë kur paguesi inicion një transaksion pagese elektronike pa kontakt (contactless), nëse shuma individuale e transaksionit të pagesës elektronike pa kontakt nuk tejkalon 3 mijë lekë, kur shuma e transaksioneve të mëparshme të pagesave elektronike pa kontakt nga data e zbatimit të fundit të autentifikimit të thelluar të klientit nuk tejkalon 10 mijë lekë, ose kur numri i transaksioneve të njëpasnjëshme të pagesave elektronike pa kontakt që nga zbatimi i fundit i autentifikimit të thelluar të klientit nuk është më i lartë se pesë.
Përjashtim nga autentifikimi i thelluar mund të bëhet edhe në rastet kur paguesi inicion një transaksion pagese elektronike në distance me vlerë deri në dy mijë lekë, kur shuma kumulative e transaksioneve të mëparshme të pagesave elektronike të iniciuara nga paguesi, që nga zbatimi i fundit i autentifikimit të thelluar të klientit, nuk tejkalon gjashtë mijë lekë ose kur numri nuk i kalon pesë transaksione individuale të njëpasnjëshme.
Përjashtim tjetër nga autentifikimin i thelluar i klientit mund të bëhet kur paguesi inicion një transaksion pagese elektronike në një terminal pagese të pambikëqyrur, për shembull, për qëllime të pagimit të një pagese transporti ose një tarife parkimi.
Gjithashtu, ofruesit e shërbimeve të pagesave mund të mos zbatojnë autentifikimin e thelluar të klientit, në rastet kur paguesi inicion një transaksion pagese dhe përfituesi përfshihet në një listë të përfituesve të besuar të krijuar më parë nga paguesi.
Përjashtimet nga autentifikimi i thelluar i klientit në shumicën e rasteve janë në funksion të shërbimeve të pagesave të shpejta, të llojit instant payment. Pagesa të tilla mund të kryhen nëpërmjet kartave, pajisjeve inteligjente wearable (psh ora, byzylykë, etj) por edhe nëpërmjet teknologjisë së QR Code nga telefonat celularë, teknologji që po fiton gjithnjë e më shumë terren në vitet e fundit.
