Jeszcze do niedawna skrót SCA nie powodował większych nieporozumień. W świecie podpisu elektronicznego oznaczał Signature Creation Application, czyli aplikację do składania podpisu. A w świecie płatności było to Strong Customer Authentication, czyli silne uwierzytelnienie klienta.
Skąd taki podział? Te dwa znaczenia równolegle funkcjonowały obok siebie, bo mówiły o nich różne środowiska: dostawcy usług zaufania oraz banki i dostawcy usług płatniczych. Jednak dzisiaj oba te światy spotykają się w jednym miejscu: Europejskim Portfelu Tożsamości Cyfrowej. Unijne ramy EUDI Wallet zakładają, że portfel ma służyć zarówno do uwierzytelniania, jak i do składania prawnie skutecznych e-podpisów. Komisja Europejska wskazuje wprost, że portfel ma umożliwiać uwierzytelnianie, podpisywanie oraz użycie w wielu codziennych sytuacjach, w tym także w przypadku usług bankowych i płatności.
SCA jako Signature Creation Application
Zacznijmy od pierwszego znaczenia skrótu SCA, czyli Signature Creation Application. Jest to po prostu aplikacja, która uczestniczy w procesie składania podpisu elektronicznego. Norma ETSI EN 319 102-1 opisuje ją jako część systemu tworzenia podpisu, który wykorzystuje urządzenie do składania podpisu zawierające klucz do składania podpisu. W praktyce oznacza to, że aplikacja do podpisu nie jest samym kluczem ani samym urządzeniem kryptograficznym. To raczej „biurko do podpisu”: miejsce, w którym użytkownik widzi dokument, wybiera parametry podpisu, uruchamia proces, a system przygotowuje dane do podpisania i buduje finalny obiekt podpisu. Norma wskazuje też, że taka aplikacja do składania podpisu może działać:
• na komputerze,
• na urządzeniu mobilnym,
• jako usługa webowa, albo
• jako część większej usługi.
W tym sensie SCA „od podpisu” dba przede wszystkim o bezpieczeństwo i poprawność procesu podpisywania. To ona zbiera dokument lub jego reprezentację, przygotowuje dane do podpisania, dołącza potrzebne atrybuty, uruchamia podpis po stronie urządzenia lub modułu kryptograficznego i zwraca gotowy wynik.
W kwalifikowanych usługach zaufania taka aplikacja bardzo często jest dostarczana przez kwalifikowanego dostawcę usług zaufania albo jest przez niego kontrolowana. Dlatego użytkownik widzi zwykle prosty ekran „podpisz dokument”, ale pod spodem działa cały uporządkowany proces, opisany standardami ETSI.
SCA Strong Customer Authentication
Drugie znaczenie skrótu SCA jest zupełnie inne. SCA rozumiany jako Strong Customer Authentication pochodzi z rynku płatniczego i z przepisów PSD2 (Payment Services Directive 2). Dyrektywa definiuje je jako uwierzytelnienie oparte na co najmniej dwóch elementach z trzech kategorii:
• wiedza (coś, co użytkownik wie),
• posiadanie (coś, co użytkownik ma),
• cechy użytkownika (coś, czym użytkownik jest).
Te elementy mają być od siebie niezależne, tak aby przełamanie jednego, nie osłabiało pozostałych. PSD2 wymaga stosowania takiego uwierzytelnienia m.in. wtedy, gdy użytkownik uzyskuje dostęp do rachunku online, inicjuje elektroniczną transakcję płatniczą albo wykonuje zdalną czynność, która może rodzić ryzyko nadużycia.
W przypadku zdalnych płatności samo „potwierdzenie, że to ja” nie wystarcza. Dlatego przepisy PSD2 i wykonawcze standardy techniczne wprowadzają jeszcze wymóg tzw. dynamicznego powiązania. Oznacza to, że kod uwierzytelniający ma być powiązany z konkretną kwotą i konkretnym odbiorcą. Jeśli zmieni się kwota albo odbiorca, kod ma przestać działać. To bardzo praktyczny mechanizm bezpieczeństwa: nie chodzi tylko o zalogowanie się klienta, ale też o to, aby potwierdzał on dokładnie tę konkretną transakcję, którą widzi na ekranie.
Warto też pamiętać, że w świecie płatności, odpowiedzialność za SCA spoczywa na dostawcy usług płatniczych: banku, wydawcy karty albo innym PSP (dostawcy usług płatniczych). Europejski Urząd Nadzoru Bankowego (European Banking Authority) wyjaśniał już, że także w przypadku portfeli cyfrowych, wymagane jest SCA np. przy dodawaniu karty do portfela i przy inicjowaniu transakcji kartą zdigitalizowaną.
Jeden skrót, dwa znaczenia
I tu dochodzimy do sedna: oba skróty SCA brzmią identycznie, ale oznaczają coś zupełnie innego. Jeden dotyczy składania podpisu, drugi uwierzytelnienia klienta w usługach płatniczych. Jeden wyrósł ze świata e-podpisu i usług zaufania, drugi z regulacji finansowych i bezpieczeństwa płatności. Przez lata nie było z tym problemu, bo te dwa rozwinięcia rzadko się przecinały. Jednak dziś portfel cyfrowej tożsamości sprawia, że zaczynają działać obok siebie w jednym ekosystemie.
Europejskie przepisy o portfelu idą zresztą bardzo daleko. Zmienione rozporządzenie eIDAS przewiduje, że Europejski Portfel Tożsamości Cyfrowej ma umożliwiać tworzenie i używanie kwalifikowanych podpisów elektronicznych uznawanych w całej Unii Europejskiej, a państwa członkowskie mają oferować osobom fizycznym możliwość podpisywania kwalifikowanym podpisem domyślnie i bezpłatnie. Jednocześnie portfel ma służyć do bezpiecznego uwierzytelniania i potwierdzania tożsamości przy korzystaniu z usług cyfrowych, także w scenariuszach bankowych i płatniczych.
To właśnie dlatego oba znaczenia SCA zaczynają się dziś realnie spotykać. Co więcej, SCA-Sign może wzmacniać SCA-Pay. Dobrze zaprojektowana aplikacja do podpisu porządkuje cały proces autoryzacji:
• pokazuje użytkownikowi, co dokładnie zatwierdza,
• jakie dane są objęte operacją,
• kto jest stroną,
• jaki jest kontekst prawny i techniczny.
To bardzo bliskie temu, czego oczekuje rynek płatniczy przy silnym uwierzytelnieniu i dynamicznym powiązaniu transakcji. Innymi słowy: technologie rozwijane przez lata dla bezpiecznego podpisu elektronicznego mogą pomóc także w budowaniu lepszych, bardziej przejrzystych i bezpiecznych procesów autoryzacji w finansach. To nie znaczy, że podpis zastąpi PSD2-owe (Payment Services Directive 2) SCA, ale może stać się ważnym elementem szerszej architektury zaufania.
SCA vs SCA – co będzie największym wyzwaniem?
Największym wyzwaniem nie będzie sama technologia, ale język i dobre wzajemne zrozumienie. Dziś, kiedy przedstawiciel banku mówi „SCA”, zwykle ma na myśli uwierzytelnienie klienta zgodnie z PSD2. Z kolei, gdy specjalista od podpisu używa skrótu „SCA”, ma na myśli aplikację do składania podpisu. W świecie EUDI Wallet obie strony będą musiały nauczyć się rozmawiać precyzyjniej. Być może trzeba będzie częściej używać określeń SCA-Sign i SCA-Pay, aby od razu było jasne, o którym z tych dwóch światów mówimy.
Dobra wiadomość jest jednak taka, że spotkanie tych dwóch znaczeń SCA, wcale nie musi być problemem. Może stać się szansą. Europejski Portfel Tożsamości Cyfrowej może stać się miejscem, w którym rynek płatności i rynek usług zaufania zaczną korzystać ze wspólnych mechanizmów bezpieczeństwa, wspólnego podejścia do odpowiedzialności i wspólnego języka zaufania. A to z kolei może stać się jedną z najciekawszych zmian, jakie przyniesie europejska transformacja tożsamości cyfrowej.
Data publikacji: 15.04.2026