Silné ověření uživatele při platbách: 5 věcí, které se od soboty (ne)změní

Zdroj: Stock Photos, card pay on Shutterstock

Od soboty 14. 9. 2019 vstupuje v platnost požadavek na tzv. silné ověření uživatele. Ten je součástí směrnice PSD2, kterou mají státy EU začít implementovat už od loňského ledna a která významně ovlivní nejen online platby, ale také placení kartami v obchodech. Směrnice žádá po bankách a platebních branách silné, dvoufázové ověření uživatele: při platbě kartou online i té realizované přes internetové bankovnictví. Cílem směrnice je především zvýšení bezpečnosti platebních transakcí a vytvoření jednotného trhu pro platební služby. Nově tak bude pro všechny online platby vyžadováno několik kroků, které mají zvýšit zabezpečení procesu. 

U nové směrnice se objevuje hlavně kritika nejednotného přístupu. „Na jedné straně se EU snaží v rámci regulace PSD2 (Payment Services Directive) o otevření bankovnictví (skrze otevřená API), ale na straně druhé tato regulace platby naopak omezí a znepříjemní,” říká František Havlín, spoluzakladatel firmy Trisbee, která provozuje stejnojmennou platební aplikaci.

„V základní rovině problémy vznikají tím, že není dán jednotný evropský systém digitální identifikace, který by byl založen na ověřených a důvěryhodných identitách, takové Bank ID jaké existuje například ve Švédsku,“ doplňuje Jan Šovar z AK FINREG PARTNERS.

1) Silné ověření: bez PINu, čtečky nebo face ID možná (v budoucnu) nezaplatíte

Podstatou silnějšího ověření uživatele požadovaného PSD2 je dvoufaktorové ověření spotřebitele. V jeho rámci bude nutné ověřit klienta pomocí dvou či více prvků z kategorií:

• Znalost (PIN, heslo, fráze,…)
• Držení (ověřený telefon, karta ověřená čtečkou, fyzický token…)
• Inherence (biometrické údaje, touch/face ID, pohyb, tep srdce, rozpoznání hlasu…)

U plateb na internetu se dá zjednodušeně říct, že hlavní změnou je to, že smska již není prvkem silného ověření. „Již dnes vede standardní 3DSecure ochrana k opuštění košíku ve zhruba 8 % případů. Silné způsoby ověření, ať bude implementace sebelepší, tuto hodnotu krátkodobě zvýší klidně až na dvojnásobek,“ vysvětluje CEO služby Mall Pay, Adam Kolesa a dodává: „Přičemž to „krátkodobě“ může podle frekvence nákupů znamenat pár týdnů i měsíců. Velké e-shopy se z podstaty věci dokážou na podobnou událost finančně i technologicky připravit, pro malé, které žijí z měsíce na měsíc, to je existenční riziko. Samozřejmě, že část klientů, kteří košík opustí, se k nim později opět vrátí, u nezanedbatelného množství ovšem může změna v platební metodě znamenat ztrátu důvěry a přechod ke konkurenci.“

Dalším argumentem je, že nás PSD2 znevýhodňuje vůči zbytku světa, kde takto silná regulace nebude. Výhody lze naopak najít pro pokročilé uživatele, kteří využívají touch/face ID. Pro ně bude potvrzení platby jednodušší.

2) Zodpovědnost uživatelů zůstane stejná

Je samozřejmé, že platební styk obecně má být bezpečný a vyžaduje určitou míru regulace. Ta má ovšem reagovat na reálné potřeby trhu a také na reálná nebezpečí. Havlín nicméně o tom, že by byly masivní problémy s bezpečností, které by takto silnou regulaci vyžadovaly. „Bezpečnost plateb totiž do značné míry souvisí s tím, jak se chovají samotní uživatelé - zda nenakupují přes nedůvěryhodné e-shopy, zda nesdílí důvěrné údaje jako pin či heslo, popřípadě třeba nepůjčují kartu kamarádům. Telefon je dnes více než peněženka a podle toho by se k němu měli lidé chovat,” zdůrazňuje Havlín.

3) Je třeba vymezit pojmy

Celá regulace PSD2 a tedy i požadavek na silné ověření klienta se vztahuje pouze na platební účty, ale nikde není přesně vymezeno, co to platební účet je. Přístupy se mohou v jednotlivých státech EU lišit. „Podle našich informací došla Česká národní banka k závěru, že platebním účtem je i  účet ke kreditní kartě (banky ale dříve tvrdily, že není). Platební účtem naopak  není spořicí účet, tedy účet kam se pravidelně posílají peněžní částky, ale nelze z něj vybírat prostředky,“ vysvětluje Havlín.

4) Pravidlo má své výjimky - interpretace je ale leckdy na bankách

Přísnější režim nebude nutný u plateb prověřeným příjemcům či u plateb pod 30 eur (zhruba 800 korun). V těchto případech požádá systém o ověření cca při každém třetím až pátém nákupu. Tvrdší regulace se nevztahuje ani na strhávání peněz za předplacené služby či zboží či za opakované nákupy v aplikaci typu Uber či Airbnb.

Problém výjimek je ovšem v tom, že jsou nejednoznačně definované, takže závisí na interpretaci bank. „Například, že maximálně lze použít silné ověření na 90 dní, poté bude muset proběhnout znovu, přičemž každá banka může tuto lhůtu zkrátit,” popisuje advokát Jan Šovar.¨

Další výjimkou ze silného ověření je situace, kdy plátce iniciuje platební transakci, který je zařazen na seznam důvěryhodných příjemců, který předtím plátce vytvořil. Problém ale je, že tento postup patrně vůbec nebude využitelný u obchodníků, kde uživatel platí kartou, protože není jasný mechanismus, jakým způsobem může uživatel obchodníka jako důvěryhodného příjemce označit.

5) Je český trh připravený? Má velké mezery

S PSD2 se musí vyrovnat primárně banky. Implementace je zaváděna poněkud nesystematicky a nebylo jasné, jak dlouho budou platit (a jestli vůbec budou) další výjimky pro implementaci. „Již teď byl odklad 18 měsíců, což svědčí o tom, že na to trh nebyl připravený. Některé banky od 14. září změny zavádějí, jiné si vyjednaly odklad,“ připomíná Havlín.  Například ČSOB plánuje ověřování skrze mobilní klíč na začátek příštího roku, Raiffeisenbank spustí mobilní klíč vyhovující tvrdším standardům na podzim. Mnoho bank zavádí povinně potvrzení online platby přes SMS, FIO banka pak tomu přidává i nutnost zadat tzv. e-PIN. 

Evropský orgán pro bankovnictví (EBA) dal najevo, že nebude uplatňovat sankce, pokud budou mít centrální banky dojednány s poskytovateli plán implementace. Se sobotou 14. září tedy nenastala nějaká apokalypsa. Spíš se jednalo o do značné míry prošvihnutý deadline značící, že nyní je (z pohled bank a platebních bran) na čase skutečně zabrat a naplnit tvrdší standardy zabezpečení.