Článek
Hlavní změnou, která ovlivní spotřebitele, bude ověřování karetních plateb. Doposud stačilo do platební brány vepsat kód zaslaný SMS zprávou, nově už to nebude možné.
PSD2 regulace klade požadavek na použití dvou ze tří autentizačních faktorů:
Zaprvé něco, co uživatel ví, tedy PIN kód nebo heslo. Zadruhé něco, co uživatel vlastní, v tomto případě mobilní telefon. A zatřetí pak něco, čím uživatel je, tedy biometrický údaj.
„Potíž oproti stávající praxi je v tom, že SMS se počítá do stejné kategorie jako samotný telefon, tedy něco, co uživatel vlastní. Je proto potřeba přidat k ověření ještě jeden faktor,“ vysvětluje technologický konzultant z PwC Česká republika Martin Huňka.
Jak to bude fungovat v praxi?
Nejčastější variantou, kterou banky svým klientům nabídnou v rámci tohoto nového nařízení, bude ověřování totožnosti pomocí biometrického údaje v aplikaci. V praxi to bude fungovat tak, že namísto potvrzovací SMS se v chytrém telefonu otevře upozornění vybízející zákazníka k otisku prstu nebo skenu obličeje. Spojí se tedy dva body ze zmíněných tří.
Problém může nastávat u klientů bez chytrých telefonů. „V tomto případě to asi bude méně uživatelsky přívětivé a klienti bank si pravděpodobně budou muset zapamatovat speciální heslo či PIN, kterým budou vždy transakci ověřovat. Dojde tak k ověření dvěma faktory: něčím, co uživatel ví, a něčím, co uživatel vlastní,“ vysvětluje Huňka z PwC Česká republika.
Důraz na bezpečnost
Hlavní motivací je zvýšení bezpečnosti. „Rostoucí počet podvodů i s léta osvědčenými metodami, k nimž patří např. SMS, jen poukázal na dynamický vývoj na straně podvodníků a na skutečnost, že co bylo dříve považováno za etalon funkčního a bezpečného řešení, dnes už nemusí dostačovat,“ zasazuje vznik směrnice do kontextu expert PwC na kyberbezpečnost Jiří Urbanec.
Požadavek na dvoufaktorové zabezpečení je podle odborníků správnou cestou. A to kvůli tomu, že v podstatě každý z faktorů má sám o sobě svá rizika.
Detaily kolem systému PSD2
Varování ČNB
Česká národní banka dnes varovala, že platební terminály mohou zamítat některé bezkontaktní platby kartami do 500 korun bez informace o důvodu zamítnutí.
Pětkrát a dost
Nově začne pro banky v celé EU platit také jednotný strop, kdy celkový součet zaplacených částek od posledního silného ověření (zadání PIN) nesmí přesáhnout 150 eur (3 800 Kč) nebo přesáhnout pět plateb za sebou.
ČBA: Banky připraveny
Banky, které v ČR vydávají karty svým klientům, jsou na novou povinnost pro přísnější ověřování platebních karet od 14. září plně připraveny, řekl poradce České bankovní asociace pro platební styk a kyberbezpečnost Tomáš Hládek.
ČS nabídla klíč
Banka s největším počtem klientů, Česká spořitelna, nabídla svým zákazníkům používání George klíče, tedy aplikace, která vyhovuje podmínkám PSD2
Výjimka pro parkování a MHD
Přísnější ověřování karetních plateb, které zavádí evropská směrnice ke 14. září, se nevztahuje na platby v městské hromadné dopravě a na platby za parkování, řekl šéf obchodu a rozvoje MasterCard Martin Dolejš.
„Je známo, že heslo nebo PIN není zcela faktorem, který uživatelé spolehlivě udrží pod svou výhradní kontrolou, a sdělují je ostatním. U předmětů, které uživatel vlastní, může být situace lepší, ale i karty, případně telefony, se půjčují. Biometrika se zdá být nejvíce pokročilým faktorem, nicméně jsou známy případy, kdy uživatelé mají v sadě svých otisků prstů nasnímány otisky partnera, případně že technika rozlišení obličeje přijme prostou fotografii,“ vysvětluje Urbanec.
Nejbezpečnější kombinace?
„Osobně nejvíc věřím v kombinaci faktorů ‚něco, čím uživatel je‘ a ‚něco, co uživatel ví‘, neboť prokázání určité znalosti ukazuje na záměr platbu nebo přihlášení provést. Chápu však, že toto je právě kombinace, která je obtížně přijatelná z pohledu uživatelské přívětivosti, a v praxi se nejspíše prosadí kombinace faktorů, které budou reagovat na výši transakce a s ní související rizika,“ říká Urbanec z PwC.
Jsou poskytovatelé připraveni?
Německo, Francie, Itálie a Spojené království vyhlásily určité toleranční období, které budou mít banky navíc na to, aby se zpřísnění přizpůsobily. Někteří zdejší poskytovatelé platebních služeb už změny ve svých aplikacích aktivovali, vypadá to tedy, že na nástup nové směrnice jsou tuzemské instituce připravené. Česká národní banka však ve středu varovala, že v souvislosti se sobotním startem nových bruselských pravidel pro bezpečné platby na internetu nemusí vždy fungovat placení platebními kartami. Terminály mohou odmítat platby bezkontaktními kartami v částkách do 500 korun bez ověření.
Novým pravidlům, pro něž se vžila zkratka PSD2, se přizpůsobují i banky. Česká spořitelna. Banka s největším počtem klientů (1,5 milionu) oznámila, že všem postupně zpřístupní aplikaci George klíč, která vyhovuje bruselskému nařízení. mBank zase klientům nabídla aplikaci mKlíč.