Od soboty 14. 9. 2019 vstupuje v platnost požadavek na tzv. silné ověření uživatele. Ten je součástí směrnice PSD2, která je platná už od loňského ledna a která významně ovlivní nejen online platby, ale také placení kartami v obchodech. Cílem směrnice je především zvýšení bezpečnosti platebních transakcí a vytvoření jednotného trhu pro platební služby. Nově tak bude pro všechny online platby vyžadováno několik kroků, které mají zvýšit zabezpečení procesu. V čem dává nová povinnost smysl, a kde naopak přínos nevidí, uvádí František Havlín, spoluzakladatel firmy Trisbee, která provozuje stejnojmennou platební aplikaci.
U nové směrnice se objevuje hlavně kritika nejednotného přístupu. „Na jedné straně se EU snaží v rámci regulace PSD2 (Payment Services Directive) o otevření bankovnictví (skrze otevřená API), ale na straně druhé tato regulace platby naopak omezí a znepříjemní,” říká František Havlín z Trisbee.
„V základní rovině problémy vznikají tím, že není dán jednotný evropský systém digitální identifikace, který by byl založen na ověřených a důvěryhodných identitách, takové Bank ID jaké existuje například ve Švédsku,“ doplňuje Jan Šovar z AK FINREG PARTNERS.
1) Silné ověření: bez PINu, čtečky nebo face ID možná nezaplatíte
Jedná se o dvoufaktorové ověření spotřebitele, bude tedy nutné ověřit klienta pomocí dvou či více prvků z kategorií:
- Znalost (PIN, heslo, fráze,…)
- Držení (ověřený telefon, karta ověřená čtečkou, fyzický token…)
- Inherence (biometrické údaje, touch/face ID, pohyb, tep srdce, rozpoznání hlasu…)
U plateb na internetu se dá zjednodušeně říct, že hlavní změnou je to, že smska již není prvkem silného ověření. Už dnes se kvůli 3d secure mnoho plateb nedokončí a s novými prvky budou tato zamítnutí ještě častější. Reálně hrozí omezení celého trhu e-commerce a navíc nás to znevýhodňuje vůči zbytku světa, kde takto silná regulace nebude. Na druhou stranu pro pokročilé uživatele, kteří využívají touch/face ID to naopak bude jednodušší.
2) Zodpovědnost uživatelů zůstane stejná
Je samozřejmé, že platební styk obecně má být bezpečný a vyžaduje určitou míru regulace. Ta má ovšem reagovat na reálné potřeby trhu a také na reálná nebezpečí. Nevíme o tom, že by byly masivní problémy s bezpečností, které by takto silnou regulaci vyžadovaly. „Bezpečnost plateb totiž do značné míry souvisí s tím, jak se chovají samotní uživatelé - zda nenakupují přes nedůvěryhodné e-shopy, zda nesdílí důvěrné údaje jako pin či heslo, popřípadě třeba nepůjčují kartu kamarádům. Telefon je dnes více než peněženka a podle toho by se k němu měli lidé chovat,” zdůrazňuje Havlín.
3) Je třeba vymezit pojmy
Celá regulace PSD2 a tedy i požadavek na silné ověření klienta se vztahuje pouze na platební účty, ale nikde není přesně vymezeno, co to platební účet je. Přístupy se mohou v jednotlivých státech EU lišit. Podle našich informací došla Česká národní banka k závěru, že platebním účtem je i účet ke kreditní kartě (banky ale dříve tvrdily, že není). Platební účtem naopak není spořicí účet, tedy účet kam se pravidelně posílají peněžní částky, ale nelze z něj vybírat prostředky.
4) Pravidlo má své výjimky - interpretace je ale leckdy na bankách
Výjimky rozumně zahrnují například malé platby na terminálech, na druhou stranu jsou ale relativně úzké a nejednoznačně definované, takže závisí na interpretaci bank. „Například, že maximálně lze použít silné ověření na 90 dní, poté bude muset proběhnout znovu, přičemž každá banka může tuto lhůtu zkrátit,” popisuje advokát Jan Šovar.
Další výjimkou ze silného ověření je situace, kdy plátce iniciuje platební transakci, který je zařazen na seznam důvěryhodných příjemců, který předtím plátce vytvořil. Problém ale je, že tento postup patrně vůbec nebude využitelný u obchodníků, kde uživatel platí kartou, protože není jasný mechanismus, jakým způsobem může uživatel obchodníka jako důvěryhodného příjemce označit.
5) Je trh připravený? To se teprve ukáže
Implementace je zaváděna poněkud nesystematicky a nebylo jasné, jak dlouho budou platit (a jestli vůbec budou) další výjimky pro implementaci. „Již teď byl odklad 18 měsíců, což svědčí o tom, že na to trh nebyl připravený. Některé banky od 14. září změny zavádějí, jiné si vyjednaly odklad,“ připomíná Havlín. Evropský orgán pro bankovnictví (EBA) dal najevo, že nebude uplatňovat sankce, pokud budou mít centrální banky dojednány s poskytovateli plán implementace. (13.9.2019)