Bezpečnost internetových a mobilních plateb: Co vlastně změnila směrnice PSD2?

Posílení bezpečnosti internetových a mobilních plateb a širší ochrana spotřebitele byly základními východisky při tvorbě nové Směrnice o platebních službách (PSD2). Implementačním předpisem ke zmíněné směrnici je Zákon o platebním styku z roku 2017. Úprava platí od letošního září.

Významnou změnou, kterou směrnice přinesla byla povinnost tzv. silného ověření klienta (Strong Customer Authentication, SCA), které Zákon o platebním styku vyžaduje. Nově však zavádí použití dvou nebo více navzájem nezávislých prvků. Ty se vztahují k osobě klienta a lze je podřadit pod jednu z těchto kategorií:

1. Znalost (to, co ví pouze uživatel) – tímto prvkem je údaj, který zná pouze uživatel, např. se jedná o standardizovaný PIN uživatele, který bude nutno zadat při každé jednotlivé platbě na internetu;
2. Držení (to, co drží pouze uživatel) – tímto prvkem je zapojení věci, kterou má uživatel v držení např. kreditní kartu, mobilní telefon;
3. Inherence (to, čím uživatel je) – typicky se bude jednat o biometrické údaje jako otisk prstu, či rozpoznání konkrétní tváře.

Dle Zákona o platebním styku se silné ověření provádí tehdy, když přistupuje ke svému platebnímu účtu prostřednictvím internetu, dává platební příkaz k elektronické platební transakci nebo provádí jiný úkon, který je spojen s rizikem podvodu v oblasti platebního styku, zneužitím platebního prostředku nebo informací o platebním účtu případně požaduje informace o platebním účtu prostřednictvím poskytovatele služby informování o platebním účtu.

Ověření se tak výrazně dotýká veškerých internetových obchodů, ale také kamenných obchodu, které při platbě prostřednictví platebního terminálu budou povinny silné ověření klienta vyžadovat při téměř všech transakcích.

Co to znamená v praxi?

Nařízení o platebních službách konkretizuje silné ověření zejména v tom smyslu, že ověřovací kód, který je nyní generován prostřednictvím SMS zprávy po vypsání údajů platební karty, tedy jednoho prvku, bude nyní generován až po aplikaci dvou prvků, tedy údajů platební karty a buďto otisku prstu, nebo PINu.

Podle Nařízení by mělo být toto silné ověření vyžadováno také u transakcí prováděných bezkontaktními platebními kartami na terminálech v kamenných obchodech, což pro obchodníky znamená povinnost přizpůsobit své platební terminály těmto přísnějším požadavkům.

Ačkoliv povinnost zasahuje téměř všechny zmíněné platební transakce, nařízení stanovuje některé výjimky, u kterých se silné ověření nemusí uplatňovat. Jde například o limit 50 EUR v případě jednorázové bezkontaktní platby, nebo internetové transakce nepřesahující v přepočtu 30 EUR, či platby v parkovacích automatech.

Konečné následky směrnice nesou samotní obchodníci, u nichž může dojít k poklesu dokončených on-line nákupů a tím i k poklesu zisku nebo ke zvýšení oblíbenosti plateb v hotovosti. Druhou stránkou věci je samotné technické řešení, které bude platebními bránami zvoleno, jelikož se musí vyrovnat s nesnadným úkolem, a to učinit dvou faktorové ověření co nejuniverzálnějším, tj. dostupné jednak majitelům jakýchkoliv smartphonů ale také osobám, které stále příslušná technická zařízení nevlastní.