Silné ověření uživatele u plateb kartou na internetu

Platby kartou na internetu jsou jedním z nejčastějších způsobů úhrady za zboží či služby. Na bezpečnost těchto plateb je kladen v Evropské unii velký důraz a trendy jsou průběžně sledovány pro celou EU Evropskou centrální bankou. Jedním z cílů legislativy v oblasti platebního styku je proto maximálně snižovat riziko zneužití platebních karet a předejít podvodům.

Jedním ze způsobů dosažení větší bezpečnosti plateb, je silné, minimálně dvoufaktorové ověření uživatele.^[1] Při silném ověření uživatele vydavatel karty prověřuje, že platbu zadal skutečně klient prostřednictvím ověření nejméně dvou na sobě nezávislých prvků, které jsou pro klienta jedinečné. Prakticky jde o kombinaci prvků z kategorie držení/vlastnictví (tj. něčeho, co klient má, například mobilní telefon), kategorie znalosti (tj. něčeho, co klient ví, např. heslo či PIN) a kategorie inherence/biometrie (tj. něčeho, co klient je, což klient potvrzuje např. otiskem prstu, či prostřednictvím rozpoznání obličeje).

Silně ověřovat uživatele začala během let 2019 a 2020 u karetních plateb na internetu většina tuzemských poskytovatelů platebních služeb (banky, platební instituce, apod.). Od 1. 1. 2021 by k silnému ověření uživatele u plateb kartou na internetu měli přistoupit všichni poskytovatelé platebních služeb (dále jen „poskytovatelé“), a rovněž další subjekty podílející se na zpracování platební transakce (vč. obchodníků a provozovatelů platebních bran, provozovatelů karetních schémat atd.).

Pro klienty, kteří již ověřují platby prostřednictvím autentizační mobilní aplikace (často nazvané jako „klíč“), nenastanou ve způsobu ověření změny, i nadále budou ověřováni prostřednictvím faktoru držení (mobilní aplikace v konkrétním mobilním telefonu) a biometrie (otisku prstu, skenu obličeje) či znalosti (hesla). Pro klienty bez mobilní aplikace, kteří ověřují platby prostřednictvím faktoru držení - zadání jednorázového kódu zaslaného na jejich mobilní telefon formou SMS, přibude zpravidla nutnost potvrdit transakci na internetové platební bráně ještě zadáním speciálního hesla (prvku z kategorie znalost). V některých případech však zadání druhého prvku vyžadováno nebude, z povinnosti silně ověřovat uživatele jsou totiž stanoveny výjimky, např. v případě nízkých částek transakcí, transakcí s nízkou mírou rizika či transakcí u důvěryhodných příjemců.

Čeští poskytovatelé připravili či připravují svá technická řešení tak, aby klienti mohli nadále pohodlně, ale nově bezpečněji platit kartou na internetu, přičemž zvolenou ověřovací metodu, tj. zda konkrétní poskytovatel ověřuje klienta pouze prostřednictvím mobilní aplikace, či zda má (rovněž) řešení nevyžadující instalaci mobilní aplikace, komunikují poskytovatelé na klienty prostřednictvím svých internetových stránek a/či adresné komunikace ve vztahu ke klientům. V případě pochybností o metodě, kterou poskytovatel využívá při ověření plateb kartou na internetu, tedy Česká národní banka uživatelům doporučuje, aby se obrátili na svého poskytovatele, který případně poskytne uživatelům bližší informace o tom, kterou/které z ověřovacích metod při platbách na internetu používá, včetně návodů jak postupovat při instalaci mobilní aplikace či zadávání autorizačních kódů, PINů či hesel tak, aby mohli i nadále platit kartou na internetu.

Zpracování karetní transakce je komplexní proces, kterého se účastní velké množství subjektů, což může ve výjimečných případech vést k potížím s prováděním karetních transakcí. V případě zamítnutí transakce proto Česká národní banka uživatelům doporučuje, aby tuto situaci řešili s obchodníkem, u kterého transakci zadávali, a s poskytovatelem, která je vydavatelem platební karty použité k platbě po internetu.

^[1] Dvoufaktorové ověření uživatele je vyžadováno při on-line přístupu k platebnímu účtu, při iniciaci elektronické platební transakce nebo při jakémkoli úkonu prostřednictvím prostředků komunikace na dálku, který by mohl vést k riziku platebního podvodu nebo jiných zneužití.