Pozor na přísnější pravidla pro placení kartou. Platby budou kvůli PSD2 složitější

Od zítra se v České republice uplatní nová pravidla pro ověřování karetních plateb stanovená evropským nařízením. Směrnice PSD2 zavádí od 14. září povinnost nutnost vyššího stupně ochrany při platbách kartou. Česká národní banka v této souvislosti upozornila na to, že při platbě fyzickou platební kartou v kamenných obchodech mohou v některých případech nastat určité komplikace. PSD2 je opatření, které napomáhá držitelům karet ještě k větší bezpečnosti při platbách kartou zejména na internetu. 

Platební terminály v některých obchodech pravděpodobně nebudou na nová pravidla připraveny. Mohou tak zamítat některé bezkontaktní platby fyzickými platebními kartami do výše 500 Kč (u nichž se nemusí zadávat PIN kód), a to bez informace o důvodu zamítnutí. V takovém případě lze platbu provést vložením karty do terminálu a zadáním PIN. Tím dojde k ověření držitele v souladu s nařízením a provedení platby. Bez výše uvedených komplikací lze bezkontaktní platbu provést též platební kartou nahranou v mobilním telefonu či jiném zařízení, upozornila na svých webových stránkách ČNB.

Dvoufaktorové ověření uživatele by mělo být vyžadováno při on-line přístupu k platebnímu účtu, při iniciaci elektronické platební transakce nebo při jakémkoli úkonu prostřednictvím prostředků komunikace na dálku, který by mohl vést k riziku platebního podvodu nebo jiných zneužití.
Nařízení přitom stanoví i devět výjimek, kdy silné ověření není třeba provádět (výjimky jsou uvedeny v jeho článcích 10 – 18).  Mezi ně patří např. bezkontaktní platby nízkých částek, důvěryhodní příjemci či opakující se transakce se stejnou částkou a stejným příjemcem.
Dvoufaktorové ověření znamená, že k ověření uživatele musí být použita kombinace alespoň dvou bezpečnostních prvků (faktorů) z různých kategorií, přičemž jde o následující kategorie:
znalost (to, co ví pouze uživatel) – např. heslo či PIN,
držení (to, co drží pouze uživatel) – např. zaslání ověřovací SMS,
inherence (to, čím uživatel je) – biometrické prvky jako např. otisk prstu či scan oka.
Podmínkou je, že každý ověřovací prvek musí být z jiné kategorie.

 

Tomáš Hládek, poradce České bankovní asociace pro platební styk a kyberbezpečnost uvedl, že v průběhu 18 měsíců, které byly stanoveny jako doba, během které by mělo dojít k plné implementaci uvedených pravidel, došlo k několika poněkud překvapivým rozhodnutím, která ovlivnila další vývoj. Jedním z takových bylo vyjádření Evropské bankovní autority (EBA) v tom smyslu, že nejrozšířenější způsob ověřování a potvrzování plateb iniciovaných platebními kartami na internetu, tzv. 3D Secure, tak, jak byl dosud používán, nesplňuje podmínky stanovené technickým standardem.

„Toto vyjádření vydala EBA dne 21. června 2019. Zároveň, vědoma si toho, že za 3 měsíce, které zbývaly do data účinnosti technické normy, bude nemožné vše upravit a změnit, dala EBA národním regulátorům možnost nevymáhat po poskytovatelích platebních služeb všechny náležitosti okamžitě od stanoveného data,“ dodal Hládek.

ČBA je přesvědčena, že v následujících dnech a týdnech nedojde k žádným zásadním problémům, které by znamenaly nějaké zásadní omezení možnosti využívání platebních karet.

ČBA zároveň upozorňuje na to, že jako klienti bank musíme být připraveni na to, že zvýšené požadavky na bezpečnost, které stanovila evropská legislativa, mohou přinášet zvýšené požadavky i na ně. Banky své klienty o změnách při přihlašování do nástrojů internetové bankovnictví a při zadávání a autorizaci plateb informovaly a o dalších úpravách informovat samozřejmě budou. Cílem všech takových změn není snížit komfort klientů, ale celkově zvýšit bezpečnost v tak citlivé oblasti, jakou poskytování platebních služeb je.

„V současné době se již většina členských států včetně České republiky vyjádřila pro podporu zavedení dodatečného období. Stanovení přechodného období je v současné době v projednávání na evropské úrovni, jelikož je nutné zajistit jednotnou lhůtu, aby se harmonizovalo zavedení napříč všemi členskými státy,“ uvedl Luděk Slouka, ředitel rozvoje produktů a inovací Mastercard pro Českou republiku, Slovensko a Rakousko.

PSD2 (Payment Services Directive) je druhá směrnice Evropské unie o platebních službách, která hlavně ovlivňuje platby kartou, zavádí povinnost bank a jiným finančním institucím (např. Zonky) umožnit jiným poskytovatelům poskytnout informace o účtu klienta a podrobně se zabývá bezpečností klientů, tzv. silné ověření klienta.

 

Od přechodného období se očekává, že poskytne dodatečné období pro nasazení vyššího stupně ochrany při platbách kartou pro nákupy na internetu. „Prakticky to znamená, že banky i obchodníci budou moci realizovat transakce stejně jako dnes a současně s tím nasazovat a zavádět nové nástroje, jako jsou mobilní aplikace pro ověření biometrie, implementovat systémy transakční analýzy a řadu dalších opatření, o kterých již držitele karet začali informovat,“ vysvětlil Slouka. Zavádění a nasazování se bude průběžně uskutečňovat v největší míře do konce letošního roku.

U nové směrnice se objevuje kritika nejednotného přístupu. „Na jedné straně se EU snaží v rámci regulace PSD2 o otevření bankovnictví (skrze otevřená API), ale na straně druhé tato regulace platby naopak omezí a znepříjemní,” říká František Havlín z Trisbee.

„V základní rovině problémy vznikají tím, že není dán jednotný evropský systém digitální identifikace, který by byl založen na ověřených a důvěryhodných identitách, takové Bank ID jaké existuje například ve Švédsku,“ doplňuje Jan Šovar z AK FINREG PARTNERS.

Největší česká fintech služba Zonky obdržela 4. září jako první nebankovní instituce obdržela od ČNB povolení k provozování nových platebních služeb AIS a PIS. Zákazníci Zonky tak budou moci plně využívat výhody otevřeného bankovnictví. 

Služba nepřímého udělení platebního příkazu (PIS) umožní klientům banky bezpečně zadat u třetí strany příkaz k platbě ze svého bankovního účtu, aniž by museli vstupovat do svého internetového bankovnictví. 

Služba informování o platebním účtu (AIS) umožní třetí straně se souhlasem klienta banky získat informace z jeho bankovního účtu a na jednom místě mu ukázat detail o jeho financích v různých bankách.

Jaké výhody má PSD2 pro investora na Zonky?
Nepochybně vyšší zabezpečení jeho účtu díky dvoufaktorovému ověření (2FA) a do budoucna rozšíření nabízených služeb. Navíc má AIS služba díky PSD2 pozitivní dopad na rychlost schvalování půjček. Investor tak bude mít více půjček k zainvestování. 
Dvoufaktorové ověření zajišťuje, že pokud by útočník získal např. heslo k účtu investora nemohl by provést platbu, protože by neměl telefon s registrovaným telefonním číslem. Investora chráníme i při používání portálu a odhlásíme ho po pěti minutách nečinnosti. Díky tomu by se nemělo stát, že by delší dobu nezamčený notebook mohla zneužít třetí osoba.
Jaké výhody má PSD2 pro půjčujícího na Zonky?
Při žádosti o úvěr budeme schopni rychleji vyhodnotit vaši poptávku, než když nám zašlete bankovní výpisy v pdf. Zároveň se jedná o bezpečnější způsob, protože napřímo komunikujeme s bankou. Zonky i banka totiž mají přísné bezpečnostní opatření proti hackerům a výpadkům. Přenos dat je tak bezpečnější a rychlejší. Zonky si za to ani nic neúčtuje.

 

„I přes technickou náročnost implementace nové směrnice jsme opět ukázali, že dokážeme svým klientům nabídnout nejinovativnější řešení. Být první nebankovní institucí s těmito licencemi je velké ocenění naší usilovné práce, ve které budeme pokračovat i nadále,” řekl serveru Roklen24 CEO Zonky Pavel Novák.

 

Newsletter