Nejspíš to dobře znáte, jestli platíte kartou na internetu: Do formuláře zadáte její číslo, dobu platnosti a tři čísla ze zadní strany. Pak vám na mobil přijde SMS s jednorázovým kódem – a vy tuhle kombinaci, složenou u některých bank i z devíti čísel a písmen, musíte bez chyby přepsat.
Od letošního září se opisování komplikovaných SMS kódů budete moct vyhnout. Novým standardem se má stát ověření pomocí biometrických údajů – otisku prstu nebo rozpoznání obličeje.
Některé banky už takové ověřování nabízejí ve svých aplikacích, od září se však stane základem obecně pro platby na počítači i v mobilu. První část zůstane stejná jako dosud: do formuláře přepíšete údaje z karty. Pak na vás ale z mobilu místo SMS vyskočí notifikace z bankovní aplikace. Po kliknutí si zkontrolujete, jestli údaje souhlasí, a potvrdíte platbu otiskem prstu nebo „naskenováním“ obličeje.
Na rozdíl od dosavadního řešení k tomu budete pokaždé potřebovat mobilní aplikaci (samozřejmě i wi-fi připojení nebo data v mobilu), zatímco pro doručení SMS stačil signál vašeho operátora.
Novinku v pátek představili zástupci české pobočky kartové asociace Mastercard a tří bank: Air Bank, České spořitelny a Komerční banky. Na nový systém se ale připravují i ostatní. „K letošnímu září na něj přejde většina vydavatelů karet v Česku, ne-li úplně všichni,“ říká Luděk Slouka, ředitel rozvoje produktů a inovací společnosti Mastercard pro ČR, Slovensko a Rakousko.
Změnu – která není tak úplně dobrovolná, jak si řekneme za chvíli – řeší provozovatelé platebních bran a vydavatelé karet. Vy jako běžný klient banky můžete od září automaticky přejít na nový systém i se stávající kartou, nemusíte tedy čekat na novou nebo se někde registrovat.
Kód v SMS už nemusí stačit
Banky věří, že nový standard ověřování bude pro lidi jednodušší, rychlejší a pohodlnější. Mezinárodní průzkum asociace Mastercard ukázal, že přes 90 procent uživatelů dává přednost biometrickému ověření před zadáváním hesla.
Novinka je ale nutná i kvůli unijní směrnici zvané PSD 2. Její část, která má podle Evropské unie zvýšit bezpečnost plateb, začne platit právě od poloviny letošního září. Zavádí povinnost dvoufaktorového (dvoustupňového) ověření.
Uživatel bude muset potvrzovat svou totožnost dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co zná (typicky heslo nebo PIN), co má (mobilní telefon nebo token) a čím je (biometrický údaj – otisk prstu, snímek obličeje, oční duhovky a podobně).
Ani pět měsíců před startem není stoprocentně jasné, jestli tuto podmínku splňují i dosavadní SMS kódy. Je to přitom důležitá otázka: I po letošním září zůstane mnoho lidí, kteří sice platí po internetu, ale nechtějí si stahovat bankovní aplikaci, nebo nemají dost chytrý telefon na to, aby rozpoznal otisk prstu.
„Čekáme ještě na vyjasnění směrnice, tedy co přesně lze akceptovat. Věříme, že nový standard EMV 3-D Secure (EMV 3DS) v kombinaci s SMS bude dostatečný,“ říká Slouka.
Podle výkladu Evropského orgánu pro bankovnictví (EBA), na který se odvolává i Česká národní banka, ale SMS kód už nestačí. Je to totiž stejný způsob ověření „něčím, co má uživatel u sebe“ jako čísla z platební karty – přestože jde o dva různé údaje. EBA tedy nevěří, že číslo karty je něčím, co může znát jenom uživatel.
U plateb, které uživatel nepotvrdí otiskem prstu ani jiným biometrickým způsobem, proto kartové asociace a banky chystají jiné silnější ověřování. Hodí se třeba i v situacích, kdy momentálně nelze poskytnout kvalitní otisk.
Nejpravděpodobnější je, že majitel karty si vedle opsání jednorázového SMS kódu bude muset pamatovat i speciální trvalé heslo (obdobu PIN). Na heslo naštěstí nebudou takové nároky jako v některých firmách; místo mnohamístné kombinace čísel, velkých a malých písmen by mělo stačit něco jednoduššího.
Najednou už to nevypadá jako usnadnění. Nová pravidla navíc zakazují, aby se uživatel (nebo ten, kdo kombinaci hesla a SMS zkouší zadat) dozvěděl, v kterém ze dvou údajů udělal chybu.
Sledování pro vaše dobro
Evropská směrnice naštěstí připouští výjimky, u nichž nebude silné ověření nutné. Jde hlavně o platby do 30 eur (zhruba 750 korun), jestliže celková suma od posledního silného ověření nepřesáhla 100 eur nebo nejde o více než pátou platbu. Potvrzení nebude nutné ani u opakujících se transakcí (typicky prodlužování předplatného).
Uživatel si také může označit konkrétní příjemce peněz jako důvěryhodné – v internetovém či mobilním bankovnictví třeba označí svůj oblíbený e-shop. Takové jednodušší převody už znají klienti Air Bank.
Zajímavá je další výjimka: Silné ověření nebude nutné ani u „transakcí s nízkou mírou rizika“. Právě na to banky hodně spoléhají. Mluví o takzvané behaviorální analýze – naposledy se s přípravou takové technologie pochlubila Česká spořitelna.
Banka nebo kartová společnost budou vlastně neustále sledovat vaše nákupní chování: v jakou denní dobu nejčastěji platíte, z jakého zařízení a podobně.
Když nezjistí nic podezřelého, platbu povolí. Ale když se najednou pokusíte platit kartou v zemi, kde jste nikdy nebyli a která zrovna nepatří mezi běžné cíle českých turistů, zpozorní. Zvlášť když z aplikace bude jasné, že váš mobil zůstal v Česku. Nebo že jste ještě před pár minutami platili na jiném kontinentu. Nebo když platíte za něco úplně jiného, než jste dosud kupovali. Podobné pojistky používaly banky už dřív, teď je ale zdokonalují, aby vyhodnotily riziko ještě před platbou.
Silné (dvoufaktorové) ověření nebude potřeba ani u terminálů bez obsluhy – třeba při placení jízdného v městské dopravě nebo poplatků za parkování.
A výjimkou zůstanou i bezkontaktní platby osobně u obchodníků, tedy u terminálů v prodejnách. Tam i po letošním září stačí u částek do 500 korun většinou jenom přiložit kartu.
Mastercard i Visa už přesto testují i technologie, které by v obchodech nahradily zadávání PIN, hlavně u plateb nad 500 korun. V některých zemích zkoušejí terminály snímající otisk prstu nebo krevního řečiště. Zatím ale nejsou tak rychlé, překážkou jsou i náklady na nové přístroje. Ve světě už se dokonce testují karty, které mají čtečku otisku prstu přímo v sobě.
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
15. 4. 2019 14:14
Neomezený tarif nenabízí v ČR nikdo a za několik málo giga jsem nenašel cenu nižší než 1777 Kč se spoustou dalších podmínek. Jestli děláte pro státní správu, máte tedy státní telefon a my vás živíme, pak máte pochopitelně pokřivené vnímání reality - ale normálně pracující člověk na nic takového nikdy nenarazí ani omylem.
Zobrazit celé vláknoSkrýt celé vlákno
Příspěvek s nejvíce zápornými hlasy
15. 4. 2019 13:41, Technek
Drastickou cenu? Prosím vás. Každý dosáhne na neomezený tarif za 500 Kč a může si potvrzovat stovky transakcí.
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (15 komentářů) příspěvků.