Když platíte kartou na internetu, většinou zadáte do formuláře její číslo, dobu platnosti a tři čísla ze zadní strany. Pak vás to přesměruje na stránku vaší banky, kam zadáte jednorázový kód, který vám mezitím přišel na mobil – některé banky používají relativně jednodušší (třeba šest čísel), jiné složitější (kombinace devíti čísel a písmen).
Potvrzování plateb přes počítač je docela rychlé, nicméně hlavně u kódů složených z čísel a písmen není úplně jednoduché opsat je pokaždé bezchybně. Komplikovanější to bývá na mobilu: přepínáte si mezi dvěma okny, napsání všech znaků obvykle trvá déle než u klasické klávesnice.
V polovině letošního září přijde změna. Díky ní se potvrzování online nákupů může zjednodušit a zrychlit. Místo opisování SMS kódu nově postačí jenom otisk prstu na mobilu, rozpoznání obličeje nebo třeba zadání hesla k mobilnímu bankovnictví.
Jenže: Když z nějakého důvodu nechcete nebo nemůžete používat mobilní aplikaci vaší banky, tak se vám potvrzování plateb naopak zkomplikuje. Jenom opsání SMS kódu už totiž nebude stačit. Nově byste si měli pamatovat a zadávat ještě jeden údaj – speciální ePIN právě pro platby kartou, odlišný od PINu pro klasické platby v obchodě nebo výběry z bankomatu.
O chystané „revoluci“ jsme na webu Peníze.cz podrobně psali už v polovině dubna. Od té doby se situace spíš zamotala, než vyjasnila. Ani necelý měsíc a půl před zlomovým datem (14. září) není jisté, jak přesně budete potvrzovat platby, když nepoužijete mobilní aplikaci.
Ukazuje se také, že řada bank není připravena ani na první variantu – tedy jednodušší potvrzování přes aplikaci. A protože podobně jsou na tom i banky v jiných státech Evropské unie, je jisté, že k žádnému velkému třesku v polovině září nedojde.
Silné ověření
Proč se to vlastně musí změnit? Za vším hledejte unijní směrnici zvanou PSD2. Její definitivní podobu schválil Evropský parlament už na podzim 2015. Část, která má podle Evropské unie zvýšit bezpečnost plateb, začne být účinná právě od poloviny letošního září.
Pro online platby bude povinné takzvané silné ověření klienta, zvané též dvoufaktorové nebo dvoustupňové ověření.
Uživatel bude muset potvrzovat svou totožnost dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co zná jenom on (typicky heslo, PIN nebo odpověď na zvolenou otázku); něčeho, co má u sebe (typicky mobilní telefon nebo token) a něčeho, čím je (biometrický údaj – tedy otisk prstu, snímek obličeje, oční duhovky, rozpoznání hlasu a podobně).
Evropský orgán pro bankovnictví (EBA) rozhodl, že jednorázová SMS zaslaná na mobil nepatří mezi znalostní kritéria – nejde o něco, co by mohl znát jenom majitel karty. SMS se tak ocitla ve stejné kategorii jako samotný mobil – něco, co má uživatel u sebe. Do budoucna už proto nestačí zadat údaje z karty (ty mimochodem nepatří ani do jedné z ověřovacích skupin) a potvrdit je kódem z SMS. Šlo by jenom o jeden faktor místo potřebných dvou.
Nově tedy bude nutné přidat k údajům z karty ještě dva na sobě nezávislé způsoby ověření. Některé banky už takovou možnost nabízejí ve svých aplikacích, od září se však stane základem obecně pro platby na počítači i v mobilu.
První část zůstane stejná jako dosud: do formuláře přepíšete údaje z karty. Pak na vás ale z mobilu místo SMS vyskočí notifikace z bankovní aplikace. Po kliknutí si zkontrolujete, jestli údaje souhlasí, a potvrdíte platbu vámi předvoleným způsobem – třeba otiskem prstu, „naskenováním“ obličeje nebo PINem či heslem. Jde o potřebné dva faktory: Prvním je držení mobilu (něco, co máte u sebe), druhým je biometrie (něco, čím jste) nebo PIN (něco, co znáte).
Když nepoužijete mobilní aplikaci, budete muset k údajům o kartě přidat také dva faktory: jedním zůstane jednorázový SMS kód zaslaný na mobil (něco, co máte u sebe), druhým pak speciální trvalý ePIN (něco, co znáte). Dodejme, že nová pravidla zakazují, aby se uživatel (nebo ten, kdo kombinaci hesla a SMS zkouší zadat) dozvěděl, v kterém ze dvou údajů udělal chybu.
Stáhněte si ji!
Pokud už teď ovládáte banku aspoň občas přes chytrý telefon, bude pro vás změna jednodušší. A jestli ještě smartbanking nepoužíváte, bude se vás banka dřív nebo později snažit přesvědčit, abyste si takovou aplikaci stáhli a začali používat.
Banky věří, že nový způsob ověřování bude pro lidi jednodušší, rychlejší a pohodlnější. Mezinárodní průzkum asociace Mastercard ukázal, že přes 90 procent uživatelů dává přednost biometrickému ověření před zadáváním hesla.
Jenže všem je jasné, že aplikaci nezačnou používat úplně všichni. Někteří klienti nemají chytrý mobil. Někteří prostě „banku v mobilu“ nechtějí. A dokonce i lidé, kteří si bez ní nedokážou představit život, narazí čas od času na situaci, kdy jim bude aplikace k ničemu – třeba kvůli nedostupnosti mobilních dat.
Banky teď vymýšlejí, jaké řešení zvolit pro takové případy. Snaží se, aby splnily požadavky regulačních úřadů na vyšší bezpečnost plateb, ale zároveň aby nějakým příliš složitým řešením neodradily klienty. A hlavně: Pro banky je důležité, aby zvolený postup byl pokud možno jednotný – tedy nezávislý na vydavateli karty.
Tahle snaha má dva důvody: Kdyby některé z bank potvrzovaly platby mimo aplikaci komplikovaněji než jiné banky, mohli by znechucení klienti časem přejít k jednodušší konkurenci. A druhým důvodem je snaha o co nejmenší rozdíly mezi jednotlivými státy Evropské unie.
Všechno teď zřejmě směřuje k dohodě na speciálním ePINu právě pro online platby. Klienti si tedy bude muset pamatovat – vedle svého klasického PINu nebo přihlašovacích údajů do elektronického bankovnictví – ještě další, zcela nový kód. Jednodušší varianta – aby šlo o část rodného čísla, čísla občanského průkazu nebo telefonního čísla – u České národní banky neprošla.
I kdyby se banky dohodly s regulátorem na takovém řešení, nějakou dobu pak ještě potrvá, než nový ePIN předají všem majitelům karet.
Devět výjimek
Evropská směrnice připouští devět výjimek, u nichž silné (dvoufaktorové) ověření nebude nutné. Podívejme se na ty nejvýznamnější.
Jde hlavně o platby do 30 eur (zhruba 800 korun), jestliže celková suma od posledního silného ověření nepřesáhla 100 eur nebo nejde o více než pátou platbu.
Uživatel si také může označit konkrétní příjemce peněz jako důvěryhodné – v internetovém či mobilním bankovnictví třeba označí svůj oblíbený e-shop. Takové jednodušší převody už znají klienti Air Bank.
Potvrzení nebude nutné ani u opakujících se transakcí, typicky prodlužování předplatného. Další výjimkou jsou terminály bez obsluhy – například při placení jízdného v městské dopravě nebo poplatků za parkování.
Výjimkou zůstanou i bezkontaktní platby osobně u obchodníků, tedy u terminálů v prodejnách. Tam i po letošním září stačí u částek do 500 korun většinou jenom přiložit kartu.
Zajímavá je další výjimka: Silné ověření nebude nutné ani u „transakcí s nízkou mírou rizika“. Právě na to banky hodně spoléhaly. Mluví o takzvané behaviorální analýze – s přípravou takové technologie se na jaře pochlubila třeba Česká spořitelna. O co jde?
Banka nebo kartová společnost budou vlastně neustále sledovat vaše nákupní chování: v jakou denní dobu nejčastěji platíte, z jakého zařízení a podobně. Když nezjistí nic podezřelého, platbu povolí. Ale když se najednou pokusíte platit kartou v zemi, kde jste nikdy nebyli a která zrovna nepatří mezi běžné cíle českých turistů, zpozorní. Zvlášť když z aplikace bude jasné, že váš mobil zůstal v Česku. Nebo že jste ještě před pár minutami platili na jiném kontinentu. Nebo když platíte za něco úplně jiného, než jste dosud kupovali. Podobné pojistky používaly banky už dřív, teď je ale zdokonalují, aby vyhodnotily riziko ještě před platbou.
Zmíněná analýza chování bude i přímo součástí nového standardu 3D Secure 2.0. To je – zjednodušeně řečeno – rozhraní, které při placení na internetu vidíte nejčastěji. Stojí za ním šest hlavních kartových asociací jako Mastercard či Visa.
Nová generace tohoto „bezpečnostního protokolu" dokáže předat mnohem víc údajů než ta dosavadní. Mimo jiné právě o tom, z jakého zařízení a v jakou denní dobu nejčastěji platíte nebo jaká je vaše platební historie.
Tuzemské banky do poslední chvíle doufaly, že právě takovou analýzu transakčních rizik, zabudovanou přímo v „platební bráně“ 3D Secure 2.0, uznají regulační úřady jako jeden ze dvou ověřovacích faktorů. Z pohledu klienta by pak tedy dál stačilo potvrzení jenom SMS kódem. Jenže Evropský orgán pro bankovnictví ani Česká národní banka to neschválily.
Jak dlouhý bude odklad?
Anketa webu Peníze.cz ukázala, že ani čtyřicet dnů před zlomovým datem nemají banky jasnou představu, jak požadavky unijní směrnice konkrétně naplní. A prakticky všechny připouštějí, že je do poloviny září splnit nestihnou – nebo určitě ne kompletně.
Povinnost silného ověření se týká nejenom online plateb (typicky nákupů v e-shopu), ale také potvrzování transakcí v internetovém či mobilním bankovnictví – tedy hlavně při zadání odchozích plateb.
Nejpřipravenější na změny jsou banky, které už dneska používají speciální bezpečnostní klíč – především Česká spořitelna, Komerční banka nebo UniCredit Bank. Víc údajů je potřeba zadávat i v internetovém či mobilním bankovnictví Raiffeisenbank, na podzim k tomu přidá také mobilní klíč. Jednoduché ověřování plateb kartou přes aplikaci chystá Air Bank, podobnou novinku brzy představí i Creditas.
Prakticky všechny banky ale více či méně otevřeně říkají, že v září se pro klienty ještě nic nezmění. „K upřesnění nejasného výkladu PSD2 ohledně ověřování karetních transakcí došlo teprve před několika dny. V září ponecháváme současnou metodu ověřování internetových transakcí pomocí SMS jednorázového kódu, který považujeme stále za bezpečný způsob dostupný všem uživatelům,“ potvrzuje mluvčí ČSOB Patrik Madle.
„Nyní nezavádíme změny v ověřování, které by měly negativní dopad na uživatelský komfort, jako například zavádění dalších hesel. Zároveň pracujeme na ověřování pomocí aplikace ČSOB Smartklíč, která na začátku příštího roku ověření dále zjednoduší,“ dodává Madle.
Stejně jako konkurenti naráží na to, že Evropský orgán pro bankovnictví (EBA) zveřejnil dlouho očekávané upřesnění pravidel až 21. června.
Podle ČNB ale měly banky a další poskytovatelé finančních služeb na přípravu dost času, protože směrnice je známá skoro čtyři roky a zmíněné červnové upřesnění ze strany EBA nepřineslo žádné zásadní změny oproti dřívějšku.
„Požadavky na dvoufaktorové ověření stanovila směrnice PSD2, a to poměrně jasně, již v roce 2015. Přidaná hodnota červnového stanoviska EBA spočívá zejména v tom, že se ověřovacím faktorům věnuje komplexně a přehledně ve srovnání s dříve zveřejněnými odpověďmi (Single Rulebook Q&A). Pro oblast karetních plateb pak bylo důležité konstatování, že 3D Secure verze 2.0 ani karetní údaje nepředstavují ověřovací faktory,“ říká Petra Vodstrčilová z tiskového oddělení ČNB.
Sama EBA už připouští, že termín pro splnění pravidel se nakonec v praxi posune – přestože formálně nepůjde o odklad účinnosti směrnice, ale jenom o dodatečnou lhůtu pro dosažení souladu s platnou právní úpravou.
EBA teď prostřednictvím národních regulátorů zkoumá, jak na tom jednotlivé banky, kartové asociace či obchodníci (e-shopy) jsou. O odkladu v ČR sice může rozhodnout Česká národní banka, v praxi se ale bude snažit o jednotný postup s centrálními bankami dalších států EU. Konkrétní rozhodnutí zatím nepadlo, čekají se další jednání mezi ČNB a Českou bankovní asociací.
„Přechodné období by mělo být podle našeho názoru ze strany EBA koordinováno, protože platební služby jsou často používány přeshraničně. Pro klienty bank by tedy bylo podivné, aby v jedné členské zemi byly jiné požadavky než v zemích dalších. Prozatím k žádné koordinaci nedošlo, o termínech se diskutuje. Často se hovoří o 18 měsících (například ve Velké Británii), ale třeba Banque de France uvažuje dokonce o 33 měsících,“ říká Tomáš Hládek, poradce České bankovní asociace pro platební styk a kyberbezpečnost.
Proč podle něj ke zpoždění vůbec došlo? „V návaznosti na směrnici PSD2 sice už loni vydala EBA příslušný technický standard, ale teprve ve druhé polovině letošního června zveřejnila svůj výklad toho, co je a co není možné považovat za bezpečnostní prvky při autentizaci klientů a autorizaci plateb. Celému evropskému trhu platebních služeb se tak teprve v té chvíli dostalo dlouho očekávané oficiální informace, z níž ovšem vyplynulo, že bude třeba provést řadu změn a úprav, které nebude možné do 14. září 2019 v celé šíři realizovat,“ shrnuje Hládek.
„Problém není ani tak na straně bank, které do přípravy na novou legislativu investovaly nemalé prostředky, ale především na straně obchodníků, kteří přijímají platební karty. Banky ale cítí problém v tom, že karty mají klienti od svých bank, a kdyby něco nefungovalo, kdyby došlo k odmítání plateb, budou z toho klienti vinit v první řadě banky,“ vysvětluje.
„Celá tato změna se týká jen a pouze plateb v rámci eurozóny,“ dodává mluvčí Equa bank Markéta Dvořáčková.
Petr Kučera
Zaměřuje se na osobní finance a spotřebitelská témata. Vystudoval Právnickou fakultu Univerzity Karlovy v Praze, ale ještě víc než paragrafy má rád média. Přes pět let vedl web Peníze.cz, předtím ekonomicko-finanční rubriku... Další články autora.
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
5. 8. 2019 8:02, xls
Typický euroopruz. Funkčnost aplikací od banka je sporná, rozhodně se na ně nejde spolehnout - už se mi kolikrát stalo, že jsem přes ně nezaplatil. Když mám 10+ bank, tak mít pro každou aplikaci? Jen z toho bych se zmrcnul.
Kromě toho potřebuju, aby to fungovalo vždycky a za všech okolností. Typická situace: jste v zahraničí na druhém konci světa, ukradnou vám mobil. Budete schopní na novém si aplikaci spustit tak, abyste zaplatili? Když vám v takové situaci, že musíte nejdřív na pobočku, tak je to naprosto na houby.
Příspěvek s nejvíce zápornými hlasy
6. 8. 2019 0:10, Jiří
Konečně to někoho napadlo. To opisování kódu z SMS bylo děsně otravné. Takhle zadám platbu na internetu kartou a jednoduše potvrdím otiskem na telefonu.
V diskuzi je celkem (35 komentářů) příspěvků.