Když budete mít od soboty v obchodě problém s bezkontaktní platbou do 500 eur, zkuste to znova se zadáním PINu. U některých karet můžete také častěji narazit na limit pro součet transakcí – i v tomhle případě ho pak stačí zadat PIN.

Jde o jeden z dopadů nových pravidel, která o víkendu začínají platit v celé Evropské unii. Výrazněji než „kamenných obchodů“ se dotknou online plateb, typicky v e-shopu – na tyhle změny ale hned teď nenarazíte, v praxi přijdou až během dalších měsíců. Klienty několika bank čeká i přísnější přihlašování do internetového bankovnictví.

Dvoufaktorové ověřování

Proč je vlastně zrovna letošní 14. září tak přelomovým datem? Může za to unijní směrnice zvaná PSD2. Její definitivní podobu schválil Evropský parlament už na podzim 2015. Část, která má podle Evropské unie zvýšit bezpečnost plateb, začíná být účinná právě teď.

Pro online platby přináší novou povinnost: takzvané silné ověření klienta, zvané též dvoufaktorové nebo dvoustupňové ověření (SCA – strong customer authentication). Uživatel by měl potvrzovat svou totožnost dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co zná jenom on (typicky heslo, PIN nebo odpověď na zvolenou otázku); něčeho, co má u sebe (typicky mobilní telefon nebo token) a něčeho, čím je (biometrický údaj – tedy otisk prstu, snímek obličeje, oční duhovky, rozpoznání hlasu a podobně).

Směrnice připouští devět výjimek, u nichž silné ověření nebude nutné. Jde hlavně o internetové platby kartou do 30 eur, tedy zhruba 800 korun, jestliže celková suma od posledního silného ověření nepřesáhla 100 eur nebo nejde o víc než pátou platbu. Pro bezkontaktní platby u terminálu v obchodě bez zadání PINu platí limit pro jednotlivou transakci 50 eur (tuzemské banky se ho ale rozhodly nechat na 500 korunách, tedy zhruba 20 eurech jako dosud), přičemž jejich součet nesmí přesáhnout 150 eur.

Uživatel si také může označit konkrétní platby či příjemce peněz jako důvěryhodné; totéž platí pro zařízení, z něhož platbu zadává. Potvrzení nebude nutné ani u opakujících se transakcí, typicky prodlužování předplatného. Další výjimkou jsou terminály bez obsluhy, především při placení jízdného v městské dopravě nebo poplatků za parkování.

Silné ověření není nutné ani u „transakcí s nízkou mírou rizika“. Banky a kartové společnosti budou vlastně neustále sledovat vaše nákupní chování: v jakou denní dobu nejčastěji platíte, z jakého zařízení a podobně. Když nezjistí nic podezřelého, platbu povolí. Ale když se najednou pokusíte platit kartou v zemi, kde jste nikdy nebyli a která zrovna nepatří mezi běžné cíle českých turistů, zpozorní. Zvlášť když z aplikace bude jasné, že váš mobil zůstal v Česku. Nebo že jste ještě před pár minutami platili na jiném kontinentu. Nebo když platíte za něco úplně jiného, než jste dosud kupovali. Podobné pojistky používaly banky už dřív, teď je ale zdokonalují, aby vyhodnotily riziko ještě před platbou.

Podívejme se teď konkrétněji, jak se nová povinnost projeví ve třech základních situacích.

Platby kartou na internetu

Podle výkladu Evropského orgánu pro bankovnictví nepatří jednorázová SMS zaslaná na mobil mezi znalostní kritéria – nejde o něco, co by mohl znát jenom majitel karty. SMS se tak ocitla ve stejné kategorii jako samotný mobil – jako něco, co má uživatel u sebe. Do budoucna už proto při platbě na počítači nestačí zadat údaje z karty (ty mimochodem nepatří ani do jedné z ověřovacích skupin) a potvrdit je kódem z SMS. Šlo by jenom o jeden faktor místo potřebných dvou.

Při platbě v e-shopu a jinde na internetu tedy nově bude nutné přidat k údajům z karty ještě dva na sobě nezávislé způsoby ověření. Jestliže použijete bankovní aplikaci v mobilu, mělo by to být dokonce jednodušší než doteď.

První část zůstane stejná jako dosud: do formuláře zadáte údaje z karty. Pak na vás ale z mobilní aplikace místo SMS vyskočí notifikace z bankovní aplikace. Po kliknutí si zkontrolujete, jestli údaje souhlasí, a potvrdíte platbu vámi předvoleným způsobem – třeba otiskem prstu, „naskenováním“ obličeje nebo PINem či heslem. Jde o potřebné dva faktory: Prvním je držení mobilu (něco, co máte u sebe), druhým je biometrie (něco, čím jste) nebo PIN (něco, co znáte).

Když nechcete nebo nemůžete použít mobilní aplikaci, budete muset k údajům o kartě přidat také dva faktory: jedním zůstane jednorázový SMS kód zaslaný na mobil (něco, co máte u sebe), druhým pak speciální trvalý ePIN právě pro platby kartou, odlišný od PINu pro klasické platby v obchodě nebo výběry z bankomatu (něco, co znáte). Dodejme, že nová pravidla zakazují, aby se uživatel – nebo ten, kdo kombinaci hesla a SMS zkouší zadat – dozvěděl, v kterém ze dvou údajů udělal chybu.

Hned od 14. září se ale v online platbách na počítači nic dramatického nezmění. Banky totiž zatím nenabízejí aplikace, které by takové potvrzování uměly. Ty nejrychlejší z nich – třeba Česká spořitelna, Air Bank, Creditas nebo ČSOB – chtějí takovou funkci spustit v řádu měsíců.

Od víkendu nezačne fungovat ani alternativní řešení s využitím ePINu. Zatímco třeba u Equa bank si ho budete moct zvolit v nastavení karet v internetbankingu už od 20. září (a od 26. září má být jeho zadání u vybraných plateb povinné), jiné banky přijdou s něčím podobným až později.

A protože podobně jsou na tom i banky v jiných státech Evropské unie, dostanou na splnění této povinnosti ještě několik měsíců. Nejde jenom o připravenost bank, ale také platebních systémů samotných obchodníků. Přestože všichni měli na přípravu skoro čtyři roky, vysvětlují to tím, že potřebná upřesnění vydal „unijní regulátor“ až letos v červnu.

Internetové bankovnictví

Také při platbách zadávaných v internetbankingu je potřeba takzvané silné ověření, zvané též dvoufaktorové či dvoufázové. To ale pro uživatele nebude prakticky žádná změna, něco takového v Česku fungovalo už dřív.

Některým klientům se však zpřísní pravidla pro samotné přihlášení do internetového bankovnictví. Jenom jméno a (stálé) heslo už nestačí – patří totiž do stejné skupiny „něčeho, co znám jenom já“. Je potřeba přidat ještě něco jiného.

Hello bank, Equa bank, mBank či Fio banka začnou lidem při každém přihlášení posílat také SMS s jednorázovým kódem, který uživatel musí opsat. Většina ostatních bank přidala podobné ověření dřív – ať už prostřednictvím SMS, tokenu nebo dokonce speciálního mobilního klíče (nabízejí ho Česká spořitelna, Komerční banka či UniCredit Bank, nově i mBank).

mBank a Fio však využijí výjimku, díky níž se v praxi nic podstatného změnit nemusí. Klienti, kteří nechtějí každé přihlášení potvrzovat pomocí SMS (nebo mKlíče), si můžou přidat počítač, mobil nebo tablet k takzvaným důvěryhodným zařízením, respektive označí důvěryhodné prohlížeče.

Bezkontaktní platby v obchodě

Dopad nových pravidel na bezkontaktní platby u terminálů je sice menší než u online plateb a internetbankingu, v praxi ho ale můžete poznat nejdřív – hned od soboty 14. září.

Přestože platíte méně než 500 korun, máte na účtu dost peněz a karta je opravdu vaše, terminál u pokladny v obchodě ji možná odmítne. Nelekejte se a nepropadejte panice. Pokladní by měl(a) zadat platbu znovu a poradit vám, ať to zkusíte ještě jednou, tentokrát s vložením karty a zadáním PINu.

Zdaleka ne všechny platební terminály jsou totiž na nová pravidla připravené. S komplikacemi u „plastových karet“ se můžete setkávat ještě několik měsíců, naopak nehrozí u přímých plateb mobilem či hodinkami.

Zároveň je pravděpodobné, že budete muset častěji potvrzovat PINem i bezkontaktní platby do limitu 500 korun. Doteď záleželo hlavně na jednotlivých bankách, jaká pravidla a limity pro jimi vydané karty nastavily. Nově začne v celé Evropské unii platit jednotný strop: Celkový součet zaplacených částek od posledního „silného ověření“ (zadání PINu) nesmí přesáhnout 150 eur (zhruba 3800 korun) nebo přesáhnout pět plateb za sebou.

Záleží na samotné bance, který z parametrů si vybere. Pro klienty méně komplikovanou variantou je sčítat zaplacené částky, protože to vystačí přinejmenším na osm plateb bez PINu. Naopak u kritéria pouhého počtu transakcí se snadno může stát, že během dne uděláte pět drobných nákupů za pár korun a při šestém už budete muset zadat PIN.

Česká spořitelna potvrdila, že opravdu bude vyžadovat PIN po každé páté „neověřené“ platbě bez ohledu na to, že součet zaplacených částek je zatím podstatně nižší než 150 eur. Chce lépe chránit klienty před zneužitím karty. Obě kritéria využijí i Equa nebo UniCredit. Při maximálně pěti platbách do 500 korun tak lidé zaplatí v součtu nejvýš kolem 100 eur (2500 korun).

Naopak třeba Air Bank počítá s využitím maximálního limitu 150 eur, který v přepočtu nastaví na 3900 korun. Kritérium podle počtu plateb používat nebude. Moneta měla doteď limit na 2500 korunách a zatím nemá v plánu ho měnit. Také ČSOB nebo Raiffeisenbank používají kumulativní limit na částky (hodnotu nákupů), nikoliv na počet transakcí, konkrétní hranici ale nechtějí uvést.

Komerční banka víc neprozradila, pro klienty se prý ale proti dosavadnímu stavu nic nezmění. Konkrétnější nebyly ani Fio či Sberbank.

Klienti nicméně vůbec nemusí na takový strop narazit. Limit se pokaždé vynuluje, jestliže mezi bezkontaktními transakcemi uděláte nějakou s PINem – třeba při placení částky nad 500 korun nebo při výběru z bankomatu.

Unijní směrnice umožnila tuzemským bankám, aby zvýšily limit pro jednotlivé bezkontaktní platby bez PINu ze současných zhruba 20 eur (500 korun) na 50 eur (přibližně 1300 korun). Banky se přesto společně rozhodly, že vyšší limit nevyužijí.

Povinnost přísného ověření se netýká automatů bez obsluhy – především při placení jízdného v městské dopravě nebo poplatků za parkování. Důvodů je hned několik: Obvykle jde o drobné částky. Zadávání PIN nebo vkládání karty by zdržovalo ostatní víc než v obchodě. U některých automatů, typicky v MHD, ani neexistuje možnost vložit kartu a zadat PIN. Nemluvě o tom, že riziko zneužití karty je u takových plateb nižší, protože zloděj by z něj nezískal prakticky nic, co by mohl snadno zpeněžit.