Pravidla pro ověřování plateb kartou na internetu, typicky při nákupu v e-shopu, od ledna 2021 zpřísní. Po zadání údajů o platební kartě bude nutné potvrdit transakci prostřednictvím mobilní aplikace – otiskem prstu, skenem obličeje nebo stálým heslem (PINem).
Kdo by chtěl zůstat u dosavadního způsobu, bude muset přidat ještě nové heslo – takzvaný ePIN. Zadat jenom jednorázový SMS kód už nestačí.
Ke konci letošního roku totiž skončí odklad povinnosti, kterou bankám přinesla unijní směrnice PSD2. Původně už od poloviny loňského září měly zavést takzvané silné ověření, založené na dvou různých faktorech – proto se mu říká dvoufaktorové nebo dvoufázové.
Potvrzování online plateb kartou prostřednictvím aplikace spustila jako první mBank loni v září, v listopadu pak Moneta. Na začátku letošního roku se k nim přidala Air Bank, potom i Fio, Equa bank, Creditas či Expobank, od července Komerční banka a Raiffeisenbank.
V příštím týdnu spustí dvoufázové ověřování Sberbank, během čtvrtého čtvrtletí pak Česká spořitelna (prostřednictvím George klíče). Od 1. ledna přejde na takzvané push notifikace i UniCredit Bank.
„ČSOB tuto možnost zprovozní pro karty v rámci aplikace Smart klíč od 2. listopadu,“ upřesňuje mluvčí Patrik Madle. ČSOB sice přišla se svým mobilním Smart klíčem už před pěti lety (původně jenom s PINem, později ho rozšířila o biometrii), až doteď ale funguje jenom pro ověřování při přihlašování do internetového bankovnictví a v něm zadaných příkazů. Jako náhradu místo opisování SMS při online platbách kartou ho zatím klienti využít nemohou.
Hello bank zatím na otázku webu Peníze.cz neodpověděla.
Když platíte kartou na internetu, zadáte do formuláře její číslo, dobu platnosti a tři čísla ze zadní strany. Pak vás to – ve „starém“ systému – většinou přesměruje na stránku vaší banky, kam zadáte jednorázový kód, který mezitím přišel jako SMS na mobil. Některé banky ho mají kratší, jiné delší (Wüstenrot má deset číslic, ČSOB donedávna používala devítimístnou kombinaci číslic a písmen, ale už ji nahradila šesti číslicemi).
Novinka, kterou banky postupně zavádějí, to celé zjednoduší a zrychlí. První část – zadání údajů o kartě do formuláře – sice zůstane stejná, ale ve druhé fázi místo opisování SMS kódu nově stačí potvrdit oznámení, které na vás vyskočí v mobilu. K tomu stačí otisk prstu na mobilu, rozpoznání obličeje, případně zadání hesla k mobilnímu bankovnictví (které je obvykle kratší než SMS kód a pamatujete si ho, protože je stálé a sami jste si ho zvolili).
Nový způsob potvrzování v Komerční bance.
Potvrzování v aplikaci má být zároveň bezpečnější. Jednak se tam může vejít víc informací o konkrétní platbě než do SMS, ale především do hry vstupuje takzvaný druhý faktor: Zjednodušeně řečeno by už zloději nestačilo, že má u sebe vaši kartu i mobil.
Podle zmíněné unijní směrnice máte při online platbách nově potvrzovat totožnost dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co znáte jenom vy (typicky heslo, PIN nebo odpověď na zvolenou otázku); něčeho, co máte u sebe (typicky mobilní telefon nebo token) a něčeho, čím jste (biometrický údaj – tedy otisk prstu, snímek obličeje, oční duhovky, rozpoznání hlasu a podobně).
Evropský orgán pro bankovnictví (EBA) rozhodl, že jednorázová SMS zaslaná na mobil nepatří mezi znalostní kritéria – nejde o něco, co by mohl znát jenom majitel karty. SMS se tak ocitla ve stejné kategorii jako samotný mobil – něco, co má uživatel u sebe. Do budoucna už proto nestačí zadat údaje z karty a potvrdit je kódem z SMS. Šlo by jenom o jeden faktor místo potřebných dvou.
Řeší to právě mobilní aplikace: Máte u sebe mobil a splňujete tak faktor vlastnictví, současně potvrzujete platbu buď biometrií (něčím, čím jste), nebo PINem k aplikaci (něco, co znáte jenom vy).
Definitivní podobu směrnice schválil Evropský parlament už na podzim 2015. Jenže potřebné upřesnění ohledně SMS vydal „unijní regulátor“ až loni v červnu. Přesměrovat ověřování online plateb kartou do aplikace dokázala k polovině loňského září jenom mBank. Podobné zpoždění jako ty tuzemské měly i banky v jiných státech Evropské unie, proto přišel zmíněný odklad – v Česku do konce letošního roku.
I ty banky, které mezitím nový způsob ověřování už zavedly, ale pořád nesplnily přísnější pravidla na sto procent. Neřešily situace, kdy lidé z nějakého důvodu nechtějí nebo nemohou používat mobilní aplikaci – třeba proto, že nemají chytrý mobil.
Už před rokem bylo ve hře zavedení takzvaného ePINu, tedy stálého hesla, které by lidé (neověřující platbu přes biometrii nebo PIN aplikace) přidávali k jednorázové SMS. Šlo by o jiný PIN, než používáte pro výběry z bankomatu nebo klasické platby v obchodě. Banky pořád hledaly jednodušší řešení, některé navíc stále doufaly, že regulátor nakonec přece jenom připustí výjimku.
Nejpozději od začátku příštího roku už SMS opravdu nestačí. Jestli tedy zaplatíte kartou v e-shopu a nepoužíváte aplikaci vaší banky, může vás po vyplnění čísla karty a jednorázové SMS čekat ještě zadání jednoho údaje. Se zavedením „bezpečnostního hesla“ počítá během několika týdnů třeba Komerční banka, už dřív o něm mluvily Creditas nebo Equa.
Nejdál je z tohoto pohledu Česká spořitelna. Také ona rozdá klientům ePIN, budou si ho moci vygenerovat v digitálním bankovnictví George nebo v bankomatu. Půjde však jenom o poslední záchranu pro případ, že selže jiné řešení.
Klienti bez aplikace George klíč budou moci dál potvrzovat transakce jenom pomocí SMS kódu, protože o větší bezpečnost – potřebný druhý faktor – se postará unikátní systém zvaný OLIN. Ten mimochodem funguje už teď a chrání všechny klienty spořitelny – tedy i ty, kteří využívají George klíč.
Technologie OLIN zajišťuje „behaviorální detekci“ podezřelých transakcí. V případě karet průběžně sleduje vaše nákupní chování: v jakou denní dobu nejčastěji platíte, z jakého zařízení a podobně. Když nezjistí nic podezřelého, platbu povolí. Ale když se najednou pokusíte platit kartou v zemi, kde jste nikdy nebyli a která zrovna nepatří mezi běžné cíle českých turistů, zpozorní. Zvlášť když jste ještě před pár minutami platili na jiném kontinentu. Nebo když platíte za něco úplně jiného, než jste dosud kupovali.
Podobné pojistky používaly banky už dřív, teď je ale zdokonalují, aby vyhodnotily riziko ještě před platbou. Behaviorální analýza navíc hodnotí třeba i rychlost psaní na klávesnici a další takzvaná velká data, která o vás banka zatím nashromáždila.
Transakce, které podle systému OLIN nebudou podezřelé, pak může spořitelna označit za ty „s nízkou mírou rizika“. A právě pro ně připouští směrnice PSD2 výjimku – respektive jsou v kombinaci s jednorázovou SMS považovány za dostatečně silné ověření.
Speciální ePIN tak budete u spořitelny muset (bez George klíče) zadávat jenom tehdy, když OLIN vyhodnotí transakci jako podezřelou. Nebo když o vás nebude mít z dřívějška dostatek dat pro jasné rozhodnutí.
Podobná analýza chování bude i součástí nového standardu EMV 3DS neboli nové generace 3D Secure. To je rozhraní, které při placení na internetu vidíte nejčastěji. Stojí za ním hlavní kartové asociace jako Mastercard či Visa. Nová generace tohoto „bezpečnostního protokolu" dokáže předat mnohem víc údajů než ta dosavadní. Mimo jiné právě o tom, z jakého zařízení a v jakou denní dobu nejčastěji platíte nebo jaká je vaše platební historie.
Na to spoléhají i některé další banky: tedy že „nízkou míru rizika“ vyhodnotí přímo kartová asociace, čímž se vyhnou komplikacím s ePINem. Dodejme, že další výjimka ze silného ověření se může týkat nižších částek (do určitého počtu opakování).
Jak se nový standard dotkne e-shopů? „Implementaci musí udělat provozovatel platební brány, pro samotného obchodníka tedy půjde o bezbolestný proces. Nicméně nový protokol požaduje dodatečná data, která by měl obchodník odesílat, což vyžaduje IT zásah,“ říká Luděk Slouka, ředitel rozvoje produktů a inovací Mastercard pro střední a východní Evropu.
Každopádně jestli ještě „banku v mobilu“ (u některých bank samostatný „mobilní klíč“) nepoužíváte, bude se vás banka snažit přesvědčit, abyste si takovou aplikaci stáhli a začali používat.
Nejpřísněji na to jde Raiffeisenbank. Od září zavedla nový poplatek 19 korun, který strhne za každý měsíc, kdy se přihlásíte do internetového bankovnictví a zadáte v něm příkaz „starým“ způsobem s jednorázovou SMS. Na účet bez paušálního poplatku tak nově dosáhne jenom ten, kdo využívá aplikaci RB Klíč. Přímo potvrzování plateb kartou se to (zatím) netýká.
Raiffka, podobně jako třeba UniCredit Bank, dává najevo, že od Nového roku bude jednoznačně preferovat potvrzování plateb prostřednictvím aplikace. O ePINu nebo jiné alternativě nechtějí jejich zástupci příliš mluvit. Přesto není příliš pravděpodobné, že by některá banka od ledna části klientů úplně sebrala možnost platit kartou online.
Podle průzkumu, který pro Českou bankovní asociaci na přelomu května a června provedla agentura SC&C, stoupl za poslední rok počet lidí, kteří k účtu přistupují aspoň občas přes aplikaci v mobilu, z 35 na 43 % (měřeno jako podíl z uživatelů elektronického bankovnictví). Přes webový prohlížeč v počítači se aspoň občas přihlašuje 79 % (loni 83 %).
Uživatelé bankovní aplikace se nejčastěji přihlašují biometricky – podíl této nejmodernější formy stoupl na 44 % z loňských 36 %. Z toho nejrozšířenější (76 %) je otisk prstu, s výrazným odstupem následují snímání oka (12 %), snímání tváře (10 %) a ověření hlasu (2 %).
Platby v e-shopech potvrzuje – podle čerstvých čísel společnosti Mastercard – prostřednictvím otisku prstu nebo scanu obličeje čtvrtina Čechů.
Rozšíření mobilní aplikace obecně hodně záleží na věku klienta, potvrdil průzkum SC&C. Zatímco ve skupině od 18 do 35 let ji používá už 67 % lidí, ve skupině od 65 let výš je to 16 procent.
Nejčastějším důvodem, proč lidé nepoužívají aplikaci, jsou podle zmíněného průzkumu obavy o bezpečnost (39 %). Často také uvádějí, že jsou zvyklí na přístup přes web (36 %), aplikaci nepotřebují (31 %), nemají vhodný přístroj (19 %) nebo jim to připadá nepohodlné (9 %).
Polovina (53 %) z těch klientů, kteří zatím aplikaci nevyužívají, říká, že by je nic nepřesvědčilo změnit názor – aplikaci nechtějí z principu. Zbytek by se nechal zlákat slevami na bankovních produktech a službách (42 %), bezplatným nebo zlevněným telefonem či tabletem (38 %), jednodušší a přehlednější aplikací, lepším zabezpečením (shodně 37 %), ale i levnějšími mobilními daty (33 %).
Petr Kučera
Srovnávat se vyplatí
Kalkulátor.cz je srovnávač, který lidem šetří peníze ve světě energií, pojištění a financí. My počítáme, vy šetříte.
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
9. 9. 2020 6:48, KarelB
Připadám si jako zloděj vlastních peněz. Neskutečné šachy. Nepochybuji, že na nápad přišli bruselští vševědové.
Příspěvek s nejvíce zápornými hlasy
9. 9. 2020 12:17, Pavel
V anketě máte hrubku. Nepíše se "dycky, ale vždy,případně vždycky. :(
V diskuzi je celkem (44 komentářů) příspěvků.