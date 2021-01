Air Bank od 1. dubna přestane posílat jednorázové SMS kódy při platbě kartou na internetu, typicky v e-shopu. K ověření budou klienti potřebovat mobilní aplikaci.

„Platby kartou na internetu, které vyžadují potvrzení, budete muset vždy potvrdit v aplikaci My Air. Bez ní už na internetu nezaplatíte,“ napsala banka klientům. Kdo nechce využívat aplikaci pro další činnosti, může si ji nastavit jenom pro potvrzování plateb kartou a ostatní funkce zamknout.

Air Bank se tak přidá k UniCredit a Hello bank, které stejné omezení zavedly na začátku letošního roku. Také u nich je místo SMS nutné potvrdit online platbu kartou v bankovní aplikaci – otiskem prstu, stálým heslem a podobně.

Nový způsob je podle bank jednodušší a bezpečnější. Jenže kdo aplikaci nechce nebo nemůže používat (třeba proto, že nemá chytrý mobil), musí si k zaplacení v e-shopu vybrat jiné možnosti. Těmi jsou hlavně klasický převod z účtu (UniCredit ani Hello bank přitom stále neumějí okamžité platby), platba při osobním vyzvednutí zboží nebo dobírka.

U Air Bank zůstanou výjimkou platby nevyžadující takzvané silné ověření. Tedy takové, kde stačí zadat jenom údaje z karty. Typicky jde o platby mimo Evropskou unii, které nepodporují zabezpečení 3D Secure. Nebo i evropské platby, které projdou díky výjimkám ze silného ověření – ty lze využít především pro opakované platby u stejného obchodníka, platby nízkých částek nebo při využití analýzy transakčních rizik. V takových případech není potřeba aplikace (ani SMS). Dál je umožňuje také UniCredit Bank – pokud si klient v nastavení karty povolí internetové platby bez 3D Secure.

Nejpřísnější řešení chystá Hello bank. Od 10. března neumožní online platbu debetní ani kreditní kartou, pokud si platební brána nevyžádá silné ověření přes aplikaci. „Budeme tak ještě více chránit prostředky na vašich účtech,“ vysvětluje klientům. Znamená to, že například v čínských e-shopech bez zabezpečení 3D Secure už klienti Hello bank nezaplatí.

Ostatní banky sice také preferují aplikace, ale jako alternativu současně zachovaly i starší způsob potvrzování. Kdo chce zůstat u jednorázového SMS kódu, musí ho u většiny bank nově doplnit o speciální ePIN určený právě k platbám na internetu.

Potvrzování online plateb kartou, pokud vyžadují silné ověření banka v aplikaci alternativa Air Bank ano SMS (jenom do konce března) Banka Creditas ano SMS + ePIN Česká spořitelna ano SMS + ePIN ČSOB ne (spustí v nejbližších dnech) SMS Equa bank ano SMS + ePIN (od druhé pol. února) Expobank ano SMS + ePIN Fio banka ano SMS + ePIN Hello bank ano není Komerční banka ano SMS + heslo mBank ano SMS Moneta ano SMS + ePIN Raiffeisenbank ano SMS + ePIN (chystá) Sberbank ne SMS + ePIN Trinity Bank nemá karty nemá karty UniCredit Bank ano není

Banky reagují na unijní směrnici PSD2. Původně už od poloviny září 2019 měly zavést takzvané silné ověření, založené na dvou různých faktorech – proto se mu říká dvoufaktorové nebo dvoufázové. Evropští regulátoři nakonec tuto povinnost odložili na začátek letošního roku.

Klienti teď podle směrnice mají potvrzovat online platby kartou dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co znají jenom oni (typicky heslo, PIN nebo odpověď na zvolenou otázku); něčeho, co mají u sebe (typicky mobilní telefon nebo token), a něčeho, čím jsou (biometrický údaj – tedy otisk prstu, snímek obličeje, oční duhovky, rozpoznání hlasu a podobně).

Evropský orgán pro bankovnictví (EBA) rozhodl, že jednorázová SMS zaslaná na mobil nepatří mezi znalostní kritéria – nejde o něco, co by mohl znát jenom majitel karty. SMS se tak ocitla ve stejné kategorii jako samotný mobil – něco, co má uživatel u sebe. Do budoucna už proto nestačí zadat údaje z karty a potvrdit je kódem z SMS. Šlo by jenom o jeden faktor místo potřebných dvou.

Řeší to právě mobilní aplikace: Máte u sebe mobil a splňujete tak faktor vlastnictví, současně potvrzujete platbu buď biometrií (něčím, čím jste), nebo PINem k aplikaci (něco, co znáte jenom vy).

Banky proto postupně přidaly do svých aplikací (buď přímo, nebo jako samostatný „klíč“) i potvrzování online plateb kartou. Jako první s takovou inovací přišly na podzim 2019 mBank a Moneta, třetí byla Air Bank. Naopak posledními z retailových bank, které ověřování v aplikaci zatím nezprovoznily, jsou ČSOB (spustí v nejbližších dnech) a Sberbank.

Většina bank nechává klientům možnost, aby – když ne přes aplikaci – dál potvrzovali platby kartou přes SMS. Kvůli směrnici je doplnila o stálé heslo, zvané obvykle ePIN.

Česká spořitelna to chce klientům co nejvíc usnadnit a využívá takzvanou behaviorální detekci. U lidí, kteří zůstanou u kódů z SMS a zároveň už využívali v minulosti platby kartou na internetu, nebude vyžadovat ePIN při každé platbě. Z analýzy předchozího chování totiž pozná, že nakupuje skutečně držitel karty. Podrobně jsme to popsali v nedávném rozhovoru.

Podobné „inteligentní ověření“ chystají také ČSOB a mBank. Obě banky – narozdíl od spořitelny – věří, že dokáže zcela nahradit druhý faktor, a proto vůbec nezavedly ePIN.

ePIN zatím nemají ani Raiffeisenbank a Equa bank, obě s ním ale v blízké době počítají. Raiffka zároveň spojí dosud samostatnou aplikaci RB Klíč s hlavní bankovní aplikací Mobilní eKonto.

Zdroj: Shutterstock Už nás sledujete? Přidejte si Peníze.cz na Twitter nebo Facebook a dozvíte se včas další aktuality a praktické rady!

Petr Kučera Autorsky se zaměřuje na širokou oblast osobních financí a spotřebitelských témat. Vystudoval Právnickou fakultu Univerzity Karlovy v Praze, ještě víc než paragrafy ale miluje média. Byl šéfredaktorem České informační agentury... Další články autora.