Tři banky ruší SMS. Kartou v e-shopu už nezaplatíte bez aplikace

Petr Kučera | rubrika: Co se děje | 28. 1. 2021 | 98 komentářů
Lidem, kteří nepoužívají mobilní aplikaci nebo chytrý telefon, se zkomplikovaly platby kartou na internetu.
Tři banky ruší SMS. Kartou v e-shopu už nezaplatíte bez aplikace
Ilustrační foto.
Zdroj: Shutterstock

Air Bank od 1. dubna přestane posílat jednorázové SMS kódy při platbě kartou na internetu, typicky v e-shopu. K ověření budou klienti potřebovat mobilní aplikaci.

„Platby kartou na internetu, které vyžadují potvrzení, budete muset vždy potvrdit v aplikaci My Air. Bez ní už na internetu nezaplatíte,“ napsala banka klientům. Kdo nechce využívat aplikaci pro další činnosti, může si ji nastavit jenom pro potvrzování plateb kartou a ostatní funkce zamknout.

Air Bank se tak přidá k UniCredit a Hello bank, které stejné omezení zavedly na začátku letošního roku. Také u nich je místo SMS nutné potvrdit online platbu kartou v bankovní aplikaci – otiskem prstu, stálým heslem a podobně.

Nový způsob je podle bank jednodušší a bezpečnější. Jenže kdo aplikaci nechce nebo nemůže používat (třeba proto, že nemá chytrý mobil), musí si k zaplacení v e-shopu vybrat jiné možnosti. Těmi jsou hlavně klasický převod z účtu (UniCredit ani Hello bank přitom stále neumějí okamžité platby), platba při osobním vyzvednutí zboží nebo dobírka.

U Air Bank zůstanou výjimkou platby nevyžadující takzvané silné ověření. Tedy takové, kde stačí zadat jenom údaje z karty. Typicky jde o platby mimo Evropskou unii, které nepodporují zabezpečení 3D Secure. Nebo i evropské platby, které projdou díky výjimkám ze silného ověření – ty lze využít především pro opakované platby u stejného obchodníka, platby nízkých částek nebo při využití analýzy transakčních rizik. V takových případech není potřeba aplikace (ani SMS). Dál je umožňuje také UniCredit Bank – pokud si klient v nastavení karty povolí internetové platby bez 3D Secure.

Nejpřísnější řešení oznámila Hello bank. Klientům původně napsala, že od 10. března neumožní online platbu debetní ani kreditní kartou, pokud si platební brána nevyžádá silné ověření přes aplikaci. „Budeme tak ještě více chránit prostředky na vašich účtech,“ vysvětluje klientům. Znamenalo by to, že například v čínských e-shopech bez zabezpečení 3D Secure už klienti Hello bank nezaplatí.

Nakonec ani Hello bank nebude tak přísná. „Bohužel došlo ke špatnému popisu celé problematiky z naší strany v průvodním e-mailu ohledně změny smluvních podmínek. Pro klienty jsme připravili podrobnější vysvětlení v další komunikaci,“ říká mluvčí Gabriela Pithartová. Řešení tak bude v praxi podobné jako u Air Bank a UniCredit.

„U obchodníků v rámci EU, kteří již mají implementované 3DS, tedy vyžadují silné dvoufaktorové ověření, jinak než mobilní aplikací Hello bank klienti nezaplatí. Ale platby mimo EU, které nepodléhají PSD2 a zodpovědnost za platbu přebírá obchodník, proběhnou úplně standardně bez jakéhokoli ověření. Stejně tak platby v rámci EU, které silné ověření zatím nevyžadují,“ dodává mluvčí Hello bank.

Ostatní banky sice také preferují aplikace, ale jako alternativu současně zachovaly i starší způsob potvrzování. Kdo chce zůstat u jednorázového SMS kódu, musí ho u většiny bank nově doplnit o speciální ePIN určený právě k platbám na internetu.

Potvrzování online plateb kartou, pokud vyžadují silné ověření

bankav aplikacialternativa
Air BankanoSMS (jenom do konce března)
Banka CreditasanoSMS + ePIN
Česká spořitelnaanoSMS + ePIN
ČSOBne (spustí v nejbližších dnech)SMS
Equa bankanoSMS + ePIN (od druhé pol. února)
ExpobankanoSMS + ePIN
Fio bankaanoSMS + ePIN
Hello bankanonení
Komerční bankaanoSMS + heslo
mBankanoSMS
Moneta anoSMS + ePIN
RaiffeisenbankanoSMS + ePIN (chystá)
Sberbank neSMS + ePIN
Trinity Banknemá kartynemá karty
UniCredit Bankanonení

Banky reagují na unijní směrnici PSD2. Původně už od poloviny září 2019 měly zavést takzvané silné ověření, založené na dvou různých faktorech – proto se mu říká dvoufaktorové nebo dvoufázové. Evropští regulátoři nakonec tuto povinnost odložili na začátek letošního roku.

Klienti teď podle směrnice mají potvrzovat online platby kartou dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co znají jenom oni (typicky heslo, PIN nebo odpověď na zvolenou otázku); něčeho, co mají u sebe (typicky mobilní telefon nebo token), a něčeho, čím jsou (biometrický údaj – tedy otisk prstu, snímek obličeje, oční duhovky, rozpoznání hlasu a podobně). Pravidla PSD2 pro dvoufaktorové ověření se týkají Evropské unie. Nejsou tedy povinná třeba pro americké nebo čínské e-shopy, u nichž nemusíte narazit ani na zabezpečení 3D Secure.

Evropský orgán pro bankovnictví (EBA) rozhodl, že jednorázová SMS zaslaná na mobil nepatří mezi znalostní kritéria – nejde o něco, co by mohl znát jenom majitel karty. SMS se tak ocitla ve stejné kategorii jako samotný mobil – něco, co má uživatel u sebe. Do budoucna už proto nestačí zadat údaje z karty a potvrdit je kódem z SMS. Šlo by jenom o jeden faktor místo potřebných dvou. 

Řeší to právě mobilní aplikace: Máte u sebe mobil a splňujete tak faktor vlastnictví, současně potvrzujete platbu buď biometrií (něčím, čím jste), nebo PINem k aplikaci (něco, co znáte jenom vy).

Banky proto postupně přidaly do svých aplikací (buď přímo, nebo jako samostatný „klíč“) i potvrzování online plateb kartou. Jako první s takovou inovací přišly na podzim 2019 mBank a Moneta, třetí byla Air Bank. Naopak posledními z retailových bank, které ověřování v aplikaci zatím nezprovoznily, jsou ČSOB (spustí v nejbližších dnech) a Sberbank.

Většina bank nechává klientům možnost, aby – když ne přes aplikaci – dál potvrzovali platby kartou přes SMS. Kvůli směrnici je doplnila o stálé heslo, zvané obvykle ePIN.

Česká spořitelna to chce klientům co nejvíc usnadnit a využívá takzvanou behaviorální detekci. U lidí, kteří zůstanou u kódů z SMS a zároveň už využívali v minulosti platby kartou na internetu, nebude vyžadovat ePIN při každé platbě. Z analýzy předchozího chování totiž pozná, že nakupuje skutečně držitel karty. Podrobně jsme to popsali v nedávném rozhovoru.

Podobné „inteligentní ověření“ chystají také ČSOB a mBank. Obě banky – narozdíl od spořitelny – věří, že dokáže zcela nahradit druhý faktor, a proto vůbec nezavedly ePIN.

ePIN zatím nemají ani Raiffeisenbank a Equa bank, obě s ním ale v blízké době počítají. Raiffka zároveň spojí dosud samostatnou aplikaci RB Klíč s hlavní bankovní aplikací Mobilní eKonto.

O nových pravidlech EU jsme podrobně psali už dříve:

Binokulár. Zlobil. Zdroj: Shutterstock.com
Zdroj: Shutterstock

Už nás sledujete? 

Přidejte si Peníze.cz na Twitter nebo Facebook a dozvíte se včas další aktuality a praktické rady! 

Petr Kučera

Autor článku Petr Kučera

Šéfredaktor webu Peníze.cz. Zaměřuje se na širokou oblast osobních financí a spotřebitelských témat. Vystudoval Právnickou fakultu Univerzity Karlovy v Praze, ale ještě víc než paragrafy má rád média. Vedl zpravodajství České... Další články autora.

Líbil se vám článek?

+88
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 98 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

28. 1. 2021 15:50, Tomáš

Řešení pomocí aplikace v mobilu není dobré!
Jeho podmínkou bezpečnosti je totiž dodržování zásad aktuálnosti systému mobilního telefonu a předmětné aplikace, dále pak originální systém spolehlivého výrobce mobilního telefonu (co takhle Huawei? nebo jiné čínské značky) a v neposlední řadě instalace aplikací výhradně z Google Play (i zde se vyskytly nebezpečné aplikace!).
Jinak řečeno, hackeři jsou vždy o krok před ochránci.
Osobně tedy pro banku svůj mobil nikdy nevyužívám a mám ho pro zbylou část životních zájmů.
Zároveň aby mi lépe sloužil, mám rychlejší (alternativní) systém než je z výroby a pro širší využití i root práva.
To vše činí telefon pro přístup do banky nevhodný!
Z tohoto důvodu ale také telefon nemám, a nehodlám jej takto ani omezovat.
Najděte lepší způsob, než diktovat lidem co musí dělat se svým osobním telefonem, aby mohli vůbec platit bankovní kartou po internetu.

+227
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

28. 1. 2021 8:57, Oto

Vy budete asi moravský koblih.

Zobrazit celé vlákno

-135
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (98 komentářů) příspěvků.

A tohle už jste četli?

Na úřady přes banku: KB spustí ostrý provoz za měsíc

26. 1. 2021 | Petr Kučera

Na úřady přes banku: KB spustí ostrý provoz za měsíc

Komerční banka v pondělí spustila pilotní provoz takzvané bankovní identity směrem k digitálním službám veřejné správy. Do 7. února ho otestuje přibližně stovka zaměstnanců, 8. února... celý článek

IKEA otevře další výdejní místa, vylepšila restauraci

26. 1. 2021 | Petr Kučera | 4 komentáře

IKEA otevře další výdejní místa, vylepšila restauraci

Řetězec IKEA letos otevře tři nová výdejní místa v regionech, a to v Plzeňském, Karlovarském a Ústeckém kraji. Spolu s dalšími novinkami to oznámila na dnešní tiskové konferenci.

ČSOB a Poštovní spořitelna změní přímé bankovnictví i ceník

14. 1. 2021 | Petr Kučera | 15 komentářů

ČSOB a Poštovní spořitelna změní přímé bankovnictví i ceník

ČSOB udělá na jaře další krok k úplnému spojení se svou dříve samostatnou značkou Poštovní spořitelna. Sjednotí internetové bankovnictví, chystá i novou mobilní aplikaci. Zároveň změní... celý článek

Velké banky přijdou s virtuální kartou. Opravdu potřebujete plast?

2. 12. 2020 | Jiří Hovorka | 29 komentářů

Velké banky přijdou s virtuální kartou. Opravdu potřebujete plast?

Česká spořitelna dá ještě do konce roku klientům na výběr, zda skutečně chtějí plastovou kartu, nebo jim bude stačit virtuální. Na novinku se chystají i další banky.

Kreditku splatíte včas, přesto se prodraží. Pozor na výjimky

30. 9. 2020 | Petr Kučera | 7 komentářů

Kreditku splatíte včas, přesto se prodraží. Pozor na výjimky

Nejspíš víte, že výběr z bankomatu kreditní kartou vyjde draho. Jsou ale i další věci, které s ní radši nedělat. Kromě vysokého poplatku hrozí i to, že přijdete o bezúročné období.... celý článek

Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.