Air Bank od 1. dubna přestane posílat jednorázové SMS kódy při platbě kartou na internetu, typicky v e-shopu. K ověření budou klienti potřebovat mobilní aplikaci.
„Platby kartou na internetu, které vyžadují potvrzení, budete muset vždy potvrdit v aplikaci My Air. Bez ní už na internetu nezaplatíte,“ napsala banka klientům. Kdo nechce využívat aplikaci pro další činnosti, může si ji nastavit jenom pro potvrzování plateb kartou a ostatní funkce zamknout.
Air Bank se tak přidá k UniCredit a Hello bank, které stejné omezení zavedly na začátku letošního roku. Také u nich je místo SMS nutné potvrdit online platbu kartou v bankovní aplikaci – otiskem prstu, stálým heslem a podobně.
Nový způsob je podle bank jednodušší a bezpečnější. Jenže kdo aplikaci nechce nebo nemůže používat (třeba proto, že nemá chytrý mobil), musí si k zaplacení v e-shopu vybrat jiné možnosti. Těmi jsou hlavně klasický převod z účtu (UniCredit ani Hello bank přitom stále neumějí okamžité platby), platba při osobním vyzvednutí zboží nebo dobírka.
U Air Bank zůstanou výjimkou platby nevyžadující takzvané silné ověření. Tedy takové, kde stačí zadat jenom údaje z karty. Typicky jde o platby mimo Evropskou unii, které nepodporují zabezpečení 3D Secure. Nebo i evropské platby, které projdou díky výjimkám ze silného ověření – ty lze využít především pro opakované platby u stejného obchodníka, platby nízkých částek nebo při využití analýzy transakčních rizik. V takových případech není potřeba aplikace (ani SMS). Dál je umožňuje také UniCredit Bank – pokud si klient v nastavení karty povolí internetové platby bez 3D Secure.
Nejpřísnější řešení oznámila Hello bank. Klientům původně napsala, že od 10. března neumožní online platbu debetní ani kreditní kartou, pokud si platební brána nevyžádá silné ověření přes aplikaci. „Budeme tak ještě více chránit prostředky na vašich účtech,“ vysvětluje klientům. Znamenalo by to, že například v čínských e-shopech bez zabezpečení 3D Secure už klienti Hello bank nezaplatí.
Nakonec ani Hello bank nebude tak přísná. „Bohužel došlo ke špatnému popisu celé problematiky z naší strany v průvodním e-mailu ohledně změny smluvních podmínek. Pro klienty jsme připravili podrobnější vysvětlení v další komunikaci,“ říká mluvčí Gabriela Pithartová. Řešení tak bude v praxi podobné jako u Air Bank a UniCredit.
„U obchodníků v rámci EU, kteří již mají implementované 3DS, tedy vyžadují silné dvoufaktorové ověření, jinak než mobilní aplikací Hello bank klienti nezaplatí. Ale platby mimo EU, které nepodléhají PSD2 a zodpovědnost za platbu přebírá obchodník, proběhnou úplně standardně bez jakéhokoli ověření. Stejně tak platby v rámci EU, které silné ověření zatím nevyžadují,“ dodává mluvčí Hello bank.
Ostatní banky sice také preferují aplikace, ale jako alternativu současně zachovaly i starší způsob potvrzování. Kdo chce zůstat u jednorázového SMS kódu, musí ho u většiny bank nově doplnit o speciální ePIN určený právě k platbám na internetu.
Potvrzování online plateb kartou, pokud vyžadují silné ověření | ||
| banka | v aplikaci | alternativa |
| Air Bank | ano | SMS (jenom do konce března) |
| Banka Creditas | ano | SMS + ePIN |
| Česká spořitelna | ano | SMS + ePIN |
| ČSOB | ne (spustí v nejbližších dnech) | SMS |
| Equa bank | ano | SMS + ePIN (od druhé pol. února) |
| Expobank | ano | SMS + ePIN |
| Fio banka | ano | SMS + ePIN |
| Hello bank | ano | není |
| Komerční banka | ano | SMS + heslo |
| mBank | ano | SMS |
| Moneta | ano | SMS + ePIN |
| Raiffeisenbank | ano | SMS + ePIN (chystá) |
| Sberbank | ne | SMS + ePIN |
| Trinity Bank | nemá karty | nemá karty |
| UniCredit Bank | ano | není |
Banky reagují na unijní směrnici PSD2. Původně už od poloviny září 2019 měly zavést takzvané silné ověření, založené na dvou různých faktorech – proto se mu říká dvoufaktorové nebo dvoufázové. Evropští regulátoři nakonec tuto povinnost odložili na začátek letošního roku.
Klienti teď podle směrnice mají potvrzovat online platby kartou dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co znají jenom oni (typicky heslo, PIN nebo odpověď na zvolenou otázku); něčeho, co mají u sebe (typicky mobilní telefon nebo token), a něčeho, čím jsou (biometrický údaj – tedy otisk prstu, snímek obličeje, oční duhovky, rozpoznání hlasu a podobně). Pravidla PSD2 pro dvoufaktorové ověření se týkají Evropské unie. Nejsou tedy povinná třeba pro americké nebo čínské e-shopy, u nichž nemusíte narazit ani na zabezpečení 3D Secure.
Evropský orgán pro bankovnictví (EBA) rozhodl, že jednorázová SMS zaslaná na mobil nepatří mezi znalostní kritéria – nejde o něco, co by mohl znát jenom majitel karty. SMS se tak ocitla ve stejné kategorii jako samotný mobil – něco, co má uživatel u sebe. Do budoucna už proto nestačí zadat údaje z karty a potvrdit je kódem z SMS. Šlo by jenom o jeden faktor místo potřebných dvou.
Řeší to právě mobilní aplikace: Máte u sebe mobil a splňujete tak faktor vlastnictví, současně potvrzujete platbu buď biometrií (něčím, čím jste), nebo PINem k aplikaci (něco, co znáte jenom vy).
Banky proto postupně přidaly do svých aplikací (buď přímo, nebo jako samostatný „klíč“) i potvrzování online plateb kartou. Jako první s takovou inovací přišly na podzim 2019 mBank a Moneta, třetí byla Air Bank. Naopak posledními z retailových bank, které ověřování v aplikaci zatím nezprovoznily, jsou ČSOB (spustí v nejbližších dnech) a Sberbank.
Většina bank nechává klientům možnost, aby – když ne přes aplikaci – dál potvrzovali platby kartou přes SMS. Kvůli směrnici je doplnila o stálé heslo, zvané obvykle ePIN.
Česká spořitelna to chce klientům co nejvíc usnadnit a využívá takzvanou behaviorální detekci. U lidí, kteří zůstanou u kódů z SMS a zároveň už využívali v minulosti platby kartou na internetu, nebude vyžadovat ePIN při každé platbě. Z analýzy předchozího chování totiž pozná, že nakupuje skutečně držitel karty. Podrobně jsme to popsali v nedávném rozhovoru.
Podobné „inteligentní ověření“ chystají také ČSOB a mBank. Obě banky – narozdíl od spořitelny – věří, že dokáže zcela nahradit druhý faktor, a proto vůbec nezavedly ePIN.
ePIN zatím nemají ani Raiffeisenbank a Equa bank, obě s ním ale v blízké době počítají. Raiffka zároveň spojí dosud samostatnou aplikaci RB Klíč s hlavní bankovní aplikací Mobilní eKonto.
Petr Kučera
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
28. 1. 2021 15:50, Tomáš
Řešení pomocí aplikace v mobilu není dobré!
Jeho podmínkou bezpečnosti je totiž dodržování zásad aktuálnosti systému mobilního telefonu a předmětné aplikace, dále pak originální systém spolehlivého výrobce mobilního telefonu (co takhle Huawei? nebo jiné čínské značky) a v neposlední řadě instalace aplikací výhradně z Google Play (i zde se vyskytly nebezpečné aplikace!).
Jinak řečeno, hackeři jsou vždy o krok před ochránci.
Osobně tedy pro banku svůj mobil nikdy nevyužívám a mám ho pro zbylou část životních zájmů.
Zároveň aby mi lépe sloužil, mám rychlejší (alternativní) systém než je z výroby a pro širší využití i root práva.
To vše činí telefon pro přístup do banky nevhodný!
Z tohoto důvodu ale také telefon nemám, a nehodlám jej takto ani omezovat.
Najděte lepší způsob, než diktovat lidem co musí dělat se svým osobním telefonem, aby mohli vůbec platit bankovní kartou po internetu.
Příspěvek s nejvíce zápornými hlasy
28. 1. 2021 8:57, Oto
Vy budete asi moravský koblih.
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (99 komentářů) příspěvků.