Placení kartou na internetu je díky přísnějšímu ověřování bezpečnější

Evropská směrnice o platebních službách PSD2

Zvýšení bezpečnosti plateb na internetu bankám nařizuje evropská směrnice o platebních službách PSD2. Jejím cílem je ochrana e-shopů a jejich zákazníků před podvody. Potvrzování online plateb tzv. silným ověřením klienta (SCA – Strong Customer Authentication) měly banky původně zavést již v polovině září loňského roku, kdy začala nová pravidla Evropské unie platit. Přesměrovat ověřování online plateb kartou do aplikace však dokázala v té době jenom mBank. Pro ostatní banky platil odklad, který skončí ke konci letošního roku.

Podle unijní směrnice se má při online platbách využívat bezpečnostní mechanismus tzv. silného ověření, který kombinuje minimálně dva nezávislé prvky z kategorií:

• něco znám (heslo, PIN, odpověď na otázku, gesto),
• něco mám (mobilní telefon),
• něco jsem (jednoznačný biometrický údaj - otisk prstu, scan obličeje, oční duhovky, rozpoznání hlasu apod.).

Jak vypadá bezpečný nákup kartou na internetu?

Dvoufaktorová autentizace funguje tak, že při online platbě kartou na internetu musíte nejméně ve dvou krocích potvrzovat, že jste to vy a s vaším vědomím se transakce či přihlašování provádí. Když kupující platí kartou na internetu, v prvém kroku zadá do formuláře číslo karty, dobu její platnosti a také tři čísla ze zadní strany karty (CVV kód). Tato část zadání údajů o kartě do formuláře zůstává i po zavedení dvoufaktorového ověřování stejná.

Ve druhé fázi placení však dochází ke změně. Donedávna mnoho bank využívalo ověření jednorázovým kódem, který dorazil ve formě SMS na mobilní telefon. Jednorázová SMS zaslaná na mobilní telefon však nepatří dle Evropské unie mezi znalostní kritéria – nejde o něco, co by mohl znát jenom majitel. Tím se SMS dostává do stejné kategorie jako mobilní telefon – tedy „něco, co máte u sebe“. Aby do ověření vstoupil potřebný druhý faktor, provádí se ověřování prostřednictvím mobilní aplikace - otisk prstu, rozpoznání obličeje, případně zadání hesla k mobilnímu bankovnictví. Tento způsob silného ověření by měl minimalizovat možnosti zneužití platební karty na internetu.

Biometrické ověřování využívá čtvrtina Čechů

Dle tiskové zprávy společnosti Mastecard potvrzuje platby v e-shopech prostřednictvím otisku prstu nebo scanu obličeje už čtvrtina Čechů. Biometrické ověření plateb umožňují již dvě třetiny českých bank. „Česká republika se v zavádění opatření, která umožňují silné ověření zákazníka, řadí mezi evropské lídry. V rámci ověřování pomocí nového protokolu jsme v Evropě druzí v četnosti jeho využívání. Z hlediska nasazení biometrie při ověřování má Česká republika mezi top 10 evropskými vydavateli karet s biometrií hned 5 bank,“ říká Michal Čarný, generální ředitel Mastercard pro Českou republiku a Slovensko. Směrnice rovněž specifikuje možnosti výjimek ze silné autentizace, tj. situace, kdy nemusí být spotřebitel ověřován, a to pro usnadnění nákupu s ohledem na nízké riziko podvodu a současně na obtížnou či nemožnou proveditelnost tohoto ověření. Uplatnění těchto výjimek umožňuje již čtvrtina českých bank. Dvě třetiny jsou na tuto možnost připraveny.

Nemám chytrý telefon. Jak bude probíhat ověřování?

Ti, kteří nemají chytrý telefon nebo z nějakého důvodu chtějí zůstat u dosavadního způsobu ověřování, budou muset přidat ještě nové „bezpečnostní heslo“. Část bank se novým pravidlům ani po roce nestihla přizpůsobit, a řešení pro tyto klienty ještě připravují. Některé banky ponechají číselné kódy poslané formou SMS a přidají k nim nové heslo např. ve formě tzv. ePINu. Jednalo by se o stálé heslo, které budou platící přidávat k jednorázové SMS. Banky však budou preferovat potvrzování plateb prostřednictvím aplikace.

Některé banky se již snaží své klienty ke stažení aplikace různě motivovat. Asi nejpřísněji se k situaci zatím postavila Raiffeisenbank, která od září letošního roku zavedla nový poplatek 19 Kč, který strhne za každý měsíc, kdy se klient přihlásí do internetového bankovnictví a zadá v něm příkaz „starým“ způsobem ověřování – tedy jednorázovou SMS. Kdo nechce, aby mu byl účtován nový poplatek, si musí stáhnout a využívat aplikaci RB Klíč. „Reagujeme tím na postupující digitalizaci a vyšší požadavky na bezpečnost podle unijních předpisů. Z našich dat víme, že pro většinu uživatelů není používání RB Klíče překážkou, a že případný poplatek 19 korun bude snesitelný i pro ostatní klienty,“ uvádí pro server penize.cz mluvčí Raiffeisenbank Petra Kopecká.

Zdroje: irozhlas.cz/ penize.cz/ eur-lex.europa.eu