Jaké změny přinese legislativa silnějšího ověřování uživatele v oblasti online plateb

Od zítřka nás čekají změny v zabezpečení karetních plateb

Od 14. září vstupuje v účinnost nová část zákona o platebním styku (PSD2), která se týká silnějšího ověření uživatele (i když v Česku se zatím odkládá). Tato úprava zákona bude mít vliv na uživatele, kteří na internetu platí platební kartou. Úpravou se musí řídit vydavatelé platebních karet (issuer) a následně tím i další subjekty zajišťující proces platby kartou. O nových změnách nás informoval marketingový ředitel ComGate, Filip Ulík.

Silné ověření uživatele (Strong Customer Authentication) je nový požadavek na zajištění bezpečnějších online plateb. Když držitel karty provede online platbu, musí být nově ověřen přes kombinaci dvou různých způsobů ze tří možných.

  • údaj, který zná jen uživatel (např. přihlašovací údaje, heslo, pin)
  • věc, kterou má u sebe uživatel (např. karta, mobil, token)
  • biometrické údaje (např. otisk prstu)

Dnešní ověření 3D secure, které se dělá pomocí zaslaného hesla v SMS postačovat nebude. Karta i mobil, na který je kód zaslaný, spadají do stejné kategorie. Banky vydávající karty se zatím věnují hlavně jiným požadavků směrnice PSD2, jako je omezení počtu transakcí bez PINu v obchodech. Podle všeho hned 14. září dramatická změna nenastane.

Nicméně je jasné, že se banky se vydají dvěma směry:

  • Jednak se budou snažit mezi své zákazníky co nejvíce rozšířit novou aplikaci mobilního bankovnictví, která bude po přihlášení (pin, otisk prstu) poskytovat funkčnost ověřování plateb provedených na internetu. Příkladem je Airbank, která pro tyto účely, podle vyjádření na svých webových stránkách využije svou mobilní aplikaci MyAir.
  • Nebo, pro zákazníky pro tyto účely nabídnou specializovanou aplikaci.  Příkladem takového přístupu je George klíč od České spořitelny nebo KB Klíč Komerční Banky. Tyto aplikace dnes slouží k přihlašování do elektronického bankovnictví, ale budou využívány i pro “silné ověření” karetních transakcí.

Od zítřka nás čekají změny v zabezpečení karetních plateb 2

Pro uživatele, kteří nevlastní chytrý telefon a nemohou si tak nainstalovat potřebnou aplikaci, asi bude přechodně fungovat dosavadní zabezpečení „3D secure“ (přepsání SMS hesla), nicméně je pravděpodobné, že bez aplikace v delším horizontu online zaplatit nepůjde.

U Silného ověření existují výjimky, na základě kterých se může vydavatel karty rozhodnout nevyžadovat po uživateli Silné ověření při platbě na e-shopu.

Jde o:

  • Transakce s nízkou hodnotou (do 30 EUR), což se týká většiny bezkontaktních plateb. Nicméně i zde se musí banky zkontrolovat držitele karet vždy po páté transakci, nebo když bezkontaktní platba přesáhne 150 eur.
  • Běžné platby – zatím poněkud nejasná definice. Banky nemusí požadovat ověření pro platby, které děláte často nebo pravidelně. To bude od banky vyžadovat pokročilé nástroje analýzy chování a hlavně odhalování odchylek od zavedených “vzorců”.
  • Platby u důvěryhodných prodejců: zde by měl mít každý uživatel povolit u své banky (vydavatele karet) konkrétní obchody, kde ověření nebude třeba. Předpokládáme, že by toto mohlo být jednou z funkcí internetového bankovnictví, ale zatím žádná z bank takovou funkci neoznámila.
  • Firemní platby: placení firemní kartou. Podle regulátora takové platby už podléhají přísným kontrolám, jsou považovány za nízkorizikové a SCA tak u nich není vyžadováno.

Provozovatelé e-shopů, kteří využívají profesionální platformy jako je např. Shoptet nebo oXyShop, nemusí s příchodem platnosti nové regulace dělat žádné změny. O vše se postará jejich přednastavená platební brána.

Je možné, že se ne všechny banky stihnou připravit a rozšířit mezi své zákazníky potřebné služby pro Silné ověření karetních transakcí. V takovém případě nebudou moci jejich klienti zaplatit kartou na internetu.

Pokud ve svém e-shopu nabízíte pouze platby kartou, můžete pocítit větší procento nedokončených transakcí. Pokud majitelé e-shopů využijí pro provedení transakcí platební bránu, získají tak pro své zákazníky další možnost platební metody. Jednou z variant mohou být bankovní platební tlačítka. Ta by měla přinést dostatečnou alternativu pro klienty, kterým karetní platby zpočátku nemusí fungovat.

Diskuze k článku