Technická regulační norma revidované směrnice Evropského parlamentu a Rady EU 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, tzv. směrnice o platebních službách PSD2 definitivně vstoupila v platnost a přinesla novou povinnost Strong Customer Authentification (SCA), tedy silného ověřování zákazníka. Jsou namístě vyděšené tváře? Jaký je názor na situaci zástupců platební brány, karetních společností, bank nebo guvernéra ČNB? To vše se dočtete v tomto článku!
Jak dopadne implementace směrnice o platebních službách na internetové nákupy?
Zatím v České republice pravděpodobně asi není banka, která by už měla připravené karty a servery, aby začala v režimu SCA ihned odbavovat platby kartou, což je nejčastější platební metoda. Potom, co banky dokončí technickou optimalizaci, díky které bude spuštěno autorizování karetních transakcí pomocí 3DS 2.0, přestane být využíváno klasické ověření přes SMS. Tento proces by měl trvat následujících cca 18 měsíců. Banky už však dávno začaly zavádět silnější ověřování plateb pomocí online bankovního tlačítka, tedy schválení platby dalším krokem, stejně jako předepisuje SCA. Zástupce GoPay Jan Vodička podotýká, že s touto úpravou zákazníci větší nesouhlasy neprojevují.
Co na to banky?
ČSOB hlásí souhlasné stanovisko – ve chvíli, kdy změny budou přicházet postupně a ověřování na koncové zákazníky nespadne ze dne na den, nevidí problém v důkladnější kontrole plateb. Dojde tak nejen ke zvýšení bezpečnosti, ale mnohdy i komfortu placení za využití některých definovaných výjimek v RTS SCA.
Česká spořitelna dlouhodobě motivuje klienty k obezřetnosti při nákupech na internetu pomocí karty. Nabádá je především k preferenci plateb, kdy obchodník vyžaduje potvrzení platby autorizačním kódem zaslaným SMS zprávou.
Provozovatel internetového obchodu vs. koncový zákazník nebo banka vs. klient?
Samotných provozovatelů e-shopů se SCA přímo netýká, ale dotkne se jich v podobě nákladů spojených s vývojem a implementací nových platebních řešení, jakmile budou zavedeny. Hlavní příprava na SCA je především úkolem vydavatelských bank, případně zpracovatelů plateb. Koncový zákazník se pak ve výsledku setká s novými postupy při verifikaci jeho provedené platby. To s sebou určitě ponese mnohé prvotní technické či komunikační problémy. Banky budou muset investovat nejen do počáteční implementace, ale i do komunikace a na tu se budou muset zaměřit i samotné e-shopy.
Ve finále se počítá i s ústupky, například, když vydavatel karty dostane informaci o transakci, kterou vyhodnotí jako nízko rizikovou, nebude muset klient ověřovat platbu pomocí SMS, ale nadále bude stačit pouze číslo karty, expirace a CVC kód.
Je SMS dostatečné ověření?
Názory na tuto otázku se rozcházejí. Například Česká spořitelna již zavedla svůj tzv. George klíč, který přes přihlášení do digitálního bankovnictví potvrzuje platbu. Například názor Mastercard je také takový, že kód zaslaný SMS není dostatečný druhý faktor.
Jasno by do věci mohl vnést regulátor, ten tvrdí toto: „Obecně platí, že jednorázový SMS kód může být jedním z faktorů ověřování, přičemž jde o prvek z kategorie držení (držen je mobilní telefon, na který je SMS zaslána). Pro splnění požadavků na silné ověření je tedy k držbě mobilního telefonu nutné přiřadit ještě minimálně jeden další prvek z jiné kategorie (tj. znalost či inherence), přičemž ale karetní údaje nelze považovat za znalost, když nejsou známy pouze držiteli karty,“ komentuje pro server Lupa.cz mluvčí České národní banky Petra Vodstrčilová.
Z kategorie inherence jsou pak běžné kroky jako např. otisk prstu, sken obličeje nebo odemykací heslo. „Mastercard je již několik let hnací silou v prosazování technologií biometrického ověřování plateb, kde se zaměřuje na zdokonalování spotřebitelského prožitku současně se zabezpečením plateb realizovaných online i offline. Pro usnadnění adopce této technologie jako nového standardu nabízí společnost Mastercard bankám možnost integrace vlastního řešení nazvaného Mastercard Identity Check Mobile. Jde o cestu, jak mohou banky snadno tuto funkcionalitu doplnit do svých aplikací i bez vlastního vývoje,“ říká za Mastercard Luděk Slouka.
Jak se bude SCA aplikovat u zákazníků, kteří nemají chytrý mobilní telefon?
Dle dostupných informací by se mělo operovat s vytvořením speciálního PINu pro online platby nebo užívání ověřovacích kódů na ověřený e-mail platícího zákazníka. U těchto klientů banky plánují ponechat ještě nějaký čas ověřování plateb pomocí SMS hesla. Stále se čeká na vymezení tzv. přechodného období, které má přijít s novými metodami ověření pro spotřebitele bez smartphonů.
Jak bude SCA vymáháno v praxi?
ČNB se k nepřipravenosti poskytovatelů plánuje stavit tak, že omezí možnost jejich klientů platit na internetu. Při případné dodatečné lhůtě se bude zohledňovat postup Evropského orgánu pro bankovnictví pro celou EU.
Zda-li se bude jednat o zbytečnou kontrolu a další zatížení plynoucí ze směrnice Evropské Unie ukáže časem až praxe, nicméně jakákoli podpora silnější kontroly plateb na internetu, je v dnešní digitalizované době, kdy se technika každým dnem vylepšuje, více než žádoucí.
Chcete pomoci se zaváděním nové legislativy do Vaší firmy a Vašeho e-shopu? Neváhejte se obrátit na naši kancelář, kdy Vám pomůžeme vše vyřešit!
Chcete bližší informace?
Jsme k dispozici Po - Pá (9 - 18).
Pošlete nám vaši poptávku nebo si sjednejte konzultaci online!
„Těšíme se na vás.“
Adriana Hermannová
Oblíbené kategorie magazínu: Firmy a podnikatelé | Ochrana podnikání | Náhrada škody | Pracovní právo | Přestupky a správní záležitosti | Nemovitosti | Vymáhání pohledávek