Úterý 15. října. Svátek má Tereza.

Komentář České bankovní asociace k implementaci směrnice PSD2, resp. navazující technické normy RTS upravující dvoufaktorové ověřování

Praha, 28. srpna 2019 – Datum 14. září 2019 bylo označováno jako datum, kdy dojde k plné implementaci Revidované směrnice o platebních službách, pro kterou se vžila zkratka PSD 2. Jejím cílem byla a je podpora nejrůznějších inovací, zvýšení konkurence v oblasti platebních služeb, zlepšení bezpečnosti plateb a ochrana dat spotřebitelů.

Na uvedenou směrnici navazuje řada technických norem a pracovních postupů, které jsou určeny pro ty, kteří platební služby zajišťují. V určitých případech se ale týkají i klientů, kteří tyto služby využívají. Jednou z takových norem je „Regulatorní technický standard stanovující pravidla pro silné ověření klienta a společných a bezpečných otevřených standardů komunikace“ (RTS on SCA). A právě tato norma, která byla schválena a vydána až po účinnosti samotné směrnice, vstupuje dne 14. září 2019 v účinnost.

 

Překvapující upřesnění EBA k platbám kartami na internetu

Uvedená norma vyžaduje, aby byla při autentizaci klienta, tedy při ověření toho, kdo se skutečně snaží komunikovat s bankou či jiným poskytovatelem platebních služeb, použita tzv. dvoufaktorová autentizace. Pro takové ověření je nutné použít nejméně dva faktory ze tři skupin, které je možné popsat jako:

  • něco, co klient zná (např. heslo, PIN)
  • něco, co klient má (např. telefon, token)
  • něco, čím klient je (biometrické prvky, otisk prstu, tvář)

V průběhu 18 měsíců, které byly stanoveny jako doba, během které by mělo dojít k plné implementaci uvedených pravidel, došlo k několika poněkud překvapivým rozhodnutím, která ovlivnila další vývoj. Jedním z takových bylo vyjádření Evropské bankovní autority (EBA) v tom smyslu, že nejrozšířenější způsob ověřování a potvrzování plateb iniciovaných platebními kartami na internetu, tzv. 3D Secure, tak, jak byl dosud používán, nesplňuje podmínky stanovené technickým standardem. Toto vyjádření vydala EBA dne 21. června 2019. Zároveň, vědoma si toho, že za 3 měsíce, které zbývaly do data účinnosti technické normy, bude nemožné vše upravit a změnit, dala EBA národním regulátorům možnost nevymáhat po poskytovatelích platebních služeb všechny náležitosti okamžitě od stanoveného data.

 

ČBA konstatuje, že ze strany jejích členských bank od počátky byla, a i nadále je, problematice implementace požadavků PSD 2, resp. zákona o platebním styku, kterým byla uvedená směrnice promítnuta do české legislativy, věnována maximální pozornost. 

 

Cílem bank je na jedné straně naplnit požadavky zákona a příslušných evropských nařízení, na straně druhé však nemohou připustit, aby došlo k nějakým výpadkům poskytování platebních služeb, a to v oblasti, která patří mezi nejvíce používané, tedy platby kartami na internetu. Proto ocenily, že Česká národní banka vydala v minulých dnech následující sdělení https://www.cnb.cz/cs/dohled-financni-trh/novinky/sdeleni-české-narodni-banky-v-souvislosti-s-ucinnosti-narizeni-komise-v-prenesene-pravomoci-eu-2018-389/index.html, ze kterého citujeme:

„Česká národní banka, stejně jako EBA, považuje za důležité, aby všichni držitelé karet mohli po 14. září 2019 platit v oblasti e-komerce. V úkonech dohledu vůči dohlíženým subjektům proto Česká národní banka zohlední mj.  lhůtu či lhůty pro plnou implementaci nařízení bez negativních dopadů na uživatele platebních služeb poté, co o nich EBA rozhodne. Poskytnutí dodatečného času na plnou implementaci nařízení v oblasti silného ověření uživatele se však v souladu se stanoviskem EBA nevztahuje na jiné karetní platby, na něž tato povinnost dopadá (zejm. karetní platby prostřednictvím terminálů pro jejich akceptaci).“ 

 

Bezkontaktní placení se může dočasně zkomplikovat

Česká národní banka vydala ještě jedno sdělení, které se týká u nás velmi rozšířeného způsobu využití platebních karet: bezkontaktního placení malých částek, většinou do 500 Kč. Ty splňují a budou splňovat výjimky pro to, aby u nich k výše popsanému dvoufaktorovému ověření nemuselo docházet. Nicméně povinnost kontrolovat, kolik takových plateb již bylo danou kartou provedeno a v jaké výši, mají od 14. září 2019 banky. Dosud byl záznam o počtu provedených bezkontaktních transakcí od posledního zadání PINu prováděn jen na dané kartě. Ne všechny terminály u všech obchodníků a poskytovatelů nejrůznějších služeb jsou však na tuto změnu připraveny a bude nutná aktualizace jejich softwaru. Proto ČNB všem klientům doporučila, aby v případě, že dojde k odmítnutí bezkontaktní platby, provedli tuto platbu znovu, ale „kontaktně“, zasunutím karty do čtečky daného terminálu a zadáním PINu.

 

ČBA je tedy přesvědčena, že v následujících dnech a týdnech nedojde k žádným zásadním problémům, které by znamenaly nějaké zásadní omezení možnosti využívání platebních karet. 

ČBA zároveň upozorňuje na to, že jako klienti bank musíme být připraveni na to, že zvýšené požadavky na bezpečnost, které stanovila evropská legislativa, mohou přinášet zvýšené požadavky i na ně. Banky své klienty o změnách při přihlašování do nástrojů internetové bankovnictví a při zadávání a autorizaci plateb informovaly a o dalších úpravách informovat samozřejmě budou. Cílem všech takových změn není snížit komfort klientů, ale celkově zvýšit bezpečnost v tak citlivé oblasti, jakou poskytování platebních služeb je. 

Autor: Tomáš Hládek, poradce ČBA pro platební styk a kyberbezpečnost

Napsat komentář

Vaše emailová adresa nebude zveřejněna.