Speciální hesla či biometrické údaje. Začínají platit přísnější pravidla pro platby po internetu
Tento víkend se zpřísňují pravidla pro placení přes internet. Opsaní SMS kódu už nepostačí. Obavy, že novinka výrazně zkomplikuje nakupování na internetu, se ale nenaplnily. Bankovní svět se totiž nestihl připravit. Drobné potíže se ale zřejmě nevyhnou některých platebním terminálům v obchodech.
Dosud postačilo platby přes internet potvrdit opsáním SMS kódu. Nově se ale ověřování zpřísňuje. U plateb nad 30 eur, tedy zhruba 800 korun, bude nutná kombinace dvou různých způsobů. Typicky třeba speciálního hesla, SMS kódu nebo otisku prstu.
Platby by díky tomu měly být bezpečnější. Připravit se na nové podmínky ale pro banky nebylo snadné a nestihly to pro všechny typy online plateb.
Od soboty se zřejmě zkomplikuje bezkontaktní placení v některých obchodech. Podle České národní banky může část terminálů platbu bezdůvodně odmítnout. Jak v takovém případě postupovat, zjišťoval Jakub Horáček
Zpřísnění přitom vyžaduje evropská směrnice o platebních službách. Potvrzování online plateb musely banky upravit do tohoto víkendu. Pro transakce v internetovém a mobilním bankovnictví to pro ně většinou nebyl problém. Nové metody pro silnější ověření většinou počítají s tím, že lidé používají chytrý telefon. Pokud ne, banky zpravidla ponechají SMS kód a heslo.
Třeba Česká spořitelna zavádí potvrzení přes speciální heslo nebo biometrický údaj v mobilní aplikaci George klíč. „Heslo nemusíte zadávat do žádné webové stránky, ale do svého zařízení, o kterém bezpečně víte, že je vaše. Nikdo od vás nemůže vylákat SMS kód, což se bohužel klientům děje," upozorňuje pro Radiožurnál Ondřej Pohanka, který šéfuje vývoji George klíče.
Některé banky přísnější pravidla pro internetové bankovnictví spustily dřív. Nic se tak nemění třeba pro klienty Komerční banky.
Jak funguje silnější ověřování
Silnější ověřování má bezpečněji zajistit, že skutečně platí osoba, která může nakládat s bankovním účtem. Nově tak banky musí online platby ověřit alespoň dvěma různými způsoby ze tří kategorií:
- Znalost – ověřují pomocí něčeho, co zná pouze uživatel a nikdo jiný – například PIN nebo heslo
- Držení – ověřují pomocí něčeho, co vlastní pouze uživatel – například telefon
- Inherence – ověřují pomocí něčeho, co jasně prokáže, že jde o uživatele a nikoho jiného – například otisk prstu nebo sken obličeje
V praxi jde kombinace dvou faktorů. Nelze platbu potvrzovat například dvěma způsoby ze stejné kategorie. Údaje na platební kartě (číslo nebo CVV kód) přitom neslouží jako žádný faktor pro ověření.
Podle ČNB informace z karty neprokazují, že s ní nakládá její skutečný vlastník, protože si je mohl někdo opsat a vydávat se za držitele.
Dvěma faktory se ale část plateb ověřovat nemusí (výběr):
- Platby pod 30 eur, tedy zhruba pod 800 korun, ovšem s podmínkou, že jejich objem od posledního silného ověření nepřekročí 100 eur nebo jejich počet nepřesáhne pět, tedy každá šestá se musí silně ověřit.
- Platby, které se opakují – například o předplatné.
„Ověřování plateb se nezmění, neboť již v současné době odpovídá požadovaným standardům,“ podotýká mluvčí banky Michal Teubner. Klienti Komerční banky využívají pro online bankovnictví speciální heslo a SMS kód.
Přechodná lhůta
Jinak tomu je u plateb kartou přes internet. Na způsobu, jak se budou silně ověřovat, se musí dohodnout banky, karetní společnosti a taky obchodníci. Konkrétní podoba přísnějšího potvrzení ale zatím není připravená. Zatím se tak nic nemění a nadále zůstává SMS kód.
Žádné velké novinky na podzim nechystá třeba ČSOB. „V září ponecháváme současnou metodu ověřování internetových transakcí pomocí SMS jednorázového kódu, který považujeme stále za bezpečný způsob dostupný všem uživatelům. Zároveň pracujeme na ověřování pomocí aplikace ČSOB Smart klíč, která během příštího roku ověření dále zjednoduší,“ říká mluvčí banky Patrik Madle.
Zpoždění připouští taky Česká národní banka „Vydavatelé karet by byli schopni plnit požadavky hned. Ale znamenalo by to velké komplikace při placení po internetu,“ vysvětluje Michal Vodrážka ředitel odboru regulace platebního styku.
Evropský úřad pro bankovnictví proto svolil k přechodné lhůtě, po kterou můžou fungovat původní metody ověřování. Zatím ale podle Vodrážky není jasné, jak dlouhé toto přechodné období bude. Musí rozhodnout evropský bankovní regulátor. „Ve chvíli, kdy o ní rozhodne, lhůtu zohledníme," dodává Vodrážka.
Na přísnější potvrzování online plateb kartou se tak bude přecházet postupně. Ověřovat by se mohly například podobně jako platby přes internetové bankovnictví – tedy přes samostatné mobilní aplikace pomocí otisku prstu nebo skenu obličeje.
Co se mění u platebních terminálů
- Nová pravidla umožňují unijním státům navýšit limit pro bezkontaktní platby kartou bez zadání PINu na 50 eur, tedy zhruba 1290 korun. V Česku se ale banky rozhodly ponechat limit na 500 korunách.
- Směrnice zároveň zavádí pravidlo, že část bezkontaktních plateb pod zmíněnou hranicí se bude muset potvrdit PINem. Půjdou o každou šestou transakci.
- Platí ale, že tento limit se vynuluje po každém zadání PINu, například při výběru z bankomatu, nebo platbě přes služby typu Apple Pay, při kterých je vždy vyžadováno biometrické potvrzení.
- Na tyto pravidla ale část terminálů v Česku není připravená. To prakticky znamená, že bezkontaktní platbu, kterou je nutné podle popsaných pravidel potvrdit PINem, automaticky zamítnou. Potom je platbu nutné provést znovu kontaktně a zadat PIN. Terminály, které provozovatelé stihli připravit, v těchto případech pouze vyzvou k zadání PINu.
„Obchodník pošle požadavek na platbu. Do chytrého telefonu mi přijde zpráva, přes kterou otevřu bankovní aplikaci, a ta mě informuje, že daný obchodník vyžaduje ověření. Pak mě vyzve k přiložení prstu,“ nastiňuje Luděk Slouka, ředitel Inovací v karetní společnosti MasterCard.
Takové řešení by se ale opět týkalo pouze zákazníků s chytrým telefonem. Pro ostatní se podle Slouky vymýšlí jiná metoda. Zřejmě by zůstal zachovaný SMS kód, ale přibylo by nové heslo, které by nakupující zadávali při placení.
Zamítnuté platby
Nová pravidla se ale týkají i terminálů v kamenných obchodech. Část plateb do 500 korun se bude muset nově potvrzovat PINem. Kvůli tomu taky centrální banka varovala, že terminály, které se nestihly novým pravidlům přizpůsobit, můžou tyto transakce rovnou zamítnout.
„Banka pošle do terminálu zprávu, aby vyžádal PIN. Ale terminál není připraven zprávu přijmout. Nerozumí, tak platbu zamítne. Když terminálu přijde jakákoliv jiná zpráva než potvrzení platby, nemůže jinak než zamítnout," říká Michal Vodrážka z centrální banky.
V takovém případě ale stačí kartu vložit do terminálu, zadat PIN a platba projde. Podle generálního ředitele karetní společnosti Visa pro Česko Marcela Gajdoše se na změnu nestihla připravit zhruba polovina terminálů v Česku. Zamítnutých plateb podle něj bude minimum.
„To znamená v řádu jednoho až dvou procent v celkových transakcích. A do konce března 2020 očekáváme, že každý terminál už bude připravený na nové podmínky," dodává Gajdoš.
Zadání PINu bude vyžadovat jen každá šestá bezkontaktní transakce do 500 korun. Limity se vynulují po každém zadání PINu nebo ověření identity platícího. Třeba při výběru hotovosti v bankomatu nebo po zaplacení přes Apple Pay.