Bezpečnější platby kartou, online i v obchodě: Jak se mění pravidla?

S neustálým vývojem digitálních technologií přichází nutnost zvýšit ochranu při placení kartou a to nejen na internetu, ale i v obchodě. Praxe totiž ukazuje, že dosavadní zabezpečení už není tak dokonalé. Se zavedením bezkontaktních karet přibývá i nemálo podvodů s nimi a objevují se různé snahy neoprávněným způsobem získávat a zneužívat osobní data lidí. Proto od poloviny září přichází zásadní změna, jejíž definitivní podobu schválil Evropský parlament již na podzim v roce 2015. Jedná se o unijní směrnici PSD2, která je účinně platná od 14. září 2019. Jejím hlavním cílem je zvýšit bezpečnost platebních karet a tím následně ochránit také vaše peníze. 

Velmi důležité je mít jistotu, že danou transakci skutečně provádíte vy, nebo že alespoň o její realizaci víte a souhlasíte s ní. Karta je chráněna proti zneužití nejen bezpečnostními prvky, ale případně i předem nastaveným nízkým limitem, se kterým však stále neumí pracovat mnoho vydavatelů platebních karet. V případě odcizení karty nebo úniku přihlašovacích údajů v internetovém bankovnictví není potom problém zneužít váš účet. Někteří lidé často používají jedno heslo na všechno: e-mail, sociální sítě, do banky, atd. a tím vlastně jen podvodníkům nahrávají. Pořád ještě existují dobrodruzi, kteří mají PIN napsaný na papírku u platební karty. Když v takovém případě ztratíte peněženku, hrajete jen o čas. Nechcete-li přijít o všechny peníze, musíte kartu co nejdříve zablokovat. Neustálá změna hesel a přihlašovacích údajů rovněž není pro uživatele příliš pohodlná. Jak se tedy projeví platnost nové směrnice?  

Online platba kartou

Při nákupu v e-shopu je platba kartou velmi jednoduchá a pohodlná. Většinou se vám na příslušné webové stránce zobrazí formulář, kde vyplníte jen číslo karty, dobu platnosti a tři čísla ze zadní strany. Poté jste přesměrováni na portál vaší banky, kde už jen zadáte bezpečnostní kód, který vám mezi tím přišel SMSkou na mobil. Některé banky používají kombinaci šesti čísel, jiné devíti včetně písmen. Potvrzení online platby je tak celkem snadné, ale ne pokaždé se podaří přepsat kód zcela bezchybně. 

Od poloviny září nastává ale změna. Nově půjde platbu potvrdit otiskem prstu na mobilu, rozpoznáním obličeje nebo zadáním hesla k mobilnímu bankovnictví místo klasické SMS zprávy. Evropský orgán pro bankovnictví (EBA) totiž rozhodl, že jednorázová SMSka nepatří mezi znalostní kritéria, tudíž nejde o něco, co by mohl znát jen majitel karty. 

Unijní směrnice PSD2 zavádí pro online platby od 14. září 2019 povinné takzvané silné ověření klienta, zvané též dvoufaktorové nebo dvoustupňové ověření. To znamená, že nově bude nutné k údajům z karty přidat další dva na sobě nezávislé způsoby ověření. Tato forma platby je od poloviny září obecně platná pro všechny platby na počítači i v mobilu. 

Uživatel platební karty bude muset svoji totožnost potvrzovat nejméně dvěma ze tří na sobě nezávislých způsobů (dvoufaktorové ověření):

  • Pomocí něčeho, co zná jen on (heslo, PIN kód, odpověď na zvolenou otázku)
  • Pomocí něčeho, co má u sebe fyzicky (čipová karta, bezpečnostní token, autentizační kalkulátor, mobil, počítač, tablet)
  • Pomocí něčeho, čím je – biometrické údaje (otisk prstu, snímek oční duhovky, obličeje, rozpoznání hlasu, dynamika psani na klávesnici, apod.)
  • Pomocí místa, kde se nachází (polohová služba rozezná, odkud dochází k pokusu o přihlášení nebo platební transakci)

Tyto výše uvedené bezpečnostní prvky jsou také časově omezeny dobou, během níž dochází k vaší autentizaci. Jedná se řádově jen o minuty, někdy pouze vteřiny

Jak bude platba na internetu probíhat?

Evropská unie se snaží zvýšit bezpečnost všech platebních transakcí, ale pro uživatele se tak stává placení víc komplikovanější. Když budete chtít provést online platbu kartou , první část zůstane v podstatě stejná jako doposud. Nejprve se vám zobrazí formulář, do něhož přepíšet údaje z platební karty. Následně ale místo klasické SMS zprávy na vás v mobilním telefonu vyskočí notifikace z bankovní aplikace. Zkontrolujete údaje, zda souhlasí a platbu potvrdíte vámi již předem zvoleným způsobem – PINem, heslem, otiskem prstu nebo naskenováním obličeje. 

I když nepoužijete mobilní aplikaci, pořád budete muset k údajům ke kartě přidat také dva faktory: jedním zůstává jednorázová SMSka zaslaná na mobil a druhý pak speciální ePIN. Pokud v některém z těchto dvou údajů uděláte chybu, podle nových pravidel se nedozvíte konkrétně kde.  

Jestliže ovládáte svůj účet v bance přes chytrý telefon, bude pro vás každá online platba podstatně jednodušší a rychlejší. Banky uvádí, že mezinárodní průzkum asociace Mastercard ukázal, že 90 % uživatelů platebních karet dává přednost biometrickému ověření transakce před zadáváním hesla. Nový způsob placení by měl být tedy mnohem pohodlnější, avšak vyžaduje vlastnictví chytrého telefonu. 

Jenomže právě chytrý telefon všichni nemají a nebo nechtějí používat mobilní bankovnictví. Je tedy na každé bance, jaké řešení v takových situacích nabídne svým klientům. To je ale pro banky nelehký úkol. Na jedné straně se snaží dodržet nové směrnice zvyšující bezpečnost platebních karet a na straně druhé mají obavy, aby příliš komplikovaným řešením neodradily své klienty. Přeci jen zákazníci půjdou tam, kde to bude pro ně nejjednodušší.  

Všechny úvahy směřují k dohodě mezi bankami, že vydají k online platbě speciální ePIN, který si vedle klasického PIN kódu nebo přihlašovacích údajů do elektronického bankovnictví bude muset pamatovat každý majitel platební karty. Povinnost silného dvoufázového ověření se netýká jen běžných online plateb při nákupu v e-shopu, ale také potvrzování transakcí v internetovém či mobilním bankovnictví, zejména při zadávání odchozích plateb. Na takové velké změny nejsou od poloviny září zatím banky připraveny, jelikož prozatím nechtějí narušovat uživatelský komfort majitelů platebních karet. Je tedy otázkou času, kdy banky budou na změny v platebních službách zcela připraveny a začnou je zavádět do praxe. 

Unijní směrnice PSD2 připouští několik výjimek

Přestože je nová unijní směrnice v platnosti od poloviny září 2019, přeci jen nějakou dobu potrvá, než se banky mezi sebou dohodnout na finálním řešení prostřednictvím ePINu a než jej následně předají všem majitelům platebních karet. Evropská směrnice dokonce připouští devět výjimek u nichž dvoufaktorové ověření nebude potřeba. Jaké jsou ty nejdůležitější?

  1. Platby do 30 eur, za předpokladu, že celková suma od posledního dvoufaktorového ověření nepřesáhla 100 eur, nebo se nejedná o více než pátou platbu.
  2. Označení konkrétního příjemce peněz jako důvěryhodné (například si tak označíte svůj oblíbený e-shop)
  3. Opakující se transakce nebo terminály bez obsluhy (prodlužování předplatného, placení jízdného v MHD, poplatky za parkovné)
  4. Bezkontaktní platby u terminálů na prodejně (do částky 500 Kč stačí jen přiložit platební kartu)
  5. Transakce s nízkou mírou rizika, kdy banka nebo kartová společnost bude sledovat vaše nákupy (kdy a jak nakupujete nejčastěji). Pokud dojde k platbě v neobvyklou dobu, bude vyžadovat dvoufaktorové ověření

České banky se shodují na tom, že i když směrnice PSD2 nabývá účinnosti od poloviny září, pro klienty bank se prozatím nic nemění a i nadále bude probíhat ověřování platebních transakcí pomocí jednorázového SMS kódu, který je dostupný všem majitelům platebních karet. 

Co se tedy změní od 14. září 2019? 

Pro běžného uživatele platebních karet se od poloviny září nic až tak zásadního nestane. Další změny mají totiž v rukou banky. Záleží, jak na platnost nové unijní směrnice zareagují a jaký zvolí konkrétní způsob zvýšené bezpečnsoti. Některé banky budou kromě autorizačního kódu z SMSky vyžadovat také heslo, jinde budou chtít i u bezkontaktních plateb do 500 Kč zadat PIN a nebo při platbu u obchodníků potvrdíte otiskem prstu, face ID či heslem do mobilního bankovnictví. Zvýšená bezpečnost je však také na samotných uživatelích.