Směrnice PSD2
PSD2 (Payment Services Directive) je druhá směrnice Evropské unie o platebních službách, která významně ovlivnila způsob provádění online plateb a poskytování informací v platebním styku. Byla navržena Evropskou komisí a schválena Evropským parlamentem 8. října 2015. Směrnice byla přijata dne 25. listopadu 2015 jako Směrnice Evropského parlamentu a Rady (EU) 2015/2366.[1]
Zkratka PSD2 SCA (Payment Services Directive 2 Strong Customer Authentication) odkazuje na nařízení Komise (EU) 2018/389 doplňující Směrnici a požadující dvoufaktorovou autentizaci.[2]
Implementace
[editovat | editovat zdroj]Původní směrnice měla být implementována postupně od konce roku 2018 do 14. září 2019. Hlavní změnou, kterou přinesla, je dostupnost informací o zákazníkovi pro prodejce (což zvyšuje riziko zneužití dat)[3] a zvýšené nároky na kontrolu identity zákazníka při platbách online.[4][5]
PSD2 přinesla na bankovní trh dále požadavek na silné ověření klienta a multibanking.[6] Multibanking je možnost propojit si v rámci oblíbeného internetového bankovnictví také další účty, které nemusejí být nutně spravovány stejnou bankou. Banky mají totiž povinnost poskytovat rozhraní pro nepřímé založení platebního příkazu a rozhraní pro poskytnutí informací o účtu (nikoliv však o osobních údajích klienta). K tomu je nutno používat bezpečné otevřené standardy komunikace. O tuto možnost ale velký zájem není.[7]
Silné ověření uživatele
[editovat | editovat zdroj]Silné ověření klienta/uživatele (anglicky Strong Customer Authentication, SCA) je v podstatě[pozn. 1] vícefázové neboli minimálně dvoufázové ověření. Opírá se o kombinaci minimálně dvou nezávislých prvků z kategorií:
- něco znám, faktor znalostí, — heslo, PIN kód, gesto atp., údaj, který není dostupný nikomu jinému,
- něco mám, faktor držení/vlastnictví, — zařízení fyzické či logické, tedy např. bankovní platební karta nebo software, který je jednoznačně spojený s konkrétní osobou,
- něco jsem — jednoznačný biometrický údaj[pozn. 2], což klient potvrzuje např. otiskem prstu či prostřednictvím rozpoznání obličeje.
Údaje z těchto kategorií musí být pro klienta jedinečné, musí ho jednoznačně identifikovat.[zdroj?!] Přičemž informace „čím jste“ a „kde jste“ jsou osobní údaje. Osobní údaj ale nesmí být použit k identifikaci, ale jen k autentizaci.[8]
Silné ověření klienta podle článku 97 PSD2[1] bylo do české legislativy transponováno v podobě § 223 zákona 370/2017 Sb., o platebním styku[9] a je v ČR vyžadováno od 1. 1. 2021[10]
- při on-line přístupu k platebnímu účtu,
- při iniciaci elektronické platební transakce nebo
- při jakémkoli úkonu prostřednictvím prostředků komunikace na dálku, který by mohl vést k riziku platebního podvodu nebo jiných zneužití.
Silné ověření nemusí banka uplatňovat vždy a existují modelové příklady, při kterých nemusí uživatel uplatnit dva faktory ověření. Banka však musí udělat analýzu transakčních rizik spojených s chováním uživatele.[6][11]
V některých případech naopak vedle údajů z karty a SMS kódu bude nutno zadat ještě takzvaný ePIN, který se vygeneruje v internetovém bankovnictví.[12] SMS kód už nebude stačit, protože banka nemůže ručit za to, že mobilní telefon v držení uživatele je zamčený například PINem (znalost) nebo otiskem prstu (biometrie). E-PIN může být například trojmístné číslo, být neměnný a platit po celou dobu platnosti karty.
Silné a slabé ověření se však neshoduje s tím, jak tyto pojmy chápou neopozitivisté, např. A. Ayer.
Historie
[editovat | editovat zdroj]- 13. 1. 2016
- vstoupila v platnost Směrnice EP o platebních službách na vnitřním trhu (PSD2)[6]
- 27. 11. 2017
- Nařízení Komise (EU) 2018/389 týkající se silného ověření klienta (SCA) a společných bezpečných otevřených standardů komunikace (The Regulatory Technical Standard, dále RTS)
- 13. 1. 2018
- nabyla účinnosti novela zákona č. 370/2017 Sb., o platebním styku, který implementuje PSD2 v ČR
- 14. 9. 2019
- účinnost RTS v plném znění
- 30. 12. 2020
- uplatnění silného ověření klienta u karetních transakcí v rámci e-commerce (online platby kartami)
Česko 2019
[editovat | editovat zdroj]Do 14. září 2019 nebyla v Česku žádná banka, která by měla připravené karty a servery připravené pro platby v režimu SCA.[13] Do doby, než banky dokončí potřebné úpravy, zůstane pro platby kartou využívána 3D Secure 1.0 (ověření přes SMS).[13] Po 14. září banky musely začít nabízet zákazníkům mobilní aplikace pro ověřování při nákupu na internetu pomocí biometrie.[13] ČNB vydala sdělení, které zajistilo dodatečný čas na plnou implementaci nařízení v oblasti silného ověření uživatele.[14]
V kamenných obchodech bylo zavedeno počítání transakcí, kdy po pěti po sobě jdoucích neověřených platebních transakcích musí být následují platební transakce ověřená.[13] Protože mohly existovat platební terminály, které s povinným ověřením transakce pomocí PIN nepočítaly, mohl terminál bezkontaktní platbu zamítnout.[13] V takovém případě bylo nutné vložit kartu do terminálu,[13] načež terminál měl požádat o PIN a platba měla proběhnout tak, jak proběhnout měla.[13]
Společnost Mastercard nabízela bankám její řešení, takže banky mohly doplnit biometrické ověřování plateb do svých aplikací bez vlastního vývoje.[13]
Pro uživatele bez chytrého telefonu s bankovní aplikací na počátku implementace existovalo pouze řešení, kdy kromě přepsání kódu z SMS bylo navíc vyžadováno zadání hesla nebo ePINu.[13] Takové řešení, ale snižuje uživatelskou jednoduchost. Celý trh tedy doufá ve stanovení tzv. přechodného období, během kterého se toto povede zákazníkům srozumitelně vysvětlit a naučit je to nebo že se najde přívětivější řešení.[13]
Odkazy
[editovat | editovat zdroj]Poznámky
[editovat | editovat zdroj]- ↑ PSD2 rozumí: „silným ověřením klienta“ ověření založené na použití dvou nebo více navzájem nezávislých prvků z kategorie znalost (to, co ví pouze uživatel), držení (to, co drží pouze uživatel) a inherence (to, čím uživatel je), kdy nesplněním jednoho z nich není ovlivněna spolehlivost ostatních; postup je navržen tak, aby byla chráněna důvěrnost ověřovacích údajů;
- ↑ biometrické údaje spadají do tzv. zvláštních kategorií osobních údajů se specifickým režimem zpracování podle čl. 9 Nařízení Evropského parlamentu a Rady (EU) 2016/679 - GDPR
Reference
[editovat | editovat zdroj]- ↑ a b Směrnice Evropského parlamentu a Rady (EU) 2015/2366
- ↑ Nařízení Komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace
- ↑ https://www.ft.com/content/4911d260-aaac-11e7-ab55-27219df83c97 - Why would we want to increase the cyber risk to our bank data?
- ↑ PSD2 Explained: What is it and why does it matter?. TransferWise. 2016-12-12. Dostupné online [cit. 2018-02-09]. (anglicky)
- ↑ European Commission - PRESS RELEASES - Press release - European Parliament adopts European Commission proposal to create safer and more innovative European payments. europa.eu [online]. [cit. 2018-02-09]. Dostupné online. (anglicky)
- ↑ a b c V. Mladěnka: PSD2 a (r)evoluce bankovnictví , 7. 10. 2020
- ↑ První banka zruší multibanking. Není o něj zájem. www.penize.cz [online]. [cit. 2023-08-23]. Dostupné online.
- ↑ Docházkový systém s použitím biometriky - otisky prstů zaměstnanců. Co na to GDPR? [online]. [cit. 2023-07-03]. Dostupné online.
- ↑ Zákon č. 370/2017 Sb. o platebním styku
- ↑ ČNB: Silné ověření uživatele u plateb kartou na internetu od 1. 1. 2021
- ↑ Komentář České bankovní asociace k implementaci směrnice PSD2
- ↑ Platby kartou přes internet mají od ledna nová pravidla, 21. 12. 2020
- ↑ a b c d e f g h i j WOLF, Karel. Silné ověřování zákazníka: skutečná komplikace při placení, nebo zbytečný strašák?. Lupa.cz [online]. Internet Info, s.r.o., 2019-09-11 [cit. 2019-11-05]. Dostupné online. ISSN 1213-0702.
- ↑ Sdělení České národní banky v souvislosti s účinností nařízení Komise v přenesené pravomoci (EU) 2018/389