Na uvedenou směrnici navazuje řada technických norem a pracovních postupů, které jsou určeny pro ty, kteří platební služby zajišťují. V určitých případech se ale týkají i klientů, kteří tyto služby využívají. Jednou z takových norem je „Regulatorní technický standard stanovující pravidla pro silné ověření klienta a společných a bezpečných otevřených standardů komunikace“ (RTS on SCA). A právě tato norma, která byla schválena a vydána až po účinnosti samotné směrnice, vstupuje dne 14. září 2019 v účinnost.
– něco, co klient zná (např. heslo, PIN),
– něco, co klient má (např. telefon, token),
– něco, čím klient je (biometrické prvky, otisk prstu, tvář).
Uvedená norma vyžaduje, aby byla při autentizaci klienta, tedy při ověření toho, kdo se skutečně snaží komunikovat s bankou či jiným poskytovatelem platebních služeb, použita tzv. dvoufaktorová autentizace.
V průběhu 18 měsíců, které byly stanoveny jako doba, během níž by mělo dojít k plné implementaci uvedených pravidel, došlo k několika poněkud překvapivým rozhodnutím, která ovlivnila další vývoj.
Jedním z takových bylo vyjádření Evropské bankovní autority (EBA) v tom smyslu, že nejrozšířenější způsob ověřování a potvrzování plateb iniciovaných platebními kartami na internetu, tzv. 3D Secure, tak, jak byl dosud používán, nesplňuje podmínky stanovené technickým standardem. Toto vyjádření vydala EBA dne 21. června 2019.
Zároveň, vědoma si toho, že za tři měsíce, které zbývaly do data účinnosti technické normy, bude nemožné vše upravit a změnit, dala EBA národním regulátorům možnost nevymáhat po poskytovatelích platebních služeb všechny náležitosti okamžitě od stanoveného data. ČBA konstatuje, že ze strany jejích členských bank od počátku byla, a i nadále je, věnována maximální pozornost problematice implementace požadavků PSD2, resp. zákona o platebním styku, kterým byla uvedená směrnice promítnuta do české legislativy.
Cílem bank je na jedné straně naplnit požadavky zákona a příslušných evropských nařízení, na straně druhé však nemohou připustit, aby došlo k nějakým výpadkům poskytování platebních služeb, a to v oblasti, která patří mezi nejvíce používané, tedy platby kartami na internetu. Proto ocenily, že Česká národní banka vydala v minulých dnech následující sdělení, ze kterého citujeme:
„Česká národní banka, stejně jako EBA, považuje za důležité, aby všichni držitelé karet mohli po 14. září 2019 platit v oblasti e-komerce. V úkonech dohledu vůči dohlíženým subjektům proto Česká národní banka zohlední mj. lhůtu či lhůty pro plnou implementaci nařízení bez negativních dopadů na uživatele platebních služeb poté, co o nich EBA rozhodne. Poskytnutí dodatečného času na plnou implementaci nařízení v oblasti silného ověření uživatele se však v souladu se stanoviskem EBA nevztahuje na jiné karetní platby, na něž tato povinnost dopadá (zejm. karetní platby prostřednictvím terminálů pro jejich akceptaci).“
ČNB vydala ještě jedno sdělení, které se týká u nás velmi rozšířeného způsobu využití platebních karet: Bezkontaktního placení malých částek, většinou do 500 Kč. Ty splňují a budou splňovat výjimky pro to, aby u nich k výše popsanému dvoufaktorovému ověření nemuselo docházet. Nicméně povinnost kontrolovat, kolik takových plateb již bylo danou kartou provedeno a v jaké výši, mají od 14. září 2019 banky.
Dosud byl záznam o počtu provedených bezkontaktních transakcí od posledního zadání PINu prováděn jen na dané kartě. Ne všechny terminály u všech obchodníků a poskytovatelů nejrůznějších služeb jsou však na tuto změnu připraveny a bude nutná aktualizace jejich softwaru. Proto ČNB všem klientům doporučila, aby v případě, že dojde k odmítnutí bezkontaktní platby, provedli tuto platbu znovu, ale „kontaktně“, zasunutím karty do čtečky daného terminálu a zadáním PINu.
ČBA je tedy přesvědčena, že v následujících dnech a týdnech nedojde k žádným zásadním problémům, které by znamenaly nějaké zásadní omezení možnosti využívání platebních karet.
ČBA zároveň upozorňuje na to, že jako klienti bank musíme být připraveni na to, že zvýšené požadavky na bezpečnost, které stanovila evropská legislativa, mohou přinášet zvýšené požadavky i na ně. Banky své klienty o změnách při přihlašování do nástrojů internetové bankovnictví a při zadávání a autorizaci plateb informovaly a o dalších úpravách informovat samozřejmě budou. Cílem všech takových změn není snížit komfort klientů, ale celkově zvýšit bezpečnost v tak citlivé oblasti, jakou poskytování platebních služeb je.
Autor je poradce ČBA pro platební styk a kyberbezpečnost
(Redakčně upraveno)
