Smernica o platobných službách, Payment Services Directive 2 (PSD2) a silné overenie totožnosti zákazníka, Strong Customer Authentication - FAQ

PSD2 nadobudla platnosť 13. januára 2018. Ide o výsledok rozšírenia regulačných požiadaviek zo strany Európskej komisie, upravujúcich platby v Európe a jednotlivé členské štáty EÚ ho transponovali do svojej legislatívy.

Ustanovenia PSD2 nadobúdajú účinnosť 14. septembra 2019.

Jedným z hlavných cieľov je zvýšenie bezpečnosti zákazníkov pri platbách online. Kľúčovým prvkom pre dosiahnutie tohto cieľa je povinné používanie silného overenia totožnosti zákazníka. Overenie sa musí vykonať pred uskutočnením akýchkoľvek bankových platieb online (napr. platieb kreditnými kartami alebo online prevodmi).

Väčšina bánk v posledných mesiacoch už kontaktovala svojich zákazníkov, aby ich informovala o pripravovaných zmenách a úpravách ich obchodných podmienok.

V budúcnosti budú banky musieť pred vykonaním online platby overiť dve z troch kritérií, ktoré sa týkajú zákazníka:

• niečo, čo vlastní (napr. kreditná karta, smartfón)
• niečo, čo pozná (napr. PIN)
• niečo, čím je (napr. odtlačky prstov, rysy tváre)

To znamená, že na splnenie prísnych požiadaviek na overenie totožnosti zákazníka môže byť pre autorizáciu platby vyžadované napr. zadanie odtlačku prsta pomocou smartfónu.

Metódy biometrickej autentifikácie uľahčujú zákazníkovi identifikáciu, pretože potrebujú iba niečo, čo so sebou obvykle majú, v tomto prípade smartfón a odtlačok prsta.

Statické heslá už nie sú postačujúce.

Banky sú povinné vyžadovať od obchodníkov silné overenie totožnosti zákazníka pre platby kreditnými kartami. Obchodníci sú preto povinní prostredníctvom svojej webovej stránky zobraziť stránku banky, na ktorej sa zákazník môže jednoznačne identifikovať. Tým sa zabezpečí, že žiadna neoprávnená osoba nezíska prístup na bankový účet a nebude platiť v mene zákazníka.

Prevodné príkazy, realizované tretími stranami, napríklad SOFORT v Nemecku alebo iDeal v Holandsku, si rovnako vyžadujú silnú autentifikáciu zákazníka.

Nie. PSD2 umožňuje určité výnimky pri používaní silného overenia totožnosti zákazníka.
Silné overenie totožnosti zákazníka sa nemusí vyžadovať, ak:

• banka zákazníka považuje za zanedbateľné riziko, že platba bude uskutočnená neautorizovanou treťou stranou a nie zákazníkom
• maximálna hodnota platby je 30 EUR. Poznámka: Banky však musia vyžadovať silné overenie totožnosti zákazníka, ak sa od poslednej autentifikácie uskutočnilo päť platieb alebo ak celková suma v platbách uskutočnených od poslednej autentifikácie presiahne 100 EUR.
• zákazník zaplatí obchodníkovi, ktorého predtým označil vo svojej banke ako dôveryhodného príjemcu. Zákazník to zvyčajne môže urobiť počas procesu autentifikácie.

Dôležité upozornenie:
Napriek týmto výnimkám môže banka zákazníka kedykoľvek požiadať o silné overenie totožnosti zákazníka. Banke nič nebráni kedykoľvek vyžadovať silné overenie totožnosti zákazníka.

Silná autentifikácia zákazníkom sa nikdy nevyžaduje, ak:

• zákazník poskytol obchodníkovi mandát na uskutočňovanie platieb. Toto nastane, keď sa zákazník zaregistruje do služieb obchodníka. Zákazník vtedy poskytuje poverenia, potrebné na uskutočnenie platieb a taktiež zrealizuje silné overenie svojej totožnosti.
• platba sa uskutoční formou predplatného. V takýchto prípadoch musí zákazník poskytnúť silnú autentizáciu iba raz, pri registrácii.

O metóde, použitej na spoľahlivé overenie totožnosti zákazníka, rozhodne banka. Obchodník nemôže toto rozhodnutie nijak ovplyvniť.

Obchodník taktiež nemá vedomosť o tom, ktorú metódu silnej autentifikácie zákazníka si zákazník vyberie a zrealizuje.

Toto je zaručené použitím prvkov iframe na zobrazenie stránok, využitých na účely silného overenia totožnosti zákazníka, ako ich poskytuje banka alebo poskytovatelia platobných služieb tretích strán (napr. IDeal).

Obchodník nemá žiadny prístup k obsahu prvku iframe, zobrazeného prostredníctvom jeho webových stránok a ani ho nemôže nijak ovplyvniť.

Podobne v prípade platobných metód, pri ktorých obchodník preposiela zákazníka na stránky poskytovateľa platobných služieb (napr. SOFORT), títo poskytovatelia nevedia, ktorý spôsob overenia zákazník vyberie a poskytne.

3D Secure je vo všeobecnosti proces, navrhnutý na zvýšenie bezpečnosti platieb online kreditnými kartami. Jeho cieľom je znížiť riziko podvodu tak, že zákazník potvrdí svoju totožnosť pomocou kódu alebo hesla.

3D Secure 2.0 je revíziou tohto procesu, ktorá ho uvádza do súladu s požiadavkami PSD2, konkrétne so silnou autentifikáciou zákazníka.

V budúcnosti budú platby kreditnou kartou tiež vyžadovať silnú autentifikáciu zákazníka, pomocou 3D Secure 2.0.

Silné overenie totožnosti zákazníka podľa 3D Secure 2.0 bude zabezpečené napríklad prostredníctvom aplikácie, poskytnutej bankou zákazníka. Stránka portálu banky, zobrazená počas procesu platby cez stránku obchodníka požiada zákazníka, aby spustil bankovú aplikáciu na svojom smartfóne. V závislosti od konkrétneho spôsobu platby môže potom aplikácia v telefóne požiadať napríklad o odtlačok prsta zákazníka.

Banky môžu zákazníkom ponúknuť rôzne spôsoby autentifikácie.

Medzi ďalšie možné metódy patria: jednorazové heslá zobrazené zákazníkom v špeciálnej aplikácii alebo rozpoznanie tváre prostredníctvom bankovej aplikácie zákazníka.

Online prevody prostredníctvom poskytovateľov platobných služieb, ako sú SOFORT, iDeal, Multibanco alebo Przelewy24, budú tiež v budúcnosti povinné vyžadovať silné overenie totožnosti zákazníkov.

Mnoho obchodníkov a bánk nebude schopných v zmysle smernice zabezpečiť podporu pre silné overenie totožnosti zákazníka od 14. septembra 2019.

Výsledkom je, že 21. júna 2019 Európsky orgán pre bankovníctvo (European Banking Authority, EBA) odporučil, aby štáty EÚ a ich finančné orgány zodpovedné za monitorovanie vykonávania smernice o platobných službách PSD2, ponúkli takýmto spoločnostiam predĺžené obdobie implementácie.

Výsledkom bude dodržanie termínu v niektorých krajinách, zatiaľ čo iné poskytnú bankám uvedené predĺžené implementačné obdobie.
Napriek tomu aj v mnohých krajinách so schváleným odkladom účinnosti, začnú niektoré banky používať silné overenie totožnosti zákazníka už od 14. septembra 2019.

Ak chceš zistiť, ako a kedy začne banka vyžadovať silné overenie totožnosti zákazníka, kontaktuj svoju banku.