Oficiální název směrnice PSD2 je Revidovaná směrnice o platebních službách. Zkratka vychází z anglické verze Payment Services Directive, dvojka je tam proto, že směrnice stejného názvu byla přijata už v roce 2007. Do české legislativy byla implementována Zákonem o platebním styku.
„Pro všechny, tedy pro banky, jejich klienty, ale i pro karetní asociace, e-shopy a další subjekty, které se podílejí na platebních službách, přinesla vyšší požadavky na bezpečnost. Příslušný dokument i technická norma popisují požadavky na tzv. silné ověření klienta,“ vysvětluje poradce České bankovní asociace pro platební styk a kyberbezpečnost Tomáš Hládek.
Na realizaci nových předpisů do praxe bylo původně 18 měsíců. I kvůli pandemii koronaviru došlo k několika dalším odkladům, konečný termín pro všechny, kdo se na platebních službách podílejí, byl pak 31. prosinec 2020.
Jednoduše řečeno, od prvního ledna letošního roku mají české banky povinnost zajistit ověření každé platby kartou dvěma ze tří faktorů. Těmi jsou: speciální kód ePIN, biometrické údaje jako otisk prstu či sken obličeje, nebo mobilní klíč. Pro potvrzení online platby kartou tedy již zpravidla nebude dostačující jen kód z SMS zprávy jednoduše opsaný do rozhraní platební brány. I když, jsou zde výjimky.
Mobilní klíč, otisk prstu nebo PIN?
Požadavek silného ověření řeší banky různě, například vygenerováním mobilního klíče. „Klíč je pohodlnější náhrada SMS kódů, slouží jako přihlašovací nástroj pro internetové a mobilní bankovnictví, lze s ním autorizovat platební příkazy, provádět změny a podepisovat dokumenty on-line,“ uvádí mluvčí Komerční banky Michal Teubner. Na telefon dostanete upozornění, prostřednictvím kterého přejdete do aplikace KB Klíč. Tam uvidíte detail své platby a můžete ji potvrdit PINem aplikace KB Klíč, otiskem prstu nebo skenem obličeje. Podobnou aplikaci spustila již koncem roku 2019 Raiffeisenbank, i zde klient potvrzuje přihlašování do internetového bankovnictví nebo certifikuje platební operace PINem nebo biometrikou.
Česká spořitelna myslí i na ty, kteří nemají chytrý telefon, nechtějí používat žádné aplikace ani mobilní klíč. Tito klienti mohou i nadále potvrzovat platby zadáním číselného kódu z potvrzovací SMS. „Česká spořitelna dokáže na základě tzv. behaviorální analýzy vytvořit individuální platební profil klienta, který vyplývá z jedinečných charakteristik jeho platebního chování a který například rozeznává způsob, jakým klient zadává potvrzovací kód na displeji telefonu nebo klávesnici počítače. Behaviorální analýza nám tak pomáhá verifikovat identitu klienta stejným způsobem jako číselný kód z potvrzovací SMS,“ říká Lukáš Kropík z České spořitelny. Samozřejmě behaviorální analýza se může uplatnit pouze u klientů, kteří již na internetu provedli více plateb kartou České spořitelny.
Novou technologii, tzv. Risk Based Authentication, zavádí i skupina ČSOB. „Podle několika bezpečnostních kritérií bude vyhodnocovat každou transakci, a podle její rizikovosti následně rozhodne o způsobu bezpečnostního ověření,“ upřesňuje mluvčí ČSOB Patrik Mádle. Klienti tak již nebudou muset ve všech případech při platbě kartou online zadávat SMS kód či ověřit transakci prostřednictvím Smart klíče.
Jak to má s potvrzováním plateb vaše banka, uvádíme v přehledném seznamu, informace o silném oveřování nám poskytli zástupci bank.
Air Bank
Dvoufázové ověřování zavedla už od začátku roku 2020. Platby kartou na internetu mohou klienti potvrzovat prostřednictvím mobilní aplikace My Air. Aplikace slouží jako plnohodnotný způsob obsluhy účtu včetně funkce potvrzování plateb a přístupu do internetového bankovnictví, anebo si klienti aplikaci mohou nastavit v módu, který jim umožní aplikaci používat jen jako bezpečnostní klíč pro potvrzování.
Banka CREDITAS
Platby kartami CREDITAS na internetu jsou zabezpečeny tzv. silným ověřením od 23. září 2020. Banka připravila ověření pomocí aplikace CREDITAS Autentizace pro iOS nebo Android. Platbu stačí potvrdit v aplikaci například otiskem prstu nebo rozpoznáním obličeje.
Pro klienty, kteří nemají chytrý telefon (nebo ho nemohou či nechtějí používat) je zde varianta potvrzení pomocí kódu z SMS a kódu ePIN (speciální PIN pro platby kartou na internetu, který si lze nastavit v elektronickém bankovnictví v sekci „3D Secure“ pro jednotlivé karty).
Česká spořitelna
Platby kartou na internetu je možné ověřit pomocí mobilní aplikace George klíč. Platbu s ní potvrdíte třeba otiskem prstu nebo skenem svého obličeje. V případě nedostupnosti aplikace přepsáním SMS kódu, jak jste zvyklí.
Klienti bez chytrého telefonu, nebo klienti, kteří nepoužívají aplikaci George klíč, mohou i nadále potvrzovat platby zadáním číselného kódu z potvrzovací SMS, občas mohou být požádáni o další bezpečnostní prvek, a to ePIN. Ten si lze vygenerovat v internetovém bankovnictví nebo v kterémkoli bankomatu ČS. Jakmile provedete několik plateb kartou, e-PIN již nebudete muset zadávat.
ČSOB
Současnou metodu potvrzování plateb kartou na internetu formou SMS kódů nahrazuje banka potvrzováním v mobilní aplikaci Smart klíč. Místo SMS kódu přijde do mobilu notifikace a klient ji potvrdí otiskem prstu, Face ID nebo PINem.
Equabank
Možnost autorizace platby kartou přes push notifikaci v mobilní aplikaci spustila banka v únoru 2020. Klient obdrží push notifikaci do své mobilní aplikace v mobilním telefonu. Jejím potvrzením pak dojde k autorizaci platby platební kartou. Pro klienty, kteří nevyužívají mobilní aplikaci, je k dispozici řešení pomocí EPINu. Ten si mohou nastavit v internetovém bankovnictví. Pro autorizaci plateb tak použijí SMS kód (stejně jako doposud) + nově EPIN.
Expobank
Požadavky směrnice PSD2 implementovala banka v únoru 2020. Při platbě kartou na internetu klient může využít autorizační aplikaci podporující ověření otiskem prstu či skenem obličeje nebo může použít kombinaci kódu z SMS na základě 3D Secure platby a zadání ePINu.
Fio banka
Klienti mají nyní dva způsoby, jak ověřovat platby kartou na internetu, a oba plně splňují požadavky PSD2. Jednodušším a rychlejším způsobem je ověření pomocí mobilní aplikace, kde platbu potvrdí na dvě kliknutí. Druhou možností, kterou využívají hlavně klienti, kteří nemají chytrý telefon nebo nechtějí využívat Smartbanking, je ověření jednorázovým SMS kódem společně s ePINem. Toto ověření má tedy dva kroky, prvním je opsání kódu z SMS zprávy a druhým zadání ePINu, trojmístného kódu unikátního pro každou kartu.
Hello bank
Internetové platby potvrzují klienti v mobilní aplikaci Hello bank.
Komerční banka
Dvoufázové ověřování u plateb kartou nabízí od poloviny roku 2020. Řešení je postaveno na aplikaci KB Klíč. Ta současně slouží jako přihlašovací nástroj pro internetové a mobilní bankovnictví Komerční banky, lze s ním autorizovat platební příkazy nebo dokonce provádět změny a podepisovat dokumenty online.
mBank
Klienti využívající mobilní aplikaci mají možnost ověření pomocí mobilní autorizace mKlíč. Klienti, kteří nechtějí nebo nemohou mít mobilní aplikaci, nadále potvrzují transakce SMS kódem. Dodatečné ověření poskytne banka na základě transakční/behaviorální analýzy.
MONETA Money Bank
Pro přístup do aplikace mobilního bankovnictví Smart Banka klienti mohou zvolit buď jeden z tzv. biometrických způsobů - tedy buď Face ID (rozpoznání obličeje) nebo Finger print secure (rozpoznání otisku prstu), nebo PIN, který si sami zvolí. Pro přístup do internetového bankovnictví používají kombinaci identifikačního čísla, hesla a mobilního klíče. Těm, kteří z nejrůznějších důvodů online bankovnictví nepoužívají (nemají smart telefon, nebo jej nechtějí), umožňuje banka platit na internetu za pomocí tzv. ePINU.
Raiffeisenbank
Koncem roku 2019 spustila aplikaci RB klíč, v níž klient potvrzuje přihlašování do internetového bankovnictví nebo certifikuje platební operace PINem nebo biometrikou.
Sberbank
Přihlašování do mobilní aplikace je možné pomocí otisku prstu nebo rozpoznáním obličeje. Operace lze také autorizovat pomocí hesla nebo biometricky aplikací M-token, která umožňuje autorizaci všemi možnými biometrickými údaji (otisk prstu, obličej, duhovka, atd.).
Pro platbu kartou na e-shopu klienti obdrží pomocí SMS na telefon heslo, které budou kombinovat s heslem/pin kódem, které obdrží pomocí SMS ke konkrétnímu nákupu.
UniCredit Bank
Potvrzení 3DS plateb pomocí biometrie banka zavedla od 1. 1. 2021. Od tohoto data již nejsou SMS notifikace pro autorizaci plateb podporovány. Banka využívá moderních řešení, tedy ověřování online plateb prostřednictvím Smart klíče (funkce pro generování jednorázových kódů) a Smart Bankingu.
