Vážení obchodní přátelé a partneři, nečekal jsem žádné fanfáry, nicméně by bylo vhodné si připomenout, že dnes vstupuje v platnost nová platební směrnice pod souhrnným názvem PSD2. Protože jste v posledních dnech jistě zaznamenali diskuze a všelijaká vyjádření týkající se změn v oblasti platebního styku a používání platebních karet, rozhodl jsem se aspoň částečně vysvětlit o co vlastně jde. Tato směrnice byla schválena Evropskou komisí a následně technicky implementována od loňského března 2018. Jedná se o komplexní změnu na poli bezhotovostních plateb, kdy na jedné straně je umožňováno novým, tzv. třetím stranám provádět přímé platby z účtů klientů bank, získávat on-line informace o účtech klientů a zároveň stanovuje vyšší zabezpečení transakcí prostřednictvím tzv. silné autentifikace klienta i pro klasické platky prováděné platebními kartami. Tato norma se týká všech plateb v kamenných i internetových obchodech na celém území EU. Tato norma sebou přináší zásadní změny technického zabezpečení všech systémů platebních terminálů, platebních brán, systému vydávání karet, přístupů do mobilního bankovnictví a provádění přímých i nepřímých plateb z bankovních účtu. Toto vše bylo předmětem diskuzí po celém území Evropské Unie. Asi nejdůležitější technickou změnou je zavedení tzv. dvou faktorové autentifikace klienta při provádění platebních transakcí. Pro ty z Vás, co se chtějí více do detailu podívat, jak doplnění směrnice vypadá, tak zde máte odkaz: Evropská směrnice - doplnění. To vše nabývá účinnosti dne 14. 9. 2019, kdy i kartové operace musí mít silné, tzv. dvou faktorové ověření uživatele. Někdy se používá termín „Strong Customer Authentification, neboli SCA“, které se nejvíce používá pro oblast plateb prostřednictvím přímého bankovnictví anebo při platbách na internetu. Dvou faktorové ověření znamená, že k ověření uživatele musí být použita kombinace alespoň dvou bezpečnostních prvků (faktorů) z různých kategorií, přičemž jde o následující kategorie:  znalost  (to, co ví pouze uživatel) – např. heslo či PIN, držení  (to, co drží pouze uživatel) – např. karta nebo telefon, inherence  (to, čím uživatel je) – biometrické prvky jako např. otisk prstu či scan oka. Podmínkou je, že každý ověřovací prvek musí být z jiné kategorie. Zavedením silného zabezpečení se maximálně posílila pozice banky klienta, která uděluje souhlas k přístupu na účet klienta (v oblasti přímých plateb z účtu) a zároveň uděluje souhlas při rezervaci prostředků na účtu klienta při platbě kartou. A to vše v on-line režimu. Může se jevit, že 18 měsíců byla dostatečně dlouhá doba pro implementaci všech změn, nicméně technické specifikace byly stále upřesňovány ze strany Evropské Bankovní Asociace a to až do července tohoto roku. Na základě ohlasů technické veřejnosti, Evropská Bankovní Asociace doporučila v červenci 2019 lokálním autoritám odložit účinnost normy PDS2 o 12 až 18 měsíců pro oblast elektronické komerce. U platebních terminálů se předpokládalo, že transakce jsou autorizovány především PINem. Pojďme se podívat na jednotlivé oblasti OBLAST PLATEBNÍCH TERMINÁLŮ Platební terminál je velice bezpečné zařízení, které dokáže tzv. silnou autentifikaci provádět prostřednictvím PINu. Tedy držení karty je jeden faktor, znalost PIN jak faktor druhý. Proto se dá očekávat, že placení kartou na platebním terminálu a zadání PIN je bráno za vysoce zabezpečené. Problém přichází v momentě, kdy chceme platit bezkontaktně a kde jsme si zvykli již PIN nezadávat. V některých případech dokonce je nutné, aby transakce probíhala rychle a bez odkladně. (především k eliminaci nadbytečných front). Aby se předešlo k opětovnému zadávání PINu u bezkontaktních transakcí, tak se zavádějí výjimky, které bohužel nejsou jednoduše aplikovatelné bez spolupráce všech zainteresovaných stran jako jsou především vydavatelské banky (Issueři), provozovatelé platebních terminálů, platební asociace a zprostředkovatelé plateb (Acquireři) a zároveň obchodníci. Mnohdy docházelo k mylné interpretaci, že bezkontaktní platby jsou vyjmuty z požadavku na vysoké zabezpečení. Evropská Bankovní Asociace (EBA), která je odpovědná za technickou definici požadavků potvrdila, že bezkontaktní platby mají výjimku do výše 50 EUR a do maximálně 5ti po sobě jdoucích transakcích s celkovým limitem 150 EUR. To v praxi znamená, že každá šestá transakce musí být bez ohledu na její výši autorizována PIN anebo například po 3 transakcích ve výši 50 EUR. Logika požadavku na vložení dodatečného PIN u bezkontaktních transakcí je plně v kompetenci vydavatele karty. Ten má možnost vyhodnocovat rizika například vycházející z pohybu klienta a požadovat zadání PIN kdykoliv má podezření na zneužití karty. Vzhledem k tomu, že Česká republika na rozdíl od některých vyspělých zemí Evropské Unie, používá ve vysokém počtu bezkontaktní karetní transakce na terminálech, dochází na straně obchodníka k nutnosti provést PIN autorizaci při překročení pěti po sobě jdoucích bezkontaktních platbách relativně často. Jak už bylo zmíněno, kontrola tohoto počtu a limitů je vždy na straně vydavatele karty klienta. Platební terminál je povinen vždy on-line posílat informaci ke zpracování k vydavateli. Zde jsou jednotlivá doporučení ČNB: Sdělení pro spotřebitele Vzhledem k velice krátkému času na implementaci jsou banky nyní v procesu implementace ve svých kartových systémech, především pro výpočet a součet po sobě jdoucích bezkontaktních transakcí. V minulosti nebylo možné v rámci bankovních systémů rozlišit mezi platbou kontaktní a bezkontaktní. Paralelně provozovatelé platebních terminálů dle nastavení jednotlivých obchodních případů vzdáleně upravují SW platebních terminálů tak, aby požadavek na zadání PIN byl proveden automaticky v případě, že o to banka, která konkrétní kartu klienta vydala, požádá. Současná praxe však ukazuje, že při nasazování těchto úprav nejsou všechny procesy na straně bank, vydavatelů a aplikačních brán sladěné. Může docházet k případům, že transakce je zamítnuta bez udání konkrétního důvodu, ačkoliv terminál měl pouze požádat o vložení PIN. Doporučení zní, požádat klienta o vložení karty s čipem přímo do platebního terminálu a zadat PIN. Při placení kartami vložených do mobilních telefonů se předpokládá použití jiného prvku, než PIN a to je biometrie a nebo zadání hesla do mobilní peněženky. Zadání hesla je faktorem znalosti (obdobně jako u PINu ke kartě) a fyzická karta je nahrazena vlastnictvím mobilního telefonu. Místo hesla to peněženek (Apple Pay, Google Pay) je možné použít otisk prstu nebo faceID, který se může brát jako biometrický prvek. Nicméně jako prvek biometrie se musí považovat systém, který není zpracováván pouze v telefonu, ale centrálně. Vzhledem k tomu, že centrální systémy správy biometrických údajů prakticky neexistují, přikročilo se k další časově omezené (1-2 roky) výjimce, kdy je možné použít biometrickou autorizaci současných systému Apple Pay, Samsung Pay, Google Pay, Garmin a podobně. V průběhu 2020-2021 se očekává prodloužení této výjimky anebo k přechodu na jiný typ vyššího zabezpečení. OBLAST E-COMMERCE V oblasti eCommerce se vyšší zabezpečení již používalo pomocí jednorázového kódu v rámci řešení, které jsou obecně známy pod pojmem 3D Secure (verze 1.0.2), která požaduje ověření klienta pomocí SMS po přesměrování na webovou stránku vydavatele karty. PSD2 a její technické normy předpokládaly přechod na vyšší úroveň, tzv. 3D Secure 2.0, kde je umožněno kromě SMS kódu ověřit klienta napřímo v aplikaci mobilního bankovnictví. Dnes moderně nazývané jakési „klíče“, které zajistí přímý dotaz do telefonu uživatele na potvrzení autentifikační zprávy spuštěné po bezpečném otevření mobilního bankovnictví. To v tomto případě se považuje jako zmíněný druhý faktor. Probíhají neustále odborné diskuze na téma, zda jednorázově zaslaná SMS je považována jako druhý faktor. Ačkoliv dle statistik z českého trhu zneužití SMS kódů je prakticky minimální, Česká Národní Banka se přiklonila k názoru, že kód zaslaný v SMS nemusí být vždy považován jako druhý faktor, protože je zasílán na telefon, kde není zaručeno, že kód zná pouze uživatel karty. Proto od července tohoto roku nemůže být považována ze strany vydavatele jako silná autentifikace klienta, a tudíž není v souladu s novou normou PSD2. Za silné ověření klienta se považuje autorizace přes „klíče“ mobilních bankovnictví bank anebo vložení speciálního ePIN, které musí klient obdržet od své banky. Jak již bylo zmíněno výše, EBA doporučila národním bankám posunout implementaci o 12 až 18 měsíců. Ačkoliv Česka Národní Banka zatím oficiálně nepotvrdila toto odložení, svými vyjádřeními souhlasí s odložením a doporučuje neblokovat transakce v oblasti e-Commerce. Oficiální stanovisko chce vydat až po zasedání EBA, které by se mělo konat v nejbližších dnech či týdnech, kde by se měly analyzovat výstupy ze zkušeností se zavedením v jednotlivých zemích Evropské Unie. Některé členské země již oficiálně přistoupili k odložení, nicméně lhůta je podmíněna ve většině případů tím, že banky a provozovatelé předloží jednotlivé implementační plány. V současné době není český bankovní trh připraven na silné ověření klienta prostřednictvím aplikaci mobilního bankovnictví. Většina velkých a některých inovativních bank již implementovala tzv. klíče, které napomáhají silné autentifikaci, ale jen málo uživatelů tyto aplikace používá a vydání nového ePIN je procesně náročné a pro klienta komplikované. Ačkoliv se očekává, že k odložení dojde, společnosti v oblasti elektronické komerce i tak nadále provádí změny směřující k naplněni požadavků na vyšší zabezpečení dle aktuálních standardů 3DS2.1. A to včetně implementace nové platební brány splňující spřízněné podmínky ČNB a včetně implementace komunikace s mobilními aplikacemi vydavatelů. Podrobnosti o přístupu ČNB naleznete zde: Sdělení ČNB v souvislosti s účinností nařízení Komise ... Bude pouze záležet na spolupráci všech zainteresovaných stran a implementace není úplně snadnou záležitostí. OBLAST PŘÍMÉHO BANKOVNICVÍ To je oblast, kde PSD2 nově zavádí pojem o tzv. třetích stranách. Kdo jsou třetí strany naleznete zde: kdo jsou třetí stran Tak jak již bylo uvedeno v oblasti e-commerce, díky zavádění silného zabezpečení vstupují na trh jednotlivé banky se svými inovovanými aplikacemi mobilního bankovnictví, které umožňují se napojit na účty cizích bank. Zde je využíváno API rozhraní, které je k dispozici tzv. třetím stranám jako AISP. Pro povolení přístupu se používají právě tzv. „klíče“, které pak slouží i pro již zmíněné ověření klientů pro transakce v oblasti e-commerce. Tato oblast je relativně nová, prakticky využívaná pouze bankami mezi sebou. V České republice nebyla poskytnuta doposud licence žádné společnosti pro oblast nepřímého zadání platebního příkazu (PISP) ačkoliv několik subjektů od samého začátku o licence žádají. Pro službu AISP byla udělena licence pouze cca 2-3 subjektům. Ani připravenost bank není v této oblasti vysoká. Několik bank udělalo mnoho systémových změn tak, aby dokázaly fungovat mezi sebou. Způsoby, jak inovovaly své systémy, byly především vyvíjeny směrem k sobě. Tedy zjednodušit práci pro své klienty, znesnadnit přístup externím subjektům včetně konkurenčních bank a to pod záštitou garance vysokého zabezpečení přístupu k bankovním účtům. To se dá vše logicky pochopit. Takže v této oblasti nehrozí, že by se nový platební trh zhroutil tím, že ode dneška by bylo možné ovládat účty klientů a platit pomocí aplikací „třetích stran“, proto žádné překlenovací období není potřeba zavádět. Vlastně není ani pro co a pro koho. Banky tak mají více času to vše v klidu doladit. Teprve až někdo nový dosáhne na licenci, bude schopen dělat něco navíc. Zde tu nesmíme však zapomínat, že žijeme v Evropském prostoru a na trh mohou ode dneška přijít subjekty zvenčí. Již zde vidíme trendy jako Revolut, N26 a podobně a dokud žádná česká společnost nedostane licenci, tak zde trh bude brzo ovládán úplně někým jiným. To může nekontrolovaně změnit chování na platebním trhu velice rychle a všechny investice, které se nyní vkládají do klasických kartových systémů, se nemusí v budoucnu vůbec využívat. Publikoval : Miroslav Pekárek

Téměř polovina bank (41%) nesplnila poslední lhůtu pro směrnici o platebních službách (PSD2), aby poskytla testovací prostředí nebo „sandbox" pro všechny poskytovatele služeb třetích stran (TPP). Statistiky vycházely z průzkumu 442 evropských bank provedených švédskou platformou otevřeného bankovnictví Tink. Zatímco většina bank (59%) toto opatření splnila, stále existuje významná menšina, která tak neučinila. Průzkum se týkal 10 trhů, zatímco všechny země jako například Německo, Belgie, Finsko a Švédsko, měly míru shody nad 80%, jiné země jako Španělsko, Dánsko, Francie a Norsko byly všechny pod 50%, zatímco Nizozemsko a Spojené království měly odpovídající dodržování. 67% a 64%. Důležitost této prozatímní lhůty spočívá v tom, že poskytuje poskytovatelům tzv. "Třetích stran" možnost otestovat rozhraní API, která budou používat pro připojení k bankám, a sloužit jako základ pro všechny platební služby nabízené spotřebitelům v rámci iniciativy Evropské komise pro otevřené bankovnictví do 14. září 2019 v rámci normy PSD2. Výsledky průzkumu ukazují, že podle průzkumu produktového týmu společnosti Tink Tomáše Procházky PSD „značně zatěžuje banky. „Mnozí budou ukazovat prstem na ty, kteří nedodrželi, ale musíme si uvědomit, že banky všech velikostí se snaží řešit krátké časové lhůty, aby uspokojily širokou škálu potřeb - jejich vlastní potřebu kontrolovat data; mít přístup především pro potřebu "evropských" politiků mít spravedlivé tržní prostředí v časovém rámci, který si sami stanovili, “řekl. Studie upozornila na potenciální narušení různých open banking platforem a služeb otevřeného bankovnictví způsobených bankami, kterým chybí termíny. „Všichni jsme povinni používat vyhrazené rozhraní banky do termínu 14. září. A pokud se tam nemůžeme dostat a začít je testovat, nutí nás k tomu, abychom se nadále spoléhali na "Fall-Back" mechanismy, které jsme vždy používali - spíše než na otevřená rozhraní API, která by banky preferovaly. A jak to je v naší České republice? Mohu prozradit, že každý, kdo je zapojen do otevřeného bankovnictví, je silně ovlivněn problémy vlastních bankovních domů investovat do budoucnosti. Dopad zmeškaného termínu je dle mého názoru velký - pro banky, fintechy a pro především pro spotřebitele. Jak to sám nyní citím já sám osobně? Bankám nezávidím! stále bojují, zda se otevřít, či ne? Když ano, tak jak? A tak nám nezbývá nic jiného, než je přesvědčovat, že nastoupená cesta se jim jednou vrátí, anebo příjdou postupně o všechno, protože digitalizace a virtualizace liberalizuje trh natolik, že se jim krásné výnosy z poplatků za vedení účtů rozplynou mezi prsty. Takže je čas zahájit testování. Teď se teprve ukáže, nakolik bankovní fintech fóra jsou pouze dobrým marketingovým tahem anebo reálnou skutečností. Třetí strany, které se dají v ČR spočítat prakticky na jedné ruce, se již nemohou dočkat, až začnou reálně testovat. Zdroj informací: Finextra, doplněné vlastními analýzami PayLikeMe!. Autor: Miroslav Pekárek

Minulý týden, kdy došlo k ročnímu výročí schválení poslední verze RTS upravující technická pravidla platební regulace PSD2, bylo 45. zasedání Evropské Asociace Platebních společností. V předvečer tohoto výročí bylo zajímavé s experty a kolegy z celé Evropy sdílet dosavadní zkušenosti v oblasti acquiringu, issuingu a transakčního procesingu. Mezi nežhavější témata byly především současné diskuze o implementaci instantních plateb, které doplňují přímé platby v řadě zemí Evropy, dále pak regulace DCC a nová nařízení nejenom z oblasti silné autentifikace klienta (SCA), ale také především z nových požadavků na platební instituce při potírání daňových úniků daně z přidané hodnoty. V rámci odpolední sekce se nám podařilo kolegy seznámit s připravovanými principy digitálního acquiringu, který spojuje tradiční pojetí plateb a nové digitální formy rozvoje i s odkazem na generační rozdíly jednotlivých uživatelů. Digitální Acquring je jedním z nosných témat našeho výzkumu, kterému se věnujeme prakticky od zahájení platnosti PSD2 v minulém roce. Spojuje některé prvky, které na první pohled nemusí na sebe navazovat, ale v konečném důsledku právě díky digitální formě se budou postupně v následujících obdobích propojovat. Nejdůležitějšími stavebními kameny jsou: - Virtualizace (tokenizace) klasických platebních karet - Přímé platby ve formě PSD2 - Instantní platby - Silná autentifikace klienta - Digitální identita - Umělá inteligence - Transakční risk monitoring. - API řízené platby Bylo patrné, že toto téma velice dobře zapadlo do celkové diskuze na celoevropské úrovni, a proto se v následujícím období této oblasti budeme více věnovat a budeme představovat jednotlivé novinky postupně tak, jak budou zaváděny do praxe. Autor: Miroslav Pekárek