• Miroslav Pekárek

Dnes je den 0

Vážení obchodní přátelé a partneři,


nečekal jsem žádné fanfáry, nicméně by bylo vhodné si připomenout, že dnes vstupuje v platnost nová platební směrnice pod souhrnným názvem PSD2.


Protože jste v posledních dnech jistě zaznamenali diskuze a všelijaká vyjádření týkající se změn v oblasti platebního styku a používání platebních karet, rozhodl jsem se aspoň částečně vysvětlit o co vlastně jde.





Tato směrnice byla schválena Evropskou komisí a následně technicky implementována od loňského března 2018.


Jedná se o komplexní změnu na poli bezhotovostních plateb, kdy na jedné straně je umožňováno novým, tzv. třetím stranám provádět přímé platby z účtů klientů bank, získávat on-line informace o účtech klientů a zároveň stanovuje vyšší zabezpečení transakcí prostřednictvím tzv. silné autentifikace klienta pro klasické platky prováděné platebními kartami.

Tato norma se týká všech plateb v kamenných i internetových obchodech na celém území EU.


Tato norma sebou přináší zásadní změny technického zabezpečení všech systémů platebních terminálů, platebních brán, systému vydávání karet, přístupů do mobilního bankovnictví a provádění přímých i nepřímých plateb z bankovních účtu. Toto vše bylo předmětem diskuzí po celém území Evropské Unie.


Asi nejdůležitější technickou změnou je zavedení tzv. dvou faktorové autentifikace klienta při provádění platebních transakcí.


Pro ty z Vás, co se chtějí více do detailu podívat, jak doplnění směrnice vypadá, tak zde máte odkaz: Evropská směrnice - doplnění.


To vše nabývá účinnosti dne 14. 9. 2019, kdy i kartové operace musí mít silné, tzv. dvou faktorové ověření uživatele. Někdy se používá termín „Strong Customer Authentification, neboli SCA“, které se nejvíce používá pro oblast plateb prostřednictvím přímého bankovnictví anebo při platbách na internetu.



Zdroj: Deloitte ČR

Dvou faktorové ověření znamená, že k ověření uživatele musí být použita kombinace alespoň dvou bezpečnostních prvků (faktorů) z různých kategorií, přičemž jde o následující kategorie: 


  • znalost (to, co ví pouze uživatel) – např. heslo či PIN,

  • držení (to, co drží pouze uživatel) – např. karta nebo telefon,

  • inherence (to, čím uživatel je) – biometrické prvky jako např. otisk prstu či scan oka.


Podmínkou je, že každý ověřovací prvek musí být z jiné kategorie.


Zavedením silného zabezpečení se maximálně posílila pozice banky klienta, která uděluje souhlas k přístupu na účet klienta (v oblasti přímých plateb z účtu) a zároveň uděluje souhlas při rezervaci prostředků na účtu klienta při platbě kartou. A to vše v on-line režimu.

Může se jevit, že 18 měsíců byla dostatečně dlouhá doba pro implementaci všech změn, nicméně technické specifikace byly stále upřesňovány ze strany Evropské Bankovní Asociace a to až do července tohoto roku. Na základě ohlasů technické veřejnosti, Evropská Bankovní Asociace doporučila v červenci 2019 lokálním autoritám odložit účinnost normy PDS2 o 12 až 18 měsíců pro oblast elektronické komerce. U platebních terminálů se předpokládalo, že transakce jsou autorizovány především PINem.


Pojďme se podívat na jednotlivé oblasti


OBLAST PLATEBNÍCH TERMINÁLŮ


Platební terminál je velice bezpečné zařízení, které dokáže tzv. silnou autentifikaci provádět prostřednictvím PINu. Tedy držení karty je jeden faktor, znalost PIN jak faktor druhý. Proto se dá očekávat, že placení kartou na platebním terminálu a zadání PIN je bráno za vysoce zabezpečené. Problém přichází v momentě, kdy chceme platit bezkontaktně a kde jsme si zvykli již PIN nezadávat. V některých případech dokonce je nutné, aby transakce probíhala rychle a bez odkladně. (především k eliminaci nadbytečných front).




Aby se předešlo k opětovnému zadávání PINu u bezkontaktních transakcí, tak se zavádějí výjimky, které bohužel nejsou jednoduše aplikovatelné bez spolupráce všech zainteresovaných stran jako jsou především vydavatelské banky (Issueři), provozovatelé platebních terminálů, platební asociace a zprostředkovatelé plateb (Acquireři) a zároveň obchodníci.


Mnohdy docházelo k mylné interpretaci, že bezkontaktní platby jsou vyjmuty z požadavku na vysoké zabezpečení. Evropská Bankovní Asociace (EBA), která je odpovědná za technickou definici požadavků potvrdila, že bezkontaktní platby mají výjimku do výše 50 EUR a do maximálně 5ti po sobě jdoucích transakcích s celkovým limitem 150 EUR.

To v praxi znamená, že každá šestá transakce musí být bez ohledu na její výši autorizována PIN anebo například po 3 transakcích ve výši 50 EUR. Logika požadavku na vložení dodatečného PIN u bezkontaktních transakcí je plně v kompetenci vydavatele karty. Ten má možnost vyhodnocovat rizika například vycházející z pohybu klienta a požadovat zadání PIN kdykoliv má podezření na zneužití karty.


Vzhledem k tomu, že Česká republika na rozdíl od některých vyspělých zemí Evropské Unie, používá ve vysokém počtu bezkontaktní karetní transakce na terminálech, dochází na straně obchodníka k nutnosti provést PIN autorizaci při překročení pěti po sobě jdoucích bezkontaktních platbách relativně často. Jak už bylo zmíněno, kontrola tohoto počtu a limitů je vždy na straně vydavatele karty klienta. Platební terminál je povinen vždy on-line posílat informaci ke zpracování k vydavateli.


Zde jsou jednotlivá doporučení ČNB: Sdělení pro spotřebitele


Vzhledem k velice krátkému času na implementaci jsou banky nyní v procesu implementace ve svých kartových systémech, především pro výpočet a součet po sobě jdoucích bezkontaktních transakcí. V minulosti nebylo možné v rámci bankovních systémů rozlišit mezi platbou kontaktní a bezkontaktní.


Paralelně provozovatelé platebních terminálů dle nastavení jednotlivých obchodních případů vzdáleně upravují SW platebních terminálů tak, aby požadavek na zadání PIN byl proveden automaticky v případě, že o to banka, která konkrétní kartu klienta vydala, požádá.


Současná praxe však ukazuje, že při nasazování těchto úprav nejsou všechny procesy na straně bank, vydavatelů a aplikačních brán sladěné. Může docházet k případům, že transakce je zamítnuta bez udání konkrétního důvodu, ačkoliv terminál měl pouze požádat o vložení PIN.


Doporučení zní, požádat klienta o vložení karty s čipem přímo do platebního terminálu a zadat PIN.


Při placení kartami vložených do mobilních telefonů se předpokládá použití jiného prvku, než PIN a to je biometrie a nebo zadání hesla do mobilní peněženky. Zadání hesla je faktorem znalosti (obdobně jako u PINu ke kartě) a fyzická karta je nahrazena vlastnictvím mobilního telefonu. Místo hesla to peněženek (Apple Pay, Google Pay) je možné použít otisk prstu nebo faceID, který se může brát jako biometrický prvek.


Nicméně jako prvek biometrie se musí považovat systém, který není zpracováván pouze v telefonu, ale centrálně. Vzhledem k tomu, že centrální systémy správy biometrických údajů prakticky neexistují, přikročilo se k další časově omezené (1-2 roky) výjimce, kdy je možné použít biometrickou autorizaci současných systému Apple Pay, Samsung Pay, Google Pay, Garmin a podobně. V průběhu 2020-2021 se očekává prodloužení této výjimky anebo k přechodu na jiný typ vyššího zabezpečení.


OBLAST E-COMMERCE


V oblasti eCommerce se vyšší zabezpečení již používalo pomocí jednorázového kódu v rámci řešení, které jsou obecně známy pod pojmem 3D Secure (verze 1.0.2), která požaduje ověření klienta pomocí SMS po přesměrování na webovou stránku vydavatele karty.


PSD2 a její technické normy předpokládaly přechod na vyšší úroveň, tzv. 3D Secure 2.0, kde je umožněno kromě SMS kódu ověřit klienta napřímo v aplikaci mobilního bankovnictví. Dnes moderně nazývané jakési „klíče“, které zajistí přímý dotaz do telefonu uživatele na potvrzení autentifikační zprávy spuštěné po bezpečném otevření mobilního bankovnictví. To v tomto případě se považuje jako zmíněný druhý faktor.





Probíhají neustále odborné diskuze na téma, zda jednorázově zaslaná SMS je považována jako druhý faktor. Ačkoliv dle statistik z českého trhu zneužití SMS kódů je prakticky minimální, Česká Národní Banka se přiklonila k názoru, že kód zaslaný v SMS nemusí být vždy považován jako druhý faktor, protože je zasílán na telefon, kde není zaručeno, že kód zná pouze uživatel karty. Proto od července tohoto roku nemůže být považována ze strany vydavatele jako silná autentifikace klienta, a tudíž není v souladu s novou normou PSD2. Za silné ověření klienta se považuje autorizace přes „klíče“ mobilních bankovnictví bank anebo vložení speciálního ePIN, které musí klient obdržet od své banky.


Jak již bylo zmíněno výše, EBA doporučila národním bankám posunout implementaci o 12 až 18 měsíců. Ačkoliv Česka Národní Banka zatím oficiálně nepotvrdila toto odložení, svými vyjádřeními souhlasí s odložením a doporučuje neblokovat transakce v oblasti e-Commerce. Oficiální stanovisko chce vydat až po zasedání EBA, které by se mělo konat v nejbližších dnech či týdnech, kde by se měly analyzovat výstupy ze zkušeností se zavedením v jednotlivých zemích Evropské Unie.


Některé členské země již oficiálně přistoupili k odložení, nicméně lhůta je podmíněna ve většině případů tím, že banky a provozovatelé předloží jednotlivé implementační plány.

V současné době není český bankovní trh připraven na silné ověření klienta prostřednictvím aplikaci mobilního bankovnictví. Většina velkých a některých inovativních bank již implementovala tzv. klíče, které napomáhají silné autentifikaci, ale jen málo uživatelů tyto aplikace používá a vydání nového ePIN je procesně náročné a pro klienta komplikované.


Ačkoliv se očekává, že k odložení dojde, společnosti v oblasti elektronické komerce i tak nadále provádí změny směřující k naplněni požadavků na vyšší zabezpečení dle aktuálních standardů 3DS2.1. A to včetně implementace nové platební brány splňující spřízněné podmínky ČNB a včetně implementace komunikace s mobilními aplikacemi vydavatelů.


Podrobnosti o přístupu ČNB naleznete zde:

Sdělení ČNB v souvislosti s účinností nařízení Komise ...


Bude pouze záležet na spolupráci všech zainteresovaných stran a implementace není úplně snadnou záležitostí.

OBLAST PŘÍMÉHO BANKOVNICVÍ


To je oblast, kde PSD2 nově zavádí pojem o tzv. třetích stranách. Kdo jsou třetí strany naleznete zde: kdo jsou třetí stran



Tak jak již bylo uvedeno v oblasti e-commerce, díky zavádění silného zabezpečení vstupují na trh jednotlivé banky se svými inovovanými aplikacemi mobilního bankovnictví, které umožňují se napojit na účty cizích bank. Zde je využíváno API rozhraní, které je k dispozici tzv. třetím stranám jako AISP. Pro povolení přístupu se používají právě tzv. „klíče“, které pak slouží i pro již zmíněné ověření klientů pro transakce v oblasti e-commerce.



Tato oblast je relativně nová, prakticky využívaná pouze bankami mezi sebou.


V České republice nebyla poskytnuta doposud licence žádné společnosti pro oblast nepřímého zadání platebního příkazu (PISP) ačkoliv několik subjektů od samého začátku o licence žádají. Pro službu AISP byla udělena licence pouze cca 2-3 subjektům.

Ani připravenost bank není v této oblasti vysoká. Několik bank udělalo mnoho systémových změn tak, aby dokázaly fungovat mezi sebou. Způsoby, jak inovovaly své systémy, byly především vyvíjeny směrem k sobě. Tedy zjednodušit práci pro své klienty, znesnadnit přístup externím subjektům včetně konkurenčních bank a to pod záštitou garance vysokého zabezpečení přístupu k bankovním účtům. To se dá vše logicky pochopit.


Takže v této oblasti nehrozí, že by se nový platební trh zhroutil tím, že ode dneška by bylo možné ovládat účty klientů a platit pomocí aplikací „třetích stran“, proto žádné překlenovací období není potřeba zavádět. Vlastně není ani pro co a pro koho.

Banky tak mají více času to vše v klidu doladit. Teprve až někdo nový dosáhne na licenci, bude schopen dělat něco navíc.


Zde tu nesmíme však zapomínat, že žijeme v Evropském prostoru a na trh mohou ode dneška přijít subjekty zvenčí. Již zde vidíme trendy jako Revolut, N26 a podobně a dokud žádná česká společnost nedostane licenci, tak zde trh bude brzo ovládán úplně někým jiným.


To může nekontrolovaně změnit chování na platebním trhu velice rychle a všechny investice, které se nyní vkládají do klasických kartových systémů, se nemusí v budoucnu vůbec využívat.


Publikoval : Miroslav Pekárek

5 zobrazení

© 2018 - 2020  PMG Capital s.r.o.

Get Social

  • Grey Facebook Icon
  • Grey Twitter Icon
  • Grey Google+ Icon
  • Grey LinkedIn Icon
  • Grey YouTube Icon