Nová revidovaná směrnice o platebních službách PSD2 (směrnice Evropského parlamentu a Rady EU 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu) se zatím týkala pouze finančních institucí, kterým přinášela hlavně novou zábavu pro compliance oddělení (a nepřímo úměrně administrativní zátěži i několik nových příležitostí).
Součástí směrnice je ovšem také direktiva o silném ověřování zákazníků (Strong Customer Authentication, SCA), což je v podstatě regulační technická norma k hlavní směrnici. Ta kromě toho, že za přibližně tři týdny (14. září) vstoupí v platnost, přináší vedle nových povinností pro banky a ostatní poskytovatele platebních služeb také povinnosti pro provozovatele e-shopů a oproti některým předchozím způsobům placení nové povinné mezikroky pro jejich zákazníky.
Pro ty bude SCA znamenat především to, že pro každou (i opakovanou) platbu online budou potřebovat zadat minimálně dva faktory silného ověření. V praxi půjde o kombinaci dvou ze tří faktorů, které spadají do kategorií 1) něco, co zákazník ví, 2) něco, co zákazník má, a 3) něco, co je součástí zákazníka, může jít třeba o kombinaci hesla, biometrického ověření nebo čísla autentizace transakce – TAN. V článku 4. bodu 30 směrnice PSD2 se můžeme dozvědět, co přesně evropské úřady silným ověřením myslí:
Pro účely této směrnice se rozumí: „silným ověřením klienta“ ověření založené na použití dvou nebo více navzájem nezávislých prvků z kategorie znalost (to, co ví pouze uživatel), držení (to, co drží pouze uživatel) a inherence (to, čím uživatel je), kdy nesplněním jednoho z nich není ovlivněna spolehlivost ostatních; postup je navržen tak, aby byla chráněna důvěrnost ověřovacích údajů.
Z dvoufaktorového ověřování se tak stane absolutní povinné minimum, které se bude týkat jakékoli digitální platební metody včetně placení kartou, kdy většinou doposud stačilo zadat číslo karty a jako „ověření“ pak datum vypršení její platnosti a tzv. CVV číslo. Z pohledu zákazníka se tak mění celý online platební proces, který bude vypadat zhruba následovně:
- Zákazník nejprve zvolí preferovaný způsob platby a uloží odpovídající potřebné informace, které jsou v zašifrované podobě přeneseny do jeho banky.
- Banka musí následně na základě zaslaných informací a informací, které o klientovi eviduje, provést ověření platby a zaslat o něm majiteli účtu zprávu na mobilní zařízení.
- Uživatel bude muset na zprávu kliknout, čímž se mu otevře mobilní bankovní aplikace, znovu potvrdit platbu (například prostřednictvím biometrie), a teprve po úspěšném absolvování tohoto kroku může být přesměrován zpět do procesu platby a objednávka dokončena.
Zákazník tak bude muset se svojí platební institucí sdílet podstatně více dat než doposud. To na oplátku přináší řadu nových povinností pro poskytovatele platebních služeb, kteří budou muset garantovat jak to, že ověřovací prvky nebudou zveřejněny nebo zpřístupněny neoprávněným osobám (osobní bezpečnostní údaje klientů musí být nezjistitelné v průběhu celého ověřovacího procesu), tak zajistit vzájemnou nezávislost ověřovacích prvků, aby v případě prolomení jednoho nedošlo k ohrožení integrity dalšího ověřovacího prvku. Způsob implementace bezpečnostních opatření musí PSP navíc pravidelně dokumentovat, periodicky testovat a nechávat auditovat. Nová povinnost s sebou také přináší nové technologické problémy, například ten, že většina uživatelů vlastní mobilní zařízení, které buď vůbec neumí pracovat s biometrikou, nebo alespoň rozhodně ne v takové kvalitě, kterou by se dalo označit za dostatečně spolehlivou a bezpečnou pro ověřování finančních transakcí, takže bude potřeba počítat také s méně komfortní alternativou. Vrátí nás díky tomu nová povinnost zpět do éry bezpečnostních tokenů?
Některé online platební metody už léta úspěšně využívají jednoduchý druhý faktor v podobě SMS (platba z účtu, platba kartou za pomoci 3D Secure), což je přímý retailový potomek průmyslové 2FA v podobě hardwarových bezpečnostních tokenů, které se kdysi používaly hlavně pro kritické aplikace. SMS autentizace ale podle řady výkladů směrnice již není vnímána jako spolehlivá/bezpečná. Důvod je ten, že s masovým nástupem chytrých telefonů se první i druhý faktor často potkávají na stejném zařízení (mobilním telefonu), čímž není splněna podmínka dvou nezávislých kanálů a lze ji ze zařízení odchytit. Řešení totiž pochází z doby před 20 lety, kdy nikoho nenapadlo, že jednou bude většina lidí používat chytrý telefon. Podobný argument je pochopitelně možné dovést ad absurdum a aplikovat jej například právě i na biometrii v mobilních zařízeních, to je ale již na trochu jiné téma.
3D Secure 2.0
EMVCo, konsorcium zastřešující karetní asociace, které stojí za původním standardem 3D Secure, na SCA zareagovala návrhem nového standardu 3D Secure 2.0. Ten se od první generace liší zejména tím, že v jeho rámci značně narostl datový tok mezi všemi participujícími stranami, především vydavatelskou bankou, platební bránou, obchodníkem a jeho bankou.
Ti si mezi sebou budou vyměňovat kolem stovky (může jich ale být i víc) datových jednotek o zákazníkovi. Údaje budou zahrnovat například platební historii, z jakých zařízení nejčastěji platbu provádí, typickou denní dobu a samozřejmě i přímé vstupy od zákazníka, jako už zmiňované ověření prostřednictvím biometriky, TAN čísla a podobně. Soukromí zákazníka tak jde v zájmu zvýšení bezpečnosti stranou (byť by se žádná z těchto informací neměla dostat v nešifrované podobě přímo k obchodníkovi). Systém byl zamýšlen tak, aby chránil spotřebitele, maloobchodníky a vydavatele karet před podvody při online placení, ale krása v jednoduchosti některých metod internetových plateb s tím nutně vzala za své. Na druhé straně nutno ale přiznat, že některé moderní platební metody, jako například Apple Pay (za hranicemi ČR také třeba Amazon Pay), 2FA teoreticky vyhovující SCA využívají již dnes a jejich uživatelé s tím nemají problém.
Co znamená nové schéma pro internetové obchodníky?
Těm kromě toho, že jim nejspíš naroste procento nedokončených objednávek, především přibude nová zákonná povinnost umožnit silné ověření plateb. V praxi ale málokterý internetový obchod používá vlastní platební řešení (technicky se povinnost týká všech, kdo poskytují klientům platební účet, který je přístupný online), takže se technické starosti s tím spojené většinou přenášejí na poskytovatele plateb (typicky hlavně platební brány). Povinnost pohlídat si, aby jejich poskytovatel požadavkům CSA vyhověl, ale zůstává na samotných e-shopech.
Aby to nebylo tak jednoduché, bude možné získat na opakující se platby, platby pod 30 EUR, u bezkontaktních elektronických plateb za předpokladu, že výše transakce nepřesáhne 50 EUR (do celkové výše transakcí 150 EUR), pokud je plátce a příjemce tatáž osoba a u několika dalších typů plateb výjimku. Silné ověření klienta také bude možné obejít v případech, kdy PSP provede „analýzu transakční rizikovosti“ a vyhodnotí, že platební transakce nepředstavuje příliš vysoké riziko (strop celkového souhrnu všech transakcí v takovém případě nesmí přesáhnout 500 EUR). Výjimka v citovaných scénářích nicméně nebude automatická a pravidla pro její udělení zůstávají prozatím trochu nejasná. Rozhodující slovo zde bude mít pravděpodobně hlavně místní regulátor, což je v našem případě Česká národní banka.
