PROFILPELAJAR.COM

PSD2 (Payment Services Directive) je druhá směrnice Evropské unie o platebních službách, která významně ovlivnila způsob provádění online plateb a poskytování informací v platebním styku. Byla navržena Evropskou komisí a schválena Evropským parlamentem 8. října 2015. Směrnice byla přijata dne 25. listopadu 2015 jako Směrnice Evropského parlamentu a Rady (EU) 2015/2366.^[1]

Zkratka PSD2 SCA (Payment Services Directive 2 Strong Customer Authentication) odkazuje na nařízení Komise (EU) 2018/389 doplňující Směrnici a požadující dvoufaktorovou autentizaci.^[2]

Implementace

Původní směrnice měla být implementována postupně od konce roku 2018 do 14. září 2019. Hlavní změnou, kterou přinesla, je dostupnost informací o zákazníkovi pro prodejce (což zvyšuje riziko zneužití dat)^[3] a zvýšené nároky na kontrolu identity zákazníka při platbách online.^[4]^[5]

PSD2 přinesla na bankovní trh dále požadavek na silné ověření klienta a multibanking.^[6] Multibanking je možnost propojit si v rámci oblíbeného internetového bankovnictví také další účty, které nemusejí být nutně spravovány stejnou bankou. Banky mají totiž povinnost poskytovat rozhraní pro nepřímé založení platebního příkazu a rozhraní pro poskytnutí informací o účtu (nikoliv však o osobních údajích klienta). K tomu je nutno používat bezpečné otevřené standardy komunikace. O tuto možnost ale velký zájem není.^[7]

Silné ověření uživatele

Silné ověření klienta/uživatele (anglicky Strong Customer Authentication, SCA) je v podstatě^{[pozn. 1]} vícefázové neboli minimálně dvoufázové ověření. Opírá se o kombinaci minimálně dvou nezávislých prvků z kategorií:

něco znám, faktor znalostí, — heslo, PIN kód, gesto atp., údaj, který není dostupný nikomu jinému,
něco mám, faktor držení/vlastnictví, — zařízení fyzické či logické, tedy např. bankovní platební karta nebo software, který je jednoznačně spojený s konkrétní osobou,
něco jsem — jednoznačný biometrický údaj^{[pozn. 2]}, což klient potvrzuje např. otiskem prstu či prostřednictvím rozpoznání obličeje.

Údaje z těchto kategorií musí být pro klienta jedinečné, musí ho jednoznačně identifikovat.^[zdroj⁠?!] Přičemž informace „čím jste“ a „kde jste“ jsou osobní údaje. Osobní údaj ale nesmí být použit k identifikaci, ale jen k autentizaci.^[8]

Silné ověření klienta podle článku 97 PSD2^[1] bylo do české legislativy transponováno v podobě § 223 zákona 370/2017 Sb., o platebním styku^[9] a je v ČR vyžadováno od 1. 1. 2021^[10]

při on-line přístupu k platebnímu účtu,
při iniciaci elektronické platební transakce nebo
při jakémkoli úkonu prostřednictvím prostředků komunikace na dálku, který by mohl vést k riziku platebního podvodu nebo jiných zneužití.

Silné ověření nemusí banka uplatňovat vždy a existují modelové příklady, při kterých nemusí uživatel uplatnit dva faktory ověření. Banka však musí udělat analýzu transakčních rizik spojených s chováním uživatele.^[6]^[11]

V některých případech naopak vedle údajů z karty a SMS kódu bude nutno zadat ještě takzvaný ePIN, který se vygeneruje v internetovém bankovnictví.^[12] SMS kód už nebude stačit, protože banka nemůže ručit za to, že mobilní telefon v držení uživatele je zamčený například PINem (znalost) nebo otiskem prstu (biometrie). E-PIN může být například trojmístné číslo, být neměnný a platit po celou dobu platnosti karty.

Silné a slabé ověření se však neshoduje s tím, jak tyto pojmy chápou neopozitivisté, např. A. Ayer.

Historie

13. 1. 2016: vstoupila v platnost Směrnice EP o platebních službách na vnitřním trhu (PSD2)^[6]
27. 11. 2017: Nařízení Komise (EU) 2018/389 týkající se silného ověření klienta (SCA) a společných bezpečných otevřených standardů komunikace (The Regulatory Technical Standard, dále RTS)
13. 1. 2018: nabyla účinnosti novela zákona č. 370/2017 Sb., o platebním styku, který implementuje PSD2 v ČR
14. 9. 2019: účinnost RTS v plném znění
30. 12. 2020: uplatnění silného ověření klienta u karetních transakcí v rámci e-commerce (online platby kartami)

Česko 2019

Do 14. září 2019 nebyla v Česku žádná banka, která by měla připravené karty a servery připravené pro platby v režimu SCA.^[13] Do doby, než banky dokončí potřebné úpravy, zůstane pro platby kartou využívána 3D Secure 1.0 (ověření přes SMS).^[13] Po 14. září banky musely začít nabízet zákazníkům mobilní aplikace pro ověřování při nákupu na internetu pomocí biometrie.^[13] ČNB vydala sdělení, které zajistilo dodatečný čas na plnou implementaci nařízení v oblasti silného ověření uživatele.^[14]

V kamenných obchodech bylo zavedeno počítání transakcí, kdy po pěti po sobě jdoucích neověřených platebních transakcích musí být následují platební transakce ověřená.^[13] Protože mohly existovat platební terminály, které s povinným ověřením transakce pomocí PIN nepočítaly, mohl terminál bezkontaktní platbu zamítnout.^[13] V takovém případě bylo nutné vložit kartu do terminálu,^[13] načež terminál měl požádat o PIN a platba měla proběhnout tak, jak proběhnout měla.^[13]

Společnost Mastercard nabízela bankám její řešení, takže banky mohly doplnit biometrické ověřování plateb do svých aplikací bez vlastního vývoje.^[13]

Pro uživatele bez chytrého telefonu s bankovní aplikací na počátku implementace existovalo pouze řešení, kdy kromě přepsání kódu z SMS bylo navíc vyžadováno zadání hesla nebo ePINu.^[13] Takové řešení, ale snižuje uživatelskou jednoduchost. Celý trh tedy doufá ve stanovení tzv. přechodného období, během kterého se toto povede zákazníkům srozumitelně vysvětlit a naučit je to nebo že se najde přívětivější řešení.^[13]

Odkazy

Poznámky

↑ PSD2 rozumí: „silným ověřením klienta“ ověření založené na použití dvou nebo více navzájem nezávislých prvků z kategorie znalost (to, co ví pouze uživatel), držení (to, co drží pouze uživatel) a inherence (to, čím uživatel je), kdy nesplněním jednoho z nich není ovlivněna spolehlivost ostatních; postup je navržen tak, aby byla chráněna důvěrnost ověřovacích údajů;
↑ biometrické údaje spadají do tzv. zvláštních kategorií osobních údajů se specifickým režimem zpracování podle čl. 9 Nařízení Evropského parlamentu a Rady (EU) 2016/679 - GDPR