Nová opatření zkomplikují platby přes internet. Podívejte se, co chystá vaše banka

Kateřina Hovorková Kateřina Hovorková
Aktualizováno 15. 9. 2019 18:43
Větší bezpečnost. To je cílem nové evropské směrnice, která mění pravidla plateb přes internet. České banky by měly od 14. září platby svých klientů ověřovat minimálně dvěma různými způsoby. Opsat číslo karty a platbu potvrdit kódem ze SMS zprávy už nestačí. Změny však jdou bankám jen ztuha, a proto k nim bude ČNB zatím shovívavá. Co vás tedy čeká od poloviny září u vaší banky?
Foto: Shutterstock

Směrnice nově po bankách a platebních branách žádá silné, dvoufázové ověření uživatele. A to při platbě kartou přes internet i u on-line přístupu k platebnímu účtu.

Dvoufaktorové ověření znamená, že k ověření uživatele musí být použita kombinace alespoň dvou prvků ze tří možných kategorií, přičemž jde o kategorie znalost, držení a inherence.

"Kategorie znalost je to, co ví pouze uživatel, tedy například heslo. Kategorie držení je to, co drží pouze uživatel, tedy například kód ze SMS zprávy, a kategorie inherence je to, čím uživatel je, tedy biometrika, sken obličeje, prstu," vysvětluje tisková mluvčí České národní banky Petra Vodstrčilová.

Právě ČNB by měla po 14. září kontrolovat, zda banky na nová pravidla ověření přistoupily. Připouští ale, že se v jejich zavádění vyskytují problémy, a to jak v oblasti silného ověřování, tak i u bezpečné komunikace.

Požadavky na dvoufázové ověření u plateb přes internetové bankovnictví banky vesměs splňují. Je běžné, že vyžadují při přihlášení do internet bankingu dva faktory ověření, například kombinaci hesla a kódu ze SMS.

Horší je to u plateb kartou přes internet. Současný způsob placení kartou ve formě zadaných údajů uvedených na platební kartě a jednorázovým SMS kódem zaslaným na mobilní telefon klienta nevyhovuje požadavkům na silné ověření. Nejde totiž o kombinaci dvou prvků z různých kategorií. 

"Samotné karetní údaje, vzhledem k tomu, že jsou všechny uvedeny přímo na kartě, nelze považovat za prvek pro silné ověření z kategorie znalost, neboť nejde o údaje, které jsou známy pouze uživateli. Ilustruje to případ z roku 2011, kdy si pokladní s fotografickou pamětí zapamatovávala karetní údaje svých zákazníků a čísla karet později zneužívala pro placení po internetu," dodává mluvčí Vodstrčilová.

Co s klienty bez chytrých telefonů? 

Banky o plánovaném zpřísnění podmínek placení informovaly své klienty zprávami v internetovém bankovnictví nebo e-mailem. Nejčastěji radí klientům využívat mobilní aplikace pro chytré telefony, které generují číselné kódy a doplní tak dvoufázové ověření k heslu nebo biometrice.

Komplikace nastávají u klientů, kteří chytré telefony nemají nebo si z nějakého důvodu nechtějí aplikaci banky stáhnout. Ti budou muset pro ověření zřejmě využívat další heslo, přičemž řada bank ještě konkrétní podobu řeší. 

"Není účelem, aby každá banka používala jiný způsob silného ověření a tím znepříjemňovala život těm klientům, kteří využívají služeb vícero bank. Jednotné řešení na trhu však ještě neexistuje a i národní kontrolní orgány zvažují odklad plného zavedení silného ověření klienta. Aktuálně se diskutuje minimálně o devítiměsíčním období," uvádí Radka Černá, tisková mluvčí Sberbank.

Jak Češi platí na internetu

Kartou v e-shopech platí už 40 % Čechů. Téměř dvakrát více než před třemi lety. Nejčastěji jí platí mladí ve věku 18 až 26 let (53,9 %), nejméně pak generace padesátníků a šedesátníků. Ukázal to průzkum agentury Ipsos pro společnost GLS. 

"Důvěru v placení kartou na internetu posiluje také postupná kultivace
české e-commerce. Velké množství českých internetových prodejců má již dobré renomé, že prodávané zboží je skutečně na skladě a přijde maximálně do 3 pracovních dnů od zadání objednávky. Očekáváme, že četnost online plateb kartou bude růst i nadále," uvádí Pavel Včela, ředitel společnosti GLS Česká republika. 

Kvůli častějšímu placení kartou je na ústupu naopak dobírka. Využívá jí nyní o polovinu méně lidí než platbu kartou online (21,1 %). Na popularitě získává možnost uhradit dobírku kartou u kurýra, která tak odstraňuje handicap hotovostní operace. Necelá pěti lidí platí za zboží osobě na výdejním místě (18 %) a bankovním převodem platí 17,5 % Čechů. 

Zdroj: Kateřina Hovorková

Podle informací Aktuálně.cz chtějí banky v tomto směru vyvolat diskusi o tom, zda ověření přes SMS kód přece jenom nestačí. Podle nich je totiž dostačující. Navíc směrnice platí pouze v evropském prostoru, kde zneužití karet není v poslední době tak časté jako u obchodníků ze třetích zemí. 

Některé banky upozorňují na to, že na zavedení nových pravidel měly málo času. "Bohužel je nepříjemné, že klíčová vodítka k naplnění požadavků regulace jsou ze stran orgánů dohledu publikována prakticky na poslední chvíli. Jejich zástupci jsou si toho zjevně vědomi, proto již například ze strany Evropského orgánu pro bankovnictví přicházejí pobídky, aby lokální dohledové autority k přípravám na požadavky účinné od září tohoto roku poskytovaly bankám dodatečný prostor," říká Petra Kopecká z Raiffeisenbank.

Česká národní banka, jako dohledová autorita, bude tedy zřejmě v kontrole pečlivějšího ověření klientů tolerantní.

"Je třeba zdůraznit, že případnou nepřipravenost poskytovatelů bude ČNB řešit, respektive již řeší, ve vztahu k jednotlivým konkrétním poskytovatelům platebních služeb. V každém případě ČNB, stejně jako Evropský orgán pro bankovnictví, považuje za důležité, aby všichni držitelé karet mohli po 14. září platit na internetu, a zohlední v rámci výkonu dohledu ve vztahu k poskytovatelům platebních služeb i lhůtu či lhůty pro plnou implementaci nařízení bez negativních dopadů na uživatele," dodává Petra Vodstrčilová.

Nová směrnice nabízí i výjimky, kdy přísnější procedura nebude potřeba. Například u plateb prověřeným příjemcům či u plateb pod 30 eur (zhruba 800 korun). U nich systém požádá o ověření zhruba při každém třetím až pátém nákupu. Přísnější pravidla se nevztahují ani na strhávání peněz za předplacené služby či zboží či za opakované nákupy v aplikaci typu Uber či Airbnb.

Jaké změny zabezpečení plateb chystají jednotlivé banky:

Air Bank Změnu plánuje spustit letos na podzim, přesný termín zatím není znám. Klienti s mobilní aplikací My Air, kterých je už více než 60 procent, budou moci platby na internetu potvrzovat jednoduše otiskem prstu, skenem obličeje nebo heslem ve své mobilní aplikaci. Klienti bez mobilní aplikace budou tyto platby potvrzovat stejně jako dnes, tedy opsáním kódu ze SMS zprávy.

Při přihlašování do internetového bankovnictví bude banka v některých situacích chtít ověření navíc, a to způsobem, jakým podepisuje platby v internetovém bankovnictví. 
Creditas Internetové bankovnictví, mobilní bankovnictví i platforma Richee požadavky na dvoufaktorové ověření splňují. Klienti se tak nemusí obávat změn. Novinkou bude možnost nepoužít silné ověření pro specifické typy operací (transakce nízké hodnoty, převody mezi vlastními účty nebo převody na klientem zvolené účty).

Pro potřeby bezpečného ověření karetních transakcí u internetových obchodníků banka připravuje novou mobilní autentizační aplikaci. Tu budou moci využít klient využívající chytré telefony s platformou iOS nebo Android. Pomocí této aplikace bude možné platby kartou na internetu podepisovat pomocí otisku prstu nebo skenu obličeje. Klienti bez mobilní aplikace obdrží jako doposud SMS zprávou kód, který přepíšou do příslušného pole. Současně bude nutné zadat do dalšího pole také ePIN. Tento ePIN si držitel karty zvolí sám v internetovém bankovnictví. 
Česká spořitelna Digitální bankovnictví George vyhovuje podle banky nárokům na silné ověření, klienti jsou ověřováni pomocí hesla a SMS kódu jak při přihlášení do George, tak při potvrzení platby. Banka se bude snažit, aby co nejvíce klientů využívalo mobilní aplikaci George klíč. V tuto chvíli ho má 200 tisíc klientů ze 600 tisíc klientů, kteří využívají George.

Podle banky není vyloučeno, že klienti, kteří nebudou využívat tento klíč, budou muset časem využívat další unikátní číselný kód. Na rozdíl od klientů bez George klíče, kteří si nyní pro přihlášení do digitálního bankovnictví musí pamatovat osmimístný kód a heslo a každé přihlášení i platbu musí potvrdit přepsáním číselného kódu z SMS, George klíč umožňuje přihlášení k účtu potvrdit pouze biometricky otiskem prstu nebo rozeznáním tváře a stejně tak platbu stačí jednoduše potvrdit biometricky.
ČSOB Banka zatím změny v ověřování nezavádí. V září ponechává současnou metodu ověřování internetových transakcí pomocí SMS jednorázového kódu. Zároveň pracuje na ověřování pomocí aplikace ČSOB Smart klíč, kterou však nasadí na začátku příštího roku.
Equa bank Při přihlášení do internetového bankovnictví budou klienti navíc kromě hesla zadávat autorizační SMS, pro aktivní operace, primárně platby a další nastavení, budou navíc kromě autorizační SMS zadávat heslo, které používali doteď pouze pro přihlášení.

Při placení kartou budou muset platbu potvrdit ověřením přes mobilní aplikaci nebo pomocí E-PIN a autorizační SMS. E-PIN je nový kód, který se bude zadávat při aktivaci platební karty. E-PIN musí obsahovat čtyři až osm čísel a může být vyžadován platební bránou pro potvrzení platby vždy ještě s autorizačním SMS kódem. E-PIN je záložní varianta pro ty, kdo ještě nepoužívají mobilní aplikaci nebo nebudou v době ověření on-line.
Fio banka V případě plateb zadaných v internetovém či mobilním bankovnictví k žádným změnám nedochází. Již nyní se totiž klienti do svých aplikací přihlašují unikátním přihlašovacím jménem a heslem, přičemž pro potvrzení jednotlivých transakcí využívají buď kódy zaslané v SMS zprávě, nebo PIN či biometrickou autorizaci.

Změna nastává v případě plateb u obchodníků na internetu. Zde budou muset klienti, kteří k autorizaci plateb využívají kódy zaslané v SMS zprávě, dodatečně u platby na internetu zadávat tzv. ePIN, který jim zobrazíme přímo v jejich aplikaci.
Hello bank! Zavádí pro klienty dvoufaktorové přihlášení do internetového bankovnictví či mobilní aplikace. Také potvrzování transakcí přes tyto platformy bude vyžadovat jeden krok navíc. Vždy bude potřeba použít heslo a autorizační SMS kód. 
Komerční banka KB Klíč splňuje nové požadavky, klient vlastní telefon s aplikací, přihlásí se do aplikace pomocí PIN, otisku prstu nebo skenu obličeje. KB Klíč je aktuálně využíván pro oblast internetového bankovnictví KB, a to jak pro přihlášení, tak i pro potvrzování plateb a dalších operací.

Klient, který nevyužívá KB Klíč nebo využívá jen tlačítkový telefon, bude nadále zadávat jednorázové heslo doručené v SMS a doplní jej bezpečnostním heslem pro internetové platby.
mBank Pro platby přes internetové bankovnictví se nic nemění. Ty budou autorizované standardně, tedy SMS kódem nebo mKlíčem, tedy mobilní autorizací. Klienti si mohou mKlíč aktivovat sami. Platby kartou na internetu banka zabezpečuje pomocí technologie 3D Secure 2.1, která vyhovuje parametrům silného ověření. 

Klienti, kteří nebudou využívat mobilní aplikaci či mobilní autorizaci, budou i nadále dostávat SMS s ověřovacím kódem, jejž bude nutné přepsat do internetového bankovnictví.
Moneta Money Bank Klienti budou v internetovém bankovnictví kromě zadání svého ID a hesla nyní povinně zadávat i kód ze SMS zprávy, tzv. mobilní klíč. Doposud mohli tuto ověřovací službu využít dobrovolně. V případech mobilního bankovnictví, kdy se naši klienti přihlašují prostřednictvím mobilního telefonu, bude touto kombinací otisk prstu společně s aplikací, nainstalovanou do konkrétního mobilního zařízení. 

U klientů, kteří "chytrý" telefon nevlastní, pracuje banka na způsobech, jak docílit toho, aby byl proces ověřování internetových plateb bezpečný, ale zároveň také jednoduchý. Konkrétní možnosti nyní banka řeší s ČNB.
Raiffeisenbank  Uživatel bude muset potvrzovat svou totožnost buď  kombinací hesla, PIN nebo odpovědi na zvolenou otázku, nebo něčeho, co má u sebe (typicky mobilní telefon nebo token) a biometrického údaje, tedy otisku prstu, snímku obličeje, oční duhovky, rozpoznání hlasu.

Na podzim banka zavede nový mobilní klíč, který bude splňovat požadavek na silnou autentizaci. Klient bude mít možnost si jako druhý faktor zvolit buď PIN, nebo biometrické ověření. 
Sberbank  Připravuje přechod stávajících karet na karty nové, které pro placení na internetu budou využívat i 3D Secure. V internetovém bankovnictví počítá s ověřováním, které bude využívat další ochranné prvky k ověření klientů.

Jedná se o SMS, M-token či biometrické prvky. Klienti bez chytrého telefonu budou využívat ePIN v kombinaci s jednorázovým kódem zaslaným přes SMS, nicméně ještě přesnou podobu ověření řeší. 
Trinity Provozuje sice internetové bankovnictví, platební karty ale zatím nenabízí.
UniCredit Bank V případě Smart klíče, který banka preferuje, je nově klientovi k dispozici možnost podepsání dvěma způsoby. Preferovaná varianta je "on-line", kdy klientovi zasílá banka push notifikaci, kterou potvrdí zadáním PIN ve Smart klíči a tlačítkem OK v Online Bankingu.

Klienti, kteří nemají chytrý telefon nebo nevyužívají mobilní aplikaci, mají k dispozici SMS klíč. V takovém případě nově zadávají statický bezpečnostní kód i pro vygenerování SMS klíče pro podpis. Při přihlašování k žádné změně nedošlo, klienti se dvoustupňovým zabezpečením (PIN a jednorázové heslo) již přihlašovali.

 

Právě se děje

Další zprávy