Na silné, dvoufázové ověření plateb kartou na internetu měly banky přejít už v září loňského roku. Řada z nich ale vzhledem k náročným požadavkům na počítačový systém nebyla na změnu připravena. A to jak u nás, tak ani v ostatních evropských zemích. Proto evropské úřady vydaly odklad povinnosti až do konce letošního roku.
Banky tak měly rok a čtvrt na to, aby většinu svých klientů namotivovaly k využívání internetového bankovnictví a zároveň vymyslely, jakým způsobem budou od ledna 2021 ověřovat klienty, kteří chtějí dál platit "postaru".
- Jak to zvládla vaše banka a co po vás bude požadovat, si přečtěte v tabulce níže.
V současnosti při platbě na internetu většinou lidé zadávají číslo karty, dobu platnosti a tři číslice ze zadní strany u proužku s podpisem. Pak systém požádá o zadání jednorázového kódu, který přijde SMS zprávou na mobilní telefon.
Evropská směrnice PSD2 požaduje silnější ověření. Klade požadavek na použití dvou ze tří autentizačních faktorů. "Jedním z nich je něco, co uživatel ví, například heslo, PIN. Druhým je něco, co uživatel vlastní, tedy například mobilní telefon. A třetí faktor je něco, co uživatel je, tedy biometrický údaj. Potíž stávající praxe je v tom, že SMS se počítá do stejné kategorie jako samotný telefon, tedy něco, co uživatel vlastní. Je proto potřeba přidat k ověření ještě jeden faktor," vysvětluje technologický konzultant z PwC Martin Huňka.
Podle nových pravidel potvrdí klient po vyplnění údajů z karty platbu na mobilu přes bankovní klíč otiskem prstu, rozpoznáním obličeje nebo zadáním hesla. "Tedy v praxi tak, že místo potvrzovací SMS se v chytrém telefonu uživatele otevře notifikace, která vyzve zákazníka k otisku prstu nebo skenu obličeje. Tím se platba kartou potvrdí, podobně jako už dnes klienti bank potvrzují platby převodem," vysvětluje Huňka.
Složitější to právě budou mít klienti, kteří nemají chytrý telefon. "V tomto případě to asi bude méně uživatelsky přívětivé a klienti si budou muset zapamatovat speciální heslo či PIN, kterým budou vždy transakci ověřovat. Dojde tak k ověření dvěma faktory: něčím, co uživatel ví, a něčím, co uživatel vlastní," vysvětluje Huňka.
Například u České spořitelny, která má nejvíce klientů, bude nutné zadat v některých případech vedle údajů z karty a SMS kódu ještě takzvaný ePIN, který se vygeneruje v internetovém bankovnictví. Klienti, kteří ho nevyužívají, budou muset do bankomatu, kde si ePIN vyžádají.
Stejný způsob zvolila řada dalších bank. Některé ale uvádějí, že bez obsluhy internetového bankovnictví klienti v e-shopu od ledna už nezaplatí. Uvedla to například Hello bank a UniCredit Bank. Budou muset zvolit jiný způsob než platbu kartou, například platbu na účet.
Hlavní motivací evropské směrnice je zvýšení bezpečnosti. "Rostoucí počet podvodů i s léty osvědčenými metodami, k nimž patří například právě SMS, jen poukázal na dynamický vývoj na straně podvodníků a na skutečnost, že co bylo dříve považováno za etalon funkčního a bezpečného řešení, dnes už nemusí dostačovat," dodává odborník z PwC.
Airbank | Platby kartou na internetu potvrzují klienti prostřednictvím mobilní aplikace My Air, a dvojí ověření je tak splněno. Aplikaci je možné používat i jako bezpečnostní klíč pro potvrzování plateb. V současné době mají mobilní aplikaci čtyři pětiny klientů, kteří mají zároveň i platební kartu. I po prvním lednu klient Air Bank, který nemá dosud mobilní aplikaci, kartou na internetu zaplatí. Pro potvrzení platby postačí nadále SMS kód zaslaný na klientův telefon. "Nějaký čas tedy ještě potvrzování plateb přes SMS podporovat budeme, ať mají klienti čas změně plně porozumět a následně ji provést. Je ale pravděpodobné, že v určitý čas tento způsob ukončíme. Kdy přesně se tak stane, teď ještě nevíme. Klienty, kterých se to bude týkat, o tom ale včas budeme informovat," říká mluvčí banky Jana Pokorná. |
Česká spořitelna | V současnosti už více než polovina klientů digitálního bankovnictví George potvrzuje své platby pomocí mobilní aplikace George klíč. Klienti bez chytrého telefonu nebo klienti, kteří nebudou chtít používat aplikaci George klíč, budou moci i nadále potvrzovat platby zadáním číselného kódu z potvrzovací SMS. "Máme k dispozici unikátní behaviorální analýzu, která analyzuje jedinečné charakteristiky platebního chování klienta a průběžně tvoří unikátní platební profil klienta, který se využívá pro potvrzení identity při on-line platbách společně se zadaným SMS kódem. Pokud behaviorální detekce rozpozná klienta, dojde k naplnění jednoho ze dvou vyžadovaných faktorů a klient dál použije potvrzovací kód z SMS jako doposud," říká mluvčí banky Filip Hrubý. Pokud klient dosud kartou na internetu neplatil, a banka tedy nemá dostatek informací o jeho platebním chování, bude potvrzovat platby v e-shopech zadáním SMS kódu, ale zároveň bude muset vyplnit také tzv. ePIN. Jedná se o pětimístný kód, který si mohou klienti nechat vygenerovat buď v bankomatu České spořitelny, nebo v internetovém bankovnictví. |
Creditas | Aby placení zůstalo pohodlné, připravila banka ověření pomocí aplikace Creditas Autentizace pro iOS nebo Android. Platbu stačí potvrdit v aplikaci například otiskem prstu nebo rozpoznáním obličeje. Pro klienty, kteří nemají chytrý telefon (nebo ho nemohou či nechtějí používat), je zde varianta potvrzení pomocí kódu z SMS a kódu ePIN. Ten si vygenerují v internetovém bankovnictví nebo ho získají na pobočce. |
ČSOB | V rámci těchto nařízení spouští banka od ledna 2021 aplikaci ČSOB Smart klíč, jde o bezpečnostní aplikaci, která potvrzuje platební požadavky klienta, například při přihlášení do internetového bankovnictví. Nebude nutné přepisovat SMS kódy, vše vyřeší aplikace. Držitelé karet bez Smart klíče budou mít možnost ověření pomocí SMS v kombinaci s Risk-based autentizací. Nová technologie bude podle několika bezpečnostních kritérií vyhodnocovat každou transakci a podle její rizikovosti následně rozhodne o způsobu bezpečnostního ověření. |
Equa bank | Uživatelům mobilní aplikace nabízí banka možnost autorizace prostřednictvím push notifikace, kterou obdrží do své mobilní aplikace v mobilním telefonu. Jejím potvrzením pak dojde k autorizaci platby kartou. Další možností je potvrzení pomocí zadání autorizačního kódu zaslaného klientovi formou SMS v kombinaci se zadáním E-pin. E-pin si klient nastaví ve svém internetovém nebo mobilním bankovnictví. Podle vyjádření banky mají všichni klienti přístupové údaje do internetového bankovnictví. |
Fio banka | Klienti, kteří mají mobilní aplikaci a využívají ji k ověřování transakcí - nejprve přihlášení a následně autorizace platby PIN/biometrií -, nepocítí žádnou změnu. Klienti, kteří Smartbanking nevyužívají a zatím potvrzují platby pomocí SMS kódu, budou od přelomu roku využívat také tzv. e-PIN. Jedná se o unikátní trojmístné číslo, které klienti naleznou ve svém Internetbankingu nebo Smartbankingu na detailu své platební karty. Každá platební karta má vygenerovaný originální e-PIN, který je neměnný a platí po celou dobu její platnosti. Klienti, kteří nemají chytrý telefon, budou dále využívat SMS a k tomu nově e-PIN. Ten získají na pobočce, kde jim zřídí přístup do internetového bankovnictví. |
Hello bank! | Ověření plateb bude možné pouze přes mobilní aplikaci Hello Bank. Klienti by si tedy do nového roku měli zaktualizovat či stáhnout Hello mobilní aplikaci. Při platbě pak po zadání údajů karty do platební brány budou vyzváni k ověření v mobilní aplikaci. V aplikaci se jim zobrazí detaily transakce a mohou ji potvrdit buď pomocí PIN aplikace, nebo biometrie. Jinou variantu banka nenabízí. |
Komerční banka | Dvoufaktorovou, tzv. silnou, autentizaci při ověřování transakcí využívá téměř 90 % všech klientů, kteří platí platební kartou na internetu vybavenou metodou pro dvoufaktorové ověření. Aplikaci KB Klíč pak používá naprostá většina klientů. Klienti, kteří využívají internetové bankovnictví a ještě nemají KB klíč, si jej mohou aktivovat on-line. Alternativní metodou je zadání hesla a SMS. Heslo získají klienti na pobočce. |
mBank | Klienti využívající mobilní aplikaci budou mít nadále možnost ověření pomocí mobilní autorizace mKlíč. Pro klienty, kteří nemohou používat mobilní aplikaci a aktuálně používají SMS kódy, připravuje banka behaviorální biometrické řešení, které bude vyhovovat budoucím předpisům. Toto řešení navíc nebude vyžadovat od našich klientů žádné další kroky. "Nemusí si pamatovat žádná další hesla či kódy. Ověření bude probíhat na pozadí transakce bez nutnosti zásahů od klienta. Na pozadí transakce budou probíhat různé datové toky, na základě kterých systém sám vyhodnotí riziko transakce. Pokud je riziko nízké, transakce bude schválena. Pokud přesáhne určitou úroveň, klient potvrdí transakci pomocí SMS kódu," vysvětluje mluvčí banky Štěpán Dlouhý. |
Moneta Money Bank | Pro přístup do aplikace mobilního bankovnictví Smart Banka mohou klienti zvolit buď jeden z tzv. biometrických způsobů, nebo PIN, který si sami zvolí. Pro přístup do internetového bankovnictví používají klienti kombinaci identifikačního čísla, hesla a mobilního klíče. Od ledna bude banka vedle SMS jednorázově zasílaných kódů přiřazovat ještě unikátní šestimístné kódy, tzv. ePINy. Ty budou sloužit právě pro potřeby autorizace on-line plateb, ePIN naleznou v internetovém bankovnictví. Klienti bez internetového bankovnictví, mohou využít služeb call centra, jejich ePIN jim po individuálním ověření bude zaslán prostřednictvím SMS. |
Raiffeisenbank | V případech, kdy obchodník podporuje novější verzi zabezpečení 3D Secure, bude možné transakce ověřit aplikací RB klíč. Na trhu existuje nemalé množství obchodníků, kteří novou verzi 3D Secure služby nepodporují a u nich jiná možnost než potvrzení transakce jednorázovým kódem ze SMS zprávy není. Navíc potvrzení jednorázovým kódem ze SMS musí být i nadále zachováno pro nákupy u obchodníků, kteří nepodléhají regulaci, tedy obchodníci mimo EU. Pro klienty, kteří musí nebo chtějí zůstat u ověřování prostřednictvím SMS, připravuje banka možnost ověřování transakce kódem v kombinaci se statickým PIN a klienty bude o této novince informovat. |
Sberbank | Sberbank silnou autentizaci používá u transakcí pomocí platební karty na internetu, tak i on-line bankovnictví. Přihlašování do mobilní aplikace je možné pomocí otisku prstu nebo také rozpoznáním obličeje. Operace lze též autorizovat pomocí hesla nebo biometricky aplikací M-token, která umožňuje autorizaci všemi možnými biometrickými údaji. Pro platbu kartou na e-shopu dostali všichni klienti pomocí SMS na telefon heslo, které budou kombinovat se SMS kódem. |
Trinity | Provozuje sice internetové bankovnictví, platební karty nabídne až příští rok. |
UniCredit Bank | Banka chce všechny klienty do konce roku převést na bezplatné potvrzování plateb v e-shopech prostřednictvím mobilní Smart aplikace, která zahrnuje Smart Banking a Smart klíč. Oslovuje zbývající klienty, kteří možnost mobilní aplikace doposud nevyužívali tak, aby mohli od ledna potvrzovat své transakce při platbách v e-shopech. "Ale samozřejmě klient, který by se rozhodl, že Smart aplikaci prostě mít v žádném případě nechce, tak může i nadále nakupovat na e-shopu, jen si bude muset zvolit jiný způsob platby za transakci než platební kartou přes 3DS ověření," uvádí mluvčí banky Petr Plocek. |