PSD2 a SCA. Co tajemné zkratky, o kterých se v posledních dnech horlivě diskutuje, znamenají? Ve zkratce jde o evropské nařízení, jehož úkolem je zvýšit ochranu spotřebitelů při platebních stycích. Přinese s sebou implementace směrnice velké změny, nebo se toho až tak moc nestane? Záleží na tom, jestli jste v pozici zákazníka, nebo obchodníka. Ale zdá se, že zásadní zemětřesení se prozatím nechystá.
PSD2 (Payment Service Directive 2) je druhá evropská směrnice o platebních službách. Jejím cílem je jednak poskytnout spotřebitelům vyšší ochranu a důkladnější prověření totožnosti při platebních stycích, ale také posílit konkurenční prostředí a zjednodušit zavádění inovací v oblasti finančních služeb. Součástí nařízení PSD2 je právě i princip SCA (Strong Customer Authentication) neboli silné ověření zákazníka při finančních transakcích. To má spotřebitele chránit před zneužitím jeho platební karty nebo údajů z ní.
Směrnice měla vstoupit v platnost 14. září 2019, ale jak se v posledních týdnech ukázalo, situace nebude tak horká – české banky nejsou na kompletní implementaci nařízení, které má důsledněji prověřovat, zda platební transakci skutečně provádí oprávněná osoba, připravené. Proto byla stanovena náhradní lhůta, během které musí bankovní domy i e-shopy zajistit, aby mohly fungovat v souladu s novými pravidly.
Dvoufaktorové ověření pro větší bezpečnosti
Cílem silného ověření klienta je minimalizovat riziko podvodů v důsledku uniklého nebo odcizeného hesla. Důkladnější autentizace se bude týkat platby kartou online i využití platebního tlačítka na stránkách e-shopů. Platební transakce budou nově vyžadovat dvoufaktorové ověření totožnosti. Při něm dochází ke kombinaci alespoň dvou ze tří faktorů, které definují majitele platební karty nebo účtu. Jedná se o:
- údaj, který uživatel zná (např. PIN kód, heslo nebo CVV/CVC kód ze zadní strany platební karty),
- věc, kterou uživatel vlastní (např. telefon nebo chytré hodinky),
- něco, čím je uživatel jedinečný (biometrické údaje, jako jsou např. otisky prstů nebo sken duhovky či obličeje).
Dvojí ověření totožnosti není pro řadu lidí žádná novinka, mnoho z nich už nyní využívá jednorázové kódy zaslané prostřednictvím SMS například při přihlašování do internetového bankovnictví nebo autorizaci odchozí platby. Přihlašovat se do citlivých aplikací pouze prostřednictvím hesla je v době, kdy se na internetu pohybuje řada lidí, pro které není problém ho rozlousknout, zbytečně riskantní.
„Jen přístupová hesla k ověření transakcí na internetu nestačí. Pomůcky pro zapamatování často zahrnují jejich zapisování a zákazníci mnohdy využívají univerzální hesla pro všechny účty nebo snadno uhodnutelné formulace. To je činí lehce napadnutelnými. Podle bezpečnostní agentury SplashData jsou dvě nejčastěji používaná hesla číselná řada „123456” a slovo ‚password’ (heslo),“ píše se v tiskové zprávě společnosti VISA.
Jak se změny dotknou spotřebitelů?
Pokud jde o nákupy v kamenných obchodech, Česká národní banka upozorňuje například na riziko komplikací při bezkontaktních platbách, a to i přesto, že SCA podléhají pouze platby přesahující hranici 30 € (přibližně 776 Kč).
„Platební terminály v některých obchodech pravděpodobně nebudou na nová pravidla připraveny. Mohou tak zamítat některé bezkontaktní platby fyzickými platebními kartami do výše 500 Kč, u nichž se nemusí zadávat PIN kód, a to bez informace o důvodu zamítnutí,“ uvádí centrální banka na svém webu.
Češi se s bezkontaktním placením velmi rychle sžili, a tak je pravděpodobné, že jeho výpadek na některých terminálech bude v obchodech působit zmatky. Ale nebojte se, situace má jednoduché řešení – zamítnutí platby lze obejít vložením platební karty do terminálu a zadáním PIN kódu tak, jak jste byli zvyklí před zavedením bezkontaktních plateb. Díky tomu transakce proběhne v souladu s nařízením. Potížím se vyhnete také v případě, že máte platební kartu nahranou v chytrém telefonu, v takové případě bezkontaktní platba do 500 Kč proběhne korektně.
- maximálně pěti po sobě následujících plateb, které proběhly po posledním silném ověření a jejich celková hodnota nepřesáhla 100 €,
- plateb, které ve stejné výši opakovaně putují stejnému příjemci,
- plateb, které ta samá oprávněná osoba provádí v rámci jednoho finančního ústavu,
- transakcí mezi účty téže osoby,
- platby důvěryhodnému příjemci (klient musí příjemce předem označit jako „důvěryhodného“),
- platby prováděné prostřednictvím anonymních platebních nástrojů (např. předplacená anonymní karta),
- transakce, které iniciuje příjemce (e-shop), nikoliv plátce (klient).
E-shopy se budou muset přizpůsobit
Důkladnější ověřování totožnosti zákazníků při platbách budou samozřejmě muset zavést i e-shopy. V případě platebního tlačítka za ně vše vyřeší příslušná banka, ale pokud jde o další platební metody, zůstane povinnost zajistit bezpečnost na obchodnících. A některým z nich může změna způsobu platby způsobit nemalé potíže: „Velké e-shopy se z podstaty věci dokáží na podobnou událost finančně i technologicky připravit, ale pro ty malé, které žijí z měsíce na měsíc, to je existenční riziko. Samozřejmě, že část klientů, kteří košík opustí, se k nim později opět vrátí, u nezanedbatelného množství ovšem může změna v platební metodě znamenat ztrátu důvěry a přechod ke konkurenci,“ myslí si Adam Kolesa, bývalý CEO mallpay (dnešní Skip Pay).
Cestou, jak zajistit, aby e-shopy nepřišly o zákazníky, může být oddělení platby od nákupního procesu. Třeba prostřednictvím odložené platby, kdy na sebe záležitosti spojené se zaplacením zboží místo prodávajícího přebírá třetí strana – poskytovatel služby. Zákazník tak nemusí za zboží platit metodou, která mu nevyhovuje, a navíc může nákup uhradit během následujících 30 dnů, a to způsobem, který si sám zvolí.
Související články:
Powered by Contextual Related Posts
Loading...