Payment Services Directive 2 (PSD2) a Silné ověřování klientů (SOK) – FAQ

PSD2 vstoupilo v platnost 13. ledna 2018 Je výsledkem rozšíření regulačních požadavků Evropské komise, které řídí platby v Evropě a byla přijata do legislativy jednotlivými členskými státy EU.

Ustanovení PSD2 vstupují v platnost až 14. září 2019.

Jeden z hlavních cílů je vyšší zabezpečení online plateb pro zákazníky. Klíčovou součástí, která je k dosažení tohoto cíle nutná, je Silné ověřování klientů. To musí být provedeno před tím, než je provedena jakákoli online platba skrze banku (např. platební karty nebo online převody).

Většina bank již v minulých měsících kontaktovala své zákazníky a informovala je o probíhajících změnách a změnách v obchodních podmínkách.

V budoucnu musí banky před zahájením platby ověřit dvě ze tří kritérií, vztahující se ke klientovi:

• něco co vlastníš (např. kreditní karta, chytrý telefon)
• něco co znáš (např. PIN)
• něco co jsi (např. otisk prstu, rysy tváře)

To znamená, že ke splnění podmínek Silného ověřování klientů, musí zákazník poskytnout např. svůj otisk prstu prostřednictvím chytrého telefonu za cílem ověření platby.

Takové biometrické ověřovací možnosti usnadňují zákazníkovu identifikaci, protože jim stačí to, co mají vždy u sebe – chytrý telefon a otisk prstu.

Statická hesla již nestačí.

Banky musí po obchodnících žádat, aby pro platby platebními kartami vyžadovali Silné ověřování klientů. Obchodníci proto musí na své webové stránce zobrazit stránku banky, kde může klient ověřit svou identitu. To zajistí, že k bankovnímu účtu nezíská přístup nepověřená osoba a nebude zákazníkovým jménem provádět platby.

Převody prováděné třetími stranami, jako je SOFORT v Německu nebo iDeal v Nizozemsku, rovněž vyžadují Silné ověřování klientů.

Ne. PSD2 umožňuje určité výjimky z používání Silného ověřování klientů.
Silné ověřování klientů nemusí být vyžadováno v případech, kdy:

• zákazníkova banka považuje nízké riziko toho, že platba pochází z neautorizované třetí strany namísto zákazníka.
• platba je v hodnotě maximálně 30 EUR. Poznámka: Banky musí požadovat Silné ověřování klientů, pokud bylo od poslední autorizace provedeno pět plateb, nebo pokud celková zaplacená částka od poslední autorizace převyšuje 100 EUR.
• zákazník platí obchodníkovi, kterého u své banky zařadil na seznam povolených obchodníků jakožto důvěryhodného. Zákazník to obvykle může provést během ověřovacího procesu.

Důležité
Navzdory těmto výjimkám může zákazníkova banka vyžadovat Silné ověřování klientů kdykoli. Neexistuje garance toho, že Silné ověřování klientů nebude vyžadováno.

Silné ověřování klientů není nikdy vyžadováno, když:

• zákazník poskytl obchodníkovi pověření k zahajování plateb. To se děje ve chvíli, kdy se zákazníky registruje ke službám obchodníka. Zákazník poskytne nezbytné údaje k provedení plateb a poskytne Silné ověřování klienta.
• proběhne platba za předplatné. V takových případech musí zákazník poskytnout Silné ověřování klienta pouze jednou při registraci k předplatnému.

Rozhodnutí o nabízené metodě Silného ověřování klientů je vždy na straně banky. Obchodník v tom nemá slovo.

Obchodník rovněž vůbec neví, jakou metodu Silného ověřování klientů si zákazník zvolí a poskytne.

To je zajištěno tím, že stránky se Silným ověřování klientů budou poskytnuty bankami nebo poskytovateli plateb (např. iDeal) skrze webový iframe prvek.

Obchodník nijak nemůže ovlivnit nebo přistoupit k obsahu, který je na jeho webové stránce zobrazen v iframu.

Podobně v situacích, kdy při určitých platebních metodách přesměruje obchodník zákazníka na webovou stránku poskytovatele (např. SOFORT), tak také neví, jakou metodu ověření si zákazník zvolil.

3D Secure je obecně proces, který poskytuje zabezpečení k online platbám kartami. Cílí na snížení rizika zpronevěry tím, že zákazníci ověří svou totožnost kódem či heslem.

3D Secure 2.0 reviduje tento proces, aby ho sjednotil s požadavky PSD2, zejména Silného ověřování klientů.

V budoucnu budou platby kartami rovněž vyžadovat Silné ověřování klientů skrze 3D Secure 2.0.

Silné ověřování klientů bude zajištěno pomocí 3D Secure 2.0, a to například používáním aplikace od zákazníkovy banky. Stránka banky zobrazená na stránce obchodníka bude po zákazníkovi vyžadovat otevřít aplikaci na svém chytrém telefonu. V závislosti na konkrétní metodě pak aplikace bude vyžadovat ověření otiskem prstu na chytrém telefonu.

Banky mohou zákazníkům nabízet k výběru odlišné metody.

Další možné metody zahrnují: jednorázové heslo zobrazené v aplikaci, ověření obličeje pomocí bankovní aplikace.

Online převody skrze platební služby, jako jsou SOFORT, iDeal, Multibanco nebo Przelewy24, budou v budoucnu rovněž muset využívat Silné ověřování klientů.

Mnoho bank nebude schopno podporovat od 14. září 2019 Silné ověřování klientů.

Z toho důvodu doporučil Evropský orgán pro bankovnictví – European Banking Authority (EBA) 21. června 2019 členským státům a jejich finančním autoritám zodpovědným za implementaci PSD2 prodloužit takovým společnostem termín implementace.

Z toho důvodu bude termín v některých státech respektován a v jiných obdrží banky jeho prodloužení.
Nicméně i ve státech, které poskytnou prodloužení implementace, mohou některé banky začít Silné ověřování klientů používat od 14. září 2019.

Pokud chceš získat informace o tom, kdy bude tvá banka vyžadovat Silné ověřování klientů, kontaktuj prosím svou banku.