Směrnice PSD2

PSD2 (Payment Services Directive) je druhá směrnice Evropské unie o platebních službách, která významně ovlivnila způsob provádění online plateb a poskytování informací v platebním styku. Byla navržena Evropskou komisí a schválena Evropským parlamentem 8. října 2015. Směrnice byla přijata dne 25. listopadu 2015 jako Směrnice Evropského parlamentu a Rady (EU) 2015/2366.[1]

Zkratka PSD2 SCA (Payment Services Directive 2 Strong Customer Authentication) odkazuje na nařízení Komise (EU) 2018/389 doplňující Směrnici a požadující dvoufaktorovou autentizaci.[2]

Implementace

Související informace naleznete také v článku Otevřené bankovnictví.

Původní směrnice měla být implementována postupně od konce roku 2018 do 14. září 2019. Hlavní změnou, kterou přinesla, je dostupnost informací o zákazníkovi pro prodejce (což zvyšuje riziko zneužití dat)[3] a zvýšené nároky na kontrolu identity zákazníka při platbách online.[4][5]

PSD2 přinesla na bankovní trh dále požadavek na silné ověření klienta a multibanking.[6] Multibanking je možnost propojit si v rámci oblíbeného internetového bankovnictví také další účty, které nemusejí být nutně spravovány stejnou bankou. Banky mají totiž povinnost poskytovat rozhraní pro nepřímé založení platebního příkazu a rozhraní pro poskytnutí informací o účtu (nikoliv však o osobních údajích klienta). K tomu je nutno používat bezpečné otevřené standardy komunikace. O tuto možnost ale velký zájem není.[7]

Silné ověření uživatele

Silné ověření klienta/uživatele (anglicky Strong Customer Authentication, SCA) je v podstatě[pozn. 1] vícefázové neboli minimálně dvoufázové ověření. Opírá se o kombinaci minimálně dvou nezávislých prvků z kategorií:

  • něco znám, faktor znalostí, — heslo, PIN kód, gesto atp., údaj, který není dostupný nikomu jinému,
  • něco mám, faktor držení/vlastnictví, — zařízení fyzické či logické, tedy např. bankovní platební karta nebo software, který je jednoznačně spojený s konkrétní osobou,
  • něco jsem — jednoznačný biometrický údaj[pozn. 2], což klient potvrzuje např. otiskem prstu či prostřednictvím rozpoznání obličeje.

Údaje z těchto kategorií musí být pro klienta jedinečné, musí ho jednoznačně identifikovat.[zdroj⁠?] Přičemž informace „čím jste“ a „kde jste“ jsou osobní údaje. Osobní údaj ale nesmí být použit k identifikaci, ale jen k autentizaci.[8]

Silné ověření klienta podle článku 97 PSD2[1] bylo do české legislativy transponováno v podobě § 223 zákona 370/2017 Sb., o platebním styku[9] a je v ČR vyžadováno od 1. 1. 2021[10]

  • při on-line přístupu k platebnímu účtu,
  • při iniciaci elektronické platební transakce nebo
  • při jakémkoli úkonu prostřednictvím prostředků komunikace na dálku, který by mohl vést k riziku platebního podvodu nebo jiných zneužití.

Silné ověření nemusí banka uplatňovat vždy a existují modelové příklady, při kterých nemusí uživatel uplatnit dva faktory ověření. Banka však musí udělat analýzu transakčních rizik spojených s chováním uživatele.[6][11]

V některých případech naopak vedle údajů z karty a SMS kódu bude nutno zadat ještě takzvaný ePIN, který se vygeneruje v internetovém bankovnictví.[12] SMS kód už nebude stačit, protože banka nemůže ručit za to, že mobilní telefon v držení uživatele je zamčený například PINem (znalost) nebo otiskem prstu (biometrie). E-PIN může být například trojmístné číslo, být neměnný a platit po celou dobu platnosti karty.

Silné a slabé ověření se však neshoduje s tím, jak tyto pojmy chápou neopozitivisté, např. A. Ayer.

Historie

13. 1. 2016
vstoupila v platnost Směrnice EP o platebních službách na vnitřním trhu (PSD2)[6]
27. 11. 2017
Nařízení Komise (EU) 2018/389 týkající se silného ověření klienta (SCA) a společných bezpečných otevřených standardů komunikace (The Regulatory Technical Standard, dále RTS)
13. 1. 2018
nabyla účinnosti novela zákona č. 370/2017 Sb., o platebním styku, který implementuje PSD2 v ČR
14. 9. 2019
účinnost RTS v plném znění
30. 12. 2020
uplatnění silného ověření klienta u karetních transakcí v rámci e-commerce (online platby kartami)

Česko 2019

Do 14. září 2019 nebyla v Česku žádná banka, která by měla připravené karty a servery připravené pro platby v režimu SCA.[13] Do doby, než banky dokončí potřebné úpravy, zůstane pro platby kartou využívána 3D Secure 1.0 (ověření přes SMS).[13] Po 14. září banky musely začít nabízet zákazníkům mobilní aplikace pro ověřování při nákupu na internetu pomocí biometrie.[13] ČNB vydala sdělení, které zajistilo dodatečný čas na plnou implementaci nařízení v oblasti silného ověření uživatele.[14]

V kamenných obchodech bylo zavedeno počítání transakcí, kdy po pěti po sobě jdoucích neověřených platebních transakcích musí být následují platební transakce ověřená.[13] Protože mohly existovat platební terminály, které s povinným ověřením transakce pomocí PIN nepočítaly, mohl terminál bezkontaktní platbu zamítnout.[13] V takovém případě bylo nutné vložit kartu do terminálu,[13] načež terminál měl požádat o PIN a platba měla proběhnout tak, jak proběhnout měla.[13]

Společnost Mastercard nabízela bankám její řešení, takže banky mohly doplnit biometrické ověřování plateb do svých aplikací bez vlastního vývoje.[13]

Pro uživatele bez chytrého telefonu s bankovní aplikací na počátku implementace existovalo pouze řešení, kdy kromě přepsání kódu z SMS bylo navíc vyžadováno zadání hesla nebo ePINu.[13] Takové řešení, ale snižuje uživatelskou jednoduchost. Celý trh tedy doufá ve stanovení tzv. přechodného období, během kterého se toto povede zákazníkům srozumitelně vysvětlit a naučit je to nebo že se najde přívětivější řešení.[13]

Odkazy

Poznámky

  1. PSD2 rozumí: „silným ověřením klienta“ ověření založené na použití dvou nebo více navzájem nezávislých prvků z kategorie znalost (to, co ví pouze uživatel), držení (to, co drží pouze uživatel) a inherence (to, čím uživatel je), kdy nesplněním jednoho z nich není ovlivněna spolehlivost ostatních; postup je navržen tak, aby byla chráněna důvěrnost ověřovacích údajů;
  2. biometrické údaje spadají do tzv. zvláštních kategorií osobních údajů se specifickým režimem zpracování podle čl. 9 Nařízení Evropského parlamentu a Rady (EU) 2016/679 - GDPR

Reference

  1. a b Směrnice Evropského parlamentu a Rady (EU) 2015/2366
  2. Nařízení Komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace
  3. https://www.ft.com/content/4911d260-aaac-11e7-ab55-27219df83c97 - Why would we want to increase the cyber risk to our bank data?
  4. PSD2 Explained: What is it and why does it matter?. TransferWise. 2016-12-12. Dostupné online [cit. 2018-02-09]. (anglicky) 
  5. European Commission - PRESS RELEASES - Press release - European Parliament adopts European Commission proposal to create safer and more innovative European payments. europa.eu [online]. [cit. 2018-02-09]. Dostupné online. (anglicky) 
  6. a b c V. Mladěnka: PSD2 a (r)evoluce bankovnictví , 7. 10. 2020
  7. První banka zruší multibanking. Není o něj zájem. www.penize.cz [online]. [cit. 2023-08-23]. Dostupné online. 
  8. Docházkový systém s použitím biometriky - otisky prstů zaměstnanců. Co na to GDPR? [online]. [cit. 2023-07-03]. Dostupné online. 
  9. Zákon č. 370/2017 Sb. o platebním styku
  10. ČNB: Silné ověření uživatele u plateb kartou na internetu od 1. 1. 2021
  11. Komentář České bankovní asociace k implementaci směrnice PSD2
  12. Platby kartou přes internet mají od ledna nová pravidla, 21. 12. 2020
  13. a b c d e f g h i j WOLF, Karel. Silné ověřování zákazníka: skutečná komplikace při placení, nebo zbytečný strašák?. Lupa.cz [online]. Internet Info, s.r.o., 2019-09-11 [cit. 2019-11-05]. Dostupné online. ISSN 1213-0702. 
  14. Sdělení České národní banky v souvislosti s účinností nařízení Komise v přenesené pravomoci (EU) 2018/389

Externí odkazy