Strong Customer Authentication, technická regulační norma revidované směrnice o platebních službách PSD2 (tedy směrnice Evropského parlamentu a Rady EU 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu) budí čím dál větší zvědavost i rozpaky a s tím, jak se rychle a nezadržitelně blíží datum, kdy definitivně vstoupí v platnost, stoupá neklid a napětí na mnoha stranách.
Jsou ale podobné pocity namístě? Zeptali jsme se zástupců platební brány, karetní společnosti, bank i národního regulátora. Jaký je většinový pohled na věc?
Jakým způsobem ovlivní implementace SCA (strong customer authentication) internetové nakupování po 14. září?
„Změna bude probíhat velmi pozvolna, revoluce se určitě konat nebude. Pokud víme, v ČR zatím není jediná vydavatelská banka, která má připravené karty a servery pro to, aby mohla odbavovat platby kartou, což je dominantní online platební metoda, v režimu SCA. První dopady se začnou projevovat, až jednotlivé banky dokončí nezbytné technické úpravy, které skutečně umožní autorizovat karetní transakce pomocí 3DS 2.0, což je technologie, se kterou trh naplnění SCA u plateb kartami spojuje. Čekáme, že k tomu začne docházet v následujících 18 měsících. Do té doby bude u plateb kartou stále využívána současná verze 3DS 1.0, tedy klasické ověření přes SMS. Na druhé straně, už před časem banky zavedly silnější ověření u plateb přes svá online bankovní tlačítka. Už delší dobu je u nich nutné platbu dodatečně potvrdit dalším faktorem, jak předepisuje SCA, a alespoň z našich čísel a i z reakcí od obchodníků zatím nevyplývá, že by s tím měli koncoví zákazníci problém, nebo dokonce potíže,“ vysvětluje Jan Vodička, Chief marketing officer platební brány GoPay.
A jak to vidí samotné banky? Podobný názor jako Vodička sdílí i v ČSOB, placení by se podle banky mohlo dokonce stát v některých případech pohodlnější než doposud: „Neočekáváme ihned po 14. září významné změny. Změny budou postupné, tak jak jednotliví vydavatelé zavedou pro své držitele karet nové způsoby ověřování. Z dlouhodobého hlediska se samozřejmě zvýší bezpečnost, ale v některých případech i komfort placení za využití definovaných výjimek v RTS SCA,“ myslí si tiskový mluvčí ČSOB Patrik Madle.
„Z hlediska klientů České spořitelny nedojde při nákupech kartou na internetu k zásadním změnám. Dlouhodobě motivujeme klienty, aby při nákupech na internetu preferovali internetové obchodníky, u nichž jsou platby potvrzovány autorizačními kódy v SMS zprávách, nicméně i po 14. září nebudeme našim klientům bránit v nákupech na e-shopech, které systém 3D Secure nepoužívají,“ říká mluvčí České spořitelny Filip Hrubý.
Platební (a další zahrnuté) instituce se ale nevyhnou konkrétním krokům, popisuje ředitel rozvoje produktů a inovací Mastercard pro Českou republiku, Slovensko a Rakousko Luděk Slouka: „Banky budou muset po uvedeném datu postupně začít nabízet zákazníkům mobilní aplikace pro jednoduché ověřování při nákupu na internetu pomocí biometrie. Rovněž se začnou učit využívat možnosti uplatňování výjimek. Což pro uživatele znamená, že někdy bude ověřován a někdy ne,“ říká.
„Ve světě kamenných obchodů se navíc zavádí počítadla na sčítání po sobě jdoucích transakci bez ověření, kterých může být maximálně pět. Poté je potřeba uživatele ověřit. Na počátku se může stát, že zákazník může narazit na terminál, který jeho platbu bez PIN zamítne, a proto společně s bankami informujeme spotřebitele, aby v takovém případě kartu vložili do terminálu, který si pak požádá o zadání PIN, a vše proběhne, jak má. Toto je jen dočasné a očekáváme, že se bude týkat jen malého počtu terminálů,“ dodává.
Co SCA mění z pohledu koncového zákazníka a provozovatelů internetových obchodů?
„Samotných provozovatelů e-shopů se SCA netýká. Příprava na ni je primárně úkolem vydavatelských bank, případně payment facilitátorů. Koncoví zákazníci se v budoucnu setkají s novými platebními scénáři. To z počátku nemusí být pro řadu lidí příjemné a jistě to s sebou ponese technické i komunikační porodní bolesti. Banky budou muset investovat nejen do implementace, ale i do komunikace a právě i na komunikaci se budou muset zaměřit i e-shopy. Nicméně z dlouhodobého pohledu věříme, že SCA naplní svůj účel, tedy že koncovým zákazníkům přinese bezpečnější a pohodlnější placení v online prostředí,“ myslí si Vodička.
„Může se změnit způsob ověření, místo SMS zákazník ověří transakci v mobilní aplikaci, v některých případech ale naopak nebude muset ověření provést vůbec, protože vydavatelé karet využijí nové informace o realizované transakci a za použití moderních nástrojů ji vyhodnotí s potenciálně nízkým rizikem, a držitel tak zaplatí pouze zadáním čísla karty, expirace a CVC kódů. I tuto možnost, jako jednu z výjimek, umožňuje RTS SCA,“ říká Madle.
Je SMS z pohledu PSD2 dostatečným druhým faktorem pro ověřování plateb?
Názory na to, zda je SMS dostačujícím druhým faktorem podle PSD2, se ale rozcházejí.
„Autorizační kód v SMS zprávě je legitimním bezpečnostním faktorem, jakkoli našim klientům doporučujeme potvrzovat přihlášení do digitálního bankovnictví, stejně jako platby v něm, skrze mobilní aplikaci George klíč, která představuje ve srovnání s SMS efektivnější ochranu proti malware a phishing útokům,“ říká Hrubý.
„Z pohledu PSD2, resp. RTS SCA je SMS jedním faktorem. Současný model placení na internetu za použití čísla karty, expirace a CVC/CVV kódu a zaslaného SMS kódu musí být buď doplněn o další faktor, nebo nahrazen jiným způsobem, např. zmiňovanou mobilní aplikací,“ oponuje Madle.
„Je to věcí výkladu příslušné instituce,“ pokouší se smířlivější pohled pro změnu Vodička. Názor Mastercard je takový, že kód zaslaný SMS rozhodně není dostatečným druhým faktorem.
Jasno by do věci mohl vnést regulátor, ten tvrdí toto: „Obecně platí, že jednorázový SMS kód může být jedním z faktorů ověřování, přičemž jde o prvek z kategorie držení (držen je mobilní telefon, na který je SMS zaslána). Pro splnění požadavků na silné ověření je tedy k držbě mobilního telefonu nutné přiřadit ještě minimálně jeden další prvek z jiné kategorie (tj. znalost či inherence), přičemž ale karetní údaje nelze považovat za znalost, když nejsou známy pouze držiteli karty,“ komentuje spor pro server Lupa.cz mluvčí České národní banky Petra Vodstrčilová.
Zakopaný pes tedy, zdá se, leží v použitém prvním faktoru, pokud spadá do kategorie držení – bude nejspíše potřeba přidat další. Ty mohou vypadat třeba následovně: „Kategorii držení splňuje vedle výše zmíněného zaslání ověřovací SMS třeba platební karta s dynamickým CVV, z kategorie inherence jsou typické otisk prstu nebo sken obličeje a kategorii znalost odpovídá statické heslo, ale třeba i odemykací gesto (pro dotykové zařízení). Více příkladů lze nalézt ve stanovisku EBA k faktorům silného ověření z června tohoto roku,“ vyjmenovává Vodstrčilová. „Pro úplnost upozorňujeme, že nařízení k SCA stanoví další obecné povinnosti pro SCA – požadavky na ověřovací kód a dynamické propojení u některých transakcí (čl. 4 a 5), na jednotlivé kategorie (čl. 6–8) a jejich nezávislost (čl. 9) a jejich důvěrnost a integritu (kapitola IV.). Konkrétní implementace SCA pak musí splňovat všechny relevantní požadavky nařízení,“ dodává.
Jak se k implementaci SCA postavily jednotlivé finanční instituce?
„V několika rovinách. Jednak řešíme silné ověření pro přihlášení ke GoPay osobním účtům (elektronické peněženky pro platby přes GoPay účet na internetu) a pro nastavení důležitých údajů na nich (hesla, e-maily a telefonní čísla, které jsou s osobními účty propojené). Od poloviny září budou všechny tyto procesy a nastavení u nás probíhat v souladu s požadavky SCA. A dále řešíme SCA v transakční rovině, kdy i zde budeme připraveni na to, aby platby přes GoPay osobní účet probíhaly v režimu silného ověření. Zároveň jsme na naší straně provedli potřebné úpravy, abychom v režimu SCA mohli procesovat i platby kartou přes naši platební bránu,“ vysvětluje Vodička.
„Mastercard je již několik let hnací silou v prosazování technologií biometrického ověřování plateb, kde se zaměřuje na zdokonalování spotřebitelského prožitku současně se zabezpečením plateb realizovaných online i offline. Pro usnadnění adopce této technologie jako nového standardu nabízí společnost Mastercard bankám možnost integrace vlastního řešení nazvaného Mastercard Identity Check Mobile. Jde o cestu, jak mohou banky snadno tuto funkcionalitu doplnit do svých aplikací i bez vlastního vývoje,“ říká Slouka.
„V průběhu roku 2020 umožníme našim klientům potvrzovat nákupy kartou na internetu biometricky v mobilní aplikaci George klíč, která nabízí nejvyšší stupeň zabezpečení digitálních plateb na trhu a zároveň maximální uživatelský komfort. George klíč už používá 206 tisíc klientů Spořitelny, tedy každý třetí z uživatelů našeho mobilního bankovnictví,“ říká za Českou spořitelnu Hrubý a dodává: „Naší ambicí je, aby v průběhu 1–2 let používalo 80 % z našich digitálních klientů pro přihlašování do digitálního bankovnictví a pro potvrzování všech digitálních plateb mobilní aplikaci George klíč.“
„Z pohledu platebních karet pracujeme na změně ověřování internetových transakcí z SMS hesla na ověřování v mobilní aplikaci,“ komentuje za ČSOB Madle.
Jak bude vypadat praktická implementace 3D Secure 2.0?
„Během září budou naše systémy připravené na to, aby platby kartou přes platební bránu GoPay mohly probíhat v režimu silného ověření. Jakmile dojde i k potřebným úpravám na straně jednotlivých vydavatelských bank, začne k platbám kartou v režimu SCA skutečně docházet. Aby mohlo k platbám kartou v režimu SCA skutečně dojít, je nutné, aby došlo k server komunikaci nejen ze strany payment facilitátora (jako je GoPay), ale i ze strany tzv. ACS (access control server) vydavatelské banky. Velmi zjednodušeně řečeno, naším úkolem je u dané platby kartou rozpoznat, zda je karta enrollovaná u issuera pro 3DS 2.0. Pokud není, potom využíváme starší implementace 3DS 1.0. Pokud ano, zajišťujeme technické napojení na ACS vydavatelské banky a banka následně provede ověření platby vybraným scénářem (PIN, kód, SMS, biometrie atd.) a o výsledku nás informuje,“ říká Vodička.
„Výhoda je, že zákazník nemusí být vždy ověřován, a to díky na pozadí běžící transakční analýze. Řešení mu současně umožní u obchodníků podporujících ve svých mobilních aplikacích 3DS jednoduché ověření, kdy bude probíhat bez přesměrování z aplikace do prohlížeče, ale zůstane v aplikaci obchodníka (tzv. inapp platby),“ dodává Slouka za Mastercard.
Jakým způsobem se bude SCA řešit u zákazníků bez chytrých mobilních telefonů?
„Pokud víme, ve hře jsou možnosti jako vytvoření speciálního PINu pro online platby nebo rozesílání unikátních ověřovacích kódů na ověřený e-mail platícího zákazníka,“ myslí Vodička.
„Není vyloučeno, že v průběhu roku 2020 nabídneme našim klientům, kteří nebudou používat aplikaci George klíč, možnost potvrzovat digitální platby vedle autorizačních kódů v SMS také dalším unikátním PINem,“ říká za Českou Spořitelnu Hrubý.
„U těchto zákazníků chceme ještě po nějakou dobu ponechat současnou metodu ověření pomocí SMS hesla a o finální metodě ověřování ještě rozhodnout na základě budoucího vývoje na trhu,“ prohlašuje Madle.
„Stále se čeká na stanovení tzv. přechodného období, které může pomoci přijít s novými metodami ověření pro spotřebitele bez smartphonu s bankovní aplikací. Dnes pro tyto uživatele existuje technické řešení, které vedle přepsání kódu z SMS bude vyžadovat ještě zadání hesla nebo ePINu jako druhého faktoru, což sice zvyšuje bezpečnost, ale snižuje uživatelskou jednoduchost. Celý trh tedy doufá, že s dodatečným obdobím se jednak toto podaří zákazníkům srozumitelně vysvětlit a naučit, nebo případně přinést přívětivější řešení,“ uzavírá téma Slouka z Mastercard.
Jak bude vymahatelnost SCA vypadat v praxi? Omezí instituce, nebo možnosti placení na internetu? Poněkud uspěchaná implementace nahrává odkladům
„Postoj ČNB je takový, že případná nepřipravenost poskytovatelů by neměla omezit možnost jejich klientů platit na internetu. Ani poskytovatelé, kteří jsou připraveni včas či dříve než ostatní, by neměli být tímto znevýhodněni. ČNB tedy v rámci svého výkonu dohledu, podobně jako orgány dohledu v řadě jiných členských států EU, poskytne dodatečnou lhůtu pro dosažení souladu s platnou právní úpravou, kterou pro platby kartami na internetu umožnilo stanovisko Evropského orgánu pro bankovnictví. Při poskytnutí dodatečné lhůty ČNB zohlední postup Evropského orgánu pro bankovnictví pro celou EU, ten lhůtu zatím nestanovil. V každém případě se však uplatní ustanovení § 182 odst. 3 písm. c) zákona o platebním styku (zák. č. 370/2017 Sb.,), podle kterého plátce, s výjimkou svého podvodného jednání, nenese odpovědnost za neautorizované platební transakce, pokud poskytovatel porušil povinnost požadovat silné ověření,“ vysvětluje Vodstrčilová postoj ČNB.
Bude ČNB instituce, kterých se SCA týká, ale které nařízení po 14. září nebudou mít implementováno, alespoň v některých případech pokutovat?
„Dodržování nových pravidel bude samozřejmě předmětem standardního výkonu dohledu České národní banky. Přitom je třeba zdůraznit, že případnou nepřipravenost poskytovatelů bude ČNB řešit, resp. již řeší, ve vztahu k jednotlivým konkrétním poskytovatelům platebních služeb. V této souvislosti je třeba uvést, že ČNB je při výkonu dohledu vázána právními předpisy závaznými pro danou oblast, přičemž pro oblast platebního styku je relevantní úprava zákona o platebním styku (zák. č. 370/2017 Sb.),“ říká Vodstrčilová.