Hlavní navigace

Klienti, klid. Banky jsou na změny v on-line platbách i ověřování připravené

Jana Langerová

Už od soboty 14. září nastanou změny týkající se on-line plateb. Jak jsou na ně připraveny tuzemské banky a co čeká jejich klienty?

Doba čtení: 7 minut

Sdílet

Změny souvisejí se zákonem o platebním styku č. 370/2017, do kterého byly zapracovány požadavky evropské směrnice o platebních službách – PSD2. 

On-line platby budou muset probíhat v režimu takzvaného silného ověření klienta (SCA – Strong Customer Authentication) To se projeví tak, že při zadání platby bude klient muset prokázat svou identitu prostřednictvím alespoň dvou ze tří kritérií, kterými jsou znalost, držení a inherence. Znalost je například PIN nebo heslo, držení se týká věcí (platební karta, mobilní telefon) a inherence se vztahuje k biometrickým údajům, jako je otisk prstu. Silné ověření klienta musí poskytovatelé platebních služeb provádět zejména při on-line přístupu k platebnímu účtu, při zadávání platebního příkazu k elektronické platební transakci, u platby kartou online a dalších podobných platebních metod, vyjmenovává na úvod Radka Černá, tisková mluvčí a PR Manager ze Sberbank.

Podrobněji jsme se tématu věnovali v článku Revoluce v placení kartou přes internet, ověření skrze SMS už brzy nebude stačit

Banky nechtějí klienty zatěžovat

Pro klienty Raiffeisenbank se po 14. září nic nezmění, protože stále budou moci využívat stávající způsob placení, a to včetně 3D Secure. Při nákupech v e-shopech budou moci využít buď standardní platební brány (ePlatby) a po zvolení této varianty budou přesměrováni na stránky banky, kde se autentizují stávajícími bezpečnostními prostředky splňujícími požadavky regulace. Raiffeisenbank však nově rozšíří možnosti autentizace o novou bezpečnostní metodu – takzvaný mobilní klíč. Bude se jednat o nativní aplikaci pro telefony s operačním systémem Android a iOS, díky které se budou moci klienti bezpečně a jednoduše přihlásit do internetového bankovnictví. Klient bude mít možnost si jako druhý faktor zvolit buď PIN, nebo biometrické ověření. Bude záležet na volbě klienta, jaký z prostředků splňující tzv. silnou autentizaci zvolí – nebudeme tedy klienty nutit do použití pouze vybrané metody ověření, dodává Petra Kopecká, External Communicaton Manager z Raiffeisenbank

Aplikaci Smart klíč má také Československá obchodní banka. Ta nyní pracuje na ověřování její pomocí a věří, že během příštího roku ověření ještě zjednoduší. Podle tiskového mluvčího Patrika Madleho byl výklad PSD2 nejasný a upřesněný velmi pozdě, a to především týkající se právě konkrétních pravidel pro ověřování karetních transakcí, a to nejen na internetu. V ČSOB tak nezavádí změny v ověřování, které by měly negativní dopad na uživatelský komfort, jako je například zavádění dalších hesel. V září ponechají současnou metodu ověřování internetových transakcí pomocí SMS jednorázového kódu, protože ji považují za stále bezpečný způsob dostupný všem uživatelům.

Ve Fio bance se snažili klienty touto regulací příliš nezatížit a přinést řešení, které zachovává vysokou úroveň bezpečnosti. Jejich klienti budou muset zadat dodatečný autorizační kód při přihlašování do internetového bankovnictví pouze v případě, že vyhodnotí, že se nehlásí ze svého obvyklého prohlížeče. Pokud je to ale třeba prohlížeč v práci nebo jinak známý, může ho klient označit jako důvěryhodný a již po něm v tomto prohlížeči nebudeme dodatečné potvrzení vyžadovat, vysvětluje tiskový mluvčí Jakub Heřmánek

U plateb zadaných v internetovém či mobilním bankovnictví se pro klienty nic nemění, protože se už nyní do aplikací přihlašují unikátním přihlašovacím jménem a heslem, přičemž pro potvrzení jednotlivých transakcí využívají buď kódy zaslané v SMS zprávě, PIN, nebo biometrii. Drobná změna pak nastává u plateb u obchodníků na internetu. U těch budou muset klienti dodatečně zadat ještě tzv. e-PIN, který jim zobrazíme přímo v aplikaci, doplňuje dále Jakub Heřmánek.

Se směrnicí PSD2 je spojen také multibanking. Přečtěte si o něm více: Je multibanking výhodou, nebo jen trendem? Zjistěte, kdo ho klientům nabízí

Postupovat při on-line platbách tak, jak jsou zvyklí, budou i klienti MONETA Money Bank. Jak v prostředí mobilního bankovnictví (Smart banky), tak v prostředí internetového bankovnictví už byly nastaveny parametry dvoufaktorového ověřování v podobě vstupního hesla a tzv. mobilního klíče zaslaného prostřednictvím SMS. V případě Smart Banky jsou těmito dvěma faktory samotná aplikace, která je nainstalována do konkrétního mobilního zařízení v kombinaci s jednou z možností, kterou si každý klient zvolí: buď otisk prstu, sken obličeje (tzv. Face ID) nebo zadání PIN, popisuje Zuzana Filipová, Head of Communication and CSR v MONETA Money Bank. Jedinou změnou pro klienty tedy je, že zatímco doposud mohli používat systém silnějšího ověřování dobrovolně, nyní jim bude tento systém nastaven automaticky.

V UniCredit Bank jsou na nová pravidla v souladu se směrnicí PSD2 připraveni už od konce července 2019. Při přihlašování u nich k žádné změně nedošlo, protože klienti se dvoustupňovým zabezpečením pomocí PINu a jednorázového hesla standardně přihlašovali. V této bance preferují použití Smart klíče, pomocí kterého je klientovi k dispozici možnost podepsání dvěma způsoby: online a pomocí SMS klíče. V prvním případě klientovi zasílají push notifikaci, kterou potvrdí zadáním PINu ve Smart klíči a tlačítkem OK v Online Bankingu. Klienti, kteří nemají chytrý telefon nebo nevyužívají jejich mobilní aplikaci, mají k dispozici SMS klíč. V takovém případě nově zadávají statický bezpečnostní kód i pro vygenerování SMS klíče pro podpis, upřesňuje Petr Plocek, Head of Identity & Communication z UniCredit Bank. V aplikaci UniCredit Bank je pak možné ověřovat platby přes biometrii.

Některé změny budou postupné

Česká spořitelna spustila pro své klienty aplikaci George klíč, která umožňuje silné ověření plateb v mobilním a internetovém bankovnictví. Ta nabízí klientům především jednodušší, rychlejší a bezpečnější způsob přihlašování do digitálního bankovnictví a potvrzování plateb. Pro přístup do digitálního bankovnictví i autorizaci veškerých plateb stačí zadat klientem nastavený šestimístný PIN nebo využít biometrické údaje, jako jsou otisk prstu či sken obličeje. Pro potvrzování plateb není potřeba složitě přepisovat SMS kódy a aplikace poskytuje ochranu před phishingovými útoky, kdy se útočníci pomocí falešných emailů nebo webů snaží od klientů vylákat například kód pro potvrzení platby z SMS zprávy, říká Filip Zeman, ředitel digitálních služeb v České spořitelně. V průběhu roku 2020 umožní spořitelna skrze George klíč také autorizaci online plateb při nákupech kartou na internetu, což nám potvrdil Lukáš Kropík z jejich tiskového centra.

Equa Bank mají změny rozděleny do dvou fází. Od 14. září budou klienti pro přihlášení do internetového bankovnictví muset kromě hesla vždy zadávat autorizační SMS. Pro aktivní operace, jako jsou platby nebo další nastavení, pak budou navíc kromě autorizační SMS zadávat heslo, které používali doposud pouze pro přihlášení. Mění se také limit pro neaktivitu, a to na 5 minut, po kterých dojde k automatickému odhlášení. Od 26. září 2019 klienti při placení kartou online, pokud je vyzve platební brána k ověření, budou muset platbu potvrdit ověřením přes mobilní aplikaci nebo pomocí ePINu a autorizační SMS. 

Tzv. ePIN je přitom nový kód, který se bude zadávat při aktivaci platební karty a představuje záložní variantu pro ty, kdo ještě nepoužívají mobilní aplikaci nebo nebudou v době ověření online. Pro aktivní karty půjde nastavit jak v internetovém, tak v mobilním bankovnictví – v nastavení karty. Takový ePIN musí obsahovat 4–8 čísel a může být vyžadován platební bránou pro potvrzení platby vždy ještě s autorizačním SMS kódem, vysvětluje jejich tisková mluvčí Markéta Dvořáčková.

O budoucnosti on-line plateb jsme psali v článku Budeme v budoucnu spravovat bankovnictví přímo v e-shopech? Je to možné

WT100 tip právo červená

Také v Air Bank se na větší změny spojené s potvrzováním plateb kartou na internetu teprve chystají a plánují je spustit letos na podzim. Jejich klienti využívající mobilní aplikaci My Air budou moct platby kartou na internetu potvrzovat jednoduše otiskem prstu, skenem obličeje nebo heslem ve své mobilní aplikaci. Bude se přitom jednat o stejnou mobilní aplikaci My Air, na kterou jsou zvyklí. Navíc pokud klient v aplikaci z nějakého důvodu nechce bankovat naplno, můžete ji používat i jen v omezeném režimu. Z aplikace tak nepůjdou odesílat žádné peníze, ale klient ji může využívat právě k potvrzování plateb a přihlašování do internetového bankovnictví, doplňuje Jana Karasová, tisková mluvčí Air Bank. Klienti bez mobilní aplikace budou platby kartou na internetu potvrzovat stejným způsobem jako doposud, tedy opsáním kódu z SMS.

Sberbank aktuálně připravuje přechod stávajících platebních karet na karty nové, které pro placení na internetu budou využívat i 3D Secure. V internetovém bankovnictví počítají s ověřováním, které bude využívat další ochranné prvky zajišťující silnou autentizaci klientů. Konkrétně se jedná o SMS, M-token nebo biometrické prvky v mobilní aplikaci. Radka Černá dále doplňuje, že v případech, kdy klienti nepoužívají chytrý telefon či mobilní aplikaci, se nabízí jako varianta tzv. ePIN v kombinaci s jednorázovým kódem zaslaným přes SMS. 

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).