Směrnice PSD2

PSD2 (Payment Services Directive) je druhá směrnice Evropské unie o platebních službách, která významně ovlivnila způsob provádění online plateb a poskytování informací v platebním styku. Byla navržena Evropskou komisí a schválena Evropským parlamentem 8. října 2015. Směrnice byla přijata dne 25. listopadu 2015 jako Směrnice Evropského parlamentu a Rady (EU) 2015/2366.

Zkratka PSD2 SCA (Payment Services Directive 2 Strong Customer Authentication) odkazuje na nařízení Komise (EU) 2018/389 doplňující Směrnici a požadující dvoufaktorovou autentizaci.

Implementace

Původní směrnice měla být implementována postupně od konce roku 2018 do 14. září 2019. +more Hlavní změnou, kterou přinesla, je dostupnost informací o zákazníkovi pro prodejce (což zvyšuje riziko zneužití dat) a zvýšené nároky na kontrolu identity zákazníka při platbách online.

PSD2 přinesla na bankovní trh dále požadavek na silné ověření klienta a multibanking. Multibanking je možnost propojit si v rámci oblíbeného internetového bankovnictví také další účty, které nemusejí být nutně spravovány stejnou bankou. +more Banky mají totiž povinnost poskytovat rozhraní pro nepřímé založení platebního příkazu a rozhraní pro poskytnutí informací o účtu (nikoliv však o osobních údajích klienta). K tomu je nutno používat bezpečné otevřené standardy komunikace. O tuto možnost ale velký zájem není.

Silné ověření uživatele

Silné ověření klienta/uživatele (anglicky Strong Customer Authentication, SCA) je v podstatě vícefázové neboli minimálně dvoufázové ověření. Opírá se o kombinaci minimálně dvou nezávislých prvků z kategorií: * něco znám, faktor znalostí, - heslo, PIN kód, gesto atp. +more, údaj, který není dostupný nikomu jinému, * něco mám, faktor držení/vlastnictví, - zařízení fyzické či logické, tedy např. bankovní platební karta nebo software, který je jednoznačně spojený s konkrétní osobou, * něco jsem - jednoznačný biometrický údaj, což klient potvrzuje např. otiskem prstu či prostřednictvím rozpoznání obličeje.

Údaje z těchto kategorií musí být pro klienta jedinečné, musí ho jednoznačně identifikovat. Přičemž informace „čím jste“ a „kde jste“ jsou osobní údaje. +more Osobní údaj ale nesmí být použit k identifikaci, ale jen k autentizaci.

Silné ověření klienta podle článku 97 PSD2 bylo do české legislativy transponováno v podobě § 223 zákona 370/2017 Sb. , o platebním styku a je v ČR vyžadováno od 1. +more 1. 2021 * při on-line přístupu k platebnímu účtu, * při iniciaci elektronické platební transakce nebo * při jakémkoli úkonu prostřednictvím prostředků komunikace na dálku, který by mohl vést k riziku platebního podvodu nebo jiných zneužití.

Silné ověření nemusí banka uplatňovat vždy a existují modelové příklady, při kterých nemusí uživatel uplatnit dva faktory ověření. Banka však musí udělat analýzu transakčních rizik spojených s chováním uživatele.

V některých případech naopak vedle údajů z karty a SMS kódu bude nutno zadat ještě takzvaný ePIN, který se vygeneruje v internetovém bankovnictví. SMS kód už nebude stačit, protože banka nemůže ručit za to, že mobilní telefon v držení uživatele je zamčený například PINem (znalost) nebo otiskem prstu (biometrie). +more E-PIN může být například trojmístné číslo, být neměnný a platit po celou dobu platnosti karty.

Silné a slabé ověření se však neshoduje s tím, jak tyto pojmy chápou neopozitivisté, např. A. Ayer.

Historie

;13. 1. +more 2016 :vstoupila v platnost Směrnice EP o platebních službách na vnitřním trhu (PSD2) 27. 11. 2017 :Nařízení Komise (EU) 2018/389 týkající se silného ověření klienta (SCA) a společných bezpečných otevřených standardů komunikace (The Regulatory Technical Standard, dále RTS) 13. 1. 2018 :nabyla účinnosti novela zákona č. 370/2017 Sb. , o platebním styku, který implementuje PSD2 v ČR 14. 9. 2019 :účinnost RTS v plném znění 30. 12. 2020 :uplatnění silného ověření klienta u karetních transakcí v rámci e-commerce (online platby kartami).

Česko 2019

Do 14. září 2019 nebyla v Česku žádná banka, která by měla připravené karty a servery připravené pro platby v režimu SCA. +more Do doby, než banky dokončí potřebné úpravy, zůstane pro platby kartou využívána 3D Secure 1. 0 (ověření přes SMS). Po 14. září banky musely začít nabízet zákazníkům mobilní aplikace pro ověřování při nákupu na internetu pomocí biometrie. ČNB vydala sdělení, které zajistilo dodatečný čas na plnou implementaci nařízení v oblasti silného ověření uživatele.

V kamenných obchodech bylo zavedeno počítání transakcí, kdy po pěti po sobě jdoucích neověřených platebních transakcích musí být následují platební transakce ověřená. Protože mohly existovat platební terminály, které s povinným ověřením transakce pomocí PIN nepočítaly, mohl terminál bezkontaktní platbu zamítnout. +more V takovém případě bylo nutné vložit kartu do terminálu, načež terminál měl požádat o PIN a platba měla proběhnout tak, jak proběhnout měla.

Společnost Mastercard nabízela bankám její řešení, takže banky mohly doplnit biometrické ověřování plateb do svých aplikací bez vlastního vývoje.

Pro uživatele bez chytrého telefonu s bankovní aplikací na počátku implementace existovalo pouze řešení, kdy kromě přepsání kódu z SMS bylo navíc vyžadováno zadání hesla nebo ePINu. Takové řešení, ale snižuje uživatelskou jednoduchost. +more Celý trh tedy doufá ve stanovení tzv. přechodného období, během kterého se toto povede zákazníkům srozumitelně vysvětlit a naučit je to nebo že se najde přívětivější řešení.

Odkazy

Poznámky

Reference

Externí odkazy

[url=https://eur-lex. europa. +moreeu/legal-content/CS/TXT/. uri=CELEX:02015L2366-20151223]Konsolidovaný text: Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, o změně směrnice 2002/65/ES, 2009/110/ES, 2013/36/EU a nařízení (EU) č. 1093/2010 a o zrušení směrnice 2007/64/ES[/url].

Kategorie:Platební systémy Kategorie:Ekonomika Evropské unie