Úřední šiml nikdy nespí a neustále vymýšlí nová a nová pravidla. To asi abychom ten život neměli tak jednoduchý. V polovině září letošního roku byla například schválena nová evropská směrnice, jejímž cílem je vyšší bezpečnosti při placení kartami a na internetu. Podle obchodníků nová směrnice přinese akorát komplikace než užitek.
Evropská Unie se opět rozhodla, že máme málo pravidel a podmínek a je nutno razantně přitvrdit. Však si takém musí všichni ti evropští úředníci své krásné platy zasloužit. EU tedy vydala nové zařízení, podle něhož musí mít platby kartou silné, dvoufaktorové ověření uživatele. Toto dvoufaktorové ověření má být vyžadováno při každém placení kartou online, i při přístupu do internetového bankovnictví, a vůbec při jakémkoliv bankovním úkonu probíhajícím na dálku, kdy vyvstává větší riziko vzniku zneužití platební karty či jiného podvodu.
Zůstanou platby kartou stále pohodlné, nebo narazíme na problémy při placení?
Přibývá podvodů a platební karty už nejsou tak bezpečné
Uživatelé platebních karet si možnost bezkontaktního placení oblíbili opravdu hodně. S nárůstem počtu provedených bezkontaktních plateb ale zároveň narůstá počet podvodů. Stále menší bezpečnostní význam má například třímístný kód CVC (CVV) umístěný na zadní straně platební karty. Technologické možnosti jsou dnes takové, že si zkušený zloději dokáže naskenovat celou platební karty.
S ohledem na rychlý vývoj digitálních technologií a růst podvodů došla EU k názoru, že je nutné zvýšit bezpečnostní pravidla při platbách kartami. Cílem je maximálně znemožnit zneužití osobních dat a jejich osobních financí.
Co znamená dvoufaktorové ověření při platbách kartou
Dvoufaktorové ověření (2FA) uživatele vyžaduje použití kombinace nejméně dvou bezpečnostních prvků z různých kategorií. Uživatele tedy čekají dva kroky, kterými potvrdí, že se opravdu jedná o jeho osobu. Na výběr jsou tři bezpečnostní kategorie obsahující různé prvky:
- PIN, heslo k platební kartě, kombinace gest apod. – tento údaj by měl znát pouze držitel karty
- Ověřovací SMS, čipová karta, bezpečnostní klíč – cokoliv, co fyzický drží uživatel v ruce, sem patří i číslený kód, který je zaslán držiteli karty na jeho mobilní telefon za účelem ověření platby
- Otisk prstu či scan oka – jedná se o jedinečné biometrické prvky, které jednoznačně potvrzují uživatele karty (rozpoznání hlasu, obličeje, očí, dynamika psaní na klávesnici apod.)
- Místo platby – je jasné, že nelze být na dvou místech najednou, například kdyby došlo k jedné platbě v Praze a k druhé někde v zahraničí
Nastaven je rovněž časový limit pro ověření platby, který může trvat nejdéle pár minut, aby cizí uživatel neměl šanci vůbec požadované informace zjistit.
Hrozí zamítnutí platby kartou v obchodě
V kamenných obchodech bude dvoufaktorové ověření vyžadováno až při opakovaných platbách jdoucích po sobě. Jakmile bude zaznamenáno pět plateb za sebou, bude automaticky vyžádáno, protože rychle po sobě jdoucí platby do 500 Kč a tedy bez nutnosti zadávání PIN kódu mohou naznačovat zneužití platební karty cizí osobou (ztráta, krádež).
Česká národní banka (ČNB) se obává, že problémy mohou nastat i před dosažením pěti opakovaných plateb. Bezkontaktní platba může být jednoduše zamítnuta. Nutné je pak platbu opakovat vložením karty do terminálu a zadáním bezpečnostního PIN kódu. Důvodem prý mohou být nedostatečně připravené platební terminály na nová pravidla.
Platby kartou přes internet budou vyžadovat více než SMS kód
Platby kartou online jsou evidentně považovány za rizikové. K úspěšnému zaplacení tak už nebude stačit obligátní SMS kód, který vám přijde na telefon. Nově bude nutná platbu ještě potvrdit otiskem prstu nebo naskenováním obličeje. Náhradu za heslo k internetovému bankovnictví nabídne alternativa v podobě nového speciálního ePINU určeného přímo pro platby na internetu.
Změny do 14. září 2019 při platbách kartou:
| Platné do 13. září 2019 | Platné od 14. září 2019 | |
| Fyzická platba kartou | PIN | PIN |
| Bezkontaktní platby kartou | PIN nad 500 Kč | do 30 € nic (cca 780 Kč), pokud však kumulativně od posledního ověření přesáhne 100 € (cca 2600 Kč), poté musí ověřit přes PIN, SMS, mobilní aplikaci apod. |
| Platba mobilním telefonem | PIN/biometrie zařízení nebo karty | PIN/biometrie zařízení nebo karty |
| Platba kartou online | CVC nebo CVV kód, u 3D Secure transakcí přepsat kód z SMS | první transakce přes 2FA (SMS, mobilní klíč v aplikaci, čipová karta, speciální heslo apod.), následuje až 5 transakcí bez ověření (např. jen SMS), poté zase 2FA ověření |
| Internetové bankovnictví | login a heslo | login + heslo + SMS, mobilní klíč, čipová karta apod. |
| Mobilní bankovnictví | login a heslo | login + heslo + PIN, biometrická data apod. |
| Opakované transakce se stejným příjemcem (např. předplatné) | ověření první platby | ověření první platby |
| Bezkontaktní platby za jízdenky v MHD | vždy bez PIN kódu a bez ověření | vždy bez PIN kódu a bez ověření |
| Platby za mýta | vždy bez PIN kódu a bez ověření | vždy bez PIN kódu a bez ověření |
První výjimky už jsou na světě
To by bylo, aby nová EU směrnice prošla jen tak. Není to ani měsíc a už je na světě pár výjimek, které tuto novou povinnost bank omezují. Banky i karetní společnosti monitorují chování klientů, kdy nakupují, kde nakupují nejčastěji a co nakupují konkrétně.
Ze získaných informacích jsou schopni poměrně přesně detekovat možné zneužití platební karty. Pokud však transakce zapadá do běžného chování zákazníka nemusí být dvoufaktorové ověření uživatele vůbec vyžadováno.
Výjimky:
- platby do částky 500 Kč nebo 10 EUR
- opakované platby (např. obnova předplatného)
- platby jízdného v automatech s bezkontaktními terminály