PSD2 je opatření, které napomáhá držitelům karet ještě k větší bezpečnosti při platbách kartou zejména na internetu. Pro uživatele díky zavádění nových technologických standardů přinese možnost pohodlného placení s ověřením pomocí biometrie a v budoucnu i jednodušší nákupy v aplikacích obchodníků bez komplikovaných přesměrování mezi aplikacemi. Plné využití všech těchto výhod bude dosaženo postupně, uvádí společnost Mastercard.
Nová směrnice EU nazvaná Payment Service Directive 2 (PSD2) platí od 14. září. Zvýšení zabezpečení je postaveno na zavedení dvoufaktorového ověření držitele karty. To znamená, že banky, které vydávají platební karty, musí platbu kartou nově ověřit vždy pomocí dvou na sobě nezávislých autentizačních faktorů, tedy “identifikátorů” spotřebitele, které jej prokazatelně určují.
Podle směrnice je možné použít libovolné dva ze tří možných na sobě nezávislých autentizačních faktorů, kterými jsou:
něco, co vlastním jen já – např. mobilní telefon
něco, co znám jen já – např. heslo, PIN
něco, co já jsem – biometrická charakteristika, např. otisk prstu, obličej, hlas; případně lze rozpoznat spotřebitele podle jeho chování (behaviorální biometrie), tedy např. kadence psaní, sklonu držení zařízení
Směrnice PSD2 rovněž specifikuje možnosti výjimek ze silné autentizace, tj. situace, kdy nemusí být spotřebitel ověřován pro usnadnění procesu nákupu s ohledem na nízké riziko podvodu a současně na obtížnou nebo nemožnou proveditelnost tohoto ověření. Nejdůležitějšími výjimkami jsou:
- Pro platby na internetu
hodnota do 30 eur pro maximálně pět po sobě jdoucích plateb nebo nákupy v celkové hodnotě do 100 eur; hodnoty od 30 eur do 500 eur, u které je pomocí transakční analýzy identifikováno nízké riziko podvodu
- pro bezkontaktní nákupy na prodejnách maximálně pět transakcí do 50 eur nebo v celkové hodnotě do 150 eur
- platby za jízdenky a parkovné na neobsluhovaných terminálech
Zavedení těchto nových pravidel přináší do celého systému plateb kartou nutnost nasazení změn nejen u bank vydávajících karty, ale i na straně obchodníků nebo jejich poskytovatelů platebních řešení. Změny u obou stran se už zavádějí, nicméně v oblasti nákupů na internetu bylo po celé EU bankovními ústavy i zástupci obchodníků indikováno, že potřebné změny budou trvat déle. Z tohoto důvodu bylo na úrovni Evropské bankovní autority (EBA), která směrnici vydala, doporučeno centrálním bankám nebo dohledovým autoritám členských států poskytnout přechodné období pro nasazení potřebných úprav.
„V současné době se již většina členských států včetně České republiky vyjádřila pro podporu zavedení dodatečného období. Stanovení přechodného období je v současné době v projednávání na evropské úrovni, jelikož je nutné zajistit jednotnou lhůtu, aby se harmonizovalo zavedení napříč všemi členskými státy,“ uvedl Luděk Slouka, ředitel rozvoje produktů a inovací Mastercard pro Českou republiku, Slovensko a Rakousko.
Od přechodného období se očekává, že poskytne dodatečné období pro nasazení vyššího stupně ochrany při platbách kartou pro nákupy na internetu. „Prakticky to znamená, že banky i obchodníci budou moci realizovat transakce stejně jako dnes a současně s tím nasazovat a zavádět nové nástroje, jako jsou mobilní aplikace pro ověření biometrie, implementovat systémy transakční analýzy a řadu dalších opatření, o kterých již držitele karet začali informovat,“ vysvětlil Luděk Slouka. Zavádění a nasazování se bude průběžně uskutečňovat v největší míře do konce letošního roku.
Ve světě bezkontaktních nákupů na prodejnách, kde je implementace změn jednodušší a přípravy už jsou takřka u konce, se zavedení přechodného období ze strany EBA neaplikuje. V současné době je nejvíce diskutovaným tématem zda nedojde k zamítání transakcí na platebních terminálech po 14. září z důvodu naplnění limitu pěti transakcí do 50 eur nebo při dosažení celkové hodnoty 150 eur. Důvodem je, že všechny platební terminály po celé Evropě musí být upraveny tak, aby při dosažení limitu, který nově signalizuje vydavatelská banka, musí tomuto signálu rozumět tak, aby zákazníkovi zobrazil žádost o zadání PIN.
Zavedení tohoto nového signálu resp. parametru do terminálů se věnují poskytovatelé a správci terminálů, kteří jsou schopni tuto úpravu realizovat na dálku. Ve výjimečných případech může úprava vyžadovat osobní návštěvu technika. V těchto výjimečných případech se může v dočasném období několika týdnů po 14. září i stát, že malé množství terminálů transakci zamítne. Obsluha terminálu v takovém případě vyzve držitele karty k zopakování platby pomocí vložení platební karty do terminálu, který si vyžádá zadání PIN. Pro platby realizované pomocí mobilních telefonů a chytrých hodinek k tomuto zamítání nedojde vzhledem k ověření uživatele už na daném zařízení, uvádí tisková zpráva společnosti MasterCard.
V městské hromadné dopravě nebo u parkování, kde jsou rozšířené bezkontaktní terminály i bez klávesnice, a tedy není možné kartu vložit a zadat PIN, se uplatňuje výjimka ze silné autentizace, kterou na své straně identifikuje vydavatel karty.
