Digital services tax in the Czech Republic
Komentář Petra Špiříka, E15: Budoucnost Česka? Stát není připraven ani na současnost

5 otázek a odpovědí k tématu PSD2

V posledních týdnech a měsících přišlo většině klientů českých bank upozornění na změnu obchodních podmínek. Tento update z velké části souvisel s tím, že od soboty 14. září vstoupí v platnost poslední část evropské směrnice PSD2. Informační smršť  vyvrcholila tento víkend, kdy se obchodníci i novináři obávali možných problémů s platbami kartou a zdržení, které mohou nové podmínky plateb přinést. Co ale PSD2 skutečně přináší a jaké změny nás ještě čekají?

GettyImages-697573632

1) CO A PROČ SE MĚNÍ?

Nejhmatatelnější změnou pro klienty a spotřebitele budou platby kartou na internetu, respektive jejich ověřování. Tedy fáze, která nastává poté, co uživatel do formuláře zadá údaje o své kartě. Dosud svou totožnost uživatelé ověřovali přepsáním kódu z SMS zprávy, to už ale nyní nebude možné.

PSD2 regulace a její část popisující silnou autentizaci zákazníka (Strong Customer Authentication – SCA) totiž klade požadavek na použití dvou ze tří autentizačních faktorů:

  • Něco, co uživatel ví (heslo, PIN)
  • Něco, co uživatel vlastní (mobilní telefon)
  • Něco, co uživatel je (biometrický údaj)

Potíž oproti stávající praxi je v tom, že SMS se počítá do stejné kategorie jako samotný telefon. Tedy: něco, co uživatel vlastní. Je proto potřeba přidat k ověření ještě jeden faktor,“ vysvětluje technologický konzultant z PwC Česká republika Martin Huňka.

 

2) JAK TO BUDE FUNGOVAT?

Pravděpodobně nejčastější variantou, kterou banky svým klientům nabídnou, bude ověřování totožnosti pomocí biometrického údaje v aplikaci. Tedy v praxi tak, že místo potvrzovací SMS se v chytrém telefonu uživatele otevře notifikace, která vyzve zákazníka k otisku prstu nebo skenu obličeje. Tím se platba kartou potvrdí, podobně jako už dnes klienti bank potvrzují platby převodem.

Složitější to bude mít ta část klientů, která nepoužívá chytrý telefon. „V tomto případě to asi bude méně uživatelsky přívětivé a klienti bank si pravděpodobně budou muset zapamatovat speciální heslo či PIN, kterým budou vždy transakci ověřovat. Dojde tak k ověření dvěma faktory: něčím, co uživatel ví, a něčím, co uživatel vlastní,“ vysvětluje Huňka z PwC Česká republika.

 

3) JAK JE TO BEZPEČNÉ?

Hlavní motivací aktuální části evropské směrnice je zvýšení bezpečnosti. „Rostoucí počet podvodů i s léta osvědčenými metodami, k nimž patří např. SMS, jen poukázal na dynamický vývoj na straně podvodníků a na skutečnost, že co bylo dříve považováno za etalon funkčního a bezpečného řešení, dnes už nemusí dostačovat,“ zasazuje vznik směrnice do kontextu expert PwC na kyber-bezpečnost Jiří Urbanec.

Podle něj je proto požadavek na dvoufaktorové zabezpečení správnou cestou. A to kvůli tomu, že v podstatě každý z faktorů má sám o sobě svá rizika. „Je známo, že heslo nebo PIN není zcela faktorem, který uživatelé spolehlivě udrží pod svou výhradní kontrolou, a sdělují je ostatním. U předmětů, které uživatel vlastní, může být situace lepší, ale i karty, případně telefony se půjčují. Biometrika se zdá být nejvíce pokročilým faktorem, nicméně jsou známy případy, kdy uživatelé mají v sadě svých otisků prstů nasnímány otisky partnera, případně že technika rozlišení obličeje přijme prostou fotografii,“ vysvětluje Urbanec.

A jaká kombinace dvou faktorů je podle něj nejbezpečnější? „Osobně nejvíc věřím v kombinaci faktorů ‚něco, co uživatel je‘ a ‚něco, co uživatel ví‘, neboť prokázání určité znalosti ukazuje na záměr platbu nebo přihlášení provést. Chápu však, že toto je právě kombinace, která je obtížně přijatelná z pohledu uživatelské přívětivosti a v praxi se nejspíše prosadí kombinace faktorů, které budou reagovat na výši transakce a s ní související rizika,“ říká Urbanec z PwC.

 

4) JAK JSOU POSKYTOVATELÉ PŘIPRAVENI?

Ne všechny členské země jsou na požadavky nové směrnice připravené. Národní autority dvanácti zemí dosud vyhlásily určité toleranční období, které budou mít banky navíc na to, aby se zpřísnění přizpůsobily. Mezi těmito trhy jsou i ty největší, jako Německo, Francie, Itálie a Spojené království.

Česko mezi nimi není. Někteří zdejší poskytovatelé platebních služeb už změny ve svých aplikacích aktivovali, vypadá to tedy, že na nástup nové směrnice jsou tuzemské instituce připravené. „U českých poskytovatelů platebních služeb vidím odpovědný a soustředěný výkon pro naplnění termínu a zbývá si jen přát, aby poskytovatelé využili příležitosti a přivedli význam autentizace více do povědomí zákazníků,“ dodává expert PwC na kyber-bezpečnost Jiří Urbanec.

 

5) CO UŽ PSD2 PŘINESLA?

Část PSD2, která nabyla účinnosti 14. září, rozhodně není jedinou součástí této evropské směrnice. Právní předpis schválila Rada EU už v roce 2015. Od ledna 2018 potom začínala platit jeho část, která slibovala „bankovní revoluci“.

„Zjednodušeně jde o to, že banky musely zpřístupnit své programovací rozhraní (API) i licencovaným třetím stranám. Typicky jiným bankám či jakýmkoli aplikacím, které pracují s platbami. Těm to umožní, samozřejmě až po zisku licence a po souhlasu konkrétního uživatele, nahlížet do internetového bankovnictví klientů cizích bank a v druhém kroku provádět v něm i platby,“ vysvětluje technologický konzultant PwC Martin Huňka.

K tomu ovšem nedošlo hned. Banky sice začaly postupně ve svých aplikacích pro internetové bankovnictví sdružovat i účty konkurence a klientům využívajícím služby více bank tak zpřehlednili informace o jejich penězích, trvalo ale jedenáct měsíců, než licenci k tomu, aby mohla API bank částečně využívat, dostala první nebankovní společnost (Spendee). Pár měsíců po ní následovala podobná multibankingová aplikace BudgetBakers.

Teprve před pár dny se potom platforma Zonky stala první nebankovní institucí, která získala plnou PSD2 licenci. To znamená, že kromě nahlížení do informací o zůstatcích klienta na účtu může aplikace také nepřímo udělit platební příkaz.

Největší dopad ale může mít PSD2 pro uživatele v momentě, kdy licenci pro nepřímé platební příkazy získají například e-shopy. „Zohledníme-li současný nástup okamžitých bankovních plateb, mohl by potom třeba e-shop umožnit ve své aplikaci klientovi jednoduše a okamžitě převést peníze a rovnou expedovat zboží. Tato varianta by se tak stala plnohodnotnou alternativou k placení kartou on-line. Právě takováto demokratizace plateb byla i jedním z motivů Evropské unie ke vzniku iniciativy PSD2,“ vysvětluje Huňka.

 

O PwC

PwC je mezinárodní sítí firem s více než 236 tisíci lidmi ve 158 zemích světa. Poskytují kvalitní auditorské, daňové a poradenské služby, které podporují jejich klienty při dosahování jejich cílů. Více se o PwC dozvíte na www.pwc.com/cz.

Název „PwC“ označuje všechny společnosti skupiny PricewaterhouseCoopers International Limited,z nichž každá je samostatným a nezávislým právním subjektem. Více informací na www.pwc.com/structure.

Další tiskové zprávy, publikace a studie vydané PwC a články jejich odborníků naleznete

na www.pwc.cz/czpress .

Comments

Feed You can follow this conversation by subscribing to the comment feed for this post.

Verify your Comment

Previewing your Comment

This is only a preview. Your comment has not yet been posted.

Working...
Your comment could not be posted. Error type:
Your comment has been posted. Post another comment

The letters and numbers you entered did not match the image. Please try again.

As a final step before posting your comment, enter the letters and numbers you see in the image below. This prevents automated programs from posting comments.

Having trouble reading this image? View an alternate.

Working...

Post a comment

Your Information

(Name and email address are required. Email address will not be displayed with the comment.)