Internetové platby čakajú v novom roku zmeny. Na čo by sa mali prevádzkovatelia e-shopov pripraviť a čo sa stane, ak silnú autentifikáciu používateľa zanedbajú?
Podľa údajov Európskej centrálnej banky je v eurozóne podvodom 23 z každých 1000 platieb kartou. Na Slovensku je to menej, podľa štatistík ide o 4 z 1000 platieb. Takmer 80 % kartových podvodov sa deje pri platbách za nákupy cez internet, zvyšok tvoria transakcie prostredníctvom POS terminálov v kamenných obchodoch a bankomatoch. Objem kartových podvodov v roku 2018 dosiahol 1,8 miliárd eur a každoročne sa zvyšuje. Od roku 2021 sa preto zmení spôsob platenia platobnými kartami na internete.
Prechod na silnú autentifikáciu používateľa platobných služieb mal byť najneskôr do 14. 9. 2019. NBS a ostatné orgány dohľadu v EÚ sa dohodli, že plnenie tejto povinnosti začnú dohliadať a vyžadovať od 1. 1. 2021.
Technické vysvetlenie spôsobu zmeny platieb na internete
Európska komisia v roku 2015 vydala smernicu PSD2, ktorá od poskytovateľov platobných služieb (napr. bánk, platobných inštitúcií a inštitúcií elektronických peňazí) požaduje, aby prešli na tzv. silnú autentifikáciu používateľa platobných služieb (strong customer authentification "SCA"). Cieľom je znížiť riziko podvodov uskutočnených platobnými kartami na internete.
Silná autentifikácia používateľa platobných služieb v praxi znamená, že sa používateľ platobnej služby pri vykonávaní platobných operácií platobnými kartami na internete autentifikuje použitím dvoch alebo viacerých autentifikačných prvkov z týchto troch kategórií:
- Vedomosť - napr. heslo, PIN, odpovede na dohodnuté kontrolné otázky
- Vlastníctvo - napr. vlastníctvo zariadenia (najčastejšie mobilný telefón) schopného generovať (napr. prostredníctvom špecializovanej autentifikačnej aplikácie) alebo prijímať jednorazové heslá (napr. cez SMS), alebo podpisy (tokeny)
- Charakteristické znaky držiteľa platobnej karty (inherencia) - napr. zosnímanie biometrických údajov v podobe odtlačku prstu, hlasu, geometrie tváre klienta
Poskytovatelia platobných služieb, ktorí umožňujú používateľom platiť prostredníctvom platobnej karty na internete, sú povinní pri každej platbe overiť totožnosť používateľa platobnej služby - držiteľa platobnej karty. Ak totožnosť používateľa platobnej služby nie je korektne overená a ani nespadá pod niektorú z výnimiek z povinnosti vykonať silnú autentifikáciu, platba bude zamietnutá.
Prípravu na zmenu netreba zanedbať
NBS odporúča, aby obchodníci, ktorí prijímajú platby kartami cez internet, poskytovatelia a používatelia platobných služieb (vrátane spotrebiteľov), využili zostávajúci čas do konca roka 2020 a dôsledne sa pripravili na silnú autentifikáciu. Predídu tým prípadným zamietnutiam platieb kartou.
Po 1.1.2021 môže NBS za porušenie povinnosti zabezpečiť silnú autentifikáciu používateľa uložiť poskytovateľom platobných služieb (podliehajúcim jej dohľadu) opatrenie na nápravu, alebo sankciu.
Najčastejšími riešeniami silného overenia na našom trhu sú:
- Aplikácia v smartfóne (prvok vlastníctva), do ktorej musí používateľ zadať PIN, alebo ktorou si zosníma svoje biometrické údaje.
- Kombinácia ePIN-u vygenerovaného napr. v internet bankingu a jednorazového kódu prijatého cez SMS do mobilného telefónu.
Aj prevádzkovatelia e-shopov, prípadne poskytovatelia služieb na internete (obchodníci) a ich poskytovatelia platobných služieb mali implementovať nové technické riešenia, ktoré umožňujú vykonávať silnú autentifikáciu používateľa platobných služieb. Poskytovateľom platobných služieb je banka, platobná inštitúcia a inštitúcia elektronických peňazí.
Je vhodné, aby boli s novým spôsobom overenia klienta oboznámení aj spotrebitelia, napríklad prostredníctvom správ v internet bankingu, prípadne listom.
Zanedbanie prípravy poskytovateľov môže po 1. 1. 2021 viesť k tomu, že platby používateľov budú zamietnuté a platobné operácie kartou sa nezrealizujú.
