Článek
Aby se maximálně snížilo riziko podvodu při placení přes internet, měly banky povinnost od 1. ledna 2021 zajistit, že každá platba kartou za zboží v e-shopu bude ověřena dvěma ze tří faktorů.
SMS opsaná z mobilu do platební brány už nestačí. Na výběr je speciální kód ePIN, biometrie (otisk prstu nebo rozpoznání obličeje) a mobilní klíč. K němu má přístup jen vlastník telefonu. Na rozdíl od SMS, která je nebezpečnější. Tu jde totiž pomocí malwaru, tedy viru, který napadl telefon či počítač, přeposlat na mobil útočníka, jenž jde po cizích penězích.
ČSOB tuto povinnost porušila a dostala za to od centrální banky trest ve výši jednoho milionu korun.
Silné ověření uživatele
Vydavatel karty (banka) prověřuje, že platbu zadal skutečně klient, prostřednictvím ověření nejméně dvou na sobě nezávislých prvků, které jsou pro něj jedinečné. Jde o kombinaci prvků z kategorie držení/vlastnictví (tj. něčeho, co klient má, například mobilní telefon), kategorie znalosti (tj. něčeho, co klient ví, např. heslo či PIN) a kategorie inherence/biometrie (tj. něčeho, co klient je, což klient potvrzuje např. otiskem prstu či prostřednictvím rozpoznání obličeje).
„Správní orgán zjistil, že účastník řízení k 1. 1. 2021 nezavedl silné ověřovaní u žádného ze svých uživatelů e-commerce karetních transakcí,“ uvedla ČNB v rozhodnutí z 18. února letošního roku, které v pátek zveřejnila na svém webu. Podle centrální banky ČSOB porušila zákon o bankách přestupkem, kdy včas nezavedla řídicí a kontrolní systém zahrnující předpoklady řádné správy a řízení společnosti.
Jak pro SZ Byznys uvedl mluvčí ČSOB Patrik Madle, banka rozhodnutí ČNB respektuje. Je si vědoma, že implementaci silného ověření karetních transakcí v e-commerce spustila o několik měsíců později, než bylo stanoveno evropskou regulací PSD2. Důvodem byla podle něj zejména pandemická situace a omezení některých dodavatelských služeb.
„Klíčové pro nás bylo vytvořit fungující a bezpečné prostředí, které bude funkční a uživatelsky přívětivé pro všechny naše klienty. Po celou dobu jsme sledovali klientské transakce tak, aby nedošlo k žádnému zvýšenému riziku. Transakce byly ověřovány prostřednictvím kódu zaslaného v SMS, což byla do okamžiku platnosti nové regulace dostačující metoda,“ vysvětlil Madle.
„Silné ověření jsme intenzivně implementovali do e-commerce karetních transakcí v průběhu loňského roku. Od února 2021 tak mohli naši klienti začít využívat ČSOB Smart klíč jako jeden ze způsobů silného ověření. Následně v březnu jsme spustili tzv. RBA řešení, které nám umožňuje procesovat transakce na základě rizikového profilu chování klienta. Od října 2021 jsme doplnili ePIN, který umožňuje spolu s SMS silně ověřovat e-commerce karetní transakce klientům nepoužívajícím ČSOB Smart klíč,“ doplnil.
Centrální banka ve svém rozhodnutí uvedla, že mobilní aplikaci ČSOB Smart klíč nepoužíval k 1. 1. 2021 k silnému ověření žádný ze zákazníků ČSOB, protože toto řešení nebylo uvedeno do provozu. „Pro klienty, kteří nevlastní chytrý mobilní telefon, účastník řízení (ČSOB, pozn. red.) zvolil pro silné ověření uživatele technické řešení spočívající v kombinaci ověření platby prostřednictvím jednorázového hesla zaslaného SMS a ePIN. Metodu ověření pomocí ePIN rovněž ke dni 1. 1. 2021 nepoužíval žádný ze zákazníků účastníka řízení, neboť toto řešení nebylo uvedeno do provozu,“ informovala ČNB.
Ke konci roku 2020 ČSOB vydala téměř 2,5 milionu platebních karet, každý měsíc s nimi klienti (v období od 14. 9. 2019 do 31. 12. 2020) podle informací z rozhodnutí ČNB zaplatili průměrně 2,1 milionu internetových nákupů o objemu 2,17 miliardy korun.
Přes mobilní aplikaci začala ČSOB klienty silně ověřovat až od 10. 2. 2021, v tu chvíli ale Smart klíč používalo jen 15,2 procenta klientů platících na internetu. „Účastník řízení dokončil zavedení silného ověřování uživatele u všech klientů, kteří využívají služby pod obchodní značkou ČSOB a kteří vlastní chytrý telefon, prostřednictvím mobilní aplikace ČSOB Smart klíč k 1. 6. 2021. Pro klienty, kteří využívají služby pod obchodní značkou Poštovní spořitelna a kteří vlastní chytrý telefon, prostřednictvím mobilní aplikace ČSOB Smart klíč k 26. 10. 2021. Účastník řízení pro všechny klienty, kteří nevlastní chytrý telefon, začal podle informace ze dne 12. 2. 2021 teprve vyvíjet formu silného ověření prostřednictvím e-PIN, která byla zpřístupněna od 26. 10. 2021,“ informovala Česká národní banka.
Povinnost banky silně ověřovat všechny platby kartou na internetu tak nabrala desetiměsíční zpoždění.
ČNB už ve svém sdělení 2018/389 před několika lety uvedla, že „případnou nepřipravenost jednotlivých dohlížených subjektů plnit bezezbytku zákonné povinnosti týkající se silného ověření bude Česká národní banka řešit v rámci výkonu dohledu ve vztahu k těmto konkrétním subjektům, přičemž její přístup bude konzistentní tak, aby žádný z dohlížených subjektů nebyl postupem ČNB znevýhodněn“.
Bank, které bezpečné placení kartou nestihly k loňskému prvnímu lednu zavést, bylo víc, jak SZ Byznys na konci ledna 2021 popsal.
Šlo například o mBank. „Intenzivně na tom pracujeme a chceme, aby to bylo co nejdřív,“ odpověděl 22. ledna 2021 mluvčí mBank Štěpán Dlouhý na otázku, kdy banka reálně začne požadovat silné ověření plateb kartou v e-shopech.
Prodloužit lhůtu, kdy se dala platba kartou potvrdit pouhou SMS, se rozhodla také Air Bank, a to do konce března 2021. Od dubna 2021 mohou její klienti platby kartou v e-shopech potvrzovat jen mobilní aplikací nebo musí využít jinou formu zaplacení nákupu, například převod peněz na účet. „Dosavadní alternativu v podobě potvrzování online karetních plateb SMS již nebude možné (od 1. 4. 2021, pozn. red.) využívat,“ upozornila na konci loňského ledna mluvčí banky Jana Pokorná.
