Datum 14. září 2019 bylo označováno jako datum, kdy dojde k plné implementaci Revidované směrnice o platebních službách, pro kterou se vžila zkratka PSD 2. Jejím cílem byla a je podpora nejrůznějších inovací, zvýšení konkurence v oblasti platebních služeb, zlepšení bezpečnosti plateb a ochrana dat spotřebitelů.
Na uvedenou směrnici navazuje řada technických norem a pracovních postupů, které jsou určeny pro ty, kteří platební služby zajišťují. V určitých případech se ale týkají i klientů, kteří tyto služby využívají. Jednou z takových norem je „Regulatorní technický standard stanovující pravidla pro silné ověření klienta a společných a bezpečných otevřených standardů komunikace“ (RTS on SCA). A právě tato norma, která byla schválena a vydána až po účinnosti samotné směrnice, vstupuje dne 14. září 2019 v účinnost.
Překvapující upřesnění EBA k platbám kartami na internetu
Uvedená norma vyžaduje, aby byla při autentizaci klienta, tedy při ověření toho, kdo se skutečně snaží komunikovat s bankou či jiným poskytovatelem platebních služeb, použita tzv. dvoufaktorová autentizace. Pro takové ověření je nutné použít nejméně dva faktory ze tří skupin, které je možné popsat jako:
- něco, co klient zná (např. heslo, PIN),
- něco, co klient má (např. telefon, token),
- něco, čím klient je (biometrické prvky, otisk prstu, tvář).
V průběhu 18 měsíců, které byly stanoveny jako doba, během které by mělo dojít k plné implementaci uvedených pravidel, došlo k několika poněkud překvapivým rozhodnutím, která ovlivnila další vývoj. Jedním z takových bylo vyjádření Evropské bankovní autority (EBA) v tom smyslu, že nejrozšířenější způsob ověřování a potvrzování plateb iniciovaných platebními kartami na internetu, tzv. 3D Secure, tak, jak byl dosud používán, nesplňuje podmínky stanovené technickým standardem. Toto vyjádření vydala EBA dne 21. června 2019. Zároveň, vědoma si toho, že za 3 měsíce, které zbývaly do data účinnosti technické normy, bude nemožné vše upravit a změnit, dala EBA národním regulátorům možnost nevymáhat po poskytovatelích platebních služeb všechny náležitosti okamžitě od stanoveného data.
Cílem bank je na jedné straně naplnit požadavky zákona a příslušných evropských nařízení, na straně druhé však nemohou připustit, aby došlo k nějakým výpadkům poskytování platebních služeb, a to v oblasti, která patří mezi nejvíce používané, tedy platby kartami na internetu. Proto ocenily, že Česká národní banka vydala v minulých dnech sdělení, ze kterého citujeme:
„Česká národní banka, stejně jako EBA, považuje za důležité, aby všichni držitelé karet mohli po 14. září 2019 platit v oblasti e-komerce. V úkonech dohledu vůči dohlíženým subjektům proto Česká národní banka zohlední mj. lhůtu či lhůty pro plnou implementaci nařízení bez negativních dopadů na uživatele platebních služeb poté, co o nich EBA rozhodne. Poskytnutí dodatečného času na plnou implementaci nařízení v oblasti silného ověření uživatele se však v souladu se stanoviskem EBA nevztahuje na jiné karetní platby, na něž tato povinnost dopadá (zejm. karetní platby prostřednictvím terminálů pro jejich akceptaci).“
ČBA konstatuje, že ze strany jejích členských bank od počátky byla, a i nadále je, problematice implementace požadavků PSD 2, resp. zákona o platebním styku, kterým byla uvedená směrnice promítnuta do české legislativy, věnována maximální pozornost.