Po novom bude treba online platby potvrdiť minimálne dvomi nezávislými spôsobmi. „Ide o takzvanú dvojfaktorovú autentifikáciu. To znamená, že overenie klienta musí byť vykonané kombináciou minimálne dvoch autentifikačných prvkov,“ vysvetľuje manažérka pre oblasť platobných služieb Slovenskej bankovej asociácie (SBA) Eva Horváthová.
Smernica hovorí, že metódy musia banky vyberať z troch faktorov – teda z toho, čo klient pozná, kým je a čo vlastní. To, čo pozná je napríklad heslo alebo PIN kód. Do jeho vlastníctva patrí napríklad mobilný telefón či platobná karta. Odtlačok prsta, záznam hlasu či rozpoznanie tváre zase predstavuje to, kým je. Doteraz stačil napríklad len údaj z karty a odpísaný kód z esemesky.
Moderné rovná sa jednoduchšie
Systém overovania sa bude v jednotlivých bankách líšiť. Metódu si teda nebude vyberať klient, ale bankový dom. Ľudia sa tak od januára môžu stretnúť z niekoľkými druhmi overovania. Život sa skomplikuje najmä tím, ktorí nepoužívajú smartfón a bankové aplikácie. Okrem odpisovania údajov z platobnej karty a esemesky im totiž pribudne aj takzvaný ePin. Ten si nastavia rovno v internet bankingu.
Bankové domy sa aj preto snažia klientov presunúť do smartfónov a mobilných aplikácií. Tam bude plnenie európskej smernice a zavedenie lepšieho overovania o niečo jednoduchšie. A to nielen pre banky, ale aj pre samotných klientov. „Niektoré banky prejdú napríklad na push notifikáciu cez bankovú aplikáciu v smartfóne,“ uvádza jednu z možností finančný analytik z OVB Allfinanz Slovensko Marián Búlik.
Iné banky zase môžu vyžadovať k mobilnej aplikácii inštalovanie aj druhej aplikácie, ktorá bude generovať takzvané tokeny. Tie fungujú v podstate ako esemeska a generujú jednorazové heslá. Väčšina bankových domov však stavia na takzvanej biometrii. Klienti tak už dnes potvrdzujú platby napríklad odtlačkom prsta či skenovaním tváre. Pri niektorých službách sa používa aj rozpoznanie hlasu.
Týmto podmienkam musia od januára podliehať všetky platby na internete. Ak neprebehne dvojfaktorové overenie, platba jednoducho neprejde. Smernica však počíta aj s niekoľkými výnimkami, kedy sa overovanie uplatňovať nebude. Ide napríklad o opakujúce sa platby, nízke sumy, prevody medzi vlastnými účtami, pri dôveryhodných príjemcoch či pri bezkontaktných platbách do 50 eur.
Karta a esemeska nestačia
Silnejšie overovanie mali všetky európske banky zaviesť už počas vlaňajšej jesene. Vlani v lete však zasiahol Európsky orgán pre bankovníctvo (EBA), ktorý bankám odkázal, že overovanie len z platobnej karty a esemeskou mu nestačí. Ide totiž len o jeden faktor – a to vlastníctvo. Bankové domy tak dostali odklad na lepšiu prípravu až do konca tohto roka.
Otázne je, či silnejšie overovanie eliminuje akékoľvek bezpečnostné hrozby. „Platby budú bezpečnejšie, keďže banky budú robiť aj dodatočné kontroly k jednotlivým platbám, aby bolo jasné, že ide o majiteľa platby,“ myslí si investičný analytik z FinGO František Burda. Dodal, že opatrenia majú zvýšiť bezpečnosť nielen toho, kto posiela peniaze, ale aj toho, kto peniaze prijíma.
Vo väčšine prípadov pri on-line platbách nezlyháva bezpečnosť platobnej brány či mobilnej aplikácie banky. Zlyhania bývajú častejšie na strane klienta, ktorý napríklad stratí telefón, napadnú ho škodlivé programy alebo používa všade rovnaké heslo či PIN. Rýchle platby môžu byť však bezpečnejšie ako klasické prevody na účet.
Pri prevodoch sa kvôli zložitému manuálnemu zadávaniu čísla účtu neraz stáva, že klient pošle peniaze na nesprávny účet. Ak mu ich jeho majiteľ dobrovoľne nevráti, nevie mu pomôcť ani banka. Bojazlivejším klientom však analytik Finančnej hitparády Martin Švidroň odporúča zriadiť si bezplatný účet len na internetové platby. „A treba tam držať len takú mieru financií, ktorá bude zodpovedať internetovým platbám,“ dodal Švidroň.
To, že peniaze dorazia na zlý účet sa napríklad pri platbe kartou nemôže stať. V tomto prípade sa stačí vyhýbať neserióznym webom, mať zabezpečené zariadenia a nezadávať hocikde svoje platobné údaje. Napriek tomu bezpečnejšie overovanie od januára niekomu mierne skomplikuje život. V konečnom dôsledku to môže zabolieť aj obchodníkov. Každý klik navyše totiž zvyšuje riziko, že človek nákup nedokončí.
Ako to bude v bankách na Slovensku
Slovenská sporiteľňa
- Banka plánuje využívať napríklad biometriu, aplikáciu mToken. Tú už klienti môžu používať na schvaľovanie platieb elektronického bankovníctva a ďalšie riešenia.
VÚB
- Ponúkne overenie cez mobilnú aplikáciu, kde klientovi príde push notifikácia a bude vyzvaný na zadanie 4 miestneho kódu (toho istého, akým sa prihlasuje do aplikácie).
- Pre klientov využívajúcich skenovanie tváre alebo odtlačok prsta, ponúkne možnosť overenia biometricky pre transakcie do výšky 200 eur. Fungovať bude aj možnosť overenia cez mobilný token.
- Klienti, ktorí nemajú možnosť používať smartfón, budú používať kombináciu SMS kódu a hesla ku karte, ktoré bude možné meniť v internet bankingu.
Tatra banka
- Klientovi sa zobrazí po zadaní údajov z platobnej karty obrazovka, ktorá ho vyzve na autorizáciu platby v mobilnej aplikácii alebo internet bankingu. Klient sa tam môže prihlásiť cez bankou zaslanú push notifikáciu. Platba, ktorá čaká na autorizáciu klienta, sa zobrazí automaticky po prihlásení.
ČSOB
- Postupne implementuje mobilnú aplikáciu SmartToken, ktorá slúži na prihlasovanie a verifikáciu platieb prostredníctvom vygenerovania jedinečného kódu.
Poštová banka
- Na výber dáva dve možnosti overenia – buď cez mobilnú aplikáciu Bezpečné platby s možnosťou potvrdzovania pomocou odtlačku prsta, tvárovej biometrie alebo UPINu.
- Alebo cez jednorazové kódy zo SMS s dodatočným zadaním 4-miestneho ePINu, ktorý si klient nastaví sám v internet bankingu.
UniCredit Bank
- Overovanie online platieb kartou bude pomocou push notifikácií, cez mobilné bankovníctvo, kde klient pripravenú platbu potvrdí alebo overí ako obvykle, či už otlačkom prsta, alebo číselným kódom.
Raiffesisen banka
- Okrem doteraz používaného bezpečnostného kódu banka zasiela pri každej platbe kartou na internete aj ePIN. Ten budú klienti zadávať spolu s bezpečnostným kódom. ePIN si klient nastavuje vo svojom internet bankingu.
Oberbank AG
- Zaviedla vo svojom elektronickom bankovníctve silnú autentifikáciu už v septembri 2019. Na podpisovanie príkazov sa používa mobilná a počítačová aplikácia.
Fio banka
- Pri mobilnej aplikácii je spôsob silného overovania klienta už zavedený. Pre klientov, ktorý aplikáciu nevyužívajú banka už pripravuje riešenia a bude o nich včas informovať.
mBank
- Už dlhší čas môžu klienti potvrdzovať svoje internetové transakcie vo svojej mobilnej aplikácii. Pre tých, ktorí nevlastnia smartfón alebo nevyužívajú aplikáciu, banka pridá ako druhý faktor overenie pomocou behaviorálnej biometrie.
- Pre klienta sa na prvý pohľad nič nezmení a aj naďalej bude potvrdzovať transakcie tak, ako je zvyknutý bez toho, aby si musel pamätať ďalšie kódy či ePin. Na pozadí platby však na základe veľkého množstva parametrov bude prebiehať vyhodnocovanie rizikovosti. Ak bude rizikový profil pod určitou hranicou, transakcia je vyhodnotená ako bezpečná.
365.bank
- Nový spôsob autorizácie internetových platieb banka predstaví už v najbližšej verzii mobilnej aplikácie. Proces bude prebiehať tak, že pri autorizovaní platieb na internete príde klientom push notifikácia. Prostredníctvom nej sa prihlásia do svojej mobilnej aplikácie a cez PIN alebo biometriou autorizujú platbu.
- Ďalším spôsobom, ako môžu autorizovať platbu je prostredníctvom SMS správy a ePINu, ktorý nájdu vo svojej aplikácii alebo v internet bankingu.