PSD2 – jen heslo už nestačí. Budou nákupy na e-shopech složitější?
Podle průzkumu společnosti Visa v USA jsou spotřebitelé metodám biometrického ověřování otevřeni a dokonce je vnímají jako rychlejší a bezpečnější alternativu k běžným heslům. Přes 83 % respondentů zajímá při ověřování identity možnost využití otisku prstů a 59 % biometriku již zná.
Letošní změny se primárně týkají poskytovatelů platebních služeb. I provozovatelé internetových obchodů by se ale měli včas připravit na dotazy od zákazníků, protože SCA přinese náročnější ověření, než na které byli spotřebitelé doposud zvyklí. Nové řešení využívá kombinace dvou různých faktorů. Zákazník použije něco svého (např. karta) v kombinaci s něčím, co zná jen on (např. PIN) nebo s něčím jedinečným jako je třeba otisk prstu. Vše je nastavené tak, aby pohodlí zákazníků nebylo nijak narušeno. Samotné metody nejsou pro zákazníky ničím převratným, ale od září už to bude u online nakupování běžný standard.
„Po zapracování požadavků evropských směrnic budou platby zabezpečeny dvoufaktorovým ověřením. Takové ověření vychází z faktorů jako jsou místo a typ obchodníka či historie předchozích plateb a velikost transakce, a používá biometrickou identifikaci. Jde nám především o to, aby i další kroky ověření byly pro klienta co nejpohodlnější,” uvedl Marcel Gajdoš, generální ředitel Visa pro Českou republiku a Slovensko.
Většina potřebné infrastruktury pro zabezpečení už dávno existuje. Zákazníci pravidelně používají jednorázové kódy například pro přihlašování do internetového bankovnictví. Vylepšená forma inteligence 3D Secure 2.0. navíc dokáže vyhodnocovat desetkrát větší objem dat než předtím. To umožňuje nerušeně rozpoznávat rizika plateb, aniž bychom museli zákazníka žádat o něco dalšího.
Jen přístupová hesla ale k ověření transakcí na internetu nestačí. Pomůcky pro zapamatování často zahrnují jejich zapisování a zákazníci mnohdy využívají univerzální hesla pro všechny účty nebo snadno uhodnutelné formulace. To je činí lehce napadnutelnými. Podle bezpečnostní agentury SplashData jsou dvě nejčastěji používaná hesla číselná řada „123456” a slovo „password“ (heslo).
„Existují především dva důvody, proč bychom měli zákazníka žádat o další aktivitu. Buď pro získání stoprocentní jistoty ohledně identity držitele karty, nebo při neobvyklé aktivitě, která by poukazovala na možný podvod. V prvním případě potřebujeme použít nástroj, který bude dostatečně věrohodný pro zákazníky. V tom druhém musíme najít takové opatření, které nepřekoná žádný podvodník,“ řekl Mark Nelsen, viceprezident divize Risk and Authentication Products, Visa. „Ani v jednom případě nám obyčejné heslo nepomůže. Otázka tedy není, zda je dvojí ověření vhodné, ale spíše jakou metodu zabezpečení zvolit. V současnosti se jako hlavní nástupci hesel jeví jednorázové přístupové kódy a biometrické údaje”.
Platební styk by měl být co nejplynulejší, a tak má SCA i své výjimky pro nízkorizikové situace, kdy ověření není vyžadováno. Konkrétně se jedná o:
- Transakce s nízkou hodnotou: některé platby, například za ranní kávu po cestě do práce, musí proběhnout snadno a rychle. Proto není SCA zapotřebí u transakcí pod 30 eur. To se týká většiny bezkontaktních plateb. Aby se regulace nevymkla kontrole, musí se banky ujistit a zkontrolovat držitele karet vždy po páté transakci a když bezkontaktní platba přesáhne 150 eur.
- Běžné platby: z historie našich plateb lze zjistit u koho a v jakou denní dobu nakupujeme nebo kolik utrácíme. Rozluštit a napodobit platební zvyky je nesmírně složité, a pokud se něčí platby vychýlí z běžných parametrů, může to signalizovat podvod. Pokročilé technologie jako je 3D Secure umožňují nám i bankám vyhodnotit každou transakci a odhalit podvod včas. Říká se tomu analýza transakčních rizik.
- Platby u důvěryhodných prodejců: jednoduše se můžeme zeptat spotřebitelů, kterým obchodům důvěřují. Když spotřebitel pravidelně nakupuje v nějakém obchodě, uvede ho na seznam u své banky. Tím nám vlastně říká, že kartou platí skutečný majitel. To znamená, že k povinnému ověření dojde pouze tehdy, když se s transakcí děje něco neobvyklého (např. nezvykle vysoká částka).
- Firemní platby: Různé společnosti obvykle používají interní předpisy pro placení firemní kartou, když si třeba zaměstnanec rezervuje služební cestu. Vzhledem k tomu, že takové platby už podléhají přísným kontrolám, jsou považovány za nízkorizikové a SCA tak u nich není vyžadováno.