Co je silné ověření klienta (SCA) a jak ovlivní platby na internetu

Silné ověření klienta (SCA)

Nedávno jsme psali o „revoluci v placení na internetu“ v souvislosti se službou Google Pay. Další revoluce – tentokrát legislativní – nás čeká již za pár dní. Je jí tzv. silné ověření klienta neboli Strong Customer Authentication (SCA).

Co znamená silné ověření, jak funguje a jaké praktické důsledky z něj vyplývají, se dozvíte v tomto článku.

Co je SCA?

SCA je zákonná regulace, která vyžaduje při určitých platebních transakcích (zejména u plateb kartou na internetu) ověření totožnosti zákazníka minimálně dvěma nezávislými způsoby.

U plateb, které nevyhoví tomuto požadavku, hrozí, že nebudou bankou zpracovány.

Právní pozadí a důvody vzniku

Pro hlubší pochopení je potřeba vrátit se o pár let zpátky, kdy spatřila světlo světa směrnice EU 2015/2366 o platebních službách na vnitřním trhu (známá většinou pod zkratkou PSD2).

Mezi hlavní cíle této směrnice patří vytvoření zdravého tržního prostředí, posílení konkurence a podpora inovací v sektoru finančních služeb. PSD2 mimo jiné otvírá finanční trh pro nové hráče tím, že ukládá bankám povinnost zpřístupnit data svých klientů třetím stranám prostřednictvím API.

Ruku v ruce s tím ovšem rostou nároky na ochranu citlivých dat a práv spotřebitele. Silné ověření identity klienta při platebních transakcích má posílit a sjednotit bezpečnostní standardy a zajistit jejich dodržení i u nově příchozích poskytovatelů služeb, často nebankovních institucí a start-upů.

Do české legislativy bylo SCA zapracováno Zákonem č. 370/2017 Sb. o platebním styku.

Jak SCA funguje?

SCA prakticky znamená, že poskytovatelé platebních služeb musí u online plateb ověřit identitu zákazníka na základě minimálně dvou nezávislých bezpečnostních prvků.

Tyto prvky mohou spadat do následujících kategorií:

  • znalost – „něco, co znám“ (např. heslo, PIN nebo ověřovací otázka)
  • držení – „něco, co mám“ (např. platební karta, mobilní telefon apod.)
  • inherence – „něco, co jsem“ (např. otisk prstu, obličej, hlas apod.)

Tam, kde doposud klientovi stačilo zadat číslo platební karty, datum její expirace a CVV kód, bude proces zpracování platby rozšířen o další krok, kdy bude muset klient potvrdit svou totožnost pomocí dalšího bezpečnostního údaje.

A co 3D Secure?

Mohlo by se zdát, že pro splnění SCA stačí zažité ověření identity klienta pomocí zaslané autorizační SMS (3D Secure). Podle mnoha výkladů však toto zabezpečení není považováno za dostatečné.

Jde totiž o bezpečnostní prvek ze stejné kategorie jako platební karta použitá při platbě (faktor „držení“). V dnešní době, kdy se značná část platebních transakcí uskutečňuje pomocí mobilního telefonu, se tak snadno mohou oba bezpečnostní prvky setkat v jednom zařízení.

Výjimky z SCA

Nová legislativa přináší také několik výjimek z pravidla SCA.

U online plateb přicházejí v úvahu především tyto:

  • platby malých částek (částka platby není vyšší než 30 EUR a celková částka všech plateb od posledního silného ověření nepřesáhla 100 EUR nebo počet po sobě následujících plateb od posledního silného ověření nepřesáhl pět)
  • opakované platby (platby iniciované ze strany příjemce)
  • platby důvěryhodnému příjemci (příjemce musí být klientem předem schválen jako důvěryhodný)
  • platby mezi účty téže osoby
  • finanční transakce s nízkou mírou rizika (na základě analýzy transakčních rizik)

Co znamená SCA pro obchodníky?

Technická implementace SCA leží převážně na bedrech bank a poskytovatelů platebních služeb (platebních bran). Prodejců se tak ve většině případů změny přímo nedotknou. Nemusí tedy ve svých systémech a procesech nic měnit.

Na druhou stranu nelze zaručit, že všichni účastníci zpracování platby budou na SCA připraveni včas. Proto je na místě počítat s možným nárůstem počtu dotazů klientů a zamítnutých plateb, které nevyhoví novým pravidlům ověření.

Dobrou zprávou je, že po zavedení SCA se dá očekávat zvýšení bezpečnosti online transakcí a pokles podvodných plateb.

Jak se změní zpracování plateb ve FAPI?

FAPI online platby zpracovává pomocí nástrojů třetích stran – platebních bran. Realizace nezbytných úprav je tedy především na nich. Podle našich informací jsou spolupracující platební brány na změny již připraveny nebo potřebné kroky chystají.

Naším dlouhodobým záměrem ve FAPI je prodejní proces i platbu maximálně zjednodušit. I když se zdá, že nová zákonná opatření směřují spíše opačným směrem, určitě budeme hledat cesty (např. v rámci výše uvedených výjimek), jak placení v rámci aktuální legislativy prodejcům i jejich zákazníkům co nejvíce usnadnit.

Realita zavedení SCA

Výklady nové legislativy jsou v některých bodech nejednotné a také realizaci určitých zákonných požadavků provází řada otazníků. Kromě toho je dnes téměř jisté, že původně stanovený termín účinnosti SCA (14. 9. 2019) se na všech úrovních nepodaří dodržet.

Je pravděpodobné, že spousta okolností se bude ujasňovat až „za pochodu“, s tím, jak se budou jednotlivá opatření zavádět do praxe.

Situaci kolem SCA samozřejmě sledujeme a o dalším vývoji vás budeme informovat.

Komentáře
  1. Milan napsal:

    Prosím my budeme žádat pouze bankovní převod

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů