Od soboty platí v Evropské unii nové bezpečnostní standardy pro platby kartou. Podle nich nestačí pro ověření platby přes internet jen opsat čísla z platební karty a ověřit je pomocí kódu zaslaného majiteli karty prostřednictvím SMS. Každé platbě by nově mělo předcházet takzvané silné ověření tvořené kombinací dvou bezpečnostních prvků. Ty se vybírají celkem ze tří kategorií. První je "znalost", což je typicky PIN nebo heslo. Další je "držení", tedy pomocí ověřovací SMS zprávy, a poslední je "biometrie" neboli potvrzení otiskem prstu či skenem obličeje.

Při platbě kartami vydanými českými bankami se s novinkou ale lidé zatím nesetkají. Důvod je jednoduchý − tuzemské finanční instituce ji nestihly zavést včas. Ty nejrychlejší plánují na silné ověření u plateb kartou v e-shopech přejít do konce roku.

"Změnu potvrzování plateb kartou na internetu plánujeme spustit letos na podzim. Přesný termín v tuto chvíli ještě nemáme," říká mluvčí AirBank Jana Karasová. Ještě letos by měla na silné ověřování klientů při platbě kartou na internetu přejít také Komerční banka. Avšak ani ona zatím nemá jasno v tom, kdy přesně to bude. Banka, kterou používá nejvíce Čechů, tedy Česká spořitelna, pak plánuje bezpečnější ověřování zavést až příští rok.

"Nová regulace ověření platby prostřednictvím údajů z karty a SMS ve své podstatě zakazuje. Ale my jsme si jistí, že dokážeme zákazníka v případě zneužití karty odškodnit," říká Jan Dachovský, který v České spořitelně odpovídá za rozvoj nové mobilní aplikace George klíč, která umožní biometrické ověřování plateb.

Pro ověření platby v e-shopu podle nových bezpečnostních pravidel nestačí opsat čísla z karty a kód z SMS zprávy.

Banky obviňují Brusel

Podobně velké zpoždění jako Česká spořitelna nabrala při zavádění novinky i ČSOB − co do počtu klientů dvojka na tuzemském bankovním trhu. Také ona plánuje svůj ČSOB Smart klíč umožňující biometrické ověření platby začít používat až v příštím roce. "Do poslední chvíle nedaly kompetentní orgány jasný výklad, které metody jsou v souladu s nařízením a které ne," omlouvá zpoždění Michaela Průchová z ČSOB.

Schvalování bezpečnostních standardů − takzvaných RTS − skutečně provázely průtahy. Původně se čekalo, že vstoupí v účinnost společně se směrnicí o platebním styku, z níž vychází. Ta už platí od ledna loňského roku. Jenže standardy se nepodařilo včas připravit. Evropský orgán pro bankovnictví sice finální verzi představil už v únoru 2017, dlouho se ale čekalo na její schválení Evropskou komisí a Evropským parlamentem. Ve sbírce evropských předpisů nakonec schválená verze vyšla až loni v březnu. A teprve od tohoto data začala běžet rok a půl dlouhá lhůta, během níž se měly finanční instituce na nová pravidla připravit.

Ani to ale neznamenalo definitivní vyjasnění toho, co silné ověření on-line plateb kartou znamená. "Standardy sice byly dlouho známy, ale chyběla jejich oficiální interpretace. Výsledkem bylo, že si je všichni vykládali tak, jak chtěli a potřebovali," vysvětluje partner advokátní kanceláře Rowan Legal Josef Donát. Teprve letos na sklonku června vydal Evropský orgán pro bankovnictví oficiální stanovisko, v němž jednoznačně prohlásil, že ověření pomocí údajů opsaných z karty a SMS novému standardu neodpovídá.

Omluvenka od centrálních bankéřů

Za nedodržení nových pravidel může Česká národní banka, která dohlíží na český finanční sektor, finan­ční instituce pokutovat. "Nejvyšší možné sankce mohou dosáhnout až dvojnásobku neoprávněného prospěchu nebo 10 procent čistého ročního obratu," upozorňuje advokát Allen & Overy Tomáš Kirner. Při dlouhodobém nedodržování právních předpisů může centrální banka odebrat licenci.

ČNB se ale rozhodla, že nepřipravenost bankovnímu sektoru tentokrát promine. Bojí se totiž následků, které by důsledné vymáhání pravidel mohlo mít pro internetový byznys. "Případná nepřipravenost poskytovatelů by neměla omezit možnost jejich klientů platit na internetu," upozorňuje Petra Vodstrčilová z České národní banky a dodává: "Bankám poskytneme dodatečnou lhůtu pro dosažení souladu s platnou právní úpravou."

O jak dlouhou lhůtu se jedná, zatím není jasné. Česká národní banka ji stanoví až poté, co bude znát stanovisko Evropského orgánu pro bankovnictví.

E-shopy se strachují o výdělek

Nové technické standardy mají zajistit větší bezpečnost plateb na internetu. "Odcizením platební karty tak nedojde k získání jednoho z prvků ověření klienta," vysvětluje Kirner. Paradoxně ale může novinka placení také zkomplikovat. Biometrické ověření totiž neumožní každý telefon. "Kdo nemá chytrý telefon, nebude si moci nainstalovat autorizační aplikaci," varuje Josef Donát z Rowan Legal.

Provozovatelé e-shopů pak kritizují zejména to, že jejich zákazníci budou muset pro zaplacení udělat víc kroků, než byli doposud zvyklí. Údaje opsané z karty se totiž budou dál s největší pravděpodobností používat pro identifikaci bankovního účtu konkrétního zákazníka. Pak budou následovat dva ověřovací kroky. "Zvýšená náročnost plateb bude minimálně ze začátku pro e-shopy znamenat možné snížení počtu dokončených nákupů při použití on-line plateb," upozorňuje výkonný ředitel Asociace pro elektronickou komerci Jan Vetyška.

Podle údajů srovnávače Heureka loni zákazníci zaplatili kartou on-line zhruba každou čtvrtou objednávku. A karty měly dosud nakročeny k tomu, aby o prvenství při placení připravily nejpopulárnější způsob placení objednávek z internetových obchodů − dobírku. "Případné problémy s placením kartou on-line mohou e-commerce vrátit zbytečně o krok zpět," uzavírá Vetyška.

Související