PSD2 je opatření, které napomáhá držitelům karet ještě k větší bezpečnosti při platbách kartou zejména na internetu. Pro uživatele díky zavádění nových technologických standardů přinese možnost pohodlného placení s ověřením pomocí biometrie a v budoucnu i jednodušší nákupy v aplikacích obchodníků bez komplikovaných přesměrování mezi aplikacemi. Plné využití všech těchto výhod bude dosaženo postupně. Nicméně již počáteční opatření zajišťují držitelům karet Mastercard, že i nadále budou moci pohodlně a s vyšším bezpečím platit za své nákupy. Platby kartou tak zůstávají stále tím nejpohodlnějším způsobem placení.
Povinnost použití vyššího stupně ochrany při platbách kartou na internetu i v kamenných prodejnách zavádí s platností od 14. září nová směrnice EU nazvaná Payment Service Directive 2 (PSD2). Zvýšení zabezpečení je postaveno na zavedení tzv. dvoufaktorového ověření držitele karty. To znamená, že banky, které vydávají platební karty, musí platbu kartou nově ověřit vždy pomocí dvou na sobě nezávislých autentizačních faktorů, tedy “identifikátorů” spotřebitele, které jej prokazatelně určují.
Podle směrnice je možné použít libovolné dva ze tří možných na sobě nezávislých autentizačních faktorů, kterými jsou:
Směrnice PSD2 rovněž specifikuje možnosti výjimek ze silné autentizace, tj. situace, kdy nemusí být spotřebitel ověřován pro usnadnění procesu nákupu s ohledem na nízké riziko podvodu a současně na obtížnou nebo nemožnou proveditelnost tohoto ověření. Nejdůležitějšími výjimkami jsou:
- pro platby na internetu:
- hodnota do 30 eur pro maximálně pět po sobě jdoucích plateb nebo nákupy v celkové hodnotě do 100 eur
- hodnoty od 30 eur do 500 eur, u které je pomocí transakční analýzy identifikováno nízké riziko podvodu
- pro bezkontaktní nákupy na prodejnách maximálně pět transakcí do 50 eur nebo v celkové hodnotě do 150 eur
- platby za jízdenky a parkovné na neobsluhovaných terminálech
Zavedení těchto nových pravidel přináší do celého systému plateb kartou nutnost nasazení změn nejen u bank vydávajících karty, ale i na straně obchodníků nebo jejich poskytovatelů platebních řešení. Změny u obou stran se už zavádějí, nicméně v oblasti nákupů na internetu bylo po celé EU bankovními ústavy i zástupci obchodníků indikováno, že potřebné změny budou trvat déle. Z tohoto důvodu bylo na úrovni Evropské bankovní autority (EBA), která směrnici vydala, doporučeno centrálním bankám nebo dohledovým autoritám členských států poskytnout přechodné období pro nasazení potřebných úprav.
„V současné době se již většina členských států včetně České republiky vyjádřila pro podporu zavedení dodatečného období. Stanovení přechodného období je v současné době v projednávání na evropské úrovni, jelikož je nutné zajistit jednotnou lhůtu, aby se harmonizovalo zavedení napříč všemi členskými státy,“ uvedl Luděk Slouka, ředitel rozvoje produktů a inovací Mastercard pro Českou republiku, Slovensko a Rakousko.
Od přechodného období se očekává, že poskytne dodatečné období pro nasazení vyššího stupně ochrany při platbách kartou pro nákupy na internetu. „Prakticky to znamená, že banky i obchodníci budou moci realizovat transakce stejně jako dnes a současně s tím nasazovat a zavádět nové nástroje, jako jsou mobilní aplikace pro ověření biometrie, implementovat systémy transakční analýzy a řadu dalších opatření, o kterých již držitele karet začali informovat,“ vysvětlil Luděk Slouka. Zavádění a nasazování se bude průběžně uskutečňovat v největší míře do konce letošního roku.
Ve světě bezkontaktních nákupů na prodejnách, kde je implementace změn jednodušší a přípravy už jsou takřka u konce, se zavedení přechodného období ze strany EBA neaplikuje. V současné době je nejvíce diskutovaným tématem zda nedojde k zamítání transakcí na platebních terminálech po 14. září z důvodu naplnění limitu pěti transakcí do 50 eur nebo při dosažení celkové hodnoty 150 eur. Důvodem je, že všechny platební terminály po celé Evropě musí být upraveny tak, aby při dosažení limitu, který nově signalizuje vydavatelská banka, musí tomuto signálu rozumět tak, aby zákazníkovi zobrazil žádost o zadání PIN.
Zavedení tohoto nového signálu resp. parametru do terminálů se věnují poskytovatelé a správci terminálů, kteří jsou schopni tuto úpravu realizovat na dálku. Ve výjimečných případech může úprava vyžadovat osobní návštěvu technika. V těchto výjimečných případech se může v dočasném období několika týdnů po 14. září i stát, že malé množství terminálů transakci zamítne. Obsluha terminálu v takovém případě vyzve držitele karty k zopakování platby pomocí vložení platební karty do terminálu, který si vyžádá zadání PIN. Pro platby realizované pomocí mobilních telefonů a chytrých hodinek k tomuto zamítání nedojde vzhledem k ověření uživatele už na daném zařízení.
V městské hromadné dopravě nebo u parkování, kde jsou rozšířené bezkontaktní terminály i bez klávesnice, a tedy není možné kartu vložit a zadat PIN, se uplatňuje výjimka ze silné autentizace, kterou na své straně identifikuje vydavatel karty. „Podle průběžného monitoringu jsou naši vydavatelé připraveni na aplikaci této výjimky, a proto neočekáváme komplikace při platbách u dopravců a provozovatelů parkovišť. V případě, že by k problémům došlo, doporučujeme držiteli karty kontaktovat svou banku. Pro okamžité řešení situace doporučujeme použít jinou kartu včetně karty v mobilním telefonu nebo hodinkách,“ doplnil Luděk Slouka.