S 1. januarjem bo pri plačilih na spletu obvezna uporaba dveh od treh varnostnih elementov, ki dokazujejo, da je plačnik imetnik plačilne kartice. Na spletnih prodajnih mestih znotraj EU tako ne bo več zadostovalo potrjevanje z enkratnim geslom, prejetim po SMS.
Kot so spomnili v Združenju bank Slovenije, je EU z direktivo o plačilnih storitvah, ki jo je v pravni red prenesla tudi Slovenija, omogočila širitev inovacij na tem področju in sprejela ukrepe za večjo zaščito spletnih plačil.
Direktiva med drugim narekuje, da se pri kartičnih plačilnih transakcijah z vsemi plačilnimi karticami, tako fizičnih kot tudi pravnih oseb, zaradi strožjih varnostnih zahtev do 1. januarja 2021 za preverjanje pristnosti imetnika kartice uvede močna avtentikacija. Njeni varnostni elementi so nekaj, kar veste (geslo, koda PIN ali odgovor na varnostno vprašanje), nekaj, kar imate (pametni telefon ali druga mobilna naprava), in nekaj, kar ste (prstni odtis, roženica, obraz, glas).
ZPS: Korak k večji varnosti, a potrošniki morajo imeti možnost izbire
Marko Tretnjak iz ZPS pravi, da podpirajo uvedbo novih varnostnih standardov, saj predstavljajo pomemben korak k večji varnosti potrošnikov pri spletnih plačilih. Hkrati pa opozarjajo na omejeno možnost izbire načina potrjevanja svoje identitete, saj bo postopek pri marsikateri banki temeljil predvidoma le na uporabi pametnih telefonov, z naloženo aplikacijo za mobilno bančništvo, s čimer bo potrošnikom, ki iz različnih razlogov nimajo pametnega telefona ali pa ga ne znajo uporabljati, onemogočen dostop do spletnih nakupov.
"Naše stališče je v tem pogledu jasno, vsi potrošniki bi morali imeti možnost izbire, med njimi tudi takšno, ki ne zahteva aplikacije za mobilno bančništvo in uporabe pametnega telefona." Poudarja, da alternativne rešitve obstajajo, a je vprašanje, ali jih bodo vse banke in hranilnice svojim komitentom omogočile. Potrošnikom svetujejo, da pri svoji banki preverijo nova pravila in po potrebi razmislijo tudi o menjavi banke, če jim ta ne omogoča dostopa do spletnih nakupov brez uporabe pametnega telefona.
Kako bodo banke poskrbele za spremembe?
Rešitve in načini izvajanja avtentifikacije bodo torej pri bankah in hranilnicah različni, zato smo na nekaj bank poslali vprašanje, kako se pripravljajo in obveščajo svoje komitente.
V NLB pojasnjujejo, da novi standardi zahtevajo, da identiteto plačnika ob izvedbi plačila prek spleta potrdijo z vsaj dvema od treh načel po sistemu močne avtentikacije imetnikov kartic (SCA):
– z nečim, kar pozna zgolj stranka (geslo, številka PIN ali odgovor na varnostno vprašanje),
– z nečim, kar ima zgolj stranka (pametni telefon ali druga mobilna naprava), in
– in z nečim, kar je zgolj stranka (biometrični podatki, kot so prstni odtis, roženica, obraz ali glas).
Dodajajo, da strankam že zdaj omogočajo potrjevanje spletnih nakupov na način, ki ustreza novim standardom. Stranke lahko spletni nakup potrdijo kar v mobilni denarnici NLB Pay. Če pametni telefon, na katerem imamo naloženo mobilno denarnico NLB Pay, omogoča prepoznavo biometričnih podatkov (torej prstni odtis, prepoznava obraza oz. šarenice), lahko spletni nakup tudi potrdimo z uporabo prepoznave biometrije. V tem primeru torej zadostujemo vsaj 2. in 3. načelu močne avtentikacije. Če pa telefon ne omogoča prepoznave biometričnih podatkov, pa zadostuje tudi potrditev plačila v NLB Pay z vnosom številčnega gesla, ki ga uporabljamo za vstop v aplikacijo NLB Pay. V tem primeru zadostujemo vsaj 1. in 2. načelu močne avtentikacije.
Pravijo, da so stranke že in jih še bodo obveščali. Uporabili so različne kanale – vse od direktne komunikacije prek e-pošte, SMS, klicev do oglaševanja – vsem pa je skupno ključno sporočilo, da so spletna plačila zdaj še varnejša in enostavnejša z uporabo mobilne denarnice NLB Pay.
V Novi KBM odgovarjajo, da so že v novembru uvedli aplikacijo mDenarnic@, mobilno denarnico, ki omogoča plačevanje z digitaliziranimi karticami Visa prek mobilnega telefona. Stranke bodo prek potisnega sporočila preusmerjene na potrditev nakupa v mDenarnic@, zato jim svetujejo, da si naložijo brezplačno aplikacijo mDenarnic@, ki jim je na voljo v trgovinah z aplikacijami na mobilnih telefonih. O novostih so svoje komitente že obvestili in jih bodo še obveščali.
V BKS odgovarjajo, da potekajo priprave na uvedbo dveh rešitev v okviru storitve Rekono 3D Secure, ki bosta imetnikom kartic omogočali varno spletno nakupovanje nove generacije v sklopu uporabe storitve Mastercard ID Check (poimenovan tudi 3D Secure 2.0).
V prvi fazi (s 1. 1. 2021) bo za potrjevanje spletnih plačil imetnikom kartic na voljo mobilna aplikacija Rekono OnePass, z uporabo katere bo imetnik kartice plačilo spletnega nakupa potrdil na podlagi prejetega potisnega sporočila. Po preverjanju podatkov o nakupu v prejetem potisnem sporočilu imetnik kartice nakup potrdi z vnosom PIN ali biometričnimi podatki (prstni odtis, prepoznava obraza), ki si jih je nastavil ob registraciji mobilne aplikacije Rekono OnePass in aktivaciji računa Rekono za izvajanje potrjevanja 3D Secure spletnih nakupov.
V drugi fazi (konec januarja 2021) pa bodo v banki imetnikom kartic, ki nimajo pametnega telefona oziroma ne želijo uporabljati mobilne aplikacije Rekono OnePass, ponudili alternativno rešitev Rekono SMS OTP. V tem primeru bo imetnik kartice plačilo spletnega nakupa potrdil z vnosom statičnega gesla, ki si ga bo moral nastaviti ob aktivaciji storitve 3D Secure potrjevanje spletnih nakupov v okviru nadzorne plošče računa Rekono, in enkratnim geslom, ki ga bo prejel v SMS na svoj mobilni telefon.
Poudarjajo pa, da je banka trenutno ravno v fazi menjave procesnega centra in menjave kreditnih kartic, kar namerava izvesti v mesecu januarju 2021. Tako bodo bančni komitenti, v obdobju do prejema novih kreditnih kartic, za potrjevanje plačil spletnih nakupov z obstoječimi karticami izvajali na obstoječi nespremenjen način. Ob prejemu nove kartice in njeni aktivaciji pa bodo za potrjevanje spletnih nakupov potrebovali eno od rešitev v okviru storitve Rekono 3D Secure.
Komitente obveščajo prek svojih digitalnih kanalov, z informacijami na izpiskih in z objavo novosti na njihovi spletni strani.
V Delavski hranilnici bodo uporabniki potrjevanje plačil na spletu izvajali v mobilni denarnici DH Denarnik, ki zagotavlja t. i. močno avtentikacijo.
O spremembi so komitente že obvestili in jih stalno obveščajo, tako prek internih kanalov kot z oglaševanjem na spletu. Nova storitev že deluje, mnogi komitenti pa jo tudi že aktivno uporabljajo, pojasnjujejo.
V banki Sparkasse bodo podprli avtentikacijo v mobilni banki M.Stik. Stranka bo na mobilno napravo prejela potisno sporočilo, da je potrebna potrditev nakupa v M.Stiku. Po kliku na obvestilo bo stranka preusmerjena v mobilno banko. Za vpis bo potrebovala vnos PIN-kode ali biometričnega podatka. Če ima stranka onemogočena potisna sporočila, se lahko vpiše v M.Stik in v meniju "Potrdi plačilo" potrdi ali zavrne transakcijo. V M.Stiku se bodo stranki prikazali podatki o transakciji (maskirana številka kartice, naziv prodajnega mesta, znesek ter datum in čas transakcije), kjer bo stranka lahko potrdila ali zavrnila nakup, za zaključek potrditve pa bo treba ponovno vnesti PIN-kodo ali pa biometrični podatek.
Stranke že obveščajo znotraj rednih mesečnih obvestil in z obvestili na spletni strani.
"Ravnajte skrbno in odgovorno"
"Tako fizičnim kot pravnim osebam svetujemo, da pri opravljanju plačil s kartico, mobilnim telefonom, tablico in z gesli ravnate skrbno ter odgovorno, saj boste le tako preprečili morebitno nepooblaščeno uporabo tretjim osebam," pa še svetujejo v Združenju bank Slovenije.
KOMENTARJI (148)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.