ZANIMIVOSTI

Spletna plačila od zdaj z dodatnim preverjanjem identitete plačnika

urednik

Če smo do zdaj spletne nakupe opravljali večinoma na podlagi vpisa svojih kartičnih podatkov, je s 1.1.2021 stopila v veljavo ureditev, po kateri bo za večino plačil na daljavo potrebna močnejša overitev naše identitete. Brez okrepljene ravni zaščite bo banka plačilo imetnika kartice zavrnila.

V ZPS podpiramo uvedbo novih varnostnih standardov, a hkrati menimo, da bi vsi potrošniki morali imeti možnost izbire različnih načinov potrjevanja svoje identitete, med njimi tudi takšnega, ki ne zahteva uporabe pametnega telefona.

Zakaj nov mehanizem močne avtentikacije?

Sprememba izhaja iz direktive Evropske unije o plačilnih storitvah (PSD2), ki od bank in drugih ponudnikov plačilnih storitev zahteva uporabo mehanizma močne avtentikacije strank (SCA – Strong Customer Authentication), kadar te dostopajo do plačilnega računa prek spleta ali opravljajo spletno plačilo.

Glavni cilj zahteve je povečati varnost spletnih transakcij z uporabo močnejših načinov za preverjanje identitete potrošnikov. Pri tem direktiva dovoljuje nekatere izjeme, pri katerih ni treba izvesti močne avtentikacije, med njimi so denimo plačila majhnih vrednosti ali plačila zaupanja vrednim prejemnikom.

Kako deluje nov varnostni standard?

Nov varnostni standard preverjanja identitete potrošnikov temelji na uporabi najmanj dveh ali več elementov, ki so kategorizirani kot:

  • znanje: nekaj, kar ve samo uporabnik, npr. statično geslo, PIN-koda
  • posedovanje: nekaj, kar je v izključni lasti uporabnika, npr. mobilni telefon
  • neločljiva povezanost z uporabnikom: nekaj, kar uporabnik je, biometrična značilnost, npr. prstni odtis.

Elementi morajo biti med seboj neodvisni, tako da morebitna kršitev enega ne zmanjšuje zanesljivosti drugega. Šele ko je preverjanje identitete plačnika uspešno izvedeno, je transakcijo mogoče dokončati.

Kaj bo drugače pri uporabi spletnih plačilnih storitev?

Odločitev o uporabi konkretnega varnostnega elementa močne avtentikacije je prepuščena posameznemu ponudniku plačilnih storitev, pomembno vlogo pa bodo pri tem nedvomno imeli pametni telefoni, saj so številni opremljeni s tehnologijo, ki izpolnjuje nova pravila preverjanja.

spletna-placila-1

Aplikacija, nameščena na telefonu, predstavlja kategorijo posedovanja (nekaj, kar imaš), uporaba biometrije pa kategorijo neločljive povezanosti (nekaj, kar si).

Ob tem se pojavi neizogibno vprašanje, kako bodo v ta evolucijski varnostni projekt vključeni potrošniki, ki ne uporabljajo pametnega mobilnega telefona ali ga ne znajo uporabljati.

Alternativne rešitve so, vprašanje pa je, ali jih bodo banke in hranilnice svojim komitentom omogočile.

Kakšne rešitve bodo ponudile naše banke?

O tem, katere metode močne avtentikacije bodo imeli na voljo komitenti pri kartičnih plačilnih transakcijah in ali so med njimi tudi takšne, ki ne predvidevajo uporabe pametnih telefonov, smo povprašali slovenske banke in hranilnice.

Addiko Bank

V banki Addiko je močna identifikacija uvedena v vseh plačilnih kanalih, v skladu z zahtevami bo nadgrajena tudi za spletna plačila, pri katerih se za potrjevanje uporablja storitev 3-D Secure.

Njihovi komitenti, ki ne uporabljajo mobilne banke ali nimajo pametnega telefona, bodo lahko močno identifikacijo spletnega plačila opravili s kombinacijo prijave na posebni spletni strani in z uporabo enkratne kode, ki jo bodo prejeli s sporočilom SMS na svoj mobilni telefon.

Banka Intesa Sanpaolo

Banka Intesa Sanpaolo svojim komitentom omogoča močno avtentikacijo pri spletnih nakupih z uporabo čitalnika kartic (OTP), z mobilno denarnico Wave2pay (za uporabnike sistemov Android) in z novo aplikacijo mobilnega bančništva (za uporabnike sistemov Android in iOS). Za komitente, ki pri spletnih nakupih uporabljajo kartice za plačilo blaga in storitev ter niso uporabniki pametnega telefona, je omogočena močna avtentikacija z uporabo čitalnika kartic.

Banka Sparkasse

Banka Sparkasse bo močno avtentikacijo potrjevanja spletnih kartičnih nakupov podprla v mobilni banki. Uporabnik bo na mobilno napravo prejel potisno sporočilo, da je potrebna potrditev nakupa v mobilni banki M.Stik. Ob odprtju obvestila bo uporabnik preusmerjen v mobilno banko, ob tem bo potreben vpis z vnosom PIN-kode ali biometričnega podatka, da se lahko nakup dejansko potrdi.

Če ima uporabnik onemogočena potisna sporočila, se lahko registrira v M.Stik in tam potrdi ali zavrne transakcijo. V M.Stiku se bodo uporabniku prikazali podatki o transakciji (maskirana številka kartice, naziv prodajnega mesta, znesek ter datum in čas transakcije), kjer bo lahko potrdil ali zavrnil nakup. Za zaključek potrditve bo treba vnesti PIN-kodo ali biometrični podatek. Na vprašanje, ali bodo zagotovili tudi katero od rešitev, ki ne predvideva uporabe pametnih telefonov, niso odgovorili.

BKS Bank

V BKS Bank bodo močno avtentikacijo pri kartičnih spletnih nakupih omogočili z uporabo dveh metod. Imetniki pametnih telefonov bodo varno spletno nakupovanje opravili z uporabo mobilne aplikacije Rekono OnePass. Uporabniki, ki nimajo pametnega telefona oziroma ne želijo uporabljati mobilne aplikacije Rekono OnePass, bodo lahko za varne spletne nakupe uporabili alternativno rešitev Rekono SMS OTP.

V tem primeru bo uporabnik po preverbi podatkov o nakupu nakup potrdil z vnosom osebnega gesla, ki si ga je predhodno nastavil ob vklopu storitve Rekono SMS OTP, in z vnosom enkratnega varnega gesla, ki ga je prejel v SMS-sporočilu na svojo mobilno številko.

Delavska hranilnica

Delavska hranilnica bo močno avtentikacijo pri kartičnih spletnih plačilih zagotavljala v okviru svoje mobilne denarnice DH Denarnik. Obenem načrtujejo, da bo imetniku kartice na voljo tudi alternativni mehanizem močne avtentikacije, ki ne bo pogojen z uporabo pametnega mobilnega telefona.

Deželna banka Slovenije

V Deželni banki Slovenije so zapisali, da pri izvajanju spletnih nakupov zagotavljajo močno avtentikacijo stranke z uporabo generatorja enkratnih gesel in plačilne kartice ter vnosom PIN-številke.

Gorenjska banka

Komitentom Gorenjske banke bosta pri kartičnih plačilnih transakcijah na voljo dve mobilni aplikaciji, Link m in HID Approve, ki bosta zagotavljali varnejša plačila pri plačevanju prek spleta z uporabo pametnega telefona. Na vprašanje, ali bodo zagotovili tudi katero od rešitev, ki ne predvideva uporabe pametnih telefonov, nismo dobili odgovora.

Nova KBM

Postopek potrditve spletne transakcije pri Novi KBM bo temeljil na uporabi njihove mobilne denarnice, ki so jo uvedli konec lanskega leta in vključuje sistem močne avtentikacije strank. V odgovoru so dodali, da bodo v prihodnje razmislili tudi o alternativni možnosti. Enako pojasnilo smo prejeli tudi za komitente pridružene Abanke.

NLB

Pri NLB so zapisali, da imajo uporabniki njihove mobilne denarnice NLB Pay na voljo dve možnosti potrditve spletnega nakupa, ki zagotavljata močno avtentikacijo.

Prva je potrditev plačila z biometrijo v mobilni denarnici, če njihova naprava omogoča prepoznavo biometričnih podatkov. Druga možnost je potrditev plačila s štirimestnim geslom v mobilni denarnici, če imetnik nima pametnega telefona, ki omogoča prepoznavo biometričnih podatkov.

Če imetnik kartice ne bo imel pametnega telefona, se bo lahko brezplačno registriral v spletni aplikaciji Rekono.si, v katero bo vnesel več podatkov: elektronski naslov, vstopno geslo, ki ga je določil ob prvi registraciji, ime, priimek, davčno številko in svoj stalni naslov. Ob vsaki izvedbi spletnega plačila bo na svoj mobilni telefon preje geslo OTP, ki ga bo vnesel v spletno aplikacijo Rekono in s tem potrdil plačilo.

Sberbank

V Sberbank so zapisali, da je prednostna metoda za potrjevanje spletnih nakupov prek potisnega sporočila, prejetega v mobilno banko, in avtentikacija z biometrijo ali PIN/geslom. Za vse uporabnike, ki nimajo mobilnih telefonov, je še vedno na voljo potrjevanje s čitalnikom kartic OTP, pri čemer bo treba za pridobitev enkratnega gesla za potrditev v čitalnik namesto pozivne številke vnesti kodo trgovca in znesek transakcije.

SKB banka

V SKB bodo močno avtentikacijo strank omogočili z mobilno banko MOJ@SKB. Komitentom, ki je nimajo, naj bi bila zagotovljena možnost avtentikacije prek samostojne mobilne aplikacije. Na vprašanje, ali bodo zagotovili tudi katero od rešitev, ki ne predvideva uporabe pametnih telefonov, v banki niso odgovorili.

UniCredit banka

Pri UniCredit pojasnjujejo, da bo za potrditev spletnih plačil in nakupov na prodajnih mestih 3-D Secure obvezna mobilna banka, z uporabo PIN-kode ali biometričnega podatka, npr. prstni odtis ali obraz. Na vprašanje, ali bodo zagotovili tudi katero od rešitev, ki ne predvideva uporabe pametnih telefonov, niso odgovorili.

Avtor: Marko Tretnjak

 bs

 

VIR: ZPS.SIFOTO: ZPS.SI

Sorodni članki:

Od 18. oktobra višji znesek pri brezstičnem plačevanju brez PIN-a Veš kaj ješ: z zdravo malico lažje zdržimo do kosila Prihaja aplikacija Flik, skupen projekt vseh slovenskih bank in hranilnic Nižja cena, a tudi več mogočih zapletov – Nakup rabljenega avtomobila v tujini