Jednou ze základních charakteristik doby, ve které žijeme, je jednoznačně digitalizace. Digitalizace je synonymem pro zrychlení, optimalizaci distribuce a komfort klienta. Digitalizace znamená poskytování služby a její konzumace v elektronické formě – a ve většině případů prostřednictvím otevřené komunikační sítě (internet).
Zásadní změnou, která vyvolala následný skok, se stal nástup chytrých telefonů (smartphonů) nastartovaný po roce 2010. Právě banky se jako první skupina poskytovatelů digitálních služeb na tento trend adaptovaly, což následně generovalo silnou digitální akceleraci dalších odvětví.
Mnohé lidské činnosti v době predigitální komunikace v sobě zahrnovaly potřebu specifických atributů. Tato potřeba s přechodem do digitálního (a mobilního) prostoru nemizí, v mnoha ohledech a z mnoha důvodů (např. masovost těchto služeb a rizika z ní plynoucí) se naopak spíše prohlubuje. Jednou z těchto potřeb je bezesporu bezpečnost. V digitálním prostoru se tato dnes už samostatná disciplína rozpadá na řadu dílčích a specifických subdisciplín.
V oblasti elektronického bankovnictví pak je tato oblast velmi silně ovlivněna regulací – nejvýznamněji v poslední době směrnicí PSD2.
Ekosystém PSD2 (klikněte pro zvětšení)
Motivace ke změně?
Směrnice Evropského parlamentu o platebních službách na vnitřním trhu (2015/2366 ze dne 25. listopadu 2015) není z pohledu bankovního trhu žádnou zásadní revolucí. V mnohém navazuje na předchozí legislativní rámec Evropského parlamentu a doporučení Evropského orgánu pro bankovnictví (EBA) v minulých letech. Vlastní směrnice, která se v mnohých ohledech snaží být maximálně technologicky neutrální, reaguje na měnící se podmínky na trhu platebních a bankovních služeb zejména s ohledem na prostupující digitalizaci finančních a návazných služeb a propojování oborů ekonomické činnosti.
Vlastní směrnice pojmenovává tři základní cíle:
• Posílení konkurenčního prostředí v oblasti finančních a platebních služeb
• Vytvoření prostředí pro podporu inovací v oblasti finančních a platebních služeb
• Zlepšení zabezpečení a ochrany koncových uživatelů
Prostředky k dosažení základních cílů jsou pak tyto:
• Otevřené bankovní služby (povinnost banky otevřít technická rozhraní pro zpřístupnění informací o účtu klienta či iniciaci platební transakce třetí stranou)
• Zvýšení bezpečnosti a ochrany uživatele v podobě silné autentizace (a případné použití výjimek za přesně specifikovaných podmínek)
• Požadavek na proaktivní monitoring platebních transakcí a vyhodnocování rizik plynoucích z použití digitálních služeb (vzdáleného přístupu)
Co směrnice přináší nového?
PSD2 přinesla na bankovní trh několik témat, která stojí za zmínku, a to:
• Alternativní služby platebního styku
• Multibanking
• Silné ověření klienta
Alternativní služby bankovního styku; resp. vytvoření podmínek pro posílení konkurenčního prostředí v oblasti finančních a platebních služeb, v tuto chvíli na tuzemský trh nepřinášejí žádnou zásadní změnu – k dnešnímu dni jsou nejvíce viditelné aktivity jednotlivých bank, které na trhu byly aktivní již dříve.
Jedním z konkrétních příkladů mohou být nové služby tzv. multibankingu, tedy možnosti propojit si v rámci vašeho oblíbeného internetového bankovnictví také další účty, které nemusejí být nutně spravovány stejnou bankou.
Jak to ovlivňuje banky?
PSD2 klade na banky požadavky – žádná revoluce se na českém trhu nekonala, ale vítězem je z nezávislého pohledu bezesporu uživatel – klient banky. Banky šly naproti digitalizaci – investovaly do lepšího zabezpečení, více služeb dostupných on-line včetně možností multibankingu (více účtů i různých bank pod jednou střechou).
Investice na straně bank byly taky různé – některé si to vyloženě usnadnily a udělaly opatření jen na oko; jiné do toho šly ve velkém a regulaci vzaly vážně, ale snaží se vytěžit i příležitosti z té regulace (např. agregovat informace o klientech z různých bank); jsou ale i příklady bank, které pod tlakem okolností implementovaly opatření, jež sice naplňuje požadavky regulace, ale ve výsledku není výhrou ani pro klienta, ani banku samotnou – různé bezpečnostní metody pro různé aplikace (mobilní bankovnictví, internetové bankovnictví, on-line platby kartou...); zmatení uživatelé, náklady na provoz…
Pro moderní autentizační metody je důležitý nejen pohled bezpečnosti – ta je sice podstatný atribut, avšak aby byla účinná, nesmí uživatele nijak zásadně obtěžovat ani omezovat. V ideálním případě je pro uživatele neviditelná. Technologické firmy zabývající se bezpečností musejí věnovat mnohem více pozornosti také použitelnosti či uživatelskému zážitku, provozovatelnosti řešení a náročnosti na provoz či údržbu. Bezpečnostní metody a prostředky silné autentizace musejí být schopné reagovat na měnící se potřeby uživatelů i způsoby, jakým se uskutečňuje vzdálená komunikace mezi klientem a bankou.
Z pohledu bezpečnostních technologií je proto vhodné stavět na následujících pilířích:
• moderní, vysoce bezpečná a snadno použitelná bezpečnostní metoda – mobilní klíč ke všem bankovním službám; řeší přihlášení do mobilní banky, internetového bankovnictví, autorizaci platby na mobilu či webu, autorizaci platby na platební bráně, vzdálený podpis smluv či autorizaci změn v existující smlouvě klienta (změna limitu, disponentská oprávnění atp.)
• bezpečnostní služby banky založené na principech federace identit – jednoduché oddělení rolí aplikací banky na obchodní a bezpečnostní přináší zajímavé výhody – rychlejší realizaci nových bankovních produktů; podporuje a usnadňuje rozvoj aplikací postavených na využití API služeb; umožňuje oddělení bezpečnostní a business funkcionality a při požadavcích na změnu bezpečnosti není nutné měnit všechny obchodní aplikace banky (nebo vice versa); propojení mobilních a webových aplikací významně zjednodušuje procesy správy i obsluhy klienty a přináší významně povýšení celkového uživatelského zážitku zákazníka při použití různých bankovních služeb
Jak ovlivňuje koncové uživatele?
Silné ověření klienta není něco, co by bylo na tuzemském trhu úplnou novinkou, avšak vymezení podmínek, za kterých lze hovořit o silném ověření klienta (a tedy zmírnění rizik plynoucích z realizace platebních transakcí na dálku), dostalo jasnější kontury. Jedním z důležitých aspektů je posílení role mobilního telefonu – na českém trhu se během posledních let objevilo několik velmi podobných řešení realizace mobilního klíče, která si kladou za cíl umožnit uživatelům bezpečnější a transparentnější způsob ověření. Je to logické, mobilní telefon je něco, co má většina z nás denně u sebe, a tedy s velkou pravděpodobností bude schopný mobilní telefon (mobilní aplikace) naplnit požadavek na prvek ověření z kategorie „něco mám“.
Kromě toho na tuzemském trhu široce etablované bezpečnostní SMS kódy narážejí na mnohé limity – názor regulátora sice umožňuje použití jako jednoho z faktorů silného ověření (kategorie „něco mám“; předpokládá, že SMS zpráva je určena konkrétnímu uživateli s konkrétní SIM kartou). Je ale dobré si uvědomit, že úložiště SMS zpráv na „chytrém“ mobilním telefonu je obvykle dostupné širokému spektru aplikací, a tím může být SMS kód původně určený uživateli dostupný i jiným a potenciálně nebezpečným příjemcům.
Vhodně zvolené řešení mobilního klíče proto v ideálním světě kombinuje následující požadavky:
• umožňuje zabezpečený přenos informací mezi bankou a klientem
• uživateli jsou jasně a přehledně zobrazeny parametry transakce (min. účet příjemce, částka a měna)
• po uživateli nevyžaduje přepisování bezpečnostních kódů; autorizace transakce probíhá ideálně v on-line režimu po zadání PIN, gesta či biometrického ověření
• pro uložení kryptografického materiálu využívá mobilní aplikace bezpečnostní čip telefonu místo běžného uložení v SW úložišti aplikace
• aplikace s bezpečnostním materiálem je proaktivně chráněna a při detekci útoku či jiného nestandardního chování zařízení (ladění přes USB) je schopná na tyto externí vlivy reagovat
• umožnit uživateli jednoduchou aktivaci či lehkost použití (použití nesmí být pro uživatele frustrující)
• jedno řešení využitelné pro různé „on-line“ služby
Vznikla na trhu nová konkurence?
Mnoho z nás si klade otázku, zda máme čekat nějakou další revoluci plynoucí z PSD2? V tuto chvíli se opravdu ale žádná zásadní revoluce nekoná – banky si drží své postavení, na trhy nevstoupil žádný zásadní nový hráč, který by využíval produkty bank za účelem jejich agregace či nabídky nového typu služby.
Velké očekávání vzbuzuje na českém trhu téma bankovní identity a projekt BankID (SONIA), který do jisté míry využívá identitních služeb akcelerovaných PSD2 a na tuzemském trhu je doprovázený změnou zákona o bankách. Novela umožňuje nově bankám nabízet služby ověření identity klienta jako službu pro třetí strany.
Pokud to banky nepokazí obchodním modelem, můžeme se dočkat velmi zajímavých aplikací, které se budou opírat o principy federace identit napříč různými on-line službami bankovního a mimobankovního trhu (či agendovými informačními systémy v kontextu státní správy).
Zásadní milníky směrnic PSD2
• 25. 11. 2015
Směrnice EP o platebních službách na vnitřním trhu (PSD2)
• 13. 1. 2016 PSD2
vstupuje v platnost uveřejněním ve věstníku
• 23. 2. 2017
Finální draft verze „regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace“ (RTS) k veřejným připomínkám
• 11. 10. 2017
Novela zákona č. 370/2017 Sb., o platebním styku, který je hlavním nositelem PSD2 v českém právním prostředí
• 27. 11. 2017
Nařízení č. 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (RTS)
• 13. 1. 2018
Termín dokončení adopce legislativních změn u národních autorit, účinnost zákona č. 370/2017 o platebním styku
• 14. 3. 2019
Účinnost RTS, čl. 30
• 14. 9. 2019
Účinnost RTS (v plném znění)
• 16. 10. 2019
EBA posun termínu pro realizaci opatření v oblasti e-commerce a platebních karet na 31. 12. 2020
• 30. 12. 2020
Uplatnění silného ověření klienta u karetních transakcí v rámci e-commerce
• 14. 3. 2021
Přezkumné řízení EBA po implementaci změn
Klíčové pojmy PSD2
Silné ověření klienta
Ověření identity klienta a potvrzení projevu jeho vůle (přístup k datům, převod prostředků, autorizace změny v účtu atp.) se opírá o tzv. silné ověření, které kombinuje minimálně dva nezávislé prvky z kategorií:
• něco znám (heslo, PIN kód, gesto atp., údaj, který není dostupný nikomu jinému),
• něco mám (zařízení fyzické či logické, tedy např. i software, který je jednoznačně spojený s konkrétní osobou),
• něco jsem (jednoznačný biometrický údaj).
Analýza transakčních rizik
Požadavek na ASPSP (tedy na banku) udělat analýzu transakčních rizik spojených s používáním elektronických služeb, a to s cílem identifikovat bezpečné (méně rizikové) a potenciálně nebezpečné (rizikové) chování uživatele. Analýza transakčních rizik umožňuje mimo jiné bance aplikovat níže uvedené výjimky ze silného ověření.
Výjimky pro uplatnění silného ověření
Silné ověření nemusí banka uplatňovat vždy a existují modelové příklady, při kterých nemusí uživatel uplatnit dva faktory ověření. Příkladem takových transakcí mohou být převody mezi důvěryhodnými účty, převody prostředků s nízkou hodnotou, bezkontaktní platby, platby za parkování nebo jízdenky).
Bezpečné otevřené standardy komunikace
Poskytovatelé platebních služeb mají kromě povinnosti zajistit rozhraní pro komunikaci s třetími stranami, zabezpečit:
• rozhraní pro poskytnutí informací o účtu (nikoliv však o osobních údajích klienta, jako jsou trvalé bydliště či datum narození),
• rozhraní pro nepřímé založení platebního příkazu.
Autor pracuje jako manažer sekce Klientské autentizace ve společnosti Monet+.
Přečtete si také rozhovor s autorem:
> Zájem o bezpečnější ověření identity roste
MONET+, a. s.
Česká technologická společnost působí bezmála 25 let na poli vývoje softwarových řešení. Specializuje se na oblast elektronických plateb a digitální identity. Na tuzemském trhu patří do špičky v oblasti elektronické identifikace a autentizace.
Řešení společnosti Monet+ využívá přímo či nepřímo téměř každý občan České republiky – je vybaven elektronickými dokumenty, realizuje platební transakce na terminálech i internetu, využívá zabezpečené bankovní digitální kanály či bezpečně přistupuje do firemní sítě.
V oblasti klientské autentizace Monet+ vyvíjí a implementuje modulární systém IDport pro zabezpečení přístupu uživatelů k webovým a mobilním službám. Jde o otevřený systém umožňující moderním aplikacím třetích stran přes vymezené API služby a v souladu s platnými legislativními standardy (včetně PSD2, eIDAS, GDPR…) bezpečně přistupovat k velmi citlivým klientským datům.
