Druhá Směrnice o platebních službách (tzv. PSD2) byla do českého právního řádu implementována již dávno, a to konkrétně novelizací zákona o platebním styku. Mezi stěžejní body této směrnice patří požadavek tzv. silného ověření uživatele (Strong Customer Authentication). Zákon o platebním styku jej v souladu se Směrnicí definuje jako ověření, které je založeno na použití alespoň dvou z těchto prvků: údaje, který je znám pouze uživateli (prvek znalosti); věci, kterou má uživatel ve své moci (prvek držení); a biometrických údajů uživatele (prvek inherence).

Dle práva bylo nutné požadavku silného ověření uživatele vyhovět již v září roku 2019. Evropský orgán pro bankovnictví (EBA), jenž sdružuje všechny centrální banky v EU, však vzhledem k potížím s jeho implementací oznámil, že povinnost být s tímto požadavkem v souladu nebude až do konce roku 2020 vynucovat. Poskytovatelé platebních služeb tak měli spoustu času na to, aby se na nová pravidla připravili. Pojďme si nyní jednotlivé prvky představit.

Technologicky nejprogresivnějším prvkem je prvek inherence, který směrnice definuje jako „to, čím uživatel je“. Zahrnuje biologickou a behaviorální biometrii, přičemž pracuje zejména s fyziologickými a behaviorálními procesy lidského těla. Nejčastějším příkladem ověření za pomocí inherence je rozeznání otisku prstu. Tento způsob již dlouhou dobu využívají přední banky a jiné úvěrové instituce působící na českém trhu. U otisků prstu to však nekončí – dle EBA je možné prvek inherence splnit například i za pomocí zatím nepříliš rozšířené technologie rozeznávání hlasu (tzv. voice recognition), či žil na prstu (tzv. finger vein recognition). EBA však bere v potaz i technologie budoucnosti – ověření prvku inherence by již brzy mohlo být zajištěno za pomocí srdečního tepu či sejmutí oční sítnice.

Prvek držení je vcelku přímočarý. Je nejčastěji představován důkazem o držení mobilního telefonu, jenž je získán opisem jednorázového hesla z ověřovací textové zprávy. Alternativně je však možné využít například QR kód či – v případě osobního počítače – elektronický podpis. Klasické údaje o platební kartě naopak dostačující nejsou.

Konečně je možné platbu ověřit za pomocí prvku znalosti. Ten je v drtivé většině případů představován heslem či PINem. Dle EBA je však možné využít i tzv. bezpečnostní otázky (jako například: „Jak se jmenoval(a) Váš první učitel(ka)?“), tzv. heslové fráze, které – jsou-li správně zvoleny (zejména nejsou-li obecně známé či lehce zjistitelné třeba z profilu na sociální síti) – mohou být relativně bezpečnou alternativou klasických hesel, a konečně také tzv. swiping paths, někdy do češtiny překládané jako odemykací gesta. Nedostatečné jsou v tomto ohledu opět údaje o platební kartě.

Silné ověření uživatele odráží trend, dle kterého se těžiště autorizace platebních transakcí přesouvá od klasických plastových platebních karet k mobilním telefonům a jiným digitálním technologiím na platební kartě zdánlivě nezávislých. Vysvětlení je jednoduché – zneužití platební karty (ať už v důsledku krádeže či její replikace) nebylo v minulosti nikterak obtížné. Nové podmínky nyní podvodníkům šance na úspěch výrazně stěžují.

Filip Vlček,
externí právní analytik PwC Legal;
MJur Candidate, University of Oxford

PricewaterhouseCoopers Legal s.r.o., advokátní kancelář
PwC Legal

City Green Court
Hvězdova 1734/2c
140 00  Praha 4

Tel.:    +420 251 151 111
Fax:    +420 251 156 111

Svobody 91/20
602 00 Brno

Tel.:    +420 542 520 111
Fax:    +420 542 214 796

e-mail:    info@pwc.cz