Selfie, otisky, DNA aneb Silné ověření klienta
Klasické finanční instituce krátce po začátku roku 2018 ztratí monopol na mobilní a webové aplikace k platebním a dalším službám napojeným na účty, které spravují pro své klienty. Způsobí to implementace evropské direktivy PSD2, ke které konkrétně v Česku dojde novelizací zákona o platebním styku. Tolik ve zkratce náplň minulého blogu. Tato liberalizace ale zároveň evokuje otázku, zda noví nebankovní hráči na trhu platebních transakcí - většinou různé nízkonákladové fintech start-upy tvářící se jako jakési virtuální banky - budou schopni dostatečně zajistit ochranu osobních a finančních údajů zmíněných klientů. Proto si také většina bank momentálně láme hlavu s IT podmínkami, po jejichž splnění teprve novým poskytovatelům finančních služeb umožní platební spotřebitelské transakce iniciovat. A to i přesto, že tyto operace budou vždy finálně potvrzovat právě samy banky. Stávající finanční instituce samozřejmě rovněž horečně koumají nad tím, jak v době výrazného nástupu nových technologií zvýšit konkurenceschopnost svých finančních služeb. Ty chytré se prostě budou muset snažit - nebo se dokonce už snaží - být více start-upové.
Proto je také aktivita některých bankovních domů ohledně současné i budoucí nabídky rozvinutých platebních platforem už nyní poměrně značná.
Odpovědí směrnice na zmíněnou zvýšenou hrozbu úniku personálních dat po otevření platebního trhu je mj. zavedení takzvaného silného ověření klienta při e-platbě. Ale nejenom při ní.
Co se vlastně míní silnou autentizací? Poskytovatel platebních služeb bude povinen při elektronické úhradě požadovat od uživatele minimálně 2 ze 3 následujících způsobů verifikace: a) data známá jen uživateli – například přihlašovací údaje včetně hesla a PINu; b) věc, kterou má klient výlučně ve své moci – třeba smartphone, tablet nebo nějaký certifikát; c) biometrickou identifikaci uživatele – mimo jiné otisk prstu nebo i selfie, tedy fotografický autoportrét. Může to být ale třeba i DNA (zkratka pro kyselinu, která je nositelkou jedinečné genetické informace). Ta mimochodem jako „biometrická šifra“ je dnes hodně trendy u zákazníků bank ve Velké Británii.
Jiskřičky spotřebitelské paniky se v této souvislosti už jalo předběžně hasit české ministerstvo financí vysvětlením, že každá konkrétní peněžní instituce specifické biometrické charakteristiky vyžadovat bude moct, ale nebude muset. Její volba. Stejně tak nespokojený spotřebitel – třeba když mu otisky prstů jsou proti srsti – bude mít právo přejít k jiné bankovní společnosti, která daktyloskopii tolik neholduje.
Všechny tři zmíněné ochranné elementy budou muset být dle dikce připravované legislativy vzájemně nezávislé. Případné prolomení jednoho druhu zabezpečení nesmí narušit spolehlivost zbývajících dvou. Většina z nás v této souvislosti určitě dávno zaregistrovala, že 2faktorové ověření při internetové platbě většina bank požaduje už dnes: nejčastěji jméno a heslo k účtu či číslo karty (bod a) a zadání sms klíče doručeného na mobil (bod b). Nicméně od roku 2018 to bude zákonná povinnost.
Paragrafy připravované normy navíc také praví, že silné ověření bude muset být praktikováno nejen při platbě na internetu, bránou nebo kartou, ale také vždy, když plátce provádí úkon spojený s rizikem podvodu. Pak je tedy možné, že biometrika bude tu a tam aplikována rovněž při transakcích skrze bankomaty.
Takže uvidíme. Postupy a výjimky pro anglicky řečeno strong verification mají být blíže definovány v prováděcím předpisu k výše uvedené směrnici a zákonu. Ale bohužel - čím netrpělivěji tyto technické standardy finanční experti i spotřebitelé vyhlíží, tím větší nabírají zpoždění. Zatím se také přesně neví, zda vůbec a jakému dozoru či licencování – například ze strany České národní banky - budou noví zprostředkovatelé platebního servisu mající přístup ke klientským datům (!!) podléhat. V každém případě by si budoucí uživatelé nových nebankovních aplikací měli důkladně z mnoha stran prověřit kredibilitu a historii jejich tvůrců a provozovatelů, než jim dovolí se svými citlivými informacemi, potažmo se svými penězi, jakkoli operovat.
Na portálu kolikmam.cz jsou dostupné informace o fyzických osobách a fyzických osobách podnikajících. Registrovaní uživatelé zde získají přístup k výpisům z registrů a dalším nabízeným službám.
