Danes, 14.9.2019 v veljavo stopa Direktiva o plačilnih storitvah na notranjem trgu (PSD2), ki prinaša kar nekaj sprememb. Med drugim tudi zahtevo po močni avtentikaciji kupca oz. v angleščini Strong Customer Authentication (SCA).
Enkratno SMS geslo ni več dovolj varno
Ponudniki plačilnih storitev morajo zdaj avtentičnost stranke preveriti z najmanj dvema ustreznima elementoma, ki sodita med močno avtentikacijo. Zakonodaja zdaj določa, da mora vsak od elementov ustrezati enemu od posebnih kriterijev, a hkrati morajo ti kriteriji biti med seboj neodvisni. To pomeni, da v primeru zlorabe enega, ne pride do zmanjšanja zanesljivosti drugih. Kriteriji pa so:
- znanje uporabnika – nekaj, kar ve samo uporabnik
- lastništvo uporabnika – nekaj, kar je v izključni lasti uporabnika
- neločljiva povezanost z uporabnikom – nekaj, kar uporabnik je
Zgolj enkratno SMS geslo ni več dovolj varno
Kot kaže raziskava Mastercarda o načinih plačila in avtentikacije, ki so jo izvedli v letošnjem letu v 13-ih državah, je v srednji in vzhodni Evropi enkratna koda poslana prek SMS-a izjemno popularna. Slovenija tukaj celo krepko izstopa iz povprečja, kar kaže na izjemno priljubljenost tega načina overitve transakcije med uporabniki spletnih in mobilnih trgovin.
Plačilo uporabniki tako izvedejo z vpisom podatkov natisnjenih na plačilni kartici in enkratnim geslom prejetim prek SMS-a. Takšen način pa ne izpolnjuje pogojev uredbe PDS2. Težava ni v SMS kodi, ampak v prepisovanju podatkov na plačilni kartici, ta način v skladu z mnenjem Evropskega bančnega organa ne izpolnjuje nobenega izmed elementov močne avtentikacije kupca.
Varnost pri spletnih plačilih je pomembna
Mastercard je v raziskavi sicer ugotovil tudi, da 79 % Slovencev meni, da so prstni odtisi varna metoda avtentikacije spletnih nakupov. 47 % Slovencev pa bi uporabljalo biometrično avtentikacijo, če bi bila ta na voljo. 62% anketirancev je tudi menilo, da je močna avtentikacija »res nujna « v postopku spletnega nakupovanja.
Banka Slovenije prehodno obdobje podaljšuje
Kljub temu, da se o PSD2 govori že lep čas, prav tako se tudi ve, da se bodo banke morale prilagoditi, se to v večini primerov ni zgodilo. Podobno kot drugi pristojni organi v državah članicah EU, se je tudi Banka Slovenije odločila, da ponudnikom plačilnih storitev s sedežem v Sloveniji pod določenimi pogoji izjemoma dovolijo implementacijo potrebnih ukrepov za zagotovitev močne avtentikacije stranke tudi po 14.9.2019. Glede dolžine prehodnega obdobja pa so pri Banki Slovenije zapisali, da bodo upoštevali usmeritve Evropskega bančnega organa. Ta informacija naj bi bila znana do konca letošnjega leta.