Zdroj: Freeimages.com

[quote]Evropská komise přijala pravidla pro zvýšení bezpečnosti elektronických plateb v prodejnách a na internetu. Ta spotřebitelům přinesou i praktičtější, levnější a modernější řešení, než nabízejí poskytovatelé platebních služeb.[/quote]

Nová pravidla provádějí nedávno revidovanou směrnici EU o platebních službách (PSD2), jejímž cílem je zmodernizovat platební služby v Unii, aby držely krok s rychle se vyvíjejícím trhem v této oblasti a elektronický obchod v EU se mohl zdárně rozvíjet. Díky nim budou lidé moci používat inovativní služby nabízené poskytovateli, kteří jsou třetími stranami, tj. společnostmi působícími v oblasti finančních technologií (tzv. FinTechs), a spotřebitelé a podniky v EU budou moci i nadále spoléhat na důkladnou ochranu a zabezpečení svých údajů. Mezi tyto služby patří řešení plateb a nástroje pro správu osobních financí založené na slučování informací z různých účtů.

Revidovaná směrnice o platebních službách (PSD2), která vstoupí v platnost dne 13. ledna 2018, usnadní inovace, hospodářskou soutěž a zvýší efektivitu. Poskytne spotřebitelům větší a lepší výběr na maloobchodním trhu plateb EU. Současně zavedou vyšší bezpečnostní standardy pro platby online. To spotřebitelům pomůže při nakupování online. Rozsah PSD2 se rozšiřuje na inovační platební služby a nové poskytovatele na trhu, jako je FinTechs. Tito účastníci trhu jsou také nazýváni poskytovateli platebních služeb třetích stran (TPP).

TPP zahrnují:

– poskytovatele služeb pro zahájení plateb (PISP): tyto platby iniciují jménem zákazníků. Poskytují maloobchodníkům záruku, že peníze jsou na cestě.

– agregátory a poskytovatele informačních služeb (AISP): poskytující přehled o dostupných účtech a zůstatcích svým zákazníkům.

Účastníci trhu potřebují zvláštní požadavky na splnění nových povinností v PSD2. Za tímto účelem Komise PSD2 zmocňuje k přijetí regulačních technických norem (RTS) na základě návrhu předloženého Evropským orgánem pro bankovnictví (EBA).

Bezpečnostní opatření uvedená v RTS vycházejí ze dvou klíčových cílů PSD2: zajištění ochrany spotřebitele a zvýšení konkurenceschopnosti a rovných podmínek v rychle se měnícím tržním prostředí.

Ochrana spotřebitele je dosažena zvýšením úrovně bezpečnosti elektronických plateb. To je důvod, proč společnost RTS zavádí bezpečnostní požadavky, které musí poskytovatelé platebních služeb dodržovat při zpracování plateb nebo poskytování služeb souvisejících s platebními službami.

Poskytovatelé platebních služeb jsou banky a jiné platební instituce. Tyto normy definují požadavky na silnou autentizaci zákazníků a případy, kdy mohou být poskytovatelé platebních služeb vyloučeni z takového ověřování.

Díky službě PSD2 budou spotřebitelé lépe chráněni, pokud budou provádět elektronické platby nebo transakce (například prostřednictvím online bankovnictví nebo nákupu online). Služba RTS vytváří silnou autentizaci zákazníků (SCA), která je základem pro přístup k platebnímu účtu, stejně jako pro online platby.

To znamená, že k prokázání jejich totožnosti uživatelé budou muset poskytnout alespoň dva samostatné prvky z těchto tří:

– něco, co vědí (heslo nebo kód PIN);

– něco, co vlastní (karta, mobilní telefon); a

– něco z biometrie, například otisky prstů nebo duhovky.

Silná autentizace zákazníků se již v celé EU běžně používá. Když zákazníci například mají platit kartou v prodejnách cihel a malty, musí ověřit transakci zadáním PIN kódů na čtečkách karet. To však není v případě elektronických platebních transakcí, ať už platební kartou nebo převodem kreditu z online banky. Pro tyto transakce se SCA již používá pouze v některých zemích EU (včetně Belgie, Nizozemska a Švédska). V jiných zemích EU někteří poskytovatelé platebních služeb uplatňují SCA na dobrovolném základě.

Když RTS stanoví, že pro ověření platného účtu a pro online platby je třeba použít spolehlivé ověření zákazníka, banky a další poskytovatelé platebních služeb budou muset pro SCA vytvořit nezbytnou infrastrukturu. Budou také muset zlepšit opatření proti možným podvodům. Spotřebitelé a obchodníci budou muset být vybaveni a vyškoleni tak, aby byli schopni pracovat v prostředí SCA.

Služba RTS také umožňuje výjimky ze silné autentizace zákazníků. To má zabránit narušení způsobu fungování spotřebitelů, obchodníků a poskytovatelů platebních služeb. Je to také proto, že mohou existovat alternativní autentizační mechanismy, které jsou stejně spolehlivé a bezpečné. Poskytovatelé platebních služeb, kteří chtějí být osvobozeni od SCA, však musí nejprve použít mechanismy pro sledování transakcí s cílem posoudit, zda je riziko podvodu nízké.

Dalším klíčovým cílem je přinést větší konkurenci a inovace na trhu retailových plateb. V této souvislosti zahrnuje systém RTS dva nové typy platebních služeb, tzv. služby pro spuštění plateb a informační služby o účtu.

Místopředseda Evropské komise odpovědný za finanční stabilitu, finanční služby a unii kapitálových trhů Valdis Dombrovskis k návrhu uvedl:

„Nová pravidla povedou všechny aktéry na trhu, staré i nové, k tomu, aby spotřebitelům nabízeli lepší a bezpečnější platební služby. Směrnice PSD2 také stanoví rámec pro nové služby spojené s platebními účty spotřebitelů, jako jsou tzv. služby iniciování platby a služby informování o účtu. Tyto moderní služby jsou již nabízeny v mnoha zemích EU, avšak díky směrnici PSD2 budou k dispozici spotřebitelům v celé EU a budou podléhat přísným bezpečnostním požadavkům. Uvedená pravidla upřesňují požadavky na společné a bezpečné normy pro komunikaci mezi bankami a společnostmi v oblasti finančních technologií.“

Poté, co byly regulační technické normy přijaty Komisí, mají Evropský parlament a Rada tři měsíce na jejich přezkum. Po uplynutí lhůty pro přezkum budou nová pravidla zveřejněna v Úředním věstníku EU. Banky a jiní poskytovatelé platebních služeb potom budou mít 18 měsíců, aby bezpečnostní opatření a komunikační nástroje uvedli do praxe.

Souvislosti

Nově přijaté regulační technické normy vypracoval Evropský orgán pro bankovnictví v úzké spolupráci s Evropskou centrální bankou. Podrobně se v nich stanoví, jak se má v praxi uplatňovat silné ověření klienta.

K provedení platby již většinou nebude postačovat pouhé heslo nebo údaje uvedené na kreditní kartě. V některých případech bude kromě dvou uvedených nezávislých prvků vyžadován ještě jednorázový kód platný pouze pro určitou transakci. Cílem je výrazně snížit stávající míru podvodů u všech platebních způsobů, zejména u plateb on-line, a chránit důvěrnost finančních údajů uživatelů´.

Pravidla však rovněž konstatují, že v některých případech lze přijatelné úrovně zabezpečení plateb dosáhnout jinak než pomocí dvou nezávislých prvků požadovaných pro silné ověření klienta. Výjimka se na poskytovatele platebních služeb může například vztahovat, jestliže dokáží posuzovat rizika jednotlivých transakcí a odhalovat podvodné transakce. Existují rovněž výjimky pro bezkontaktní platby a transakce s malými částkami a rovněž pro určité typy plateb, jako je úhrada jízdného v městské hromadné dopravě nebo parkovného. Poskytovatelé platebních služeb tak mohou zachovat praktičnost při placení, aniž by byla ohrožena bezpečnost plateb.

Pravidla rovněž určují povinnosti bank a poskytovatelů inovativních platebních řešení a prostředky týkající se informací o účtech. Klientům, kteří tyto nové služby hodlají využívat, nemohou jejich banky bránit. Poskytuje-li banka přístup k účtům on-line, musí spolupracovat rovněž se společnostmi v oblasti finančních technologií nebo jinými bankami, které tyto nové služby poskytují.

K tomu účelu proto musí banky zřídit zabezpečené komunikační kanály, aby mohly přenášet údaje a provádět platby.

Přínosem pro spotřebitele bude větší výběr a konkurence při platbách za zboží a služby zakoupené on line. Lidé budou mít rovněž lepší přehled o svých financích díky aplikacím, které jim budou sdružovat informace z jejich účtů u různých bank.