Silné ověření klienta při poskytování online plateb je novinka, kterou do tuzemského zákona č. 370/2017 Sb., o platebním styku přinesla směrnice Evropské unie PSD 2. Jedním z hlavních cílů PSD 2 je zajistit bezpečnost elektronických plateb a snížit v nejvyšší možné míře riziko podvodů.

Bližší výklad k prvkům silného ověření obsahuje Stanovisko Evropského orgánu pro bankovnictví (EBA) k prvkům silného ověření klienta dle PSD2. [1]

Povinnost silného ověření přináší změny zejména v oblasti internet bankingu, plateb kartou online a podávání platebních příkazů přes internet. Jedná se o bezpečnostní mechanismus, který spočívá v kombinaci dvou ze tří prvků (tzv. dvoufaktorová autentizace), které musí být vzájemně nezávislé, a prolomení jednoho prvku nesmí ovlivnit spolehlivost prvků ostatních.

Prvky silného ověření klienta

Údaj, který je znám pouze uživateli – prvek znalosti

Dle stanoviska EBA prvek znalosti může být:

  • Heslo, PIN, zabezpečovací gesto z chytrých mobilních telefonů
  • znalost soukromých informací klienta

Naopak dle stanoviska EBA nejsou prvkem znalosti údaje o platební kartě a bezpečností kód na kartě, jakož ani znalost uživatelského jména nebo emailové adresy.

Věc, kterou má uživatel ve své moci – majetkový prvek

Majetkový prvek se týká především hardwarových zařízení a softwarových aplikací, které se dají použít jako důkaz toho, že jsou v moci klienta. Bude se jednat zejména o mobilní telefony, chytré hodinky, aplikace spojené s ověřeným zařízením apod. Majetkovým prvkem může být:

    • zařízení, jehož držení je ověřeno jedinečným kódem zaslaným na zařízení (to může představovat např. zaslaný SMS kód, zde představuje prvek vlastnictví SIM karta, nikoli samostatný mobilní telefon, nebo použití aplikace, která je jedinečně svázána s konkrétním zařízením, např. Google Authenticator)
    • elektronický podpis pevně spjatý s konkrétním zařízením klienta
    • hardwarový nebo softwarový token
    • karta přečtená čtečkou karet

Biometrické údaje uživatele

Biometrický prvek je definován jako „něco, čím uživatel je“, a zároveň musí být čitelný zařízením nebo softwarem. Biometrické údaje mohou zahrnovat:

      • skenování otisků prstů
      • skenování sítnice a duhovky
      • rozpoznávání obličeje
      • rozpoznávání hlasu
      • dynamika srdečního tepu
      • rozpoznání geometrie ruky

Biometrické údaje jako prvek silného ověření bude možné číst především prostřednictvím zařízení jako jsou chytré telefony a chytré hodinky, nicméně v současnosti ne každý má zařízení, který tyto technologie podporuje.

Kdy musí docházet k silnému ověření?

K silnému ověření klienta musí dojít vždy, když:

      • klient přistupuje ke svému účtu prostřednictvím internetu – přihlášení do internet bankingu
      • dání platebního příkazu k elektronické platební transakci – platba platební kartou
      • zadání platebního příkazu prostřednictvím internetu – platba v internet bankingu

Dvoufaktorová autentizace

Dvoufaktorová autentizace jako způsob ověření identity klienta pomocí dvou na sobě nezávislých prvků již funguje delší dobu. Ověření pomocí dvou prvků používají banky a platební instituce ve svém internet bankingu již mnoho let při potvrzování zadaných platebních příkazů, typicky se jedná o kombinaci přihlašovacího jména a hesla (prvek znalosti) a zadání jednorázového kódu zaslaného prostřednictvím SMS (majetkový prvek). Silné ověření při zadání platebního příkazu tak ve většině případů již nyní splňuje požadavky na silné ověření klienta. Problematické může být, pokud je internetové bankovnictví klientem využíváno prostřednictvím mobilního telefonu a autentizační SMS chodí na tento mobilní telefon. Takové ověření nemusí být dostatečné.

Nově musí docházet k silnému ověření již při přihlášení k internet bankingu, a to z důvodu, že klient po přihlášení může nahlížet na citlivá data jako je transakční historie a zůstatek na účtu.

Současný způsob online platby platební kartou, kdy se do platební brány opisují údaje z karty a bezpečnostní kód, a transakce je následně autorizována SMS kódem, je z hlediska silného ověření klienta nedostačující. Jak je uvedené výše, znalost údajů z karty nepředstavuje prvek znalosti, nejedná se tak o kombinaci dvou prvků, a ověření je tak nedostatečné. Karetní společnosti však již zavádějí nové způsoby autentizace plateb.

Některé oblasti online platebních transakcí tak již splňují silné ověření klienta, u některých služeb bude muset dojít ke změně a k přidání druhého prvku ověření. Vzhledem k rozvoji technologií schopných snímat biometrické prvky můžeme do budoucna očekávat nárůst ověření právě pomocí otisků prstů, rozpoznání obličeje a skenování sítnice, což umožní rychlejší a pohodlnější ověřování než opisování bezpečnostních kódů.

Banky a poskytovatele platebních služeb musí zavést dvoufaktorové ověření dle směrnice PSD 2 do 14. září 2019.