Prstni odtis namesto gesla: Od jeseni naprej začnejo veljati nova EU pravila za plačevanje s kreditnimi karticami

376

Danes pri plačilu s kreditno kartico največkrat uporabljamo številko kreditne kartice, datum izteka veljavnosti in trimestno kontrolno številko na hrbtni strani kartice – v prihodnje to več ne bo dovolj. Od jeseni naprej se bodo stvari na tem področju zaostrile – spletna plačila, kot tudi bančništvo na internetu postaja varnejše.

Od 14. septembra letos, bodo v skladu z direktivo EU o plačilnih storitvah PSD2, začela veljati nova pravila. Delno so ta že znana iz spletnega bančništva. Kdor na primer želi prenesti denar na računalnik, dobi na svoj mobilni telefon kodo, ki jo nato vnese v obrazec za prenos. Načelo je dvofaktorsko preverjanje pristnosti (2FA).

V prihodnosti bo vse skupaj obravnavano še strožje – velja tudi za spletno nakupovanje ali rezervacijo hotelske sobe na platformah, kot je Booking.com. Tako imenovana močna avtentikacija strank zahteva dva od treh dejavnikov iz kategorij »znanje, posedovanje in dedovanje« (glej konec članka). Stari način pošiljanja PIN-a na papirju, ki ga večina bank pošilja po navadni pošti, je prav tako negotov in ga je treba spremeniti.

Skeniranje prstnih odtisov ali šarenice

Na primer, stranke morajo vnesti uporabniško ime in se nato identificirati prek aplikacije na pametnem telefonu – prek skeniranja šarenice ali prstnega odtisa. Mastercard ugotavlja visoko stopnjo pripravljenosti za biometrično preverjanje pristnosti. Od septembra bodo imeli vsi lastniki kartic Mastercard možnost uporabe biometričnih rešitev, kot so prstni odtisi, prepoznavanje obrazov in skeniranje šarenice, da se identificirajo pri nakupovanju in plačevanju.

Visoka kompleksnost

Za nekatere je zapletenost projekta primerljiva z izvajanjem splošne uredbe o varstvu podatkov. Banke po vsej Evropi so razpravljale o opredelitvi standardov. V Nemčiji denimo, se razpravlja o tem, da bi lahko vlada odložila septembrski datum. Tudi v Sloveniji nismo pripravljeni. Glede na obsežne tehnične specifikacije bi številna podjetja imela težave, če bi hotela, pravočasno, od 14. septembra začela izvajati nove direktive EU.

Evropsko trgovinsko združenje Euro Commerce, se zavzema za to, da bi evropski bančni regulator Eba dovolil nekakšno prehodno obdobje ali postopno uvajanje. Predstavniki industrije v Gospodarski zbornici prav tako menijo, da »zaradi zapletenosti plačilnih trgov« izvajanje močne avtentikacije strank ni mogoče urediti do sredine septembra. Zaskrbljujoče je, da bi prišlo do ogromnega upada prometa, če potrošniki ne bi mogli plačati kot običajno. Če bi prišlo do večjih težav, bi to vplivalo na trgovino v kritični fazi – (pred)božični posel je za industrijo zelo pomemben.

Tudi Mastercard predpostavlja, da vsi evropski udeleženci na trgu ne bodo pripravljeni pravočasno. Dejstvo pa je, da je Eba pokazal razumevanje, tako da v sejni dvorani nadeva upanje, da lahko celotna industrija dobi odlog.

Odlog v posameznih primerih

Vendar domači nadzor finančnega trga ovira upanje za dolgoročno podaljšanje. V posameznih primerih lahko posamezne banke zahtevajo odlog. Vendar pa morajo natančno pojasniti, zakaj novih direktiv ne bodo mogle izvesti do roka.

Kaj dejansko je 2FA?

Dvofaktorska avtentikacija se nanaša na identifikacijo uporabnika z združevanjem dveh različnih in predvsem neodvisnih komponent (faktorjev). Tipični primeri so bančna kartica in PIN za bankomat, prstni odtis in dostopna koda v stavbah.

Vsak uporabnik računalnika je seznanjen s preverjanjem pristnosti na računalniku ali spletni strani, na primer z vnosom skrivnega gesla. Vendar je močna avtentikacija zahteva preverjanje pristnosti, ki ne vsebuje samo enega, ampak vsaj dva elementa. Ta morata izhajati iz dveh od treh kategorij znanja, posesti in dedovanja. Primer element iz kategorije znanja je omenjeno geslo. Primer kategorije v lasti je mobilni telefon. Njegovo lastništvo se lahko dokaže, na primer z vnosom številke, ki je bila poslana preko SMS na mobilni telefon. Elementi kategorije »inherence« pa so osebno ali fizično povezani z uporabnikom, na primer njegov prstni odtis.

Za spletno bančništvo bodo od septembra uporabniki, vnesli uporabniško ime in se nato identificirali prek aplikacije za pametne telefone. Na spletnih trgovinah, bo potreben vnos številke PIN ali enkratnega gesla. Potreboval bomo tudi kreditno kartico ali pametni telefon z biometrično funkcijo. Proces bo povsod drugačen, zato je pametno, da pravočasno dobite informacije iz svoje banke.

Marko Vidrih

PUSTITE KOMENTAR