Uporabljate varne spletne finančne storitve?

Za ponudnike plačilnih storitev se je skrajni rok za uvedbo močne avtentikacije iztekel 14. septembra letos.
Fotografija: Spletno bančništvo. Foto Pixabay
Spletno bančništvo. Foto Pixabay

V zadnjem desetletju smo priča razmahu spletnega nakupovanja. V letu 2013 je po podatkih Eurostata v Evropski uniji nakupovalo 50 odstotkov spletnih uporabnikov, v letu 2018 je ta delež narasel že na 69 odstotkov. Prihodki iz e-trgovanja so lani presegli 500 milijard evrov.

Kar četrtina potrošnikov, ki ne nakupujejo po spletu, kot glavni razlog navaja pomisleke, ki jih imajo glede varnosti spletnih plačil. To ni nenavadno, saj je bilo v letu 2016 po podatkih Evropske centralne banke v območju SEPA, ki zdaj vključuje 36 evropskih držav, zlorabljenih kar 22 na vsakih 1000 izdanih plačilnih kartic, število zlorab pa vztrajno narašča.

Zato je Evropska unija v direktivi evropskega parlamenta in sveta 2015/2366 z dne 25. novembra 2015 (PSD2) varnost elektronskih plačil, zaščito uporabnikov in razvoj ugodnega okolja za e-trgovanje opredelila kot ključni cilj. PSD2 tako zahteva, da ponudniki plačilnih storitev opravijo močno avtentikacijo stranke (angl. Strong Customer Authentication – SCA), ko uporabnik dostopa do svojega plačilnega računa prek spleta (spletno bančništvo) ali odredi elektronsko plačilno transakcijo (opravi spletno plačilo).
 

Zahteve močne avtentikacije?


  Republika Slovenija je zahteve PSD2 ustrezno prenesla v svoj pravni red. Za ponudnike plačilnih storitev se je skrajni rok za uvedbo močne avtentikacije po 18-mesečnem prehodnem obdobju od objave regulativnih tehničnih standardov (RTS) iztekel 14. septembra letos.

Kljub razmeroma dolgemu prehodnemu obdobju je Banka Slovenije septembra ugotovila, da nekateri ponudniki kartičnih plačilnih transakcij (med katere spadajo tudi banke) ukrepov, ki pri spletnih plačilih zahtevajo močno avtentikacijo uporabnika, niso implementirali ali pa so to storili neustrezno. Pokazalo se je tudi, da je pri večini kartičnih plačilnih transakcij v okviru splet­ne trgovine avtentikacija stranke izvedena na način, ki ne ustreza zahtevam močne avtentikacije.

Razlog za neustreznost je v tem, da se avtentikacija uporabnika praviloma izvaja z uporabo storitve 3-D Secure, ki deluje na način, da uporabnik v spletni obrazec za izvedbo spletnega plačila vpiše svoje osebne podatke in podatke o svoji plačilni kartici, nato pa ga sistem preusmeri na spletno mesto, kamor vpiše enkratno generirano geslo, ki ga prejme v SMS-sporočilu na svoj mobilni telefon. Takšen način po mnenju Evropskega bančnega organa (EBA) ne ustreza zahtevam močne avtentikacije, saj so podatki o plačilni kartici natisnjeni na fizični kartici in jih lahko pridobi vsakdo z vizualnim dostopom do plačilne kartice (npr. videokamera ob blagajni v trgovskem centru). Enkratno generirano SMS-geslo je torej v tem primeru edini varen način avtentikacije, kar je v nasprotju z jasno zahtevo, da mora biti izvedena z vsaj dvema od več neodvisnih elementov.
 

V Sloveniji še ni v celoti zaživela


Banka Slovenije se je zato po vzoru nekaterih tujih regulatorjev in junijskega priporočila EBA odločila, da bo ponudnikom plačilnih storitev pod določenimi pogoji izjemoma dovolila implementacijo potrebnih ukrepov tudi po 14. septembru.

Močna avtentikacija uporabnika torej v slovenskem prostoru še ni v celoti zaživela, saj se večina splet­nih transakcij še vedno opravi na način, ki ne ustreza predpisanemu standardu. Ponudniki spletnih plačilnih storitev, ki svojih storitev v prehodnem obdobju niso prilagodili, imajo skladno z odločitvijo Banke Slovenije še nekaj časa, da to uredijo.
Koda na zaslonu. Foto Pixabay
Koda na zaslonu. Foto Pixabay

Navedeno pa ne pomeni, da smo potrošniki obsojeni na čakanje na ustrezno implementacijo močne avtentikacije pri izbranem ponud­niku spletnega plačevanja ali da se do takrat izogibamo spletnemu plačevanju. Tudi sami lahko vplivamo na ponudnike spletnih plačilnih storitev, in sicer tako, da od njih zahtevamo uporabo varnih načinov plačevanja, ki so skladni z zahtevami močne avtentikacije, oziroma izberemo tiste, ki že danes zagotavljajo moderne standarde varnega spletnega plačevanja.



Nakup po spletu. Foto Pixabay
Nakup po spletu. Foto Pixabay

Več iz rubrike

mnenja

Borzni komentar: Centralne banke zopet v ekspanzivni denarni politiki

Ob tem, ko je pozornost trgov toliko uprta v delovanje centralnih bank, se odlično razpleta zgodba s sezono objave poslovnih rezultatov.

mnenja

Znanstvena fantastika ali poslovna realnost

Znani futurolog in preučevalec voditeljstva Keith Coats pravi, da je voditeljstvo vedno stvar konteksta, v katerem živimo in delujemo. Kakšen je naš trenutni in kakšen prihajajoči kontekst?

mnenja

Milenko Boroja: Dober vodja je prvi, ki posluša in zadnji, ki govori

Splošno je znano, da zaposleni odhajajo ne zaradi podjetja temveč zaradi ljudi, ki jih vodijo. Kljub temu imajo v nekaterih podjetjih sisteme upravljanja z zaposlenimi in ne vodenja zaposlenih.

mnenja

Dr. Makovec Brenčič: kaj zares (še) šteje

Kaj res potrebujem in ne le, kaj vse bi si želel? Še bolj pomembno - kaj si z manj viri lahko (še) privoščim?

Komentarji: