Uporabljate varne spletne finančne storitve?

V zadnjem desetletju smo priča razmahu spletnega nakupovanja. V letu 2013 je po podatkih Eurostata v Evropski uniji nakupovalo 50 odstotkov spletnih uporabnikov, v letu 2018 je ta delež narasel že na 69 odstotkov. Prihodki iz e-trgovanja so lani presegli 500 milijard evrov.

Kar četrtina potrošnikov, ki ne nakupujejo po spletu, kot glavni razlog navaja pomisleke, ki jih imajo glede varnosti spletnih plačil. To ni nenavadno, saj je bilo v letu 2016 po podatkih Evropske centralne banke v območju SEPA, ki zdaj vključuje 36 evropskih držav, zlorabljenih kar 22 na vsakih 1000 izdanih plačilnih kartic, število zlorab pa vztrajno narašča.

Zato je Evropska unija v direktivi evropskega parlamenta in sveta 2015/2366 z dne 25. novembra 2015 (PSD2) varnost elektronskih plačil, zaščito uporabnikov in razvoj ugodnega okolja za e-trgovanje opredelila kot ključni cilj. PSD2 tako zahteva, da ponudniki plačilnih storitev opravijo močno avtentikacijo stranke (angl. Strong Customer Authentication – SCA), ko uporabnik dostopa do svojega plačilnega računa prek spleta (spletno bančništvo) ali odredi elektronsko plačilno transakcijo (opravi spletno plačilo).
 

Zahteve močne avtentikacije?

  Republika Slovenija je zahteve PSD2 ustrezno prenesla v svoj pravni red. Za ponudnike plačilnih storitev se je skrajni rok za uvedbo močne avtentikacije po 18-mesečnem prehodnem obdobju od objave regulativnih tehničnih standardov (RTS) iztekel 14. septembra letos.

Kljub razmeroma dolgemu prehodnemu obdobju je Banka Slovenije septembra ugotovila, da nekateri ponudniki kartičnih plačilnih transakcij (med katere spadajo tudi banke) ukrepov, ki pri spletnih plačilih zahtevajo močno avtentikacijo uporabnika, niso implementirali ali pa so to storili neustrezno. Pokazalo se je tudi, da je pri večini kartičnih plačilnih transakcij v okviru splet­ne trgovine avtentikacija stranke izvedena na način, ki ne ustreza zahtevam močne avtentikacije.

Razlog za neustreznost je v tem, da se avtentikacija uporabnika praviloma izvaja z uporabo storitve 3-D Secure, ki deluje na način, da uporabnik v spletni obrazec za izvedbo spletnega plačila vpiše svoje osebne podatke in podatke o svoji plačilni kartici, nato pa ga sistem preusmeri na spletno mesto, kamor vpiše enkratno generirano geslo, ki ga prejme v SMS-sporočilu na svoj mobilni telefon. Takšen način po mnenju Evropskega bančnega organa (EBA) ne ustreza zahtevam močne avtentikacije, saj so podatki o plačilni kartici natisnjeni na fizični kartici in jih lahko pridobi vsakdo z vizualnim dostopom do plačilne kartice (npr. videokamera ob blagajni v trgovskem centru). Enkratno generirano SMS-geslo je torej v tem primeru edini varen način avtentikacije, kar je v nasprotju z jasno zahtevo, da mora biti izvedena z vsaj dvema od več neodvisnih elementov.
 

V Sloveniji še ni v celoti zaživela

Banka Slovenije se je zato po vzoru nekaterih tujih regulatorjev in junijskega priporočila EBA odločila, da bo ponudnikom plačilnih storitev pod določenimi pogoji izjemoma dovolila implementacijo potrebnih ukrepov tudi po 14. septembru.

Močna avtentikacija uporabnika torej v slovenskem prostoru še ni v celoti zaživela, saj se večina splet­nih transakcij še vedno opravi na način, ki ne ustreza predpisanemu standardu. Ponudniki spletnih plačilnih storitev, ki svojih storitev v prehodnem obdobju niso prilagodili, imajo skladno z odločitvijo Banke Slovenije še nekaj časa, da to uredijo.

Navedeno pa ne pomeni, da smo potrošniki obsojeni na čakanje na ustrezno implementacijo močne avtentikacije pri izbranem ponud­niku spletnega plačevanja ali da se do takrat izogibamo spletnemu plačevanju. Tudi sami lahko vplivamo na ponudnike spletnih plačilnih storitev, in sicer tako, da od njih zahtevamo uporabo varnih načinov plačevanja, ki so skladni z zahtevami močne avtentikacije, oziroma izberemo tiste, ki že danes zagotavljajo moderne standarde varnega spletnega plačevanja.