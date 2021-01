Od 1. 1. 2021 musejí všichni vydavatelé platebních karet povinně ověřovat internetové transakce kartou ještě dalším zabezpečovacím prvkem. Již nestačí jen třímístný CVC/CVV kód na zadní straně karty. Nejjednodušší a nejlevnější cestou pro vydavatele je vyrobit mobilní aplikaci, nebo ověření kartové transakce integrovat do stávající aplikace.

Chytrý mobil s Androidem nebo iOS vám při použití karty na internetu pípne, vy transakci potvrdíte či zamítnete a je hotovo.

Jenže… co když chytrý mobil nemáte, nebo jej ani nechcete? A co když jste bez mobilních dat, která jsou pro používání bankovních aplikaci v podstatě nezbytná? (S výjimkou offline generování kódů pro internetové bankovnictví.)

Zjišťovali jsme, jak to nyní je a s jakou platební kartou zaplatíte na internetu i bez chytrého telefonu.

Spása v podobě ePINU?

Abyste mohli používat platební kartu na internetu bez chystrého mobilu, stačí vám znát tzv. ePIN. To je speciální, neměnný PIN pouze pro platby na internetu. Nepleťte si ho s klasickým PINem pro platby u obchodníků na terminálech či výběry hotovosti. ePIN je pouze pro platby na internetu.

Problém je, že někteří vydavatelé karet jej nevydávají, spoléhají se jen na mobilní aplikace. Nemáte je? Máte smůlu.

Jiní vám ePIN vygenerují a ten si musíte někde uložit a zapamatovat. Nedá se změnit. A další naštěstí umožňují si ePIN zvolit libovolný a také jej kdykoli měnit.

S tím vygenerováním ePIN je to také zajímavé. Někteří jej vám zobrazí v internetovém nebo mobilním bankovnictví, protože to jinak nejde. Nepoužívate přístup do banky přes internet? Nedostanete ePIN. Jiní vám jej pošlou přes SMS. A pouze jediný vám umožní si jej vytisknout v bankomatu.

A pak jsou vydavatelé karet, kteří ePINu nehoví a používají vlastní řešení v podobě SMS a dalších bezpečnostních prvků

Kdo co umí, ukazuje přehledně tabulka ve článku. Oslovili jsme s žádosti o reakci všechny vyavatele karet v tabulce. Ne ode všech se nám dostalo odpovědí. Informace jsme si proto vyhledávali a ověřovali také sami.

S kým to bez chytrého mobilu nejde?

Není to nakonec tak divoké, jak v loňské roce indicie naznačovaly. Z českých vydavatelů karet vsadili na plně digitální ověření jen dvě banky. Bez chytrého mobilu nezaplatíte kartami Hello bank! a UniCredi Bank. Letos k nim ale pravděpodobně přibude také Air Bank.

Plně digitální jsou také karty mobilních startupů Curve a Revolut. U ostatních karet vám v případě potřeby přijde klasická SMS a maximálně vyťukáte ještě navíc jeden údaj navíc (ePIN nebo heslo v případě Komerčky).

Kde to bez chytrého mobilu nejde

Curve Hello bank! Revolut UniCredit Bank

Chci platit kartou na internetu, ale nechci internetové a mobilní bankovnictví

Pokud z nějakého důvodu nechcete online přístup do banky, ale kartou na síti platit chcete, umožní vám to jen tito vydavatelé karet:

Česká spořitelna – ePIN zjistíte v bankomatu ESSOX – pošle SMS s ePIN při aktivaci služby Expobank – pošle SMS s ePIN při volání na infolinku Freepay – žádný ePIN, stále chodí jednorázové SMS Home Credit – pošle SMS s ePIN při aktivaci služby PPF banka – pošle e-mail nebo SMS s ePIN při aktivaci služby Raiffeisenbank – žádný ePIN, stále chodí jednorázové SMS Sberbank – pošle SMS s ePIN při volání na infolinku

Podrobný přehled podporovaných metod při platbě kartou na internetu

Vydavatelé karet a forma zabezpečení kartových transakcí od 1. 1. 2021 Vydavatel platební karty nebo jiný subjekt Speciální ePIN Doručení/zjištění ePIN Bude/umí posílat SMS Autorizace kartové transakce přes mobilní aplikaci Air Bank ne – ano (ale zruší to) ano (integrovaná) Banka CREDITAS ano – 4místný volitelný internetové/mobilní bankovnictví ano ano Cofidis ano – 6místný volitelný SMS ano ne Curve ne . ne ano (samostatná) Česká spořitelna ano – 6místný pevný internetové/mobilní bankovnictví, bankomat ano ano (samostatná) ČSOB ne – ano ano (samostatná) Diners Club ano – 4místný volitelný internetové bankovnictví ano ne Essox ano SMS ne ano (samostatná) Equa bank připravuje se internetové/mobilní bankovnictví ano ano (integrovaná) Expobank ano – 4místný volitelný přes IB, nebo generovaný přes infolinku internetové bankovnictví/infolinka a následně SMS ano ano (samostatná) Fio banka ano – 3místný pevný internetové/mobilní bankovnictví ano ano (integrovaná) Freepay ne – ano ne Hello bank! ne – ne ano (integrovaná) Home Credit ano – 6místný pevný SMS ano ano (integrovaná) J & T Banka ano – 4místný pevný internetové bankovnictví ano ne Komerční banka ne – ano ano (samostatná) mBank ne – ano ano (integrovaná) MONETA Money Bank ano, 6místný pevný (připravuje) internetové/mobilní bankovnictví ano ano (integrovaná) PPF banka ano, pevný (banka připravuje volitelný) e-mail/SMS ano ano (samostatná) Raiffeisebank ne – ano ano (samostatná, bude integrovaná) Revolut ne – ne ano (integrovaná) Sberbank ano – 4místný pevný SMS ano ne UniCredit Bank ne . ne ano (integrovaná)

Reakce vydavatelů karet

Air Bank

Už od začátku roku 2020, tedy od loňska umožňujeme našim klientům, aby platby kartou na internetu potvrzovali prostřednictvím mobilní aplikaci. Klienti si tento jednoduchý a pohodlný způsob rychle oblíbili. Klienti mají možnost využívat mobilní aplikaci My Air jednak jako plnohodnotný způsob obsluhy svých účtu včetně funkce potvrzování plateb a přístupu do internetového bankovnictví, anebo si aplikaci mohou nastavit v módu, který jim umožní aplikaci používat jen jako bezpečnostní klíč pro potvrzování, a žádné aktivní transakce v ní dělat nepůjde, popisuje za Air Bank její mluvčí Jana Pokorná.

Podle banky mobilní aplikaci mají čtyři pětiny jejich klientů, kteří mají zároveň i platební kartu, a jejich počet dále roste. Ale i po prvním lednu 2021 klient Air Bank, který nemá dosud mobilní aplikaci My Air, svou kartou na internetu zaplatí. Pro potvrzení platby nám postačí nadále SMS kód zaslaný na klientův telefon, říká Pokorná s tím, že to je jen dočasné řešení: Drtivá většina našich klientů, kteří platí kartou na internetu, už ale dnes tyto platby potvrzuje mobilní aplikací. Ostatní klienty na tento jednoduchý a pohodlný způsob potvrzování plateb cílenou komunikací postupně převádíme. Nějaký čas tedy ještě potvrzování plateb přes SMS podporovat budeme, ať mají klienti čas změně plně porozumět a následně ji provést. Je ale pravděpodobné, že v určitý okamžik tento způsob ukončíme. Kdy přesně se tak stane, teď ještě nevíme. Klienty, kterých se to bude týkat, o tom ale včas budeme informovat, uzavírá reakci.

Bez chytrého mobilu kartou na internetu zatím zaplatíte. Ale časem to nepůjde.

Banka CREDITAS

3D Secure platby kartami CREDITAS na internetu jsou už od 23. září 2020 zabezpečeny tzv. silným ověřením. Tento způsob zajištění plateb plní veškeré legislativní požadavky, které jsou od ledna 2021 povinné pro všechny banky na českém trhu. Aby placení zůstalo pohodlné, připravila banka CREDITAS ověření pomocí aplikace CREDITAS Autentizace pro iOS nebo Android. Platbu stačí pohodlně potvrdit v aplikaci například otiskem prstu nebo rozpoznáním obličeje, píše Měšci Ivo Měšťánek, mluvčí Banky CREDITAS.

Pro klienty, kteří nemají chytrý telefon, nebo ho nemohou či nechtějí používat, je zde varianta potvrzení pomocí kódu z SMS a kódu ePIN. Ten si mohou nastavit ve svém internetovém bankovnictví, takže na pobočku nemusí, pokračuje Měšťánek.

Řada lidí preferuje mít pro internetové platby samostatnou kartu, oddělenou od hlavní karty, kterou používají. Proto má CREDITAS již od roku 2017 v nabídce virtuální platební kartu. Její zřízení i vedení je bezplatné, uzavírá Měšťánek.

Bez chytrého mobilu kartou na internetu zaplatíte.

Česká spořitelna

ePIN sjsme pustili 1. 1. 2021 zatím v pilotním provozu. Do konce ledna ho spustíme naplno a budeme ho vyžadovat u všech klientů, kteří nepoužívají George klíč nebo u nás neprovedly dostatečný počet plateb kartou na internetu, napsal Měšci Filip Hrubý, mluvčí České spořitelny.

Každopádně v současnosti již více než polovina klientů Spořitelny potvrzuje platby kartou na eshopech pomocí mobilní aplikace George klíč. V aktuálně probíhající komunikační kampani klienty motivujeme, aby se potvrzování plateb pomocí mobilního klíče stalo jejich preferovanou volbou, protože jde v tutu chvíli o jednoznačně nejbezpečnější metodu potvrzování online plateb, popisuje dál Hrubý, jak se spořitelna klienty snaží zmigrovat na George klíč.

Klienti bez tzv. chytrého telefonu, nebo klienti, kteří nechtějí používat aplikaci George klíč, mohou nicméně i nadále potvrzovat platby zadáním číselného kódu z potvrzovací SMS.

Spořitelna dokáže na základě tzv. behaviorální analýzy vytvořit individuální platební profil klienta, který vyplývá z jedinečných charakteristik jeho platebního chování a který například rozeznává způsob, jakým klient zadává potvrzovací kód na displeji telefonu nebo klávesnici počítače. Behaviorální analýza nám tak pomáhá verifikovat identitu klienta stejným způsobem jako číselný kód z potvrzovací SMS, vysvětluje Hrubý.



Autor: Dalibor Z. Chvátal Vygenerování ePINu prostřednictvím bankomatu. (01/2021)

Behaviorální analýzu můžeme nicméně pro potvrzení plateb uplatnit u klientů, kteří již na internetu provedli vícero plateb kartou České spořitelny. Pokud klient dosud naší kartou na internetu neplatil (a my proto nemáme dostatek informací o jeho platebním chování), bude moci i nadále potvrzovat platby v eshopech zadáním číselného kódu z potvrzovací SMS, ale zároveň bude muset vyplnit také tzv. ePIN (jedná se pětimístný kód, který si mohou klienti nechat vygenerovat buď v bankomatu nebo v internetovém bankovnictví George). Jakmile tito klienti provedou několik plateb na internetu, nebudou již muset ve většině případů ePIN zadávat, ale budou moci nadále potvrzovat pouze opisem kódu z SMS a Spořitelna je bude moci začít ověřovat aké na základě behaviorální analýzy, uzavírá téma podrobnými detaily Hrubý.

Bez chytrého mobilu kartou na internetu zaplatíte.

Cofidis

Cofidis využívá pouze OTP SMS spolu se speciálním 6místným ePIN, který si klient sám může změnit. Autorizace kartové transakce přes mobilní aplikaci není možná, kometuje za Cofidis Jana Klusáčková ze společnosti Intenstity, která Cofidis mediálně zastupuje.

Bez chytrého mobilu kartou na internetu zaplatíte.

ČSOB

Současnou metodu potvrzování plateb kartou na internetu formou SMS kódů nahradíme potvrzováním v naší mobilní aplikaci Smart klíč. Klienti tak budou platit na internetu pohodlněji. Místo SMS kódu jim přijde do mobilu notifikace a klient ji potvrdí otiskem prstu, Face ID nebo PINem. Našim klientům doporučujeme si co nejdříve stáhnout aplikaci ČSOB Smartklíč, v případě, že už klient ČSOB Smartklíč má, nemusí nic nastavovat a instalovat. Přechod na jednodušší potvrzování online plateb kartou proběhne automaticky, komentuje Patrik Madle, tiskový mluvčí ČSOB a Poštovní spořitelny.

ČSOB rovněž zavádí novou technologii RBA – Risk Based Authentication. Klienti ČSOB již nebudou muset ve všech případech při platbě platební kartou online zadávat SMS kód či ověřit transakci prostřednictvím Smart klíče. Tato nová technologie bude podle několika bezpečnostních kritérií vyhodnocovat každou transakci, a dle její rizikovosti následně rozhodne o způsobu bezpečnostního ověření.

Banka na lidi bez chytrých mobilů nezapomněla. Držitelé karet bez Smart klíče budou mít možnost ověření pomocí SMS v kombinaci s Risk-based autentizací (RBA/TRA). ePIN ale nechceme podporovat, protože ho považujeme za uživatelsky nekomfortní, držitelé karet bez Smart klíče budou mít možnost ověření pomocí SMS v kombinaci s Risk-based autentizací (RBA/TRA), uzavírá Madle.

Bez chytrého mobilu kartou na internetu zaplatíte.

Diners Club

Pro držitele karet Diners Club byla od 1. 1. 2021 spuštěna 2faktorová autentifikace, která spočívá v tom, že při každém potvrzování platby ze strany držitele karty Diners Club je potřebné zadat tyto 2 faktory: OTP, čili jednorazové heslo, které obdrží prostřednictvím SMS a ePIN – statické heslo, které si zvolí v prostředí servisního portálu a z bezpečnostních důvodů nebude součástí platební karty, napsal Měšci Radovan Ivánek z Diners Club CS.

Bez chytrého mobilu kartou na internetu zaplatíte.

Expobank

Již v únoru 2020 jsme jako jedna z prvních bank na tuzemském trhu implementovali dle požadavku směrnice PSD2 dvoufaktorové ověření transakcí zabezpečených formou 3D Secure. Při platbě kartou na internetu klient může využít naši vlastní autorizační aplikaci podporující ověření i otiskem prstu či skenem obličeje nebo může použít kombinaci kódu z SMS na základě 3D Secure platby a zadání ePIN. Toto pokročilé, dvoufaktorové zabezpečení považujeme v tuto chvíli za naprosto vyhovující, a proto další zabezpečení aktuálně nepřipravujeme, píše do Měšce Jakub Švestka, vedoucí komunikace a tiskový mluvčí Expobank.

OTP = One Time Password Anglická zkratka pro jednorázové heslo zaslané nejčastěji přes SMS, email, nebo zobrazením v aplikaci. RTA = Risk Based Authentication Anglická zkratka pro ověřování transakcí zakloženém na riziku (obchodníka, čas, místo, segment, typ transakce, částka, historie transakí apod.) TRA = Transaction Risk Analysis Anglická zkratka pro analýzu transakčních rizik. Ve zkratce napsáno, sleduje se vaše dřívější transakční chování.

Ale banka na klienty bez chytrých mobilů nezapomněla. V tomto případě je nutno mít nastaven ePIN a v kombinaci s opsáním kódu z SMS na základě 3D Secure platby je možno transakci chráněnou 3D Secure schválit.

ePIN jsme začali vyžadovat v únoru 2020. ePIN si náš klient může sám nastavit v internetovém bankovnictví. Pakliže internetové bankovnictví nemá, lze náhodně generovaný ePIN získat kontaktováním zákaznické linky, kdy je ePIN po potřebné autorizaci klienta zdarma odeslán pomocí SMS na telefonní číslo registrované pro 3D Secure (pozn. získání ePIN je podmíněno předchozím nastavením telefonního čísla pro platby chráněné 3D Secure), uzavírá Švestka.

Bez chytrého mobilu kartou na internetu zaplatíte.

Equa bank

Klienti Equa bank mohou své platby autorizovat prostřednictvím push notifikace. Tj. klient obdrží push notifikaci do své mobilní aplikace v mobilním telefonu. Jejím potvrzením pak dojde k autorizaci platby platební kartou. Druhou a zcela novou možností pak bude možnost autorizovat e-commerce transakce prostřednictvím autorizační SMS v kombinaci se zadáním ePIN. Ten si klient nastaví ve svém internetovém nebo mobilním bankovnictví. Bude možné jej kdykoliv zcela zdarma změnit, reaguje za Equa bank Kateřina Petko, ředitelka PR a interní komunikace.

Bez chytrého mobilu kartou na internetu zaplatíte.

Fio banka

Aktuálně mají naši klienti dvě možnosti, jak platby kartou na internetu potvrzovat. Buď využijí naši mobilní aplikaci nebo budou transakce potvrzovat opsáním kódu z SMS (3D Secure) a zároveň zadáním e-PINu, odpovídá Jakub Heřmánek, mluvčí Fio banky.

Kdo ale chytrý mobil nemá, pro něj se nic zásadního nemění. První krok potvrzení nemění, tedy opisují kód ze zaslané SMS zprávy. Přibyl k němu ale druhý faktor, zadání unikátního ePINu, který klienti najdou na detailu karty v internetbankingu, popisuje Heřmánek.

Fio banka ePIN používá od přelomu roku 2020/2021. Jde o třímístný číselný kód unikátní pro každou kartuu, je pevně daný a platí po celou platnost karty.

Bez chytrého mobilu kartou na internetu zaplatíte.

Home Credit

Pokud má náš klient chytrý telefon a v něm příslušnou mobilní aplikaci, placení je pro něj jednodušší a platbu potvrdí přes mobilní aplikaci otiskem prstu, skenem obličeje nebo zadáním hesla. Další možností silnějšího ověření plateb na internetu je zadání SMS kódu, který klientovi přijde na mobilní telefon a jako druhý faktor pro ověření klienta je ePIN, který jsme doručili našim klientům, popisuje aktuálni stav pro Měšec Luděk Jírů, generální ředitel Home Credit.

Pokud klient nepoužívá mobilní aplikaci nebo nemá chytrý telefon, přijde mu SMS kód, který následně zadá pro ověření platby a jako druhý faktor pro silnější ověření klienta slouží ePIN, který jsme doručili našim klientům. ePIN je pevně daný a klient si ho volit nemůže, uzavírá Jírů.

Bez chytrého mobilu kartou na internetu zaplatíte.

J & T Banka

Používáme dvoufázové zabezpečení 3DS2. Nejsme klasickou transakční bankou, v současné chvíli tedy nenabízíme mobilní aplikaci. Všichni klienti tedy využívají ověření ePINu, píše za J & T Banku Monika Veselá, PR manažerka.

V současné chvíli neumožňujeme změnu ePINu, jde o 4místný pevně daný kód, který si však může klient kdykoliv diskrétně zobrazit, pokud by si jej nezapamatoval, dodává Veselá.

Bez chytrého mobilu kartou na internetu zaplatíte.

Komerční banka

Aktuálně je již skoro 90 % všech klientů, kteří platí platební kartou na internetu, vybaveno metodou pro dvoufaktorové ověření. Aplikaci KB Klíč používá naprostá většina těchto klientů. Alternativní metodou ke KB Klíči je heslo a SMS, aktuálně jej využívá skoro 10 % klientů, kteří platí kartou na internetu, píše pro Měšec Michal Teubner z tiskového odděleni Komerční banky.

A dále dodává, že banka primárně zodpovídá za nastavení metody ověřování na straně platebních karet, které vydává a zde patří mezi první banky nabízející řešení svým klientům. Aplikaci KB Klíč jsme začali pro ověřování karetních transakcí na internetu našim klientům nabízet již v květnu tohoto 2020, pokračuje Teubner. A dodává, že nastavení na straně obchodníka je zcela mimo zónu vlivu KB. Doporučujeme kontaktovat buď zpracovatelské banky obchodníků (acquirery) nebo přímo zástupce karetních společností Mastercard a VISA, které situaci průběžně monitorují.

Pokud tedy nemáte mobilní aplikaci banky, platbu kartou budete potvrzovat alfanumerickým heslem, které jste si sami zvolili (a kterým se přihlašujete do internetového bankovnictví Komerčky). A následně SMS. Popisuje to video níže.

Bez chytrého mobilu kartou na internetu zaplatíte.

mBank

Nadále budeme potvrzovat transakce SMS kódem. Dodatečné ověření poskytne banka na základě transakční/behaviorální analýzy, reaguje za banku Štěpán Dlouhý, tiskový mluvčí mBank. Zavedení ePIN banka neplánuje.

Transakce tak lze potvrdit mobilní aplikací, nebo ověřovací SMS.

Naše řešení pro držitele karet Diners Club nevyžaduje používání další aplikace, komentuje za Diners Club CS Radovan Ivánek.

Bez chytrého mobilu kartou na internetu zaplatíte.

Hello bank!

Hello bank! již SMS neposílá, vsadila na plně digitální potvrzování transakcí prostřednictvím mobilní aplikace. Pokud její aplikaci nemáte, transakce se zamítne. Vypadá to pak takto:



Autor: Dalibor Z. Chvátal Bez mobilní aplikace platebními kartami Hello bank! na internetu nezaplatíte. (01/2021)

Bez chytrého mobilu kartou na internetu nezaplatíte.

Sberbank

Sberbank již silnou autentizaci používá, a to jak u transakcí pomocí platební karty na internetu, tak i online bankovnictví. Provádíme dvoufázové ověřování. Přihlašování do mobilní aplikace je možné pomocí otisku prstu nebo také rozpoznáním obličeje. Operace lze též autorizovat pomocí hesla nebo biometricky aplikací M-token, která umožňuje autorizaci všemi možnými biometrickými údaji (otisk prostu, obličej, duhovka, atd.), popisuje za Sberbank její mluvčí Radka Černá.

Pro platbu kartou na eshopu od nás všichni klienti obdrželi pomocí SMS na telefon heslo, které budou kombinovat s heslem/PIN kódem, které obdrží pomocí SMS ke konkrétnímu nákupu. Nemusí tedy chodit nikam na pobočku. Ve zprávě banka popsala i návod, jak vše používat, uzavírá Černá.

Sberbank má tedy mobilní aplikaci pro chytré mobily, a to jak pro přístup k účtu, tak pro potvrzování transakcí (převody z účtu apod.). Aplikace však neslouží k potvrzování kartových transakcí (neumí to).

Bez chytrého mobilu kartou na internetu zaplatíte.



Autor: Sberbank CZ, a.s. ePIN pro potvrzování internetových kartových transakcí posílá Sberbank přes SMS. (01/2021)

UniCredit Bank

Abyste od ledna 2021 mohli potvrzovat 3D Secure platby kartou na internetu, je potřeba mít nainstalovanou a zaktivovanou aplikaci Smart Banking nebo Smart klíč na svém mobilním telefonu. Nově budete místo používání SMS kódu k potvrzení svých internetových plateb používat aplikaci Smart Banking / Smart klíč. Banka o detailech informuje na svém webu.

Bez chytrého mobilu kartou na internetu nezaplatíte.