Novost na področju varnosti potrošnikov pri plačevanju v okviru spletne trgovine: zahteva po dodatnem elementu preverjanja avtentičnosti uporabnika

06.09.2019 / Sporočilo za javnost

14. septembra 2019 stopa v veljavo novost na področju varnosti potrošnikov pri plačevanju v okviru spletne trgovine. Ponudniki plačilnih storitev bodo morali namreč po novem avtentičnost stranke preveriti z najmanj dvema ustreznima elementoma in na ta način potrošniku zagotoviti varno plačevanje v okviru spletne trgovine. Ker večina slovenskih ponudnikov plačilnih storitev avtentičnost trenutno preverja samo z enim takim elementom in je implementacija nove rešitve lahko kompleksna, se je Banka Slovenije, po zgledu pristojnih organov držav Evropske unije, odločila za prehodno obdobje. Pri dolžini prehodnega obdobja bomo upoštevali usmeritve Evropskega bančnega organa, ki bodo znane predvidoma do konca leta.

Nove zahteve na področju varnosti potrošnikov pri plačevanju ureja od februarja 2018 veljavni Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih. Delegirana uredba Komisije (EU), ki se neposredno uporablja v vseh državah EU, pa podrobneje predpisuje zahteve na tem področju. Navedena zakonodaja po novem določa avtentikacijo uporabnika z uporabo najmanj dveh elementov, pri čemer mora vsak od njiju zadostiti enemu izmed naslednjih kriterijev oziroma kategorij:

(a) znanje uporabnika: nekaj, kar ve samo uporabnik;
(b) lastništvo uporabnika: nekaj, kar je v izključni lasti uporabnika;
(c) neločljiva povezanost z uporabnikom: nekaj, kar uporabnik je.

Kriteriji morajo biti med seboj neodvisni, kar pomeni, da se v primeru kršitev enega elementa ne zmanjšuje zanesljivosti drugih, varnostni elementi pa morajo zagotavljati tudi zaupnost podatkov, ki se preverjajo.

V okviru spletne trgovine v Sloveniji (in širše v EU) je danes pri večini kartičnih plačilnih transakcij v okviru spletne trgovine avtentikacija potrošnika izvedena na podlagi podatkov, natisnjenih na plačilni kartici (številka kartice, ime in priimek stranke, veljavnost, varnostna koda), in enkratnega gesla, prejeta prek kratkega tekstovnega sporočila, ki ga uporabnik prejme na mobilno napravo.

V skladu z mnenjem Evropskega bančnega organa iz junija letos navedeni način avtentikacije ne izpolnjuje zahtev nove uredbe po dveh elementih, saj podatki, natisnjeni na plačilni kartici, ne izpolnjujejo nobenega izmed navedenih elementov močne avtentikacije stranke.

Zaradi kratkega časa za prilagoditev rešitev ponudnikov plačilnih storitev smo se na Banki Slovenije odločili, da ponudnikom plačilnih storitev s sedežem v Sloveniji pod določenimi pogoji izjemoma dovolimo implementacijo potrebnih ukrepov za zagotovitev močne avtentikacije stranke tudi po 14. septembru, ko uredba sicer stopi v veljavo. Za podobno fleksibilnost so se odločili tudi pristojni organi drugih držav EU.

Na Banki Slovenije si prizadevamo za usklajen pristop in enake konkurenčne pogoje za vse ponudnike plačilnih storitev v EU. Zato bomo pri odločitvi o dolžini prehodnega obdobja upoštevali usmeritve Evropskega bančnega organa, ki bodo znane predvidoma do konca leta.