Novinky v oblasti silného ověření uživatele

Datum 1. ledna 2021 se stalo dalším z milníků při zavedení tzv. silného ověření uživatele v oblasti platebních služeb, které má za cíl zajistit vyšší bezpečnost internetových platebních transakcí. Od tohoto data končí prodloužená implementační lhůta pro účastníky karetních transakcí a zákonná povinnost silného ověření uživatele se tak aplikuje na všechny poskytovatele platebních služeb bez výjimek.

Shrnutí právní úpravy

Silné ověření uživatele má legislativní základ v článku 97 Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES (Text s významem pro EHP). Ten byl do české legislativy transponován v podobě § 223 zákona č. 370/2017 Sb., o platebním styku (dále jen „ZPS“). Podrobnější povinnosti poskytovatelů platebních služeb stanoví nařízení Komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (dále jen „Nařízení“), jako přímo použitelný předpis Evropské unie, který stanoví způsob silného ověření uživatele ve smyslu § 223 odst. 5 ZPS.

Silné ověření uživatele je poskytovatel platební služby povinen provést, mimo jiné, při každém přístupu uživatele ke svému platebnímu účtu prostřednictvím internetu nebo zadání elektronické platební transakce. Tento postup pak spočívá v ověření založeném na použití alespoň 2 z těchto prvků:

1. údaj, který je znám pouze uživateli (např. přihlašovací údaje),
2. věc, kterou má uživatel ve své moci (např. mobilní telefon s nainstalovanou aplikací internetového bankovnictví),
3. biometrické údaje uživatele (např. otisk prstu, snímek obličeje).