Novinky v oblasti silného ověření uživatele

Datum 1. ledna 2021 se stalo dalším z milníků při zavedení tzv. silného ověření uživatele v oblasti platebních služeb, které má za cíl zajistit vyšší bezpečnost internetových platebních transakcí. Od tohoto data končí prodloužená implementační lhůta pro účastníky karetních transakcí a zákonná povinnost silného ověření uživatele se tak aplikuje na všechny poskytovatele platebních služeb bez výjimek.

Shrnutí právní úpravy

Silné ověření uživatele má legislativní základ v článku 97 Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES (Text s významem pro EHP). Ten byl do české legislativy transponován v podobě § 223 zákona č. 370/2017 Sb., o platebním styku (dále jen „ZPS“). Podrobnější povinnosti poskytovatelů platebních služeb stanoví nařízení Komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (dále jen „Nařízení“), jako přímo použitelný předpis Evropské unie, který stanoví způsob silného ověření uživatele ve smyslu § 223 odst. 5 ZPS.

Silné ověření uživatele je poskytovatel platební služby povinen provést, mimo jiné, při každém přístupu uživatele ke svému platebnímu účtu prostřednictvím internetu nebo zadání elektronické platební transakce. Tento postup pak spočívá v ověření založeném na použití alespoň 2 z těchto prvků:

1. údaj, který je znám pouze uživateli (např. přihlašovací údaje),
2. věc, kterou má uživatel ve své moci (např. mobilní telefon s nainstalovanou aplikací internetového bankovnictví),
3. biometrické údaje uživatele (např. otisk prstu, snímek obličeje).

Vzhledem k tomu, že u elektronických platebních transakcí na dálku existuje vyšší riziko podvodu, je u těchto transakcí poskytovatel platebních služeb navíc povinen použít silné ověření uživatele zahrnující jednorázové prvky propojující platební transakci s přesnou částkou a určitým příjemcem (tzv. dynamické propojení).[1] Specifický režim pak mají elektronické platební transakce, u nichž v okamžiku jejich iniciování není známá přesná částka.[2] V takovém případě se silné ověření uživatele vztahuje na maximální částku, s ohledem na níž udělil plátce souhlas s iniciováním platební transakce, tj. na částku, s jejíž blokací na účtu ve prospěch dal plátce souhlas (čl. 5 odst. 3 Nařízení). 

Pokud poskytovatel platebních služeb poruší povinnost provést silné ověření uživatele, může to vést k jeho odpovědnosti za ztráty způsobené provedením neautorizované platební transakce v režimu § 182 odst. 1 a 3 písm. c) ZPS.

Prodloužená implementační lhůta pro zavedení silného ověření uživatele

Výše uvedená pravidla se měla bez výjimek aplikovat již od 14. září 2019.[3] Avšak z důvodu komplexnosti platebních systémů a náročnosti přechodu na nový standard ověřování plateb Evropský orgán pro bankovnictví (dále jen „EBA“) ve svých stanoviscích z 21. června 2019[4] a 16. října 2019[5] přistoupil k ojedinělému kroku a umožnil národním orgánům dohledu za účelem předejití negativním dopadům na účastníky e-commerce karetních platebních transakcí poskytnout poskytovatelům platebních služeb v této oblasti další čas na plnou implementaci Nařízení. Tato prodloužená implementační lhůta byla stanovena v maximální době trvání do 31. prosince 2020 a byla podmíněna urychlenou přípravou a realizací migračních plánů ze strany poskytovatelů platebních služeb a jejich odsouhlasením s národními orgány dohledu (tj. v případě tuzemsky licencovaných subjektů Českou národní bankou). Na tato stanoviska EBA navazovalo sdělení České národní banky ze dne 11. září 2019, [6] doplněné dne 7. listopadu 2019.[7]

Dopad zavedení silného ověření uživatele do smluvní dokumentace

V souvislosti se zavedením silného ověření uživatele musí poskytovatelé platebních služeb příslušně upravit smluvní dokumentaci uzavíranou se svými klienty, a to včetně předsmluvních informací. Katalog informačních povinností a smluvních ujednání ve smlouvách uzavíraných dle ZPS je relativně rozsáhlý. Proto lze jen uvítat, že Česká národní banka koncem minulého roku poskytla regulovaným subjektům vodítko ohledně informací a smluvních ujednání, které musí upravit jako tzv. minimální standard. Tím je dohledové sdělení České národní banky č. 1/2020 k povinnosti poskytovatelů platebních služeb promítnout požadavky na silné ověření uživatele do informací poskytovaných klientům a smluvní dokumentace ze dne 14. prosince 2020[8] („Dohledové sdělení“). Úplný rozsah informací a smluvních ujednání, které musí každý poskytovatel platebních služeb upravit, pak bude záviset na více faktorech, např. typ licence k poskytování platebních služeb, struktura poskytovaných platebních služeb, zda a jaké jsou vydávány platební prostředky a samozřejmě také podoba stávající smluvní dokumentace.

Informace poskytované před uzavřením rámcové smlouvy (§ 133 až § 139 ZPS)

Dle Dohledového sdělení je v souvislosti se zavedením silného ověření uživatele nutné upravit informace poskytované dle § 135 písm. c) ZPS, dle kterého musí být uživateli s dostatečným předstihem před tím, než je vázán rámcovou smlouvou, poskytnuty informace o formě a postupu při udělení souhlasu s provedením platební transakce a odvolání takového souhlasu. Nad rámec ZPS Česká národní banka výslovně doporučuje, aby poskytovatelé platebních služeb takto poskytované informace rovněž přímo vtělili do smluvních ujednání s uživateli (klienty), a to z praktického důvodu snazší prokazatelnosti, že tyto informace byly skutečně poskytnuty.

Minimální rozsah informací / ujednání dle § 135 písm. c) ZPS by podle České národní banky měl být následující:

Okruh informací / ujednání	Konkrétní informace / ujednání
Bezpečnostní prvky uživatele	Ujednání o tom, co tvoří osobní bezpečnostní prvky uživatele, kterými uživatel dává souhlas s platební transakcí a s pomocí kterých poskytovatel platebních služeb uživatele ověřuje
Dvoufaktorové (nebo vícefaktorové) ověření	Ujednání o tom, že v rámci ověření uživatele poskytovatel platebních služeb zpravidla ověřuje uživatele prostřednictvím (kombinace) dvou prvků z různých kategorií (pokud nejsou splněny podmínky pro některou z výjimek předpokládaných právními předpisy)
Postup uživatele při udělení souhlasu s transakcí	Ujednání o postupu uživatele při udělení souhlasu s platební transakcí tak, aby byla transakce považována za autorizovanou (např. udělení souhlasu zadáním jednorázového kódu a/či PINU/ otiskem prstu, apod.)

V souladu s § 132 odst. 2 písm. e) ZPS musí, tam kde to připadá v úvahu vzhledem k obsahu smlouvy o jednorázové platební transakci, být výše uvedené informace poskytnuty uživateli rovněž před uzavřením smlouvy o jednorázové platební transakci a v souladu s Dohledovým sdělením by měly být zahrnuty rovněž mezi smluvní ujednání smlouvy o jednorázové platební transakci.

Dle Dohledového sdělení je dále požadavek na silné ověření uživatele zohlednit u informací poskytovaných dle § 139 písm. a) bod 1 ZPS, dle kterého má-li být podle rámcové smlouvy vydán uživateli platební prostředek, musí být uživateli s dostatečným předstihem před tím, než je vázán rámcovou smlouvou poskytnut popis opatření, která musí uživatel přijmout na ochranu jeho osobních bezpečnostních prvků, a informace o způsobu, jímž má uživatel oznámit ztrátu, odcizení, zneužití nebo neoprávněné použití platebního prostředku. I zde Česká národní banka výslovně doporučuje, aby poskytovatelé platebních služeb takto poskytované informace rovněž přímo vtělili do smluvních ujednání s uživateli (klienty).

Minimální rozsah informací / ujednání dle § 139 písm. a) bod 1 ZPS by podle České národní banky měl být následující:

Okruh informací / ujednání	Konkrétní informace / ujednání
Opatření přijatá uživatelem na ochranu bezpečnostních prvků	Ujednání o opatřeních, která musí uživatel přijmout na ochranu svých osobních bezpečnostních prvků
Možnosti, jak oznámit ztrátu, odcizení, zneužití či neoprávněné použití platebního prostředku sloužícího k silnému ověření uživatele	Ujednání o tom, kam, v jakých lhůtách a jakým způsobem má uživatel postupovat v případě ztráty, odcizení, zneužití či neoprávněného použití platebního prostředku (např. mobilního telefonu s uloženou platební kartou či nainstalovanou platební aplikací)

Další doporučení České národní banky

Česká národní banka v Dohledovém sdělení dále doporučuje, aby poskytovatelé platebních služeb ve smluvní dokumentaci zakotvili své právo transakci neprovést (odmítnout) v případě, že obdrží pokyn k provedení platebního příkazu, u kterého předchozí subjekty podílející se na zpracování transakce neumožnily provedení silného ověření uživatele (půjde zejména o karetních transakce, pro něž je typická účast několika subjektů na jedné platební transakci).

Závěrem Česká národní banka připomíná, že silné ověření uživatele je spjato s nakládáním s osobními údaji uživatelů a poskytovatelé platebních služeb tak podléhají režimu legislativy na ochranu osobních údajů. V této souvislosti je vhodné doplnit, že biometrické údaje (tj. jeden z prvků silného ověření uživatele) spadají do tzv. zvláštních kategorií osobních údajů se specifickým režimem zpracování podle čl. 9 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. Jak již ukázalo nedávné rozhodnutí Úřadu pro ochranu osobních údajů týkající se používání dynamického biometrického podpisu,[9] praxe Úřadu pro ochranu osobních údajů v oblasti zpracování biometrických dat může být velmi přísná. V tomto rozhodnutí Úřad pro ochranu osobních údajů uložil bance pokutu ve výši 250.000,- Kč, když shledal, že využívání dynamického biometrického podpisu k uzavření smluvní dokumentace, byť s předchozím souhlasem podepisující osoby, je v rozporu se zásadou tzv. minimalizace údajů. Při aplikaci argumentace Úřadu pro ochranu osobních údajů z citovaného rozhodnutí by podle mého názoru mohla být problematická zejména situace, kdy by poskytovatel platebních služeb v rámci silného ověření uživatele vyžadoval obligatorní použití biometrických údajů uživatelů, tj. uživatel by například neměl možnost při iniciování elektronické platební transakce provést autorizaci pomocí přihlašovacích údajů nebo jiných údajů ve smyslu § 223 odst. 3 písm. a) ZPS. Je tedy zřejmé, že poskytovatelé platebních služeb by oblasti ochrany osobních údajů měli rovněž věnovat patřičnou pozornost.