12. září 2019

Vše, co o PSD2 potřebujete vědět

Lukáš Zelený

PSD2 přináší pro Zonky mnoho výhod a především velkou příležitost, jak přinést zákazníkům pohodlnější a bezpečnější služby. S PSD2 se zvyšuje konkurence ve finančním odvětví díky tomu, že jednotlivé společnosti budou poskytovat o zákazníkovi více informací a budou schopny nabízet nové a bezpečné produkty klientům. Pokud by vás to více zajímalo, můžete si přečíst i náš dřívější článek Bankovní revoluce má jméno PSD2 na Zonky Times.

Co je PSD2?

PSD2 (Payment Services Directive) je druhá směrnice Evropské unie o platebních službách, která hlavně ovlivňuje platby kartou, zavádí povinnost bank a jiným finančním institucím (např. Zonky) umožnit jiným poskytovatelům poskytnout informace o účtu klienta a podrobně se zabývá bezpečností klientů, tzv. silné ověření klienta.

Má Zonky potřebná oprávnění pro poskytování služeb?

Ano. Zonky je platební institucí, a protože vede platební účty pro investory, muselo stejně jako banky připravit svou platformu pro přístup třetí strany. Zonky zároveň úspěšně získalo další dvě licence od České národní banky. Od září je tak Zonky oprávněno poskytovat AIS a PIS služby.

S vaším svolením můžete spravovat své běžné účty v jednom rozhraní.
S vaším svolením můžete spravovat své běžné účty v jednom rozhraní.

Služba informování o platebním účtu (AIS) umožní Zonky se souhlasem klienta banky získat informace z jeho bankovního účtu a na jednom místě mu ukázat detail o jeho financích v různých bankách nebo je použít pro vyhodnocování žádosti o úvěr.

Služba nepřímého dání platebního příkazu (PIS) umožní klientům banky bezpečně zadat u Zonky příkaz k platbě ze svého bankovního účtu, aniž by museli vstupovat do svého internetového bankovnictví.

Jak to přesně bude fungovat?

Zonky, které je držitelem licencí AIS a PIS má právo se připojit na komunikační rozhraní bank a dalších finančních institucí. 

Investora chráníme i při používání portálu a odhlásíme ho po pěti minutách nečinnosti.
Investora chráníme i při používání portálu a odhlásíme ho po pěti minutách nečinnosti.

Pro poskytnutí služby AIS dá klient Zonky potřebný souhlas a po přesměrování zadá v zabezpečeném rozhraní pro komunikaci s bankou např. heslo do internetového bankovnictví a SMS kód od banky. Zonky tak může od banky získat údaje o provedených transakcích, zůstatku na účtech a další informace, které jsou klientovi bankou zobrazovány. To je přínosné hlavně pro půjčovače, kteří tak mají možnost jednoduše a bezpečně předat Zonky bankovní výpisy nezbytné pro vyhodnocení jejich žádosti o úvěr.

Zonky plánuje svým klientům umožnit používat i PIS službu. Klient by vyplnil platební příkaz v prostředí Zonky. Po odsouhlasení podmínek služby, a že je správně vyplněný, by ho Zonky přesměrovalo do zabezpečeného rozhraní pro komunikaci s bankou, kde příkaz potvrdí např. heslem do internetového bankovnictví a SMS kódem od banky. Zonky už všechno ostatní za klienta vyřídí a zajistí provedení platebního příkazu. Klient může příkaz potvrdit i jiným způsobem, který mu umožňuje banka. Nejčastěji se používají push notifikace v mobilní aplikaci, otisky prstů, pin kódy nebo speciální mobilní aplikace tzv. klíčenky.

Jaké výhody má PSD2 pro investora?

Nepochybně vyšší zabezpečení jeho účtu díky dvoufaktorovému ověření (2FA) a do budoucna rozšíření nabízených služeb. Navíc má AIS služba díky PSD2 pozitivní dopad na rychlost schvalování půjček. Investor tak bude mít více půjček k zainvestování. 

Dvoufaktorové ověření zajišťuje, že pokud by útočník získal např. heslo k účtu investora nemohl by provést platbu, protože by neměl telefon s registrovaným telefonním číslem. Investora chráníme i při používání portálu a odhlásíme ho po pěti minutách nečinnosti. Díky tomu by se nemělo stát, že by delší dobu nezamčený notebook mohla zneužít třetí osoba.

Jaké výhody má PSD2 pro půjčujícího?

Při žádosti o úvěr budeme schopni rychleji vyhodnotit vaši poptávku, než když nám zašlete bankovní výpisy v pdf. Zároveň se jedná o bezpečnější způsob, protože napřímo komunikujeme s bankou. Zonky i banka totiž mají přísné bezpečnostní opatření proti hackerům a výpadkům. Přenos dat je tak bezpečnější a rychlejší. Zonky si za to ani nic neúčtuje.

Proč zavádíte dvoufaktorové ověření (2FA)? Platí to jen pro investory?

S PSD2 jde v ruku v ruce i vyšší zabezpečení investorského účtu díky silnému ověření klienta přes 2FA. Dvoufaktorové ověření pak platí jen pro investory a je povinné pro přihlášení do investorského účtu, export výpisu z účtu a výběr peněz z peněženky. 2FA vyžaduje, aby investor pro tyto akce se svým investorským účtem provedl ověření své identity dvěma nezávislými prvky. 

Kdy přesně a s jakými prvky se budu muset přihlašovat?

Jak jsme si vysvětlili výše, 2FA je vyžadováno pro tyto akce: přihlášení do investorského účtu, export výpisu z účtu a výběr peněz z peněženky bez ohledu na to, zda používáte mobilní aplikaci nebo přihlášení přes web.

Prvním faktorem pro akce na webu je vždy heslo. Pro přístup přes mobilní aplikaci může být heslo nahrazeno zvoleným PIN kódem nebo biometrií (otisk prstu, dlaně nebo oveření obličeje). 

Pro přihlášení do účtu je potřeba projít dvoufaktorovým ověřením.
Pro přihlášení do účtu je potřeba projít dvoufaktorovým ověřením.

Ve většině případů je druhým prvkem pro ověření unikátní SMS kód, který vám přijde na registrované telefonní číslo bez ohledu na to, jestli jste použili mobilní aplikaci nebo přihlášení přes web.

Zároveň plánujeme, že investorům nabídneme propojení naší mobilní aplikace s jejich investorským účtem a s konkrétním mobilním zařízením. Díky tomu by pro přístup k účtu přes mobilní aplikaci nemuseli investoři opisovat unikátní SMS kód a zadávali by jenom heslo, PIN kód nebo biometrii. Investoři, kteří ke svému účtu přistupují přes web, by mohli prostřednictvím takto spárované mobilní aplikace potvrzovat zobrazené push notifikace na místo přepisování unikátního SMS kódu. Jedná se o modernější, pohodlnější a bezpečný způsob provádění 2FA. 

V rámci zákonných pravidel Zonky pro přístup do peněženky může vyžadovat 2FA ověření jen jednou za čas. 

Při výběru peněz nebo exportu údajů z peněženky investora je zadáván už jen druhý z prvků (první se tzv. „přepoužívá“ z akce přihlášení). Pro tyto akce Zonky bude tedy posílat unikátní SMS kód jako druhý prvek, pokud investor v budoucnu nevyužije možnosti propojit si svůj investorský účet s mobilní aplikací.

Proč k ověření využíváte potvrzení pomocí SMS?

V první řadě musíme mít funkční variantu pro všechny investory, i pro ty bez chytrých telefonů. Z toho důvodu jsme se rozhodli pro SMS. Je to nejméně náročný krok pro dvoufaktorovou autorizaci. Někteří investoři například nechtějí instalovat mobilní aplikaci. Je tedy lepší mít více možností, kdy jedna je pro všechny a tu další si můžou vybrat podle svých preferencí. 

Propojení mobilní aplikace s investorským účtem, které by nahradilo SMS zprávy, jsou další kroky, které připravujeme.

Je ověření pomocí SMS bezpečné?

V případě jakýkoliv pochybností o bezpečí vašeho účtu kontaktujte Zonky.
V případě jakýkoliv pochybností o bezpečí vašeho účtu kontaktujte Zonky.

Ano. Zadáním ověřovacího SMS kódu ke klasickému zadání hesla přidáte druhý prvek ve formě vlastnictví registrovaného tel. čísla. Každý ověřovací kód je navíc unikátní pro konkrétního investora a konkrétní akci. Vždy je akceptován pouze jednou a platnost každého kódu je 5 minut, čímž se snižuje možnost zneužití.

Co se stane, když zadám vícekrát za sebou špatné přihlašovací údaje (bezpečnostní prvky)?

Po opakovaném chybném zadání bezpečnostních prvků dojde k dočasnému zablokování přístupu, případně k odhlášeni z profilu Zonky. Pro opětovné přihlášení musíte opět projít 2FA ověřením.

Usnadní mi přihlašování mobilní aplikace? Co pro to musím udělat?

Ano, v současnosti už pracujeme na možnosti dvoufaktorového ověření bez nutnosti přepisovat SMS kód. Vše bychom měli spustit v následujících týdnech.

Můžu si propojit investorskou peněženku se svou bankou? 

V tuto chvíli v této oblasti s žádnou bankou nespolupracujeme, ale v budoucnu je to pravděpodobné.

Sdílet článek