Od začetka leta je vendarle v veljavi potrjevanje spletnih nakupov z dvema od treh »bolj varnih« elementov, kot je bila prejšnja enkratna koda v sms-u ali sploh nikakršna zaščita, ki jo je nudila večina trgovcev. Tudi zdaj nekateri še ignorirajo nova pravila in po mojem bi morali dobiti enak tretma potrošnikov. Po drugi strani pa so se (ali se bodo) morali komitenti nekaterih bank prilagoditi.
Za tiste, ki ste zgrešili lanske članke o tem in morda letos še niste kupovali na spletu ali pa malce začudeno pogledali, ko ste to počeli prvič v 2021, ponovimo še enkrat, kaj zahteva evropska direktiva o plačilnih storitvah (PSD2). Ena od novosti v njej je močna uporabniška zaščita (Strong Customer Authentication, SCA) in ta predpostavlja avtentikacijo kupca z dvema od treh elementov. Ti elementi pa so:
- Nekaj, kar potrošnik je (biometrični podatki, denimo prstni odtis ali obraz)
- Nekaj, kar potrošnik ve (geslo, koda pin, odgovor na varnostno vprašanje)
- Nekaj, kar potrošnik ima (pametni telefon ali druga mobilna naprava)
Več o osnovah in vseh pomembnih podrobnostih novega načina potrjevanja spletnih nakupov si lahko prebereš v članku Za spletno nakupovanje potrebujete pametni telefon na spletnem portalu Vse bo v redu Zavarovalnice Triglav.

Poglejmo postopek skozi aplikacijo NLB Pay (na Androidu ali iOS-u), ki je pri največji slovenski banki tista za potrjevanje nakupov. Ko kupec pride do konca postopka v spletni trgovini in klikne kupi, se nakup še ne zaključi, ampak se prikaže stran z obvestilom, da je treba zadevo potrditi oz. avtorizirati. Na telefon pride (potisno) obvestilo, ki pozove k odprtju aplikacije. Telefon je že tisti element »Nekaj, kar potrošnik ima.« Sledi najprej odklepanje telefona in potem še aplikacije. Oboje je lahko zaščiteno biometrično (kar uporabnik je) ali s PIN-om oz. geslom (kar uporabnik ve). Ko vstopi v aplikacijo, ga tam pričaka nekaj informacij. Najprej odštevalnik, kajti za potrditev nakupa je pet minut časa, sicer propade. Nato datum in čas, ko je bil nakup sprožen. Če takrat lastnik telefona ničesar ne kupuje, že lahko ve, da gre za poskus zlorabe njegove kreditne kartice in lahko klikne zavrni ter potem ukrepa naprej. Če je v resnici kupec, potem gremo naprej. Naslednja postavka je ime trgovca in pod njim v okvirčku znesek nakup. Če se vse to ujema, smo že skoraj na koncu. Prikazane so še zadnje štiri številke plačilne kartice in ko je kupec prepričan, da je vse tako, kot mora biti, pritisne na Potrdi, in s tem je postopek končan. Pride le še obvestilo o uspešnem plačilu.
Ideja metode SCA je v tem, da bi bilo manj zlorab plačilnih kartic. Če mora lastnik kartice potrditi nakup, jo morebitni tatovi (kartice ali pa samo njenih številk) težje izkoristijo za svoje nakupe. Zato je seveda pomembno, da res vsi trgovci (in banke) to vpeljejo. Po novem letu sem še opravil kakšen nakup brez dodatne opisane metode, a jih ni bilo veliko. Poleg tega pravila ne veljajo za trgovce s sedežem zunaj EU. Vsaj pri tistih, ki jih pravila obvezujejo in jih morda še ne spoštujejo, ne bi bilo nič narobe, če se jih kupci izogibajo, dokler zadeve ne uredijo. Vse dotlej so potencialna točka, kjer lahko nepridipravi vnovčijo tuje kartice.
Zanimivo je tudi, da pri nekaterih plačilnih storitvah še naprej ostaja v veljavi stari. Plačevanje s pomočjo Paypala je tak primer, saj še vedno zahteva prepis gesla iz sms-a, pa bi seveda lahko uredili potrjevanje z aplikacijo. Vendar jim, ker so ameriški ponudnik, ni treba. Včasih si želim, da bi šla EU malo dlje v svojih zahtevah. Naj vsi, ki želijo ponujati storitve tu, upoštevajo enaka pravila.
Pri kar nekaj bankah sploh ni več na voljo alternativne metode, samo še ta z aplikacijo na pametnem telefonu. Kar je mogoče za koga zoprno, ker ali nima ustrezne naprave ali pa ne (bi) uporablja(l) aplikacije. Toda, smo v letu 2021, in verjetno se bodo morali tudi zadnji tehnoamiši sprijazniti, da je pametni telefon danes nepogrešljivo orodje. Starejšim pa zagotovo lahko pri nakupih pomagajo otroci in vnuki.
Naslovna fotografija: DepositPhotos
1.) To da moraš “imeti” pameten telefon je čisti primer diskriminacije.
a) Pred kratkim se mi je pokvaril zelo dober telefon. Sedaj sem primoran uporabljati enega starejšega, ki pa zaradi starega androida ne more namestiti aplikacije od NKBM (katere sem komitent). Kaj sedaj? Plačujem kreditno kartico a je ne morem uporabljat.
b) Lahko si bi kot potrošnik želel imeti “telefon na fizične tipke” ali pa sploh ne bi želel imeti telefona. Kot komitent banke pa bi še vedno želel preko računalnika opravljat spletne nakupe. Kaj bi naredil v tem primeru?
To da banka pogojuje da moramo imeti pameten telefon za uporabo njihovih plačilnih kartic je diskriminatorno.
Ali naj nam banke sofinancirajo nakup novega modernega telefona ali pa dobijo nek alternativen način. Pred leti so nam ponujali generatorje gesel recimo…
Po drugi strani to “smrdi” po kitajski in njihovi kontroli prebivalstva z mobiteli.
2.) Toliko govora da bo sedaj bolj varno… se pravi da prej ni bilo varno? 🙂 So nas zavajali? 🙂
Smo šli od generatorjev gesel, na sms potrditve, sedaj smo na aplikacijah… vedno “bolj” varno…
3.) Za potrditev plačil preko njihovih aplikacij ter spletne strani pa je SMS geslo še vedno dovolj varno? 🙂 Kako to? 🙂
Hvala lepa nepremišljena evropska direktiva.
Popolnoma SE STRINJAM s tabo ‘Indiana’. Sam uporabljam preklopni telefon Nokia iz leta 2008 in ne uporabljam ‘pametnega’ (ki je v resnici sledilna in prisluškovalna naprava) – ‘pametnega telefona NE UPORABLJAM iz osebnih razlogov. Ker pač ne želim biti nonstop on-line ter biti izpostavljen ‘kraji’ pozornosti ( ker zato imam računalnik) – poleg tega obstaja še N enih razlogov proti (konstantni) uporabi pametnih telefonov. Letos sem bil onemogočen da kupujem preko spleta. Sem imel debetno kartico A banke, ki mi je omogočala nakupovanje preko spleta. Ko je NKBM kupila A banko, so me odrezali od internetnih nakupov (rabiš 7.1 android pametni telefon, če se prav spomnim). Ker ne nameravam kupiti pametnega’ telefona, sedaj ne morem več kupovati preko neta. To da so nas nekatere odrezali od možnosti kupovanja, dejansko JE diskriminatorno. Zaenkrat smo uporabniki plain telefonov še v manjšini. Ampak ko bodo ljudje ugotovili da so pametni telefoni samo dodatni korak k odvisnosti od velikih sistemov, se bo ponovno pojavilo vprašanje zasebnosti (upam). Cela filozofija je proti 5G in IOT (iz drugih razlogov kot jih imajo teoretiki zarot), ampak seveda večina še vedno kupuje igračke tipa ‘pametnih’ telefonov (eni smo se naigrali takih igračk). Vse nas počasi usmerjajo na kitajsko verzijo socialnega nadzora. Da ne govorim kako so sistemi in podsistemi ranljivi v IOT (hekerski vdori ipd ). Argumentov proti ‘pametnemu’ nadzoru je toliko, da se tega ne da napisati v ta post…. Da ne govorim o operacijskih sistemi na telefonih kjer nimaš kake omembe vredne besede vrednega vpliva na software (aplikacijah) ki obvladuje hardwer (za razliko od linuxa). V glavnem, manjšina ki se zaveda kaj pomeni odvisnost od pametnih telefonov, nima veliko besede pri sprejemanju tovrstne zakonodaje. V glavnem, totalen fiasko EUja.
Zahteva po uporabi mobilne denarnice ni samo diskriminatorna ampak je kršenje človekovih pravic, saj te sili v nakup pametnega telefona s točno določenim operacijskim sistemom, v nasprotnem primeru pa ne moreš uporabljati svojega denarja, ki je bil legalno zaslužen in nakazan banki, ki naj bi ga čuvala za klienta in obračala zase.