Vuodenvaihteen jälkeen pelkkä vierailu bensa-asemalla voi vaatia vahvaa tunnistautumista samoin kuin pienten ostosten maksaminen verkkokaupassa.
Syksyllä 2019 tuli voimaan uusi maksupalveludirektiivi (PSD2) ja pankkitoiminnoissa siirryttiin silloin jo vahvaan tunnistautumiseen.
Verkossa tapahtuvan korttimaksamisen osalta toimijoille annettiin siirtymäaikaa tämän vuoden loppuun jatammikuun alusta lähtien vahvan tunnistamisen vaatimus koskee kaikkea sähköisesti tapahtuvaa maksamista.
Vahvaa tunnistautumista vaaditaan jatkossa käytännössä aina maksettaessa verkossa luotto- tai debitkortilla. Näin varmistetaan, että niin palveluntarjoajat kuin pankitkin noudattavat tiukkoja turvatoimia ja tietoturvakäytäntöjä.
Esimerkiksi polttoaineen maksaminen tankkaussovelluksella tai pienikin verkkokauppaosto saattaa vaatia vahvan tunnistautumisen eikä kortin turvaluvun näppäily enää riitä.
– Maksukortille painetut turvallisuustiedot eivät verkkomaksamisessa täytä asiakkaan vahvan tunnistamisen kriteerejä, sillä ne ovat kopioitavissa. Suomessa kortinhaltijan vahva tunnistaminen verkossa tapahtuu lähtökohtaisesti pankin myöntämien pankkitunnusten avulla, Finanssiala ry:n johtava asiantuntija Teija Kaarlela sanoo.
Paperiset tunnuslukulistat eivät PSD2-sääntelyn myöskään enää yksinään riitä vahvaksi tunnistautumisvälineeksi, koska ne ovat liian helposti kopioitavissa. Niiden rinnalla on käytettävä muuta tunnistautumistapaa.
Tunnistautumisen vaatimus vaihtelee kuten lähimaksun käytössä
Pääsääntöisesti vahva tunnistautuminen vaaditaan verkossa tapahtuvan maksamisen yhteydessä, mutta ei aina. Eri toimijoiden välillä on myös eroja siinä, kuinka usein tunnistautumista vaaditaan. Logiikka on sama kuin lähimaksamisessa, jossa toisinaan tunnusluku täytyy näppäillä.
– Nyrkkisääntönä kannattaa varautua tunnistautumaan pankkitunnuksilla aina, kun on verkko-ostoksilla, Kaarlela teroittaa.
Vahvan tunnistamisen vaatimus ei koske myöskään laskulla maksamista, kun kyse on tiettyyn tarkoitukseen menevistä verkko-ostoksista kuten matkalipuista ja pysäköintimaksuistatiettyjen euromääräisten rajojen sisällä.
– Nämä maksut voidaan tehdä matkapuhelinlaskulla veloitettaviksi ilman vahvaa tunnistamista.
Vahvan tunnistamista ei myöskään vaadita, jos kortinhaltija on tehnyt maksunsaajan kanssa sopimuksen, jonka mukaan saaja voi oma-aloitteisesti veloittaa korttia tietyillä ehdoilla. Tällaisia ovat esimerkiksikuukausittain veloitettavat verkkopalvelut kuten Spotify tai Netflix, tai hotellin perimä maksu peruuttamatta jääneestä huonevarauksesta.
Pienten maksujen kohdalla poikkeukset määrittelee oma pankki
Lainsäädäntö antaa mahdollisuuden poikkeuksiin vahvasta tunnistamisesta myös maksajan aloittamissa maksuissa, esimerkiksi pienten maksujen kohdalla tietyissä rajoissa.
– Poikkeusten käyttämisestä vastaa kortin liikkeellelaskija, eli tyypillisessä tapauksessa kortin myöntänyt pankki, joka oman riskiarvionsa perusteella päättää, mitä poikkeuksia se ottaa käyttöön. Poikkeusten rakentaminen on siis pankeille vapaaehtoista, eivätkä kaikki poikkeukset tule välttämättä kaikilla käyttöön yhtä aikaa tai ollenkaan.
Pieniä alle 30 euron maksuja voi siis tulevaisuudessakin olla mahdollista maksaa ilman vahvaa tunnistamista. Näitä maksuja voi kuitenkin olla korkeintaan 5 kertaa tai 100 euron edestä peräkkäin, minkä jälkeen on tehtävä vahva tunnistaminen.
– Vahva tunnistaminen voidaan aina vaatia esimerkiksi riskiperusteisen arvion perusteella myös sellaisilta maksuilta, jotka periaatteessa kuuluisivat poikkeusten piiriin.
PSD2 paransi kuluttajan suojaa
PSD2 paransi pankin asiakkaan asemaa muun muassa alentamalla kuluttajan omavastuuta oikeudettomista maksutapahtumista kuten erilaisita huijauksista 50 euroon, mikäli kuluttaja ei ole menetellyt törkeän huolimattomasti.
Tietyissä tapauksissa omavastuuta ei ole lainkaan: esimerkiksi, josvahva tunnistaminen on laiminlyöty, vaikka laki olisi sitä edellyttänyt.
Kuluttajan vastuulle kuuluu edelleen, niin kuin aiemminkin, pitää hyvää huolta maksuvälineistään, kuten maksukortistaan ja pankkitunnuksistaan.
Uskallanko maksaa, jos vahvaa tunnistautumista ei vaadita?
Tammikuun alussa päättyvästä siirtymäajasta huolimatta Finanssiala ry:n mukaan tieto vahvan tunnistamisen vaatimuksesta ei ole kuitenkaan saavuttanut kaikkia verkkokauppiaita ajoissa, ja tunnistamisen tekniikan käyttöönottaminen voi viedä kauppiailta vielä jonkin aikaa.
– Verkkokaupan luotettavuus koostuu monista eri tekijöistä, ja vahva tunnistaminen on yksi osoitus siitä, että kyseinen verkkokauppa on selvillä alaa koskevasta sääntelystä.
Lisätietoa nettiostamisen turvallisuudesta löytyy muun muassa keskusrikospoliisin ohjeesta.
Mitä tarkoittaa vahva tunnistautuminen?
Vahva tunnistaminen perustuu vähintään kahteen kolmesta toisistaan riippumattomasta vaihtoehdosta.
1. Tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää (esimerkiksi PIN-koodi tai salasana)
2. Hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan (esimerkiksi älypuhelin tai tunnuslukulaite)
3. Maksupalvelun käyttäjän yksilöivä ominaisuus (esimerkiksi sormenjälki)
Kun vähintään kaksi näistä kolmesta kriteeristä toteutuu, on vahva tunnistautuminen suoritettu.
Lisää aiheesta:
Tulevaisuuden pankin moottorina hyrrää tehokkaasti dataa käsittelevä tekoäly
Miten pankkitunnistautuminen muuttuu sinun pankissasi – tai naapurin?
