Aktualni izzivi na področju varnosti plačil iz vidika potrošnika

Avtor prispevka: Boštjan Krisper, Zveza potrošnikov Slovenije*

Varnost plačevanja je ključna pri presoji primernosti plačilnih storitev za potrošnike. Ker je varnost vsakega posameznega plačilnega sredstva v veliki meri odvisna od tega, ali se potrošnik zaveda specifičnih tveganj, pozna potrebne varnostne ukrepe in jim tudi sledi, je naloga ponudnikov plačilnih storitev in drugih deležnikov ne le zagotavljati visoko raven varnosti svojih plačilnih storitev, ampak tudi postavljati primerne minimalne varnostne standarde za uporabo in osveščati potrošnike, da bodo te plačilne storitve varno uporabljali.

Ključen izziv danes je, da je zapletenost od potrošnikov zahtevanih varnostnih ukrepov lahko le tolikšna, da jim lahko sledi celoten segment potrošnikov, ki se mu določena storitev trži. Tudi potrošniki z omejenim tehničnim znanjem in še vedno zelo številni potrošniki, ki ne uporabljajo spletnih rešitev in na katere v času razvoja finančne tehnologije včasih pozabljamo, morajo imeti možnost na učinkovit način skrbeti za varnost svojega plačevanja.

Tveganja novih rešitev
Nove načine plačevanja in kanale poslovanja, ki postajajo stalnica zadnjih let, mora spremljati učinkovito osveščanje o potrebnih specifičnih varnostnih ukrepih. Ne nazadnje lahko morebitna oškodovanja v času uvajanja nove plačilne storitve pripeljejo tudi do tega, da jo potrošniki začnejo zavračati. Obenem pa kriminalci uspešno pod vprašaj postavljajo učinkovitost obstoječih varnostnih ukrepov, na katere so se potrošniki že navadili in jih izvajajo. Eden zadnjih primerov so napadi, ki so se v letošnjem letu zgodili v Nemčiji, v okviru katerih so bili napadeni varnostni mehanizmi pri spletnem plačevanju na računalniku ali tablici, ko se plačilo izvede s pomočjo gesla, ki ga potrošniki prejmejo na mobilni telefon. To je še bolj zaskrbljujoče v luči dejstva, da vse več potrošnikov posluje z mobilno banko na napravi, na katero prejmejo to varnostno geslo.

Resen izziv so zagotovo tudi nove vrste spletnih zlorab, ki se ne osredotočajo neposredno na šibke točke pri poslovanju potrošnika, ampak direktno napadejo bančne sisteme ali pa sisteme trgovcev, kjer so shranjeni podatki o plačilnih karticah. Zaskrbljujoč primer je lanski napad na britansko Tesco Bank, v okviru katerega je bil denar z računov ukraden kar 20.000 potrošnikom. Našteta primera dokazujeta povečanje varnostnih tveganj za potrošnika in še bolj zaostrujeta problem, da vsi potrošniki nimajo znanja ali možnosti, da bi redno spremljali, ali so bile na njihovem računu izvedene sumljive transakcije, in te seveda tudi pravočasno prepoznali.

Možnosti boljšega osveščanja
Možna rešitev za izboljšanje osveščanja o varnostnih ukrepih bi lahko bilo boljše obveščanje o številu in značilnostih aktualnih zlorab na slovenskem trgu. Objave trendov in statistik o zlorabah in pojasnila o varnostnih ukrepih, s katerimi lahko potrošniki preprečijo tovrstne zlorabe, bi nedvomno pripomogli k ustreznejši osveščenosti potrošnikov. Primer dobre prakse na tem področju sta britanski Financial Fraud Action UK in francoski l'Observatoire de la sécurité des cartes de paiement. Izboljšanje učinka osveščanja, predvsem o novih plačilnih storitvah in o aktualnih tveganjih, si lahko obetamo tudi od razširjenega sodelovanja ključnih deležnikov, ki so že zdaj dejavni na tem področju, predvsem ponudnikov plačilnih storitev, nadzornika trga in potrošniških organizacij.

Nove možnosti za varnejše poslovanje
Inovativni načini plačevanja pa ne prinašajo le novih tveganj, ampak tudi priložnosti za varnejše plačevanje. Potrošniki namreč potrebujejo možnost večjega nadzora nad varnostnimi nastavitvami svojih plačilnih instrumentov, da lahko sprejmejo svojim potrebam prirejene dodatne varnostne ukrepe, ki so nad minimalnimi varnostnimi standardi, ki jih od njih zahteva ponudnik plačilnih storitev. Do neke mere takšne ukrepe večina ponudnikov že omogoča, na primer pri nastavljanju limitov zneska plačil ali dnevnega prometa. Toliko težje razumljive pa so danes prakse ponudnikov plačilnih storitev, ki potrošnika prisilijo v uporabo določenega nižjega varnostnega standarda, čeprav si potrošnik želi poslovati varneje. Takšen primer je uvedba brezstičnih kartic, pri katerih gre za dobrodošlo inovacijo, ki lahko pospeši plačevanje. Povsem nerazumljivo pa je, da velika večina ponudnikov plačilnih storitev potrošnikom vsiljuje rešitev, pri kateri pri plačilu majhnih zneskov ni vedno potreben vnos številke PIN, čeprav je jasno, da je to omajalo zaupanje velikega števila potrošnikov v kartično poslovanje. Zaželeno je, da bi imeli potrošniki ne glede na to, ali poslujejo s spletno oziroma mobilno banko ali pa na bančnem okencu, na voljo določene preproste in brezplačne rešitve za vklop ali izklop uporabe posameznih plačilnih instrumentov ali funkcionalnosti in omejitev transakcij glede na višino in prejemnika plačila.

Enotni trg plačilnih storitev
Spremembe, ki se z novo zakonodajo o liberalizaciji plačilnega trga in inovacijami na področju plačil (tj. novo Direktivo o plačilnih storitvah na notranjem trgu - PSD2) napovedujejo na trgu Evropske unije (EU), bodo v prihodnjih letih bistveno vplivale na delovanje trga in v primeru učinkovite regulacije lahko potrošnikom prinesejo pomembne koristi. Za zaupanja vreden trg plačilnih storitev v EU pa so ključni tudi visoki in enotni standardi poslovanja. Pri Zvezi potrošnikov Slovenije smo zato zaskrbljeni nad osnutkom standardov za močno avtentikacijo plačil, ki jih je pripravil Evropski bančni nadzornik (European Banking Authority; EBA), saj ta omogoča večje število izjem, ki očitno temeljijo na predpostavki, da se visoka varnost plačil na eni strani in praktičnost ter hitrost plačil na drugi strani medsebojno izključujejo, čeprav praksa tega ne potrjuje.

Nekaj primerov izjem, ki lahko po mnenju potrošniških organizacij ogrozijo zaupanje potrošnikov v plačilni trg so: 
- Pri spletnih plačilih se uvaja splošna izjema pri močni avtentikaciji za vsa plačila pod 30 evrov. Po mnenju potrošniških organizacij bi morala biti močna avtentikacija obvezna pri vsakem plačilu, ki ga potrošnik z določenim prejemnikom plačila opravi prvič. Prav tako je zaskrbljujoče, da so predlagani varnostni režimi manj strogi za uporabo plačilnih kartic kot pa kreditnih plačil, čeprav plačilne kartice nikakor niso manj tvegane pri spletnih nakupih;
- Uvaja se tudi dodatna možnost za ponudnike plačilnih storitev, da se odrečejo močni avtentikaciji v primeru, da obseg zlorab plačil pri njihovem poslovanju ne preseže določenih pragov. Ti pragovi zlorab pa žal niso na pregleden način definirani, obenem pa jih bo v praksi zelo težko nadzirati. Posledica takšnega režima je lahko, da bo od dveh potrošnikov, ki sta komitenta pri dveh različnih ponudnikih plačilnih storitev, pri dveh v bistvenem enakih transakcijah eden moral uporabiti močno avtentikacijo, drugi pa ne. Tudi učinkovito osveščanje postane v primeru fleksibilnih varnostnih standardov bolj zahtevno; 
- Pri že zgoraj omenjenih brezstičnih kartičnih plačilih pa EBA predlaga, da močna avtentikacija ni več potrebna pri posameznih plačilih pod 50 evrov in pri 5 zaporednih plačilih ali pa zaporednih plačilih v vrednosti do 150 evrov. Glede na to, da je povprečna višina kartične transakcije v EU 48,80 evrov, obstaja verjetnost, da bo ta izjema postala pravilo.

Stališča, izražena v tem prispevku, so stališča avtorja oziroma organizacije, v kateri je zaposlen.