Dvojí ověření nebo dvojí byrokracie

autor: | Lis 28, 2025

Evropský orgán pro bankovnictví (EBA) vydal 3. října 2025 trojici nových výkladů k prováděcím technickým standardům (RTS) pro silné ověření klienta (SCA) podle směrnice PSD2. Tyto odpovědi, ač se mohou zdát technické, mají přímý dopad na uživatele i poskytovatele platebních služeb. Otevírají totiž otázku, kde končí bezpečnost a začíná zbytečná překážka, která z digitální platby dělá administrativní maraton.

EBA potvrzuje, že dvojí silné ověření klienta při kombinovaném přístupu přes poskytovatele iniciačních a informačních služeb (PISP a AISP) není samo o sobě překážkou. Jinými slovy – pokud klient při platbě přes třetí stranu (např. finanční aplikaci napojenou na banku) provede SCA dvakrát, nejde o porušení nařízení. Důležité ale je, že banka musí umožnit stejné pohodlí jako při přímém přihlášení do internetového bankovnictví, tedy pokud umí „znovupoužít“ jeden prvek ověření (např. statické heslo nebo token), měla by to nabídnout i při přístupu přes TPP. Z praxe však víme, že to banky často neumožňují – s odkazem na „technickou nemožnost“. EBA tento argument připouští jen výjimečně a vyžaduje, aby byl objektivně doložen.

Bezpečnost versus komfort klienta

V evropském prostoru se dlouhodobě hledá rovnováha mezi kybernetickou bezpečností a uživatelským komfortem. PSD2 měla platební trh otevřít, ale častěji ho dusí v překladech mezi „co je povinné“ a „co je technicky možné“. Uživatel se tak ocitá mezi dvěma světy – bankovním rozhraním, které mu dovolí provést platbu jedním klikem, a aplikací třetí strany, kde musí ověření absolvovat dvakrát. EBA potvrzuje, že dvojí SCA je přijatelné jen tehdy, pokud opravdu chrání bezpečnost, nikoliv jako pohodlné řešení pro banku, která nechce měnit API.

Z ekonomického pohledu jde o důležitou hranici. Každý další krok v procesu platby zvyšuje pravděpodobnost, že klient platbu nedokončí, což má přímý dopad na fintech trh a konkurenci vůči tradičním bankám. Podle údajů Evropské komise klesá míra dokončených plateb u fintech aplikací o 15 % oproti přímým bankovním platbám právě kvůli duplicitnímu ověření.

Šifrování: co je „silné“ a kdo to určuje

Další z odpovědí EBA se týká požadavku na „silné a obecně uznávané šifrovací techniky“ při výměně dat. EBA upřesňuje, že banky nemusí podporovat všechny dostupné metody (např. RSA i ECC), ale stačí, když jejich rozhraní používá jednu techniku, která odpovídá článku 35 nařízení RTS. Prakticky to znamená, že pokud má banka v API dokumentaci uvedenou pouze RSA, neporušuje tím regulaci – i když jiné technologie mohou být modernější a efektivnější.

Pro uživatele to má dvojí dopad. Na jedné straně je zajištěna bezpečnost komunikace, na druhé straně se tím zpomaluje inovace. Fintech firmy, které využívají jiné algoritmy, mohou být nuceny přizpůsobit své systémy zastaralejším standardům bank. Tím se paradoxně snižuje interoperabilita, což je přesně opačný efekt, než jaký měla PSD2 původně přinést.

Offline platby a „nouzové“ situace

Třetí odpověď EBA z října 2025 se dotýká oblasti, kde teorie naráží na praxi: offline bezkontaktních plateb SoftPOS terminály. Tyto aplikace umožňují proměnit mobilní telefon v platební terminál. Otázka zněla: může být SCA dočasně vypnuto v případě výpadku internetu či kybernetického útoku? EBA odpovídá jasně: ne. Ani v nouzovém režimu nelze obcházet povinnost silného ověření, pokud platba nespadá do výjimek uvedených v článcích 11–18 RTS.

Pro obchodníky i poskytovatele to znamená, že žádné „offline placení bez ověření“ není právně možné, i když by to situaci zachránilo. Z technického hlediska je možné offline PIN uložit a ověřit, pokud splní podmínky článku 22 RTS – ale to vyžaduje infrastrukturu, kterou běžné SoftPOS aplikace zatím nemají.

Co z toho plyne pro klienty a poradce

Z praktického pohledu klienta se tím potvrzuje trend, že PSD2 a její výklady se stávají spíše rámcem pro compliance než pro inovace. Každý nový výklad přináší přesnější hranice, ale také další vrstvy odpovědnosti. Finanční poradci a expati využívající vícero bankovních rozhraní by měli vědět, že rozdíly v uživatelském komfortu nejsou náhodné – jsou dány tím, jak banky implementují SCA a jak si interpretují „technickou nemožnost“.

Klienti tak mohou narazit na situaci, kdy platba přes aplikaci třetí strany selže, a banka se přitom odvolává na bezpečnostní požadavky. V praxi to znamená, že odpovědnost za funkčnost a rychlost platebního procesu je stále na straně banky, nikoli fintechu. A dokud se nezmění evropská metodika pro hodnocení „objektivních důvodů“ pro dvojí SCA, budou rozdíly mezi státy i bankami přetrvávat.

The views expressed in this article are not to be construed as personal advice. Therefore, you should contact a qualified, and ideally, regulated adviser in order to obtain up-to-date personal advice with regard to your own personal circumstances. Consequently, if you do not, then you are acting under your own authority and deemed “execution only”. The author does not accept any liability for people acting without personalised advice, who base a decision on views expressed in this generic article. Importantly, where this article is dated then it is based on legislation as of the date. Legislation changes but articles are rarely updated, although sometimes a new article is written; so, please check for later articles or changes in legislation on official government websites, as this article should not be relied on in isolation.

Vyjádřené názory v tomto článku nelze považovat za osobní poradenství. Vždy se proto obraťte na kvalifikovaného, ideálně regulovaného poradce, který vám poskytne aktuální, osobní doporučení šitá na míru vaší konkrétní situaci. Pokud se rozhodnete jednat bez takového poradenství, činíte tak na vlastní odpovědnost a vaše jednání spadá pod režim „execution only“ (pouhá realizace pokynu bez poradenství). Autor nepřijímá žádnou odpovědnost za rozhodnutí osob, které se spoléhají na názory uvedené v tomto obecném článku bez personalizovaného poradenství. Je důležité si uvědomit, že pokud je článek datován, vychází z právních předpisů platných k uvedenému datu. Právní předpisy se mohou měnit a články jsou aktualizovány jen zřídka. Doporučujeme proto vždy ověřit případné novější články nebo změny legislativy na oficiálních vládních stránkách, protože na tento článek nelze spoléhat izolovaně.

Follow us on Social Media

Post written by:
Autorem článku je:

Monika Škubalová

Monika působí v oblasti compliance a prevence finanční kriminality, kde se specializuje na nastavování vnitřních pravidel a kontrolních mechanismů chránících firmu před finančními a regulatorními riziky. Má zkušenosti s poskytováním odborného poradenství a zaváděním procesů v souladu s legislativou. Aktivně se podílí na vzdělávání interního týmu a podporuje firemní kulturu odpovědnosti a transparentnosti.

Aisa International is the only financial advice service company specialising in advice for expats that is regulated as a Securities Trader in the Czech Republic, USA, and UK.