Evropský orgán pro bankovnictví (EBA) vydal 3. října 2025 trojici nových výkladů k prováděcím technickým standardům (RTS) pro silné ověření klienta (SCA) podle směrnice PSD2. Tyto odpovědi, ač se mohou zdát technické, mají přímý dopad na uživatele i poskytovatele platebních služeb. Otevírají totiž otázku, kde končí bezpečnost a začíná zbytečná překážka, která z digitální platby dělá administrativní maraton.
EBA potvrzuje, že dvojí silné ověření klienta při kombinovaném přístupu přes poskytovatele iniciačních a informačních služeb (PISP a AISP) není samo o sobě překážkou. Jinými slovy – pokud klient při platbě přes třetí stranu (např. finanční aplikaci napojenou na banku) provede SCA dvakrát, nejde o porušení nařízení. Důležité ale je, že banka musí umožnit stejné pohodlí jako při přímém přihlášení do internetového bankovnictví, tedy pokud umí „znovupoužít“ jeden prvek ověření (např. statické heslo nebo token), měla by to nabídnout i při přístupu přes TPP. Z praxe však víme, že to banky často neumožňují – s odkazem na „technickou nemožnost“. EBA tento argument připouští jen výjimečně a vyžaduje, aby byl objektivně doložen.
Bezpečnost versus komfort klienta
V evropském prostoru se dlouhodobě hledá rovnováha mezi kybernetickou bezpečností a uživatelským komfortem. PSD2 měla platební trh otevřít, ale častěji ho dusí v překladech mezi „co je povinné“ a „co je technicky možné“. Uživatel se tak ocitá mezi dvěma světy – bankovním rozhraním, které mu dovolí provést platbu jedním klikem, a aplikací třetí strany, kde musí ověření absolvovat dvakrát. EBA potvrzuje, že dvojí SCA je přijatelné jen tehdy, pokud opravdu chrání bezpečnost, nikoliv jako pohodlné řešení pro banku, která nechce měnit API.
Z ekonomického pohledu jde o důležitou hranici. Každý další krok v procesu platby zvyšuje pravděpodobnost, že klient platbu nedokončí, což má přímý dopad na fintech trh a konkurenci vůči tradičním bankám. Podle údajů Evropské komise klesá míra dokončených plateb u fintech aplikací o 15 % oproti přímým bankovním platbám právě kvůli duplicitnímu ověření.
Šifrování: co je „silné“ a kdo to určuje
Další z odpovědí EBA se týká požadavku na „silné a obecně uznávané šifrovací techniky“ při výměně dat. EBA upřesňuje, že banky nemusí podporovat všechny dostupné metody (např. RSA i ECC), ale stačí, když jejich rozhraní používá jednu techniku, která odpovídá článku 35 nařízení RTS. Prakticky to znamená, že pokud má banka v API dokumentaci uvedenou pouze RSA, neporušuje tím regulaci – i když jiné technologie mohou být modernější a efektivnější.
Pro uživatele to má dvojí dopad. Na jedné straně je zajištěna bezpečnost komunikace, na druhé straně se tím zpomaluje inovace. Fintech firmy, které využívají jiné algoritmy, mohou být nuceny přizpůsobit své systémy zastaralejším standardům bank. Tím se paradoxně snižuje interoperabilita, což je přesně opačný efekt, než jaký měla PSD2 původně přinést.
Offline platby a „nouzové“ situace
Třetí odpověď EBA z října 2025 se dotýká oblasti, kde teorie naráží na praxi: offline bezkontaktních plateb SoftPOS terminály. Tyto aplikace umožňují proměnit mobilní telefon v platební terminál. Otázka zněla: může být SCA dočasně vypnuto v případě výpadku internetu či kybernetického útoku? EBA odpovídá jasně: ne. Ani v nouzovém režimu nelze obcházet povinnost silného ověření, pokud platba nespadá do výjimek uvedených v článcích 11–18 RTS.
Pro obchodníky i poskytovatele to znamená, že žádné „offline placení bez ověření“ není právně možné, i když by to situaci zachránilo. Z technického hlediska je možné offline PIN uložit a ověřit, pokud splní podmínky článku 22 RTS – ale to vyžaduje infrastrukturu, kterou běžné SoftPOS aplikace zatím nemají.
Co z toho plyne pro klienty a poradce
Z praktického pohledu klienta se tím potvrzuje trend, že PSD2 a její výklady se stávají spíše rámcem pro compliance než pro inovace. Každý nový výklad přináší přesnější hranice, ale také další vrstvy odpovědnosti. Finanční poradci a expati využívající vícero bankovních rozhraní by měli vědět, že rozdíly v uživatelském komfortu nejsou náhodné – jsou dány tím, jak banky implementují SCA a jak si interpretují „technickou nemožnost“.
Klienti tak mohou narazit na situaci, kdy platba přes aplikaci třetí strany selže, a banka se přitom odvolává na bezpečnostní požadavky. V praxi to znamená, že odpovědnost za funkčnost a rychlost platebního procesu je stále na straně banky, nikoli fintechu. A dokud se nezmění evropská metodika pro hodnocení „objektivních důvodů“ pro dvojí SCA, budou rozdíly mezi státy i bankami přetrvávat.

