Euroopan unionin uusi maksupalveludirektiivi astuu voimaan lauantaina 14. syyskuuta, eli tänään.
Tähän juttuun on koostettu uudistukseen liittyvät suurimmat ja eniten puhuttaneet kysymykset sekä vastaukset niihin.
Mikä on direktiivin perussisältö?
Vahvasta tunnistautumisesta tulee pakollista kaikessa sähköisessä maksamisessa.
Kuluttajille se on jo tuttua, koska pankit ovat käyttäneet vahvaa tunnistautumista ennenkin, salasanaa ja esimerkiksi tunnuslukulistaa.
– Hyvin monet suomalaiset verkkokaupatkin, asiakkaan maksaessa suoraan tililtä tai kortilta, kierrättävät pankin tunnistautumispalvelun kautta. Nyt siitä tulee pakollista aina, Finanssiala ry:n johtavan asiantuntijan Teija Kaarlela kertoo.
Jäävätkö pankkien tunnuslukulistat kokonaan unholaan?
EU:n mukaan perinteinen tunnuslukulista on liian helposti kopioitavissa. Direktiivin tarkoitus on lisätä maksupalvelujen turvallisuutta ja kuluttajansuojaa.
– Sääntely koskee vain maksamista. Pankkitunnuksia käytetään paljon muussakin asioinnissa, eikä lainsäädäntö ainakaan vielä pakota luopumaan niistä, Kaarlela sanoo.
S-Pankki säilyttää tunnuslukulistat. Lisävahvistukseksi paperisen taulukon rinnalle S-Pankki ottaa käyttöön tekstiviestin. Pankin mukaan tosin lähes 90 prosenttia kaikista pankin asiakkaiden kirjautumisista tehdään mobiilitunnistamisella, joka toimii sormenjäljellä tai tunnusluvulla.
Älypuhelin ei siis ole välttämätön S-Pankin asiakkaille.
Pankeilla on vaihtelevia tapoja ottaa huomioon asiakkaat, joilla ei ole älypuhelinta. Nordealla ja Danske Bankilla on fyysinen tunnuslukulaite, jonka ne toimittavat asiakkaille. OP käyttää edelleen tunnuslukulistaa ylimääräisen PIN-koodin rinnalla.
– Veikkaisin, että ajan myötä menetelmä muuttuu tältäkin osin, Kaartela pohtii tunnuslukulistoja.
Pankkien velvoite on varmistaa, että maksua tehdessä on käytetty vahvaa tunnistautumista. Onko mahdollista, että kuluttajan tekemä maksu ei syyskuussa mene läpi, jos vahvaa tunnistautumista ei ole tehty?
– Ääripäässä se on mahdollista, jos maksu ei mene poikkeuksen piiriin, Kaarlela sanoo.
Sääntelyssä on lueteltu erilaisia poikkeustilanteita, joissa vahvaa tunnistautumista ei tarvitse tehdä. Pieniä, alle 30 euron suuruisia maksuja voi tehdä viisi peräkkäin tai sadalla eurolla yhteensä ilman vahvaa tunnistautumista.
– Tunnistautuminen on pääsääntö, ja poikkeuksiin varautuminen vaatii työtä. Myyjillä ja pankeilla on periaatteessa ollut aikaa valmistautua, mutta nyt aika näyttää jäävän lyhyeksi. Eli poikkeuksetkaan eivät ole vielä syksyllä käytettävissä kaikilla eri osapuolilla samaan aikaan, Kaarlela arvioi.
Pitääkö kuluttajan varautua siihen, että jotain vanhaa palvelua ei pysty hetkeen käyttämään?
– Periaatteessa se on mahdollista. Se, kuinka laajasti näin voisi käydä, on vielä hämärän peitossa. Töitä tehdään tekniikan toimimisen eteen. Samalla jouston varaa selvitetään, ettei heti oltaisi niin tiukkoja tunnistautumisen kanssa. Se on kaksipiippuinen juttu, koska periaatteessa uudistus on tehty kuluttajien suojaksi, Kaarlela sanoo.
Entä jos ostan luottokortilla jotain vaikka kiinalaisesta verkkokaupasta?
Jos ostaa EU-alueen ulkopuolisesta verkkokaupasta, lainsäädännön mukaan vahva tunnistautuminen täytyy tehdä, jos se on mahdollista. Se ei ole samalla tavalla pakottavaa kuin EU:n sisällä.
– Riippuu palveluntarjoajasta, selventää Kaarlela.
Kiinasta voi siis ostaa kuten ennenkin, sillä vahvan tunnistautumisen vaatimus koskettaa vain EU-alueen kauppiaita.
Paraneeko tietoturva oikeasti?
Direktiivin tarkoituksena on parantaa kuluttajansuojaa ja maksupalvelujen turvallisuutta. Perinteisten tunnuslukulistojen kopioiminen, esimerkiksi valokuvaamalla, muuttuu hyödyttömäksi.
– Toisaalta se on muutenkin ollut hyvin harvinaista, Kaarlela kertoo.
Onko tämä siis turha uudistus?
– Ehkä uudet menetelmät hetkeksi hidastavat kalastelua. Rikollisilla on taipumus tosin aina keksiä uusia keinoja. Pomminvarmaa, pitkälle tulevaisuuteen sopivaa ja vielä helppokäyttöistä uudistusta on vaikea tehdä.
Kaarlelan mielestä käytettävyys paranee.
– Onhan mobiilisovellus näppärämpi käyttää kuin tunnuslukulistaa. Se on tässä sääntelyssä sivutuote, koska alkuperäinen tarkoitus oli vain lisätä turvallisuutta.
– Missään tapauksessa huonompaan suuntaan ei olla menossa. Käyttäjän toiminnalla on edelleen iso merkitys. Kenenkään ei pidä tuudittautua sellaiseen ajatteluun, että uusien menetelmien myötä itse ei tarvitse olla tarkkana. Käyttäjän pitää pysyä edelleen selvillä siitä, missä sivustoilla hän seikkailee ja mihin tietojaan syöttää, Kaarlela ohjeistaa.
Juttua päivitetty 14.9. kello 12.00: Aikamuodot päivitetty tälle päivälle. Juttu julkaistiin ensimmäisen kerran eilen 13. päivä syyskuuta ja uudelleen päivitettynä tänään.