Stručně: Paragraf 223 zákona o platebním styku stanovuje, kdy a jakým způsobem musí poskytovatelé platebních služeb použít silné ověření uživatele, aby zajistili bezpečnost platebních transakcí a přístupu k platebním účtům.
§ 223 Silné ověření uživatele
(1) Osoba oprávněná poskytovat platební služby použije silné ověření uživatele, jestliže plátce
a) přistupuje ke svému platebnímu účtu prostřednictvím internetu,
b) dává platební příkaz k elektronické platební transakci,
c) provádí jiný úkon, který je spojen s rizikem podvodného jednání v oblasti platebního styku, zneužitím platebního prostředku nebo informací o platebním účtu, nebo
d) požaduje informace o platebním účtu prostřednictvím poskytovatele služby informování o platebním účtu.
(2) Dává-li uživatel platební příkaz prostřednictvím internetu nebo prostřednictvím elektronického zařízení, které lze použít k dálkové komunikaci, nebo dává-li platební příkaz nepřímo, osoba oprávněná poskytovat platební služby použije silné ověření uživatele, které zahrnuje jednorázové prvky propojující platební transakci s přesnou částkou a určitým příjemcem.
(3) Silným ověřením uživatele se pro účely tohoto zákona rozumí ověření, které je založeno na použití alespoň 2 z těchto prvků:
a) údaje, který je znám pouze uživateli,
b) věci, kterou má uživatel ve své moci,
c) biometrických údajů uživatele.
(4) Prvky podle odstavce 3 musí být vzájemně nezávislé a prolomení jednoho prvku nesmí ovlivnit spolehlivost prvků ostatních. Postup ověření musí zabránit zneužití prvků, které jsou k ověření používány.
(5) Způsob silného ověření uživatele podle odstavců 1 a 2 stanoví přímo použitelný předpis Evropské unie, kterým se provádí čl. 98 směrnice Evropského parlamentu a Rady (EU) 2015/236613).
(6) Ustanovení odstavců 1 a 2 se nepoužijí v případech, které stanoví přímo použitelný předpis Evropské unie, kterým se provádí čl. 98 směrnice Evropského parlamentu a Rady (EU) 2015/236613).
Výklad
Stručně
Paragraf 223 zákona o platebním styku stanovuje, kdy a jakým způsobem musí poskytovatelé platebních služeb použít silné ověření uživatele, aby zajistili bezpečnost platebních transakcí a přístupu k platebním účtům.
Co to znamená v praxi
Poskytovatel platebních služeb (např. banka) musí použít silné ověření vždy, když se přihlašujete k internetovému bankovnictví, zadáváte elektronickou platbu, provádíte jiný rizikový úkon nebo když si vyžádáte informace o účtu přes službu informování o platebním účtu.
Silné ověření musí být založeno na použití alespoň dvou nezávislých prvků z kategorií: něco, co znáte (např. heslo), něco, co máte (např. telefon s aplikací, token), nebo něco, čím jste (např. otisk prstu, rozpoznání obličeje).
Pokud zadáváte platbu přes internet nebo dálkové zařízení, silné ověření musí navíc zahrnovat jednorázové prvky, které propojují transakci s konkrétní částkou a příjemcem.
Způsob silného ověření a výjimky z jeho použití jsou dále upraveny přímo použitelnými předpisy Evropské unie.
Na co si dát pozor
Prvky použité pro silné ověření musí být navzájem nezávislé, aby prolomení jednoho prvku neohrozilo spolehlivost ostatních.
Postup ověření musí být navržen tak, aby zabránil zneužití použitých prvků.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.