EU:n maksupalveludirektiivi asettaa uusia turvallisuusvaatimuksia. Mitä tämä uusi direktiivi tarkoittaa Holvin käyttäjille?

EU-direktiivin myötä lisää turvallisuutta maksupalveluihin

Kun kyseessä on raha, on syytä olla tarkkana, että sen käsittelyyn tarkoitetut palvelut ovat turvallisia. Nykyään raha liikkuu enimmäkseen sähköisessä muodossa, ja digitaalisessa ympäristössä on uusia uhkia, joihin pitää myös varautua uusin keinoin. Tähän teemaan on tartuttu EU:n tasolla. 

Ensimmäinen maksupalveludirektiivi (PSD, Payment Service Directive) nähtiin EU:ssa jo vuonna 2007, ja se sai jatkoa PSD2:n muodossa vuoden 2018 alussa. Osa uudesta direktiivistä astuu voimaan syksyllä 2019. Tähän osaan kuuluu muun muassa vaatimus asiakkaiden vahvasta tunnistuksesta. 

Jatkossa maksupalveluiden tarjoajien tulee siis lisätä vielä ekstrakerros turvallisuutta asiakkaan tunnistamiseen, kun käyttäjä kirjautuu esimerkiksi tililleen tai vahvistaa maksun. Digiympäristö muuttuu ja kehittyy nopeasti, ja lainsäädännöllä on kiire pysyä mukana.

“Ensimmäinen maksupalveludirektiivi tuli voimaan jo 2007, joten se on se on reilussa kymmenessä vuodessa jäänyt ajan jalkoihin. Tätä vanhaa sääntelyä toinen maksupalveludirektiivi pyrkii nyt päivittämään ja saattamaan uusia maksupalveluja sääntelyn piiriin sekä kehittämään maksupalveluja koskevaa sääntelyä vastaamaan markkinoilla tapahtunutta kehitystä”, Jenna Tirkkonen, Holvin lakimies, selventää direktiivin taustaa.

Jenna Tirkkonen, Holvin lakimies.

Mitä tarkoittaa “asiakkaan vahva tunnistus”?

PSD2 edellyttää maksupalveluiden tarjoajilta (joihin Holvi kuuluu) asiakkaan vahvaa tunnistusta, eikä tähän tarkoitukseen jatkossa kelpaa pelkkä käyttäjätunnus ja salasana. 

“Asiakkaan vahva tunnistaminen tulee tehdä PSD2:n mukaan, kun asiakas käyttää tiliään tietoverkon välityksellä, käynnistää sähköisen maksutapahtuman tai tekee muita toimia, joihin liittyy petoksen tai väärinkäytöksen vaara. Tällaisia sähköisiä maksutapahtumia ovat esimerkiksi maksukorteilla tehdyt maksut kaupassa tai verkkokaupassa”, Jenna kertoo.

Miksi asiakkaan tunnistus vahvasti ei riitä vain silloin, kun asiakas avaa tilin ensimmäistä kertaa?

“Kun asiakas avaa tilin ensimmäisen kerran, maksulaitoksen tulee kysyä tietoja asiakkaasta rahanpesulain perusteella ja säilyttää nämä tiedot asiakkaasta. Kun asiakas tunnistetaan vahvalla tunnistautumisella, on tarkoitus varmistaa, että tapahtuman käynnistäjä on tilin tai maksukortin oikea omistaja ja täten suojata asiakasta mahdollisilta väärinkäytöksiltä”, Jenna tarkentaa vahvan tunnistuksen merkitystä.

Direktiivi asettaa vahvalle tunnistamiselle tietyt ehdot. Asiakasta tunnistettaessa (eli esimerkiksi tilille kirjautuessa) seuraavista ehdoista pitää täyttyä kaksi:

• Tieto – jotain, mitä vain käyttäjä tietää, esimerkiksi salasana tai PIN-koodi.
• Hallussapito – ainoastaan käyttäjän hallussa olevan esineen hyödyntäminen tunnistautuessa palveluun, esimerkiksi puhelin tai tunnistussovellus.
• Ominaisuus – käyttäjän yksilöivä ominaisuus, esimerkiksi sormenjälki, kasvojen muoto  tai silmän iiris.

Käytännössä maksupalvelujen tarjoajien pitää varmistaa, että asiakas käyttää tunnistautumiseen muutakin kuin esimerkiksi salasanaa. Jos salasana jostain syystä päätyisi vääriin käsiin, käyttäjä voi olla rauhallisin mielin, sillä mahdollinen pahantekijä ei pääse tiliin käsiksi.

Tunnistaudu jatkossa Holvin mobiilisovelluksella

Holvissa olemme ratkaisseet asiakkaan vahvan tunnistamisen mobiilisovelluksella. 

Kyseessä on Holvin nykyinen mobiilisovellus, eli jos sinulla on jo kyseinen sovellus, ei sinun tarvitse ladata erillistä sovellusta. Sovellukseen lisätään ikään kuin uusi kerros, jolla tunnistautuminen tapahtuu. Voit tehdä tunnistautumisen joko PIN-koodilla (jonka valitset itse) tai sormenjäljellä tai kasvontunnistuksella, jos se on mahdollista puhelimellasi. 

Holvin sovellus täyttää tällöin hallussapidon ehdon, ja seuraavana ehtona toimii joko asiakkaan valitsema PIN-koodi (tieto) tai sormenjälki tai kasvojentunnistus, joka täyttää ominaisuuden vaatimuksen. Kun kirjaudut näin tilillesi Holvi-sovelluksella, tilisi on suojattu kaksivaiheisella tunnistuksella.

Sinulla on edelleen oma käyttäjätunnuksena sähköpostisi ja oma salasanasi, joilla aloitat kirjautumisen tilillesi. Sinun pitää kuitenkin tämän lisäksi tehdä ns. ekstratunnistus mobiilisovelluksen kautta. Tätä lisävarmennusta pyydetään myös, kun haluat vahvistaa maksun Holvissa.

Jos sovelluksen lataaminen ei onnistu puhelimen käyttöjärjestelmän tai maantieteellisen sijainnin vuoksi, voit tunnistautumisen tehdä myös Google Authenticator -sovelluksen avulla. Voit lukea tarkemmin tunnistautumisesta Holvissa täältä.

Lisäturvallisuutta myös Holvi-verkkokauppaan

Vahva tunnistautuminen vaaditaan jatkossa maksutapahtumien yhteydessä, joten muutos koskettaa myös Holvin verkkokaupalla myyviä yrittäjiä. Tämä ei kuitenkaan tuo sinulle lisätyötä, sillä me huolehdimme, että verkkokauppasi on sääntelyn tasalla. 

Kun asiakkaasi ostavat verkkokaupastasi, asiakkaan maksukortin tarjoajan tulee vaatia vahvaa tunnistamista, jonka Holvin verkkokauppaympäristö mahdollistaa. Holvi-kauppasi täyttää siis PSD2:n asettamat vaatimukset.

Holvin sovellus tekee paljon muutakin kuin tunnistuksen

Otamme uuden mobiilitunnistautumisen käyttöön asteittain lokakuun aikana. Tarkemmista päivämääristä viestimme asiakkaillemme sähköpostitse – suosittelemme kuitenkin ehdottomasti lataamaan sovelluksen jo etukäteen.

Holvin mobiilisovellus ei ole missään nimessä pelkkää tunnistautumista varten. Sovelluksessa voit muun muassa:

• tarkkailla tilisi tilannetta ja tutkia loppukuun saldoennustetta.
• tallentaa kuitit kirjanpitoa varten.
• tehdä maksuja.
• lähettää laskuja ja tarkistaa laskujen tilan.
• hallinnoida maksukorttisi asetuksia, sulkea kortin tarvittaessa ja tarkistaa PIN-koodin.

Käy siis lataamassa sovellus saman tien!