Skip to main content

Sähköinen tunnistus – onko vahva tunnistaminen PSD2-yhteensopiva?

Sähköisen tunnistamisen suhteen on helppo huomaamatta sekoittaa keskeiset termit ja mitä ne tarkoittavat. On tärkeää tietää, että vahva tunnistaminen ei välttämättä ole PSD2-yhteensopiva.

Vahva sähköinen tunnistaminen on jakautunut Suomessa kahtia. Maksuihin ja tilitietojen jakamiseen liittyvää vahvaa tunnistusta valvoo Finanssivalvonta ja muuta ns. asiointipalveluiden käyttämää vahvaa tunnistusta valvoo Traficom. Valvonta perustuu kahteen eri sääntelykehikkoon, minkä vuoksi puurot ja vellit menevät usein sekaisin julkisessa keskustelussa. Tämä kahden lautasen malli mutkistuu entisestään, kun PSD2:n vahvan tunnistamisen uudet vaatimukset astuvat voimaan 1.1.2021. Kumpikaan valvovista viranomaisista ei halua koskea toisen lautaseen, mikä aiheuttaa haasteita valvottaville ja lopulta myös kuluttajille.

Kahtiajako perustuu Suomessa erittäin kattavaan sääntelyyn:

  • Maksuihin tai tilitietojen jakamiseen liittyvä regulaatio muodostuu maksupalvelu- ja maksulaitoslaeista.
  • Muu vahva tunnistus määritellään tunnistuslaissa, jossa määritellään mm. ketkä voivat tarjota vahvaa tunnistusta. Lisäksi rahanpesulaki viittaa em. lakeihin.

Tämä jako perustuu EU-tason regulaatioihin, jossa vahva tunnistus jakautuu edelleen kahtia eIDAS-asetuksen ja toisen maksupalveludirektiivin (PSD2) suuntiin. Hienosti sanottuna käyttäjän sähköisen tunnistuksen regulaatioita ei ole vielä harmonisoitu. Ensimmäisiä viitteitä harmonisoinnin alkamisesta ovat 5. rahanpesudirektiivin ja FATF:n viittaukset eIDAS-asetukseen.

Luottamusverkoston vahva tunnistaminen ei ole PSD2-yhteensopiva

Suomessa toimivat organisaatiot valmistautuvat yhdessä muun Euroopan kanssa PSD2:n määrittelemän vahvan tunnistuksen vaateiden täytäntöönpanoon. Suurin osa EU-maista on velvoitettu ottamaan uudet vahvan tunnistuksen palvelut käyttöön 1.1.2021 mennessä.

Käyttäjä voi valtuuttaa ja hyväksyä luottokorttimaksuja, tehdä maksutoimeksiantoja muun kuin tilinhaltijapankkinsa kautta ja jakaa tilitietojaan vahvalla tunnistautumisella, joka täyttää PSD2:n vaatimukset. Vaatimuksena kaksi kolmesta on täytyttävä:

  1. Käyttäjä tietää (esim. PIN-koodi tai salasana)
  2. On käyttäjällä hallussa (esim. puhelin tai kortti)
  3. Käyttäjän ominaisuus (esim. sormenjälki).

Näiden lisäksi PSD2 edellyttää, että hyväksynnän yhteydessä kuluttajalle on näytettävä maksun saaja ja summa. Lisäksi tunnistus ja maksusuostumus yhdistetään toisiinsa (ns. dynamic linking).

Erityisesti dynamic linking -vaatimuksesta johtuen pankkitunnistusta tai mobiilivarmennetta ei voi tällä hetkellä käyttää PSD2 maksu- tai tilitietotapahtumissa sellaisenaan. Niitä voidaan kuitenkin hyödyntää PSD2:n puitteissa esimerkiksi niin, että saaja- ja summatiedon sisältävä maksusuostumus toteutetaan sähköisellä allekirjoituksella käyttäen em. tunnistusmetodeja. Tunnistusmetodit eivät kuitenkaan rajaudu näihin, vaan esim. muistettavaa salasanaa voidaan hyödyntää yhtenä elementtinä ja kertakäyttöistä SMS-salasanaa toisena, jos saaja ja summa voidaan tarjota käyttäjälle tapahtumaan sidottuna hyväksyttäväksi. Salasanoihin perustuvien ratkaisujen varmuustaso ei yllä eIDAS-kehikon puitteissa vahvan tunnistuksen tasolle. Sähköisen allekirjoituksen tai pelkkien salasanojen käyttö tuo käyttäjäkokemukseen lisää klikkauksia – mutta joissakin tapauksissa ne saattavat silti olla ainoita tapoja määräysten noudattamiseksi.

Entä jos Suomessa …

… Traficomin valvonnan alle kuuluvaa vahvaa tunnistusta voitaisiin hyödyntää PSD2-maailmassa? Jos verkkopankki- ja mobiilivarmennetunnistusta voitaisiin käyttää nykyisessä muodossaan niin, että PSD2-sidonnaiseen maksuun tai tilitietoon liittyvä tunnistus ja maksusuostumus erotetaan toisistaan. Näin tunnistus tehtäisiin samalla menetelmällä kuin missä tahansa ”ei maksuihin liittyvässä” palvelussa ja sen jälkeen samassa istunnossa käyttäjä vahvistaa maksun tunnistautuneena. Esimerkiksi luottokorttimaksun yhteydessä tunnistus ja maksusuostumus voitaisiin eriyttää myös eri istuntoihin jopa viikon päähän toisistaan (ns. decoupled authentication) niin, että tunnistus hoidetaan verkkopankki- ja mobiilivarmennetunnistuksella.

… tunnistusvälineiden tarjoajat voisivat tukea selainkäytössä iFrame-tekniikkaa? Tämä on mahdollista tietoturvaa vaarantamatta. Luottokorttien maksunvahvistuksessa käytettävä teknologia edellyttää selainkäytössä ns. iFrame-tekniikan käyttöä. Kuitenkin vain kaksi kymmenestä luottamusverkoston pankkitunnistusta tarjoavista pankeista tukee sitä. Useimmat suomalaiset pankit edellyttävät mobiililaitteelle asennettavan tunnistussovelluksen käyttöä.

… pankit tarjoaisivat tunnistussovellusten PSD2-rajapinnat myös muiden käyttöön luottamusverkostossa? Nykyisin pankkitunnistuksen pelkkä tunnistusosuus on luottamusverkoston piirissä, mutta mobiilikäyttöisten tunnistussovellusten suostumukseen liittyvät toiminnot ovat luottamusverkoston ulkopuolella. Näin ollen tunnistusvälineen tarjoaja itse voi käyttää PSD2-suostumustoimintoa ja hyödyntää sitä tunnistussovelluksissa esim. dynamic linking vaatimuksen täyttämisessä, mutta muilla ei ole tätä mahdollisuutta. Jos nämä rajapinnat siirrettäisiin luottamusverkoston piiriin, niin esim. luottokorttitapahtumien saajan ja summan esittäminen voitaisiin avata myös muiden kuin tunnistusvälineen tarjoajan itsensä käyttöön

Kehittämisen kiihdyttäminen vai jarruttaminen?

Tunnistuksen kehittäminen edistäisi kilpailua. Tämähän on alunperin yksi PSD2:n tavoitteista. Lisäksi uusien palveluiden ja maksutapojen kehittyminen saisi vauhtia. Maksut muun kuin tilinhaltijapankin kautta voitaisiin hoitaa esimerkiksi instant payment -maksutyypillä, jota ei käytetä Suomessa. Instant payment - tilisiirrossa euro siirtyvät maksajan pankkitililtä saajalle alle 10 sekunnissa. Tämä uusi maksutapa on ollut tarjolla Euroopassa 2,5 vuotta ja sinä aikana sen osuus kaikista euromääräisistä tilisiirroista on kasvanut lähes 8 %:iin. Verkkokaupan kasvaessa instant payment toisi väriä maksamiseen ja tarjoaisi yhden vaihtoehdon esim. laskulla tai luottokortilla maksamiseen. Luottokorttiohjelmat ovat kauppiaille kalliita, joten lisävaihtoehdoille voisi olla tilausta. Voisiko kehityksen jarruna olla em. tunnistusregulaatioiden aiheuttama epäselvä tilanne?

Esimerkiksi omaa tunnistusvälinettä ja -sovellusta tarjoavilla suomalaisilla pankeilla on erilainen tilanne kuin esim. ulkomaisilla luottokorttien liikkeellelaskijoilla, jotka tarjoavat korttiohjelmaansa Suomessa. Kahden regulaation myötä syntynyt epäselvä tilanne saattaa aiheuttaa haasteita PSD2:n uusien vaatimusten myötä.

Nykyinen asetelma voi johtaa siihen, että PSD2:n piiriin kuuluvien tapahtumien hyväksynnässä joudutaan käyttämään menetelmiä, joiden varmuustaso on pankki- tai mobiilivarmennetunnistusta heikompi. Näitä voivat olla esimerkiksi edellä mainitut salasanapohjaiset ratkaisut.