Kannanotto 24.6.2019 – 2/2019

Tunnuslukulistat osana asiakkaan vahvaa tunnistamista

FIVA 8/01.02/2019

1 Tausta ja sääntely

Maksamisen turvallisuuden lisäämiseen tähtäävä asiakkaan vahvan tunnistamisen vaatimus tuo muutoksia pankkien ja muiden maksupalveluntarjoajien mahdollisuuteen käyttää tunnuslukulistoja verkkomaksamisessa ja maksutilin käytössä. Vahvan tunnistamisen vaatimusta koskeva sääntely perustuu toiseen maksupalveludirektiiviin ja astuu kokonaisuudessaan voimaan 14.9.2019. Direktiivi on Suomessa implementoitu maksupalvelulakiin.

Maksupalvelulain mukaan palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja käyttää maksutiliään tietoverkon välityksellä, käynnistää sähköisen maksutapahtuman tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Sääntely antaa mahdollisuuden useisiin poikkeuksiin, joiden kohdalla vahvan tunnistamisen vaatimusta ei tarvitse noudattaa.

Vahvalla tunnistamisella tarkoitetaan maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen kolmesta toisistaan riippumattomaan vaihtoehtoon. Nämä vaihtoehdot ovat:

  1. tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää,
  2. hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan, sekä
  3. maksupalvelun käyttäjän yksilöivä ominaisuus.

Jokaiselle vaihtoehdolle on säädetty erillisiä turvallisuusvaatimuksia, jotka pitää ottaa huomioon vahvan tunnistamisen toteuttamisessa. Tunnuslukulistat kuuluvat hallussapitoa koskevaan ryhmään, jota koskee muun muassa vaatimus toteuttaa toimenpiteitä, joiden tavoitteena on estää tunnuslukulistojen kopioiminen maksajien käyttäessä niitä.


2 Finanssivalvonnan kannanotto

Suomessa pankeilla nykyisin käytössä olevat painetut tunnuslukulistat ovat helposti kopioitavissa, minkä vuoksi ne eivät nykymuodossa käytettynä täytä uuden sääntelyn turvallisuusvaatimuksia.

Tunnuslukulistojen käytön jatkaminen edellyttää, että asiakkaan vahvaan tunnistamiseen maksamisen tai maksutilin käytön yhteydessä lisätään elementtejä, joiden johdosta sääntelyn edellyttämä kaksiosainen tunnistaminen toteutuu vaatimusten mukaisesti.

Tällä kannanotolla ei oteta kantaa tunnuslukulistojen käytön jatkamiseen niissä käyttötapauksissa, joissa pankkitunnuksia käytetään asiakkaan vahvaan sähköiseen tunnistamiseen muissa kuin maksamiseen ja maksutilin käyttöön liittyvissä palveluissa, kuten esimerkiksi viranomaisten palveluissa. Vahvaa sähköistä tunnistamista näissä tilanteissa sääntelee laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista. Kyseisen lain tulkinta kuuluu Liikenne- ja viestintävirasto TrafiComille.

3 Muutosprosessissa huomioitavaa

Muutoksen tavoitteena on lisätä maksamisen ja maksutilin käytön turvallisuutta. Turvallisuuden ohella pankkien on kiinnitettävä erityistä huomiota uusien menetelmien käytettävyyteen, saavutettavuuteen ja toimintavarmuuteen.

Vahvana sähköisenä tunnistusvälineenä käytettävät pankkitunnukset ovat Suomessa osa peruspankkipalveluita ja niitä on tarjottava yhdenvertaisesti ja syrjimättömin ehdoin kaikille asiakasryhmille. Peruspankkipalveluista veloitettavien hintojen tulee olla kohtuullisia.

Finanssivalvonta edellyttää, että pankit ottavat huomioon uusia tunnistamisen menetelmiä tarjotessaan kaikkien eri asiakasryhmien tarpeet ja yhdenvertaisuuslainsäädännön vaatimukset erityisryhmille tehtävistä kohtuullisista mukautuksista. Kaikille asiakasryhmille tulisi olla saatavilla helppokäyttöinen menetelmä, jolla asiakkaan vahva tunnistaminen pystytään toteuttamaan.

Tunnistusmenetelmiin tehtävät muutokset on toteutettava siten, että kaikkien asiakasryhmien mahdollisuus käyttää tunnistusvälineitä ilman katkoksia turvataan. Asiakkaiden tulee voida käyttää nykyisiä tunnuslukulistoja maksamisessa ja maksutilien käytössä niin kauan, kunnes pankki on riittävällä tavalla varmistanut uusien menetelmien käytettävyyden, saavutettavuuden ja toimintavarmuuden.

Finanssivalvonta korostaa, että pankkien tulee tarjota asiakkaille riittävästi neuvontaa ja henkilökohtaista opastusta uusien tunnistusvälineiden ja menetelmien käyttöönotossa. Asiakasviestinnässä tulee myös olla selkeä ohjeistus niihin tilanteisiin, joissa tunnistusväline tai sen osa rikkoutuu tai häviää taikka tunnistamisessa hyödynnettävä asiakkaan mobiililaite korvataan uudella laitteella.

4 Muutosprosessin toteutus

Finanssivalvonta tulee pyytämään pankeilta suunnitelmaa ja vahvistettua aikataulua uusien menetelmien käyttöönotolle sekä selvitystä eri asiakasryhmien huomioon ottamisesta. Finanssivalvonta seuraa tarkasti muutosprosessin toteutusta niiden pankkien osalta, jotka eivät täytä sääntelyn vaatimuksia voimaantulopäivänä.

Se, että nykyisiä tunnuslukulistoja mahdollisesti käytetään maksamisessa ja maksutilin käytössä 14.9.2019 jälkeen, ei vaikuta pankin laista johtuvaan vastuuseen.

5 Oikeusnormit

Maksupalvelulaki (290/2010) 8 § 24 k, 62 §, 85 b §

Komission delegoitu asetus (EU) 2018/389, annettu 27 päivänä marraskuuta 2017, Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 täydentämisestä asiakkaan vahvaa tunnistamista sekä yhteisiä ja turvallisia avoimia viestintästandardeja koskevilla teknisillä sääntelystandardeilla, 7.2 artikla

Luottolaitoslaki (610/2014) 15 luku 6 §, 6 a §

6 Lisätiedot

Lakimies Sanna Atrila, sanna.atrila(at)finanssivalvonta.fi, puh. (09) 183 5552