Syyskuussa 2019 astuva uusi maksupalveludirektiivin toteutus vaikuttaa melko epäilyttävältä toteutuksensa suhteen – on nimittäin melko kummallista jos pankin asiakkaat pakotetaan ostamaan älypuhelin ja tekemään google-tili vain sen vuoksi, että jatkossa voisi asioida verkkopankissa ja käyttää muita verkossa olevia palveluita. Onneksi järki kuitenkin todennäköisesti voittaa, ja asioinnin voinee suorittaa melkein kuten ennenkin perinteisiä avainlukulistoja käyttämällä.
Tunnuslukulistaa saa käyttää jatkossakin
Kolme vaatimusta, kaksi on täytettävä
Aloitetaan kuitenkin perusteista. Maksupalveludirektiivi edellyttää henkilön vahvaa tunnistamista. Se tarkoittaa menettelyä, joka täyttää vähintään kaksi kolmesta edellytyksestä:1. Jotain, jonka vain käyttäjä tietää. (Salasana tai PIN-koodi)
2. Jotain, joka vain käyttäjällä on hallussaan. (Avainlukusovellus tai laite)
3. Maksupalvelun käyttäjän yksilöivä ominaisuus. (Sormenjälki, kasvontunnistus)Perinteisen avainlukulistan ongelma on kohta kaksi. Koska avainlukulista on kenen tahansa kopioitavissa, se ei ole vain käyttäjänsä hallussa.
Yksinkertaisin tapa toteuttaa Fivan tarkoittama ”vahvistuselementti” lienee tekstiviesti. Avainlukulistan käyttäjä syöttää tunnuslukunsa verkkopankkiin vanhaan tapaan – ja odottaa sen jälkeen puhelimeen saapuvaa vahvistusviestiä.
Näin puhelimesta tulee listan kohdan kaksi mukainen esine. Eli jotain, joka vain käyttäjällä on hallussaan. Maksutapahtuma etenee, kun käyttäjä syöttää puhelimeen saapuvan koodin selaimeen.
Fivan linjaus ei ole yllättävä. Tekstiviestimahdollisuudesta on jo aiemmin tiedottanut esimerkiksi Osuuspankki.
Pankit ovat kehittäneet näppärämpiäkin maksusovelluksia vahvan tunnistautumisen toteuttamiseksi. Finanssivalvonnan linjaus on kuitenkin ehdottomasti hyvä uutinen niille, jotka eivät käytä älypuhelinta.