Kieltääkö EU verkkopankkien paperiset tunnuslukulistat? Suomalaispankit erimielisiä, miten pitää toimia - Taloussanomat - Ilta-Sanomat

Kieltääkö EU verkkopankkien paperiset tunnuslukulistat? Suomalaispankit erimielisiä, miten pitää toimia

Uusissa säännöksiä pyritään ehkäisemään tunnuslukujen kopiointi silloin, jos ne päätyvät vääriin käsiin.

Julkaistu: 2.4.2019 15:32

Verkkopankkien tietoturvavaatimukset tiukentuvat syyskuussa. Osa pankeista tulkitsee EU-määräystä niin, että paperisista tunnuslukulistoista pitää luopua.

Pankkien paperisista tunnuslukukorteista voi tulla historiaa, kun tunnistautumiseen liittyvä uusi EU-sääntely astuu syyskuun puolivälissä voimaan.

Muutokset liittyvät maksupalveludirektiivi PSD2:een. Finanssialan johtava asiantuntija Teija Kaarlela kertoo, että määräysten tulkinta ei kuitenkaan ole yksioikoista.

– Säännöksessä ei nimenomaisesti todeta, että tunnusluvut eivät saa olla tietyssä muodossa, hän kertoo.

Direktiivissä painotetaan vahvaa tunnistautumista. Siinä varmistetaan, että maksun tekee todella henkilö, jonka maksuväline on. Euroopan pankkivalvontaviranomainen (Eba) on ohjeistanut, että luvaton käyttö pitää minimoida, jos tunnukset katoavat, ne varastetaan tai kopioidaan.

– Kopiointi on ongelma. Painetun tunnuslukulistan pystyy helposti kopioimaan esimerkiksi ottamalla siitä kuvan. Sen ei kuitenkaan pitäisi olla helppoa, jos käyttäjä säilyttää listaa huolellisesti, Kaarlela sanoo.

Pankkialalla ei tiedetä, täsmennetäänkö ohjeistusta. Finanssivalvonta voi neuvoa suomalaispankkeja, mutta viime kädessä direktiivin tulkinta on Kaarlelan mukaan Eban vastuulla, koska sääntely on eurooppalainen. Toistaiseksi jokainen pankki pähkäilee asiaa tykönään.

Osa pankeista saattaa pitää paperilistat

Nordea, Danske Bank ja S-Pankki arvioivat, että paperinen avainlukulista ei täytä uuden direktiivin vaatimuksia.

– Direktiivi edellyttää, että pankkitunnusten hallussa pidettävä osa on suunniteltava sellaiseksi, ettei se ole kopioitavissa. Tämä tarkoittaa, että avainlukulistojen käyttäminen voi olla pidemmän ajan kuluessa mahdotonta, Danske Bankin lehdistöpäällikkö Josi Tikkanen sanoo.

Aktian kehitysjohtajan Outi Virtasen mukaan pankki todennäköisesti luopuu paperisista tunnuslukulistoista jossain vaiheessa. Päätöstä asiasta ei ole vielä tehty.

– Emme usko, että paperiset tunnusluvut ovat pitkäikäisiä, hän lisää.

Aktialla on käytössä tunnuslukulistat, mutta syksyllä niiden rinnalle tulee uusi tunnuslukusovellus.

Handelsbanken ei ota kantaa siihen, täyttääkö perinteinen avainlukulista uuden direktiivin vaatimukset. Säästöpankin mukaan asia on tulkinnanvarainen.

– Jos sääntelyä tulkitsee tiukasti, voi päätyä tulokseen, että kriteerit eivät täyty. Toisaalta nykyinenkin ratkaisu on turvallinen ja edelleen laajasti asiakkaiden käyttämä, Säästöpankin liiketoimintajohtaja Kai Koskela kertoi Ylelle.

Kaarlela painottaa, että direktiivin voimaan tulo ei suinkaan tarkoita, että paperisten tunnuslukujen käyttö muuttuisi yhdessä yössä totaalisen turvattomaksi. Tekniikka on ollut pitkään käytössä ja se on toiminut hyvin.

Mobiilisovellus ei käy kaikille

Danske Bankin Tikkasen mukaan suunta on poispäin perinteisistä tunnuslukulistoista. Nordea on jo pitkään patistellut asiakkaitaan tunnistautumaan mobiililaitteellaan ja aikoo lopettaa tunnuslukukortin käytön kokonaan tänä vuonna.

Monille muutos on luonteva, sillä useimmat kantavat älypuhelinta aina mukanaan ja pitävät sen tunnussovellusta näppäränä. Kaarlela muistuttaa, että asialla on kaksi puolta. Kaikilla ei ole älypuhelinta. Joillekin se on turhan monimutkainen.

– On käyttäjäkuntaa, joka ei ole niin halukas ottamaan käyttöön uusia teknisiä sovelluksia. Jos listoista siirrytään kokonaan pois, sovellusten rinnalla täytyy varmaan tulla joku toinen tunnistautumistapa.

Yksi mahdollisuus on pieni laite, joka generoi tunnuslukuja. Osa asiakkaista käyttää niitä jo nyt.

Tilit voidaan avata

Tunnistautumisen vahvuus on keskeistä, sillä tulevaisuudessa pankkien maksutilit avataan ulkopuolisille maksupalveluntarjoajille. Asiakas voi siis maksaa tililtään tai saada tietoa niistä muunkin kuin oman pankkinsa kautta.

– Tämä tuntuu osin vielä aika eksoottiselta, Kaarlela myöntää.

Esimerkiksi henkilö, jolla on tili useammassa pankissa voi sopia, että palveluntuottaja saa hakea hänen tietonsa jokaisesta pankista ja koota ne yhteen paikkaan.

– Tällaiseen tarvitaan aina tilinomistajan suostumus. Kukaan ei pääse tilille ilman sitä, Kaarlela korostaa.

Osion tuoreimmat

Luitko jo nämä?