Kesälomien jälkeen Suomea voi odottaa massiivinen verkkotunnistuksen hässäkkä
Uudet tietoturvavaatimukset mullistavat syksyllä Suomen verkkotunnistautumisen kaikissa palveluissa, joissa liikkuu rahaa. Muutos koskee sekä kuluttajia että palveluntarjoajia, mutta toteutus on vielä pahasti levällään.
Uudet tietoturvavaatimukset mullistavat syksyllä Suomen verkkotunnistautumisen kaikissa palveluissa, joissa liikkuu rahaa. Muutos koskee sekä kuluttajia että palveluntarjoajia, mutta toteutus on vielä pahasti levällään.
Suomessa ei ole EU:n uuden maksupalveludirektiivin kriteereitä täyttävää laajalle levinnyttä verkkotunnistusratkaisua. Pankkien tarjoamat paperiset tunnuslukukortit eivät enää syyskuun jälkeen kelpaa verkkomaksujen varmistukseen, sillä ne eivät täytä uusia tietoturvavaatimuksia: tunnuslukukortit ovat liian helposti kopioitavissa. Kukaan ei kuitenkaan vielä tiedä, mikä tulee olemaan korvaava vaihtoehto, miten tämä toteutetaan tai mitä lainsäätäjä tarkalleen kirjautumiselta edes vaatii.
Asia on viime viikkoina ollut esillä niin Ylellä, Helsingin Sanomissakuin Kauppalehdessä.
“Lainsäätäjillä ei ole ollut realistista kuvaa siitä, miten paljon aikaa tämänlaisten muutosten toteuttaminen vaatii ja miten tarkasti vaatimukset pitää määritellä ennen kuin työt voidaan edes aloittaa”, sanoo Qvikin toimitusjohtaja Lari Tuominen. “Laki koskee kaikkea verkossa tapahtuvaa rahaliikennettä niin kuluttajan kuin palvelutarjoajien puolella, ja tarvittavat muutokset ovat mittaluokaltaan niin suuria, että työ olisi pitänyt jo aloittaa.”
EU:n maksupalveludirektiivi PSD2 vaatii syyskuusta lähtien, että palveluntarjoajan on pystyttävä tunnistamaan käyttäjä two-factor tunnistamisen mukaisesti.
Two-factor tunnistautumisessa kirjautuminen on kaksivaiheinen. Tunnistautuminen voi perustua johonkin, jonka vain käyttäjä tietää (esim. käyttäjätunnus, salasana) tai johonkin, johon vain kirjautujalla on pääsy, kuten puhelin tai sähköposti, taikka käyttäjän biometriseen ominaisuuteen, kuten sormenjälkeen.
Suomessa käyttäjä on maksutilanteessa tunnistettu tähän asti kaikkein yleisimmin pankkitunnuksilla. Kaikilla pankeilla ei ole tunnistukseen kelpaavaa tunnistussovellusta, eikä Suomessa vielä ole selvää, toteuttaako tunnistuksen jatkossakin pankit vaiko esimerkiksi valtio.
“Uusien tunnistustoimintojen pitäisi olla pystyssä kahdeksan kuukauden päästä, ja tässä välissä vielä kesälomat hidastamassa työn etenemistä”, Tuominen sanoo. “On iso riski, että moni taho Suomessa palailee kesän jälkeen lomilta ja joutuu tekemään valtavia päivityksiä kovassa kiireessä.”
Lainsäätäjän aiheuttama kiire voi lisätä palveluiden syrjivyyttä
Finanssivalvonta kertoo ohjeissaan, mitä maksupalveluntarjoajien pitää tehdä tunnistautumisen suhteen ja mitä ne eivät saa tehdä. Viranomainen ei kuitenkaan kerro, mitä palveluntarjoajat voivat tehdä. Käytännön toteutus jää teollisuuden harteille.
“Nyt laki on kuitenkin valmisteltu niin hatarasti, että Suomi on joutunut hyvin hankalaan tilanteeseen”, Tuominen sanoo.
Esimerkiksi Virossa vahvan tunnistuksen hoitaa valtio sähköisillä henkilökorteilla ja Ruotsissa on käytössä pankkien tarjoama Bank ID.
Kun vastuunjako on Suomessa vielä sekaisin ja isoja linjauksia joudutaan tekemään kiireellä, kasvaa myös riski, että palveluista tulee enemmän syrjiviä: kaikkea ei ehditä ottaa huomioon.
Joutuvatko eri pankkien asiakkaat eriarvoiseen asemaan? Kenen velvollisuus on kouluttaa vanheneva väestö käyttämään uusia sähköisiä palveluita, kun vanhat tunnistautumiskeinot poistetaan käytöstä?
“Tämänlaiset kaikkia kansalaisia koskevat uudistukset hankaloittavat eniten niiden elämää, jotka eivät ole enää nuoria ja notkeita.”
Kuvitus: Aija Malmioja