PSD2 siirtymäaika loppuu syksyllä. Näin suomalaiset tunnistautuvat jatkossa

Uusi EU:n maksupalvelulainsäädäntö pakottaa suomalaisetkin pankit muuttamaan sähköisen tunnistautumisen ja maksamisen käytäntöjä  syyskuun loppuun mennessä. Nyt alle neljä kuukautta ennen h-hetkeä näyttää, että muutos tuo paperisten tunnuslukulistojen rinnalle nipun mobiilisovelluksia sekä PIN-koodeja.

Enemmistö käyttäjistä joutuu viimeistään syyskuussa asentamaan tunnistautumista varten erillisen tunnistussovelluksen. Tunnistautumisen helppous tulee lopputuloksena vaihtelemaan pankkien välillä merkittävästi.

Uutiset uudesta EU:n maksupalveludirektiivistä PSD2:sta ovat viime viikkoina olleet näkyvästi esillä monissa medioissa kuten HS ja Taloussanomat. Uutisoinnista välittyy kuva siitä, että verkkomaksaminen uhkaa monimutkaistua ja tunnistautuminen menee uusiksi.  Uutisissa viitattuihin muutoksiin liittyy kuitenkin paljon epävarmuutta sekä suoranaisia väärinkäsityksiä. Epätarkkuudet ovat ymmärrettäviä, sillä eri jäsenvaltioissa toteutettavat lakimuutokset ovat kovin tulkinnanvaraisia, eikä Suomessa asiaa tarkkaileva Finanssivalvonta ole kommentoinut muutoksia erityisen tarkasti tai tiuhaan.

Epävarmuuden vähentämiseksi ja väärinkäsitysten välttämiseksi Qvikin sähköisen maksamisen asiantuntijat ottivat selvää yhdestä PSD2-muutosten osa-alueesta: vahvasta tunnistautumisesta. Kävimme läpi, millaisia ratkaisuja suomalaiset pankit nyt kesäkuun 2019 alussa tarjoavat asiakkailleen sekä mitä muita vaihtoehtoja on tarjolla

Pankit siirtyvät listoista sovelluksiin

Kymmenen suurimman pankin joukosta seitsemän on korvaamassa tunnusluvut erillisellä tunnistussovelluksella. Pankkien markkinaosuudet huomioiden tämä tarkoittaa noin 91 prosenttia kaikista pankkien asiakkaista.

Sovellusten toimintamalli on vaihteleva. Yhteistä kaikille on se, että niissä käytetään vähintään henkilökohtaista PIN-koodia. Käyttäjälle tulee siis ainakin yksi uusi salasana. Tosin osa sovelluksista tarjoaa myös biometrista tunnistautumista sormenjälki- tai kasvojentunnistuksella, jos mobiililaite käyttöjärjestelmineen tätä tukee. Tällöin PIN-koodia ei tarvitse välttämättä käyttää toistuvasti. Kasvojentunnistus on tarjolla toistaiseksi vain Apple-käyttäjille Nordean sovelluksessa. Apple-laitteissa osa sovelluksista tukee vain uusimpia käyttöjärjestelmiä ja iPhonea, ei iPadia.

Biometristen tunnisteiden hyväksyttävyys vaihtelee. Joissakin pankeissa niillä voi tunnistautua vain pankin omiin palveluihin, ja toisissa pankeissa, kuten S-Pankissa, mihin vain vahvaa tunnistautumista vaativaan palveluun.

Sovellukset melkein valmiina

Pankit ovat varautuneet tunnistussovellusten valmisteluun kohtuullisen hyvissä ajoin. Ehdoton edelläkävijä on ollut Nordea, jonka Codes-sovellus on ollut saatavilla jo vuodesta 2015.

Ratkaisut jakautuvat kahteen leiriin: erillisiin tunnistussovelluksiin ja verkkopankkisovelluksiin  integroituviin tunnistusratkaisuihin. Danske Bank on tehnyt varmuuden vuoksi molemmat.

Tällä hetkellä myös kaikki muut tunnistussovellukset ovat jo ladattavissa Google Play Storesta ja App Storesta. Aktia on ainoa pankki, joka ei ole vielä julkaissut integroitua ratkaisua avainlukulistojen korvaamiseen, mutta tällainen on saamiemme tietojen mukaan työn alla ja tulee tarjoamaan biometristä tunnistautumista.

Kokeile itse – kaikki suomalaisten pankkien tunnistus- tai verkkopankkisovellukset:

Pankki	Android-sovellus	iOs-sovellus
OP Ryhmä	lataa	lataa
Nordea	lataa	lataa
DanskeBank	lataa	lataa
Säästöpankki ryhmä	lataa	lataa
Aktia	lataa	lataa
Handelsbanken	lataa	lataa
S-Ryhmä	lataa	lataa
POP Pankkiryhmä	lataa	lataa
Ålandsbanken	lataa	lataa
Oma Säästöpankki	lataa	lataa

Eräs hakkereita harmittava yksityiskohta muutoksessa on se, etteivät verkkopankki- ja tunnuslukusovellukset yleisesti ottaen toimi älypuhelimilla, joiden käyttöjärjestelmää on muokattu (esim. ns. rootatut puhelimet). Tunnistautumista varten tarvitaan koskematon älypuhelin.

Käytännössä sovellus tulee kyseenalaistamaan verkkopankissa asioimisen vaivattomuutta ainakin jos vertaillaan pankkeja, joissa on tunnistus on integroitu sovellukseen ja niitä, joissa on erillinen sovellus. Integroitu verkkopankki tulee väistämättä olemaan helpoin tapa autentikoitua päivittäisiin pankkiasioihin, verkkopankin käyttö läppäriltä vaatii kuitenkin myös puhelimen käyttöä.

Ilmeisiä puutteita ja tyytymättömiä käyttäjiä

Kivutonta PSD2-aikaan valmistautuminen ei ole ollut.  Tämän näkee sovellusten saamista arvosteluista sovelluskaupoissa. Sovellusten mediaani-arvosana on 2 (pyöristetty alas), ainoastaan pitkään tarjolla olleiden ratkaisujen arvosanat alkavat numerolla 4.

Sovellussuunnitteluyrityksen näkökulmasta on selvää, että kriittiset kuluttajat kaipaavat tunnistussovelluksiin ominaisuuksia, joihin ovat käyttöjärjestelmätasolla ja sovelluksissa tottuneet:

• Biometriset tunnisteet
• Fiksut notifikaatiot
• QR- ja viivakoodien luku
• Hyvä käytettävyys

Biometristen tunnisteiden ansiosta kirjautuminen onnistuu sormenjäljen tai kasvojen tunnistuksella. Toimivat push-muistutukset herättävät tunnistautumissovelluksen, kun sitä tarvitaan. QR-koodien käyttäminen voi helpottaa sisäänkirjautumista verkkopankkiin.

Käyttäjäpalautteet osoittavat, että jos näissä asioissa on huomauttamista, tulee asiakkailta nopeasti negatiivista palautetta. Kuluttajat ovat myös aiheellisesti kyseenalaistaneet, miksi pankit ovat useimmiten päättäneet ratkaista tunnistautumisen verkkopankista erillisellä, eikä siihen integroidulla ratkaisulla.

Se miten sovellukset tulevat alkusyksystä toimimaan on toki eri juttu. Positiivisena puolena 70 prosenttia sovelluksista on päivitetty viimeisen kahden kuukauden aikana. Tämä on osoitus pankkien jatkuvasta kehitystyöstä ja luo uskoa siihen, että tunnistaminen tulee onnistumaan lokakuussa, mahdollisesti nykyistä jouhevammin.

Tunnuslukulaitteet

Jos henkilö ei ole halua tai pysty käyttämään tunnistussovellusta, vaihtoehtoisena ratkaisuna voi olla tarjolla fyysinen tunnuslukulaite. Näitä laitteita on tosin toistaiseksi tarjolla ainoastaan Nordealta. Muut pankit eivät ole vielä julkaisseet omia ratkaisujaan.

Osa kilpailijoista seuraa Nordean esimerkkiä, mutta Nordealla on etumatkaa. Se on julkaissut tunnistussovelluksestaan jo 2018 kaksi versiota: sekä tavallisen että puhuvan, näkövammaisille suunnitellun tunnuslukulaitteen.

Ihmiskeskeisen  suunnittelun näkökulmasta laitteen käyttöohjeesta poimittu ohjekuva ei lupaa kovin hyvää. Yhdessä laitteessa on samojen nappien takana monia toimintoja.

Mobiilivarmenne ja Kansalaisvarmenne

Tunnuslukulaitteiden lisäksi Viestinstä- ja liikenneministeriön tunnistuspalvelurekisteristä löytyvät pankkien ohessa tunnistusta tarjoavat teleoperaattorit: DNA, Elisa ja Telia.  Nämä kaikki tarjoavat puhelimen SIM-korttiin liitettyä tunnistusratkaisua nimeltä Mobiilivarmenne. Operaattorit ovat muodostaneet yhden palvelun, minkä ansiosta kuluttajille näkyy vain ainoastaan Mobiilivarmenne tunnistusvälineenä – ei minkä operaattorin kautta mobiilivarmenne on otettu käyttöön.

Mobiilivarmenne on ollut saatavilla vuodesta 2011, mutta sen käyttö on yleistynyt hitaasti. Maaliskuussa 2019 Mobiilivarmennetta käytettiin alle 8 % kirjautumisista Suomi.fi-palveluun.   Syitä mobiilivarmenteen vähäiseen suosioon on useita. Ensinnäkin, palvelu on kuluttajille yleensä maksullinen, parikymmentä euroa vuodessa (DNA ja Elisa 24€/v), poikkeuksena Telia, joka tarjoaa palvelua toistaiseksi ilmaiseksi. Yritysliittymiin palvelu tulee kaupan päälle.

Toiseksi, pankit ja monet tunnistautumista edellyttävät palvelut eivät ole ottaneet Mobiilivarmennetta mukaan omaan tunnistautumisvälineiden valikoimaansa, mikä vähentää sen hyödyllisyyttä. Kolmas syy on ollut varmenteen hyödyntämisen sitominen SIM-korttiin, joiden verkkainen vaihtotahti on rajoittanut kasvua. Viimeiseksi varmenteen toteutus teknisesti on ollut vaihtelevaa ja käytettävyydeltään hankalaa.

Viimeinen tunnistusvaihtoehto on Väestörekisterikeskuksen Kansalaisvarmenne. Tämä ratkaisu on sidottu uudenaikaiseen Poliisin myöntämään henkilökorttiin ja sen käyttö edellyttää lisäksi tietokoneeseen liitettävää kortinlukija sekä kortinlukijaohjelmistoa. Ohjelmistoa ei ole saatavissa mobiililaitteille. Nämä tekijät yhdessä selittävät sitä, miksi Kansalaisvarmenne ei ole yleistynyt muiden kuin valtion työntekijöiden keskuudessa.

Avainlukukorttien tulevaisuus

Avainkorttien käytöstä on esitetty paljon ristiriitaista tietoa. Yleisesti ottaen vaikuttaa siltä, että useimmat pankit säilyttävät avainlukulistat pankin sisäisessä käytössä varamekanismina.

Avainlukukortteja ei vaadita pankin ulkopuolisiin palveluihin kirjauduttaessa, vaan mahdolliset käyttötarpeet tulevat olemaan pankkikohtaisia ja nimenomaan pankin omia tarpeita koskevia.

Tehdään paremmin!

Syksyllä verkkokaupassa ja -tunnistautumisessa odottavat kiinnostavat ajat: laki muuttuu, eikä kukaan tiedä tarkasti, miten sitä tulkitaan. Jos pankit aloittavat varovaisella linjalla vaatien vahvaa tunnistautumista kaikissa lain määrittelemissä tapauksissa, kuluttajat joutuvat käyttämään näitä uusia tunnisteille tiheästi.

Toistaiseksi ei ole järkevää spekuloida, mihin kaikkeen tunnisteita tullaan tarvitsemaan. Esimerkiksi sähköisten lompakkojen ja maksutapojen käyttö saattaa vaikuttaa tunnistusvaatimuksiin ja lisätä niiden houkuttelevuutta.  Kommentoimme asiaa hiljattain Taloussanomille. Toistaiseksi Apple Pay ja Google Pay eivät ole vielä Suomessa lyöneet itseään läpi (ja tuki niiden käyttöön on ollut heikkoa). Syksyllä nähdään millaiseen tunnistautumisviidakkoon kuluttajat sotketaan, kun pankit valitsevat linjansa verkkoshoppailun suhteen. Kuluttajana voit varautua parhaiten aloittamalla tunnistussovelluksen käytön jo tänään.

Qvik tekee työtä helpon maksamisen ja vaivattoman tunnistamisen puolesta ja haluaa edistää toimivan digitaalisen maailman rakentamista. Jos yrityksenne pohtii vielä tulevia maksuratkaisuja tai tunnistautumisen tarkkaa toteutusta, jutellaan miten voisimme yhdessä tehdä kaikesta mahdollisimman helppoa!