Suomalaiset ovat käyttäneet pankkien avainlukulistoja yli kahdenkymmenen vuoden ajan. Niillä on maksettu sähkölaskuja verkkopankissa, täytetty veroilmoitusta sekä haettu pikavippejä ja vanhempainpäivärahoja.
Harva listoja rakastaa, mutta ainakin menetelmä on useimmille tuttu.
Mikäli lehtitietoja on uskominen, avainlistojen aika on pian ohi.
– Tunnuslukulistat jäävät historiaan, kertoo Uusi-Suomi.
– Uusi sääntely koskee kaikkia pankkeja, tietää Vihdin Uutiset.
– Yli kolmen miljoonan suomalaisen on pakko oppia uusi konsti maksaa, julisti Aamulehti.
Syypää on uusi eurooppalainen maksupalveludirektiivi, joka astuu voimaan syyskuun 14. päivänä. Direktiivi määrittelee eurooppalaiset vaatimukset henkilön vahvaan sähköiseen tunnistamiseen. Tarkoituksena on kehittää EU:n digitaloutta ja ehkäistä verkkorikollisuutta.
Suomessa henkilön vahva sähköinen tunnistaminen on ollut arkipäivää jo pitkään – ja siihen on käytetty verkkopankkeja ja avainlukulistoja. Direktiivi on kuitenkin niin tiukka, etteivät vanhat lappuset enää kelpaa.
Vai kelpaavatko? Syyskuu lähestyy, mutta pankitkaan eivät ole asiasta yksimielisiä.
Aivan ensimmäiseksi on syytä kysyä, mikä perinteisessä avainlukulistassa on vialla.
Henkilön vahva sähköinen tunnistaminen perustuu niin kutsuttuun kahden tekijän varmistukseen. Se tarkoittaa, että tunnistamiselle asetetaan kolme turvaehtoa, joista vähintään kahden tulee täyttyä.
Vahvaa tunnistamista tapahtuu fyysisessä maailmassa paljon. Ruokakaupan kassalla asiakas käyttää korttia, joka on vain hänen hallussaan (yllä olevan kuvan kohta kaksi) ja syöttää pin-koodin, jonka vain hän tietää (kuvan kohta yksi).
Verkossa sen sijaan on voinut tehdä suuriakin ostoksia yksinkertaisesti syöttämällä luottokortin pintaan kirjatut numerot. Jos kadotat luottokorttitietosi, kuka tahansa on voinut käyttää niitä.
Tähän uusi direktiivi tuo muutoksen. Jatkossa verkossa vaaditaan vahvaa tunnistautumista.
Suomalaisten avainlukulistojen osalta ongelmana on kuitenkin kopioitavuus.
Euroopan pankkivalvojan näkemystä kuvaa esimerkiksi tämä dokumentti. Siinä todetaan, että käyttäjän hallussa olevan asian tai esineen tulisi olla vaikeasti kopioitava. Avainlukulista on kuitenkin sangen helppo kopioida.
Näin ollen ei voida olla varmoja, että avainluvut olisivat vain käyttäjän hallussa. Ja siksi vaikuttaisi ilmeiseltä, että avainlukulistojen aika on ohi.
Suomalaisissa pankeissa vallitsee kuitenkin epätietoisuus laintulkinnasta ja sen soveltamisen aikataulusta.
Yle kysyi suomalaispankeilta ja viranomaisilta, mitä syyskuun 14. päivän jälkeen tapahtuu.
"Avainlukulista ei täytä vaatimuksia"
Nordea, Danske Bank ja S-Pankki arvioivat, että paperinen avainlukulista ei täytä uuden direktiivin vaatimuksia.
– Nordea on tiedustellut Euroopan pankkivalvontaviranomaisen kantaa. Heidän viestinsä on ollut, että Suomen pankkisektorilla yleisesti käytössä olevat ns. tunnuslukulistat eivät enää PSD2:n voimaantulon jälkeen täytä vahvan tunnistamisen tietoturvavaatimuksia, Nordeasta kerrotaan.
S-Pankki on samoilla linjoilla.
– Tunnuslukulistoista on keskusteltu muun muassa Euroopan pankkiviranomaisen valvojayhteistyöryhmässä. Työryhmän jäsenten näkemys oli, etteivät paperiset tunnuslukulistat todennäköisesti täytä uuden sääntelyn vaatimuksia.
– Pankkitunnusten hallussa pidettävä osa on suunniteltava sellaiseksi, että se ei ole kopioitavissa, toteaa myös Danske Bank.
Kaikki eivät ole asiasta yhtä varmoja.
“Odotamme viranomaisen linjausta”
Säästöpankin mukaan asia on tulkinnanvarainen. Liiketoimintajohtaja Kai Koskela kirjoittaa vastauksessaan Ylelle, että Suomen tilanne poikkeaa eurooppalaisesta valtavirrasta.
– Jos sääntelyä tulkitsee tiukasti, voi päätyä tulokseen, että kriteerit eivät täyty. Toisaalta nykyinenkin ratkaisu on turvallinen ja edelleen laajasti asiakkaiden käyttämä, Koskela toteaa.
Aktiassa luotetaan siihen, että paperilukulista on hyväksyttävä tunnistautumis- ja maksutapa esimerkiksi matalan riskin tapahtumissa tai silloin, jos asiakkaalta kysytään lisävahvistuksia esimerkiksi tekstiviestillä.
Myös OP uskoo, että tekstiviestivarmistus antaa avainlukulistoille lisää elinaikaa.
Handelsbanken sen sijaan ei ota lainkaan kantaa siihen, täyttääkö perinteinen avainlukulista uuden direktiivin vaatimukset.
– Odotamme Fivan linjausta, joka toivottavasti perustuu pankkien kuulemiseen, pankista kerrotaan.
Vain yksi luopuu avainlukulistoista
Eräs seikka pankkien vastauksissa herättää huomiota. Kolme pankkia arvioi, että perinteiset avainlukulistat eivät uuden direktiivin mukaan kelpaa tunnistautumisvälineiksi, mutta vain Danske Bank asettaa määräajan niistä luopumiselle.
– Aiomme lopettaa niiden käytön syksyllä. Uudet välineet lanseerataan huhti-toukokuun aikana. Tulemme tarjoamaan asiakkaillemme älypuhelimessa toimivan tunnuslukusovelluksen tai vaihtoehtoisesti erillistä tunnuslukulaitetta, pankista kerrotaan.
Nordea suunnitteli luopuvansa avainlukulistoista jo vuoden 2018 päättyessä, mutta perui suunnitelmansa.
Nyt lienee korkea aika soittaa valvovalle viranomaiselle.
Fiva: "Olemme kannustaneet pankkeja toimimaan."
Pankit ovat odottaneet Finanssivalvonnalta vuoden ajan linjausta siitä, onko avainlukulistoista luovuttava vai ei. Kuukaudet vaihtuvat, mutta linjausta ei kuulu.
– Me emme vielä ole antaneet kannanottoa. Asiaa valmistellaan parhaillaan ja olemme kysyneet, mikä on pankkien tilanne, kun syyskuu lähestyy, Finanssivalvonnan lakimies Sanna Atrila kertoo.
– Meitä kiinnostaa maksamisen turvallisuuden lisäksi se, miten avainlukulistoja nykyisin käyttävät toimintarajoitteiset ihmiset oppivat käyttämään näitä uusia menetelmiä.
Tämä on ymmärrettävä huoli. Toisaalta aika on käymässä vähiin, eikä Fivasta heltiä vielä edes arviota siitä, milloin linjaus laintulkinnasta on odotettavissa. Atrila sanoo Finanssivalvonnan patistaneen pankkeja yli vuoden ajan tekemään muutoksia oma-aloitteisesti.
Mihin suuntaan Fivan linjaus tulee osoittamaan? Atrilakin viittaa vahvan sähköisen tunnistamisen vaatimuksiin, joita kuvasimme aiemmin tässä artikkelissa. (“Jotain, mikä vain käyttäjä tietää. Jotain joka on käyttäjän hallussa…”)
– Valtaosa pankeista on sitä mieltä, että ei löydy menetelmää, jolla voitaisiin taata että lista ei ole kopioitavissa, Atrila sanoo.
– Pankeilla on vastuu keksiä uusi menetelmä tai lisämenetelmä, joilla vaatimukset varmasti täyttyvät.
Lisäaikaa ei ole luvassa, mutta...
Osa pankeista kaipaa Finanssivalvonnalta apua direktiivin tulkintaan. Toisaalta osa kaipaa ohjeita sen suhteen, milloin avainlukulistoista tulee luopua.
– Kuuntelemme lopullisia viranomaisohjeita mahdollisesta siirtymäajasta, Nordeasta kerrotaan.
– Aikataulu tunnuslukulistojen korvaamiselle on vielä avoin, sanoo S-Pankki.
Finanssivalvonnan lakimiehen mukaan aikataulu ei ole avoin.
– Sääntely astuu voimaan syyskuun 14. päivänä ja jokaisessa EU-maassa. Ei meillä ole siihen antaa mitään lisämääräaikoja, Sanna Atrila sanoo.
Mitä siis syksyllä tapahtuu, jos avainlukulistat todetaan tietoturvamielessä riittämättömiksi – jääkö yli miljoona suomalaista verkkopankkinsa oven ulkopuolelle? Pysähtyykö verkkokauppa?
Tuskin.
Vaikuttaa todennäköiseltä, että Fivan tarkastukset eivät kohdistuisi syyskuun viidentenätoista päivänä juuri tähän maksupalveludirektiivin yksityiskohtaan.
– Meillä on mahdollisuus tehdä harkintaa, mihin mahdollisiin sääntelyrikkomuksiin me valvonnassa puutumme, Sanna Atrila sanoo.
Pankit ovat joutuneet odottamaan Finanssivalvonnan linjanvetoa tuskastuttavan pitkään, mutta se voi olla myös Suomelle eduksi. Avainlukulistojen pois keräämistä ei kannata kiirehtiä, mikäli alkaa näyttää siltä, että muutkin EU-maat jättävät uuden direktiivin vaatimuksia rästitehtäviksi.
Johtajuus puuttuu
Suomalaisen ohjelmistoyhtiö Qvikin toimitusjohtaja Lari Tuomisen mukaan naapurimaat ovat olleet sähköisen tunnistamisen kysymyksissä Suomea tehokkaampia.
– Esimerkiksi Virossa valtio on ottanut vastuun henkilön sähköisestä tunnistamisesta, Ruotsissa taas pankkien muodostama konsortio on herännyt sopimaan asioista. Suomessa ei ole selvää, kuka sitä hommaa johtaa ja kenen vastuulla se on, Tuominen sanoo.
Kyse ei ole siitä, että tilanne olisi yllätys. Maksupalveludirektiiviä on valmisteltu vuosien ajan ja se hyväksytiin jo vuoden 2018 alussa – syyskuussa päättyy 18 kuukauden mittainen siirtymäaika.
– Tämä on johtajuuskysymys, Tuominen sanoo.
“Kauppiaat ovat huolissaan”
Ohjelmistoyhtiö Qvikilla on asiakkainaan mm. verkkokauppiaita. Juuri he ovat Tuomisen mukaan tilanteesta huolissaan.
Kauppiaan näkökulma on kuitenkin aivan eri kuin kansalaisten.
Tavallinen kansalainen saattaa toivoa, että tuttu avainlukulista kelpaisi tunnistautumiseen tulevinakin vuosina, mutta kauppiaat näkevät sen uhkakuvana.
Uusi lainsäädäntö edellyttää, että käytännössä kaikki verkkokauppa tehdään jatkossa vahvan tunnistamisen kautta. Lari Tuomisen mukaan vanha avainlukulista on siihen liian kankea.
– Jos asiakas käyttää pankin uutta tunnistautumissovellusta, kaupankäynti jatkuu kohtuullisen sujuvasti. Mutta jos käytössä on vanha avainlukulista, ostokokemus heikkenee, hän sanoo.
Vahvan tunnistamisen vaatimukseen on jätetty tiettyjä poikkeuksia – vähän samaan tapaan kuin lähikaupan kassalla tehtävä lähimaksaminen on poikkeus pin-koodin vaatimisessa.
Qvikin Lari Tuomisen mukaan asia on kuitenkin vakava. Jos eurooppalaisesta ostamisesta tehdään liian hankalaa, entistä useampi ostaa Kiinasta.
Syyskuussa? Ei onnistu
Qvikin Lari Tuominen on vakuuttunut, että Suomi ei kykene luopumaan avainlukulistoista syyskuun neljäntenätoista päivänä.
– Vaikka vaikuttaa siltä, että avainlukulista ei täytä kriteerejä, on epätodennäköistä, että kaikki toimijat pystyisivät muutoksia toteuttamaan tällä aikataululla.
Samaa mieltä on Pankki- ja vakuutussektorin edunvalvoja Finanssiala ry:n asiantuntija Peter Jansson.
– Oli Finanssivalvonnan tulkinta mikä tahansa, käytännössä on mahdoton ajatus, että Suomessa luovuttaisiin syyskuuhun mennessä tunnuslukulistoista, hän sanoo.
Pankkien valmiusaste avainlukulistojen korvaavien tunnistautumispalveluiden käyttöönottoon vaihtelee suuresti.
Handelsbanken julkaisi oman tunnistautumissovelluksensa joulukuussa 2018. "Toistaiseksi vain osa asiakkaistamme käyttää sovellusta", pankista kerrotaan Ylelle.
Danske Bank taas on vasta aloittamassa uusien kännykkävarmentimiensa ja tunnuslukulaitteidensa lanseeraamisen Suomessa – joskin pankilla on niistä kokemusta muista maista.
Toisessa ääripäässä on Nordea, joka julkaisi oman sovelluksensa jo vuonna 2015. Pankin 1,3 miljoonasta verkkopankkiasiakasta jo 1,1 miljoonaa käyttää uusia tunnistautumisvälineitä. Toisaalta Nordeallakin on yhä 150 000 – 200 000 asiakasta, jotka käyttävät perinteistä avainlukukorttia.
Mitä asiakkaat haluavat?
Pankkien asiakkaat eivät halua luopua avainlukulistoista. Säästöpankista kerrotaan, että osa asiakkaista otti tunnistussovelluksen käyttöön heti, kun se oli mahdollista. Toisaalta osa kyselee, että eihän pankki vain ole luopumassa avainlukulistoistaan.
– Käytännössä tilanne on se, että isolla joukolla suomalaisia ei ole halua tai valmiutta siirtyä tunnistussovelluksen käyttäjäksi, liiketoimintajohtaja Kai Koskela arvioi.
Aktiassa uskotaan, että suurin osa asiakkaista haluaa vaivatonta pankkiasiointia esimerkiksi sormenjälkitunnistuksella. Eivät kuitenkaan kaikki.
– Käytännössä kaikilla ikäihmisillä ei ole mahdollista hankkia älypuhelinta pankkiasiointia varten, pankista kerrotaan.
Useimmat pankit arvioivat, että avainlukulistojen käytöstä tullaan siirtymään ajan mittaan pois. Ilmeiseltä kuitenkin vaikuttaa, ettei niistä luovuta vielä syyskuussa – riippumatta siitä, miten direktiiviä tulkitaan.