Tunnuslukulistaa saa käyttää jatkossakin, mutta vain yhdellä ehdolla – Fiva: tarvitaan "vahvistuselementtejä"

Uusi direktiivi astuu voimaan syyskuussa, ja pankit ovat esitelleet korvaajia perinteiselle tunnuslukulistalle. Tuttu työkalu saa kuitenkin jatkoaikaa.

Nettipankkitunnukset
Mies selaa verkkopankkia avainlukulista kädessään.
Finanssivalvonnon mukaan tunnuslukulistan tueksi tarvitaan jatkossa vahvistuselementti. Sellainen saattaa olla esimerkiksi tekstiviesti.Toni Pitkänen / Yle

Syyskuussa voimaan astuva uusi maksupalveludirektiivi on askarruttanut suomalaispankkeja jo muutaman vuoden. Kieltääkö tuo direktiivi tunnuslukulistat? Vai eikö? Tulkinta on Suomessa vaihdellut pankkiryhmästä toiseen.

Nordea, Danske Bank ja S-Pankki arvioivat maaliskuussa, että uusi direktiivi ei mahdollista avainlukulistojen käyttöä. Säästöpankki taas arvioi, että asia on tulkinnanvarainen. Handelsbanken kertoi odottavansa asiassa yhä Finanssivalvonnan linjausta.

Tuota linjausta pankit ehtivät odottaa yli vuoden ajan – ja syyskuun puolivälin määräpäivä lähestyi kuukausi kuukaudelta.

Nyt tuo linjaus on sitten saatu:

Painettujen tunnuslukulistojen käyttöä voidaan jatkaa maksamisen yhteydessä, kunhan siihen yhdistetään "vahvistuselementtejä".

Mitä nuo elementit ovat? Todennäköisimmin ne tulevat olemaan tekstiviestejä.

Kolme vaatimusta, kaksi on täytettävä

Aloitetaan kuitenkin perusteista. Maksupalveludirektiivi edellyttää henkilön vahvaa tunnistamista. Se tarkoittaa menettelyä, joka täyttää vähintään kaksi kolmesta edellytyksestä:

  1. Jotain, jonka vain käyttäjä tietää. (Salasana tai PIN-koodi)
  2. Jotain, joka vain käyttäjällä on hallussaan. (Avainlukusovellus tai laite)
  3. Maksupalvelun käyttäjän yksilöivä ominaisuus. (Sormenjälki, kasvontunnistus)

Perinteisen avainlukulistan ongelma on kohta kaksi. Koska avainlukulista on kenen tahansa kopioitavissa, se ei ole vain käyttäjänsä hallussa.

Yksinkertaisin tapa toteuttaa Fivan tarkoittama "vahvistuselementti" lienee tekstiviesti. Avainlukulistan käyttäjä syöttää tunnuslukunsa verkkopankkiin vanhaan tapaan – ja odottaa sen jälkeen puhelimeen saapuvaa vahvistusviestiä.

Näin puhelimesta tulee listan kohdan kaksi mukainen esine. Eli jotain, joka vain käyttäjällä on hallussaan. Maksutapahtuma etenee, kun käyttäjä syöttää puhelimeen saapuvan koodin selaimeen.

Fivan linjaus ei ole yllättävä. Tekstiviestimahdollisuudesta on jo aiemmin tiedottanut esimerkiksi Osuuspankki.

Pankit ovat kehittäneet näppärämpiäkin maksusovelluksia vahvan tunnistautumisen toteuttamiseksi. Finanssivalvonnan linjaus on kuitenkin ehdottomasti hyvä uutinen niille, jotka eivät käytä älypuhelinta.