Nové způsoby ověření plateb a dopad na konverze. Pohroma, nebo pohoda?

22. 06. 2021

Konverze platebPSD2Silné ověření plateb

Od začátku roku je v Evropské unii povinné tzv. silné ověření plateb. 

Než ale silné ověření do našich e-commerce životů vtrhlo naplno, v platebním světě panovaly obavy, jaký dopad na konverze nové způsoby ověření budou mít. 

V GoPay nás zajímalo, nakolik jsou tyto obavy oprávněné. A tak jsme se to rozhodli prozkoumat na vlastní pěst. 

Prošli jsme platby kartou za období březen až duben letošního roku a pokusili se zjistit, jestli silné ověření způsobilo v konverzích pohromu, anebo se jich vůbec nedotklo.

Než přejdeme k jednotlivým statistikám, přečtěte si shrnutí toho, co vlastně silné ověření plateb je a co jednotlivé pojmy znamenají. Pomůže vám to s lepší orientací v článku.

<strong>Nejdůležitější informace</strong>
  • Klasické ověření plateb pouze přes SMS kód už není dostatečné a od 1.1.2021 musí být použito v kombinaci s dalším bezpečnostním faktorem
  • Nové způsoby ověření platby využívají ověření přes chytrý telefon prostřednictvím aplikace mobilního bankovnictví, nebo pomocí biometrických prvků
  • Pokud uživatel nevlastní chytrý telefon, nebo nevyužívá služby mobilního bankovnictví, bude si muset pamatovat speciální PIN, který spolu s SMS kódem bude využívat k autentizaci plateb
  • O konkrétní podobě silného ověření rozhodují banky, nikoliv platební brána
  • Platební brána GoPay je už od podzimu 2019 na silnější ověření plateb technicky připravena
  • Jste provozovatel e-shopu a využíváte GoPay? Pak nemusíte nic implementovat, ani nastavovat – brána vše zařídí za vás

Přehled nejdůležitějších pojmů

PSD2 směrniceevropská směrnice o platebních službách, která má za cíl větší transparentnost dat bank směrem ke klientům, zavedení silnějších autentizačních mechanismů online plateb, apod. Na poli plateb se jedná o důležitý dokument, který má potenciál přinést nové platební metody, ale i posílit vztah mezi bankou a klientem ve prospěch klienta. Směrnice byla přijata v roce 2015. V roce 2018 nabyla účinnosti novela zákona č. 370/2017 Sb., o platebním styku, která implementuje PSD2 v České republice. 

Silné ověření plateb – bezpečnostní mechanismus, který si klade za cíl zásadním způsobem snížit riziko vzniku podvodů v důsledku kompromitovaného (uniklého, nebo zneužitého) hesla. Někdy se také setkáte s označením silná autentizace uživatele/zákazníka. V GoPay jej označujeme zkratkou SCA.

SCA spočívá v použití kombinace dvou ze tří bezpečnostních prvků (faktorů), díky kterým dojde k ověření platby zadávané na internetu. 

Bezpečnostní faktory se dělí do 3 kategorií:

  • Znalost – něco, co uživatel zná, např. heslo, PIN, CVV kód ze zadní strany platební karty
  • Vlastnictví – něco, co vlastní, např. telefon, chytré hodinky
  • Jedinečnost – něco, čím uživatel je. Sem patří biologické prvky, např. otisk prstu, sken duhovky, fotka obličeje, atd.
silné ověření klienta

3D Secure – dosavadní bezpečnostní standard v ověřování online plateb, který spočíval v zadání SMS kódu. Spadá do kategorie vlastnictví. Nově tento způsob ověření není z hlediska bezpečnosti dostačující a musí být použit v kombinaci s dalším bezpečnostním faktorem, buď z kategorie Znalost (heslo, PIN, apod) nebo Jedinečnost (biometrika). 

3D Secure 2.0 – nová generace bezpečnostního standardu, která využívá nové způsoby ověření.  

Nové způsoby ověření – takové způsoby ověření, které k ověření využívají bankovní aplikaci, nebo kombinují použití ePINu a SMS kódu. 

ePIN – speciální číselný kód, který zákazník musí zadat při ověření platby, pokud nemá v mobilu nainstalovanou bankovní aplikaci nebo nevlastní chytrý telefon. Nejedná se o stejný PIN, který zákazník používá v souvislosti se svojí kartou v offline světě. Zákazník svůj ePIN nejčastěji najde ve svém internetovém bankovnictví, popřípadě mu jej banka sdělí na vyžádání. K ověření platby je nutné zadat ePIN v kombinaci s SMS kódem. 

Vydavatel karty (“issuer”) – banka, která vydala kartu zákazníka a která je odpovědná za konkrétní provedení silného ověření platby a za její autentizaci. Pokud při transakci nastane zádrhel (zákazník špatně zadá kód 3D Secure ověření, nebo nemá na účtu dostatek peněz, apod), je to právě vydavatel karty, který transakci zamítne. Nikdy to není platební brána. 

Hladká (“frictionless”) platba – platba, která má ze silného ověření výjimku a může být autentizována vydavatelem karty bez jakékoliv interakce ze strany platícího zákazníka. Platící zákazník tedy nemusí platbu vůbec ověřovat, a po zadání údajů z karty dojde rovnou k autorizaci. Výhodou je rychlý platební proces, kde zákazník vyplní jen několik málo údajů (v případě uložení karty ještě méně) a není zde riziko, že “shoří” právě na zadávání ePINu nebo jiného kódu. Aby hladká platba mohla nastat, musí banka provést tzv. transakční analýzu. 

Transakční analýza – analýza, která má za cíl na základě několika ukazatelů o platícím zákazníkovi posoudit, zda se jedná o bezpečnou transakci, na kterou je možné uplatnit výjimku ze silného ověření. Typicky se posuzuje četnost plateb zákazníka u daného obchodníka (e-shopu), výše částky, lokalita nebo zařízení, ze kterého zákazník obvykle platí. I když vydavatel transakční analýzu provede a transakci vyhodnotí jako bezrizikovou, není automaticky dané, že platba nakonec získá výjimku ze silného ověření. 

Konverze plateb – jinými slovy poměr úspěšně dokončených plateb. Předpokladem pro úspěšné dokončení platby ze strany zákazníka je použití platné karty, povolené internetové platby, dostatek peněz na účtu, dostatečné limity pro provádění plateb, správnost zadání všech údajů (číslo karty, platnost, ověřovací CVC/CVV kód) a úspěšné ověření platby z hlediska silné autentizace. 

Co všechno jsme v naší analýze sledovali?

Při sestavování naší analýzy nás zajímaly především tyto otázky:

  • jaká je celková úspěšnost 3D Secure 2.0?
  • kolik plateb je takzvaně hladkých, tedy bez nutnosti ověření ze strany zákazníka?
  • kolik procent plateb banky neověří (neboť nastane nějaký problém)?
  • kolik procent plateb je ověřeno v bankovní aplikaci?
  • kolik procent plateb k ověření používá kombinaci ePIN a SMS kód?
  • jaký je rozdíl v konverzích mezi Českou republikou a Evropskou unií?
  • mají nové způsoby ověření dopad na celkové konverze?

Sledovali jsme platby kartou zejména následujících vydavatelů (bank): 

  • Česká spořitelna
  • ČSOB
  • Air Bank
  • EQUA Bank
  • Moneta Money Bank
  • Komerční Banka
  • Raiffeisen Bank
  • mBank
  • Fio Banka
  • UniCredit Bank
  • Twisto*
  • Revolut*

*Twisto ani Revolut nejsou klasickými bankami v pravém slova smyslu, ale zajímalo nás, jak přes tyto fintech služby silné ověření probíhá

Do analýzy jsme zahrnuli všechny platby kartou provedené v období březen až duben 2021.

Na následujících řádcích si můžete přečíst, jak to celé dopadlo. 

Jaká je celková úspěšnost 3D Secure 2.0?

Celková úspěšnost nového ověření, tedy procento plateb, u kterých se podaří platbu úspěšně ověřit, je poměrně vysoká. Nejlepší výsledky dosahují 96 procent, a to konkrétně u ČSOB a Air bank. Nejmenší čísla dosáhla těsně pod hranici 90 %, a to v případě plateb klientů UniCredit bank a Equa bank. Kolem hranice 96 % se pohybuje i Revolut.

Když bychom zprůměrovali platby všech bank, dostáváme se na úspěšnost necelých 93 %, což hodnotíme jako velmi dobrý výsledek.

Banka Celková úspěšnost ověření plateb
ČSOB96,92 %
Air bank96,66 %
Revolut v ČR96,60 %
Fio banka96,35 %
Twisto 95,17 %
UniCredit bank 93,71 %
Raiffeisen bank 92,77 %
Komerční banka91,55 %
mBank 91,36 %
Česká spořitelna89,99 %
Moneta Money Bank89,18 %
EQUA bank88,53 %
ČR celkově91,45 %
Evropa celkově88,82 %

Jaká část připadá na tzv. hladké platby?

Jak jsme si vysvětlili ve slovníčku výše, mezi “hladké” platby počítáme ty, které byly vyjmuty ze silného ověření. Platící zákazník tedy nemusí pro ověření platby udělat vůbec nic, nemusí transakci povtrzovat v aplikaci, ani zadávat žádný ePIN, apod. Po zadání údajů z karty dojde rovnou k autorizaci. 

Z naší analýzy vyplývá, že z ověření je vyjmuta cca třetina plateb. Konkrétní výsledky se liší podle bank. Nejvíce “hladkých” plateb probíhalo u klientů Fio banky, konkrétně 48 %, nejméně u klientů UniCredit Bank (ani ne jedno procento plateb). Co se týče fintech sektoru, nejvíce hladkých plateb probíhalo přes Revolut (64 %).

BankaPočet hladkých plateb
Revolut v ČR63,68 %
Fio banka48,50 %
ČSOB48,29 %
Twisto42,33 %
Air bank38,25 %
EQUA bank37,06 %
Moneta Money Bank33,70 %
Komerční banka30,86 %
Raiffeisen bank6,47 %
mBank2,48 %
Česká spořitelna1,35 %
UniCredit bank 0,76 %
ČR celkem24,35 %
Evropa celkem21,90 %

Kolik procent plateb banky neověří?

Tady je celkem velké rozpětí. Zatímco nejmenší procento neověřených plateb se objevuje u mBank – kolem 5 procent plateb banka neověří, největší u Equa bank – zde konkrétně až neuvěřitelných 18 procent plateb Equa zamítá. 

Důvodů k neprovedení ověření ze strany banky může být několik. Zákazník v ověření udělá chybu, nebo nastanou technické obtíže a zákazník není na ověření přesměrován. Banky totiž své technické zázemí pro nové způsoby ověření plateb neustále aktualizují a někdy můžou být jejich servery přetížené. 

Banka Počet neověřených plateb v %
mBank 5,01 %
Air bank 5,30 %
ČSOB5,70 %
Česká spořitelna 6,33 %
Fio banka6,91 %
Raiffeisen bank 7,57 %
Twisto 7,80 %
Komerční banka8,27 %
Revolut v ČR 8,83 %
UniCredit bank 11,00 %
Moneta Money Bank 14,62 %
Equa bank 18,07 %
ČR celkem6,15 %
Evropa celkem9,62 %

Kolik procent plateb je ověřeno v bankovní aplikaci?

Ověření platby v bankovní aplikaci je jedním z nových způsobů ověření. V praxi to znamená, že po zadání údajů čísla karty v okně platební brány je zákazník vyzván k potvrzení transakce ve své bankovní aplikaci. Jakým způsobem transakci v bankovnictví zákazník ověří záleží na bance. Může se jednat o otisk prstu, zadání přihlášovacích údajů do bankovnictví nebo zadání hesla. 

Pokud má zákazník v mobilu nainstalovanou bankovní aplikaci, odpadá nutnost zadávat SMS kód nebo tzv. ePIN. Jedná se vlastně o jednodušší variantu ověření, které si slibuje více dokončených plateb než ePIN. 

Nejvíce transakcí přes bankovní aplikaci se vyskytovalo v případě UniCredit Bank, kde tímto způsobem proběhlo 99 % plateb. Nejméně transakcí ověřených v aplikaci nastalo u mBank, a to konkrétně 0,1 %. 

BankaPočet plateb ověřených v bankovní aplikaci
Revolut v ČR100,00 %
UniCredit Bank 99,91 %
Komerční banka96,90 %
Twisto88,29 %
Air bank85,91 %
Raiffeisen bank 74,77 %
Equa bank49,29 %
Moneta Money Bank 33,31 %
Česká spořitelna24,17 %
ČSOB21,45 %
Fio banka11,64 %
mBank0,10 %
ČR celkem49,04 %
Evropa celkem47,68 %

Kolik procent plateb je ověřováno kombinací SMS kód + ePIN?

Největší podíl kombinace SMS kód + ePIN jsme vysledovali u Fio banky. Zde ověření skrz SMS probíhá až u 88 procentů plateb. Naopak nejnižší podíl této kombinace má s 3 procenty Komerční banka.

BankaPočet plateb ověřených kombinací SMS a ePIN
Revolut v ČR0,00 %
UniCredit Bank 0,09 %
Komerční banka3,10 %
Twisto11,71 %
Air bank 14,09 %
Raiffeisen bank 25,23 %
Equa bank 50,71 %
Moneta Money Bank 66,69 %
ČSOB78,55 %
Česká spořitelna 75,83 %
Fio banka88,36 %
mBank 99,90 %
ČR celkem50,96 %
Evropa celkem52,32 %

Jak je to v Evropě?

Výše zmíněná data se vztahují pouze k České republice. Když se ale podíváme na data do zahraničí, konkrétně zemí Evropské unie, pro něž je silné ověření také povinné, vidíme, že jsme na tom zhruba stejně. Celková úspěšnost 3D Secure 2.0 v Čechách dosahuje 92 procent, v EU 91 procent. 

Má nový způsob ověření dopad na konverze plateb?

Jak je vidět, ano i ne. Vždy záleží na konkrétní bance a způsobu ověření, popřípadě na tom, jak moc je na nové způsoby ověření zákazník zvyklý. Jednoznačně budou nastávat komplikace v situacích, kdy zákazník nemá aplikaci banky v mobilu, popřípadě nevlastní chytrý telefon a je vyzván k zadání ePINu. Zákazník totiž nemusí svůj ePIN znát, pravděpodobně o něm nikdy neslyšel a ani neví, kde jej hledat. Záleží také na tom, jak téma nových způsobů ověření banky svým klientům odkomunikovaly a jak své klienty připravily. 

Žádná pohroma co do počtu ověřených plateb se však nekoná. Čeští zákazníci přechod na nové způsoby ověření zvládli dobře a je jen otázkou času, kdy se postupně adaptují i ti, co platby ověřují kombinací ePIN + SMS kód. 

Pokud na vašem e-shopu pozorujete nějaké procento nedokončených plateb kartou, vedle problémů s novým způsobem ověření se s největší pravděpodobností bude jednat o problémy s kartou zákazníka – nepovolené internetové platby, nedostatek financí na účtu, špatně zadané údaje, a další. Určitě nepanikařte a využijte možnosti zaslání dodatečného odkazu na platbu. V případě neúspěšné platby můžete zákazníkům poslat automatický e-mail s odkazem na dodatečnou platbu. Návod, jak to udělat, najdete v našem článku Jak fungují platby přes odkaz

O čem jsme ještě psali

Karin Hambalíková

Karin je obsahová duše, která se podílí na psaní příběhů v GoPay.