Sähköistä pankkitunnistusta koskee kaksi eri sääntelyä. Toimialasta riippumatonta vahvaa sähköistä tunnistusta säännellään tunnistuslaissa ja EU:n eIDAS-asetuksessa ja maksupalvelutoimialan tunnistusta säännellään maksupalvelulaissa ja PSD2-direktiivissä. Julkisuudessa ja asiointipalveluilla ovat sekoittuneet Traficomin määräämä TUPAS-yhteyskäytännön muuttamisen määräaika ja Finanssivalvonnan PSD2-sääntelyn puitteissa sallimat tilapäiset helpotukset korttimaksamisessa. Myös paperisten tunnuslukulistojen kelpaaminen eri yhteyksissä on herättänyt kysymyksiä.
Kaksi sääntelyä - kaksi määräaikaa
Liikenne- ja viestintävirasto Traficomissa on havaittu, että julkisuudessa ja sähköisten verkkopalveluiden tarjoajien parissa on sekoitettu keskenään kaksi määräaikaa, jotka liittyvät sähköiseen tunnistukseen. Se ei olekaan ihme, sillä sähköistä tunnistusta koskee kaksi eri sääntelyä. Niissä paraikaa käynnissä olevat muutokset koskevat samoja verkkopankkitunnuksia, joita ihmiset käyttävät sekä pankki- ja maksupalveluissa että muissa sähköisissä asiointipalveluissa.
Traficomin valvoma vahvan sähköisen tunnistuksen sääntely koskee tunnistuspalveluita, jotka on tarkoitettu yleiskäyttöiseen tunnistamiseen minkä tahansa alan sähköisissä palveluissa. Suurin osa Suomen pankeista on rekisteröinyt verkkopankkitunnuksensa tunnistuslain perusteella yleiskäyttöiseksi tunnistusmenetelmäksi jo vuonna 2009. Traficom on määrännyt vuonna 2016 tunnistuslain perusteella tietoturvan ja tietosuojan parantamiseksi yleiskäyttöisen vahvan sähköisen tunnistuksen vanhan TUPAS-yhteyskäytännön korjaamisesta tai korvaamisesta ja tätä koskeva määräaika päättyy 1.10.2019. Yleiskäyttöiseen tunnistukseen liittyy myös EU-tason sääntelyä (nk. eIDAS-asetus) ja kansalliset vaatimukset vastaavat EU-sääntelyä.
Finanssivalvonnan valvoma vahvan tunnistamisen sääntely puolestaan koskee maksupalvelulain mukaisia sähköisiä palveluita. Se perustuu maksupalveludirektiivin muutokseen (PSD2), jonka myötä tuli 14.9.2019 mm. voimaan toimialakohtainen vaatimus asiakkaan vahvasta tunnistamisesta esim. verkkomaksamisessa. Finanssivalvonta on PSD2-sääntelyn perusteella 24.6.2019 todennut, että paperiset tunnuslukulistat eivät täytä maksupalvelusääntelyn vaatimuksia ja on linjannut 5.9.2019 valvontakäytäntöään asiassa.
Tunnistuslain ja maksupalvelusääntelyn yhteensovittaminen
Traficomkin on arvioinut paperisten tunnuslukulistojen vaatimuksenmukaisuutta yleiskäyttöisessä tunnistamisessa. Arvio tehtiin jo vuonna 2017, kun pantiin täytäntöön eIDAS-asetuksen mukaisia muutoksia tunnistuslaissa. Traficom arvioi, että paperiset tunnuslukulistat voidaan kelpuuttaa tunnistuslain perusteella, kun otetaan kokonaisuutena huomioon kaikki tunnistusmenetelmään liittyvät turvatekijät.
Paperiset tunnuslukulistat ovat hyvä esimerkki siitä, että tunnistuslain ja maksupalvelulain sääntelyissä on pieniä eroja ja vaatimuksissa on tiukennuksia tai tarkennuksia vähän eri asioista. Liikenne- ja viestintävirasto ja Finanssivalvonta tekivät vuonna 2018 vaatimusten yksityiskohtaisen vertailun ja päättyivät yhdessä siihen, että vaatimusten erot eivät estä käyttämästä perustana samaa tunnistusmenetelmää. Jos täyttää kussakin eroavassa kohdassa tiukemman tai tarkemman sääntelyn vaatimukset, kokonaisuus täyttää molempien sääntelyjen vaatimukset.
Traficom ei ole nyt arvioimassa paperisia tunnuslukulistoja uudestaan eikä velvoita luopumaan paperisista tunnuslukulistoista. Traficomin ja Finanssivalvonnan valvomien säännösten eroista voi seurata se, että tunnistusmenetelmät maksupalveluissa ja muissa palveluissa eroavat toisistaan. Traficom toivoo kuitenkin, että tunnistuspalvelut pyrkivät selvyyden vuoksi ajan mittaan yhtenäiseen käytäntöön yleiskäyttöisessä ja maksupalvelutunnistuksessa ja korvaavat paperiset tunnuslukulistat uudenlaisilla ja turvallisimmilla välineillä. Traficom on pyrkinyt edistämään tätä mm. laatimalla ohjeen tunnuslukulistojen rinnalle tai sijaan kehitettyjen mobiilisovelluksen turvallisuusarvioinnista.
Lisätietoja
Päällikkö Jukka-Pekka Juutinen, p. 0295 390 523
Johtava asiantuntija Anne Lohtander, p. 0295 390 618
Erityisasiantuntija Petteri Ihalainen, p. 029 539 0302
Sähköposti etunimi.sukunimi(at)traficom.fi