fbTrack
REKLAMA
REKLAMA

MP Konta bankowe

Duże zmiany w logowaniu. Jak to wygląda w głównych bankach?

Adobe Stock
Od 14 września wchodzi w życie unijna dyrektywa PSD2 dotycząca płatności, która przynosi nie tylko otwarcie bankowości na podmioty trzecie, ale też spore zmiany w logowaniu.

Co zmienia PSD2? Przede wszystkim banki i inni dostawcy usług płatniczych będą mieli obowiązek stosowania tzw. silnego uwierzytelniania (SCA). Wprowadzi to sporo zmian w logowaniu czy autoryzacji transakcji. Ankietowane przez nas banki informują, co się u nich zmieni.

Dodatkowe potwierdzenie w bankowości internetowej

Silne uwierzytelnienie oznacza potwierdzenie tożsamości klienta przez zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik, np. hasło, PIN), posiadanie (coś, co ma tylko użytkownik, np. telefon) i cechy (coś, co charakteryzuje wyłącznie użytkownika, odcisk palca, skan oka lub twarzy). Muszą być niezależne od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych.

Teraz podajemy login oraz hasło i o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków SCA. Dlatego banki będą musiały dodać kolejne zabezpieczenie i będą stosowały różne sposoby. Ponadto metody autoryzacji dla transakcji elektronicznych powinny łączyć transakcję z określoną kwotą i odbiorcą, np. przez podanie w SMS informacji o kwocie operacji i ostatnich cyfrach rachunku odbiorcy.

PKO BP

PKO Bank Polski informuje, że wprowadza dwuetapowe uwierzytelnienie, które wzmocni bezpieczeństwo logowania do serwisu. Klienci mogą korzystać z autoryzacji mobilnej w aplikacji IKO i funkcji dwuetapowego logowania do systemu bankowości elektronicznej iPKO i Inteligo. Po jej włączeniu każdorazowo podczas logowania do bankowości elektronicznej oprócz podania standardowo hasła do iPKO/Inteligo klient zatwierdza logowanie także w aplikacji mobilnej.

– W przypadku uzyskania dostępu do informacji o rachunku przez logowanie do bankowości internetowej i mobilnej Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. Podczas logowania w aplikacji mobilnej PeoPay klient zostanie poproszony o podanie PIN nawet w razie ustawionego logowania biometrią. Do transakcji płatniczych zastosowanie będzie miało wiele wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych odbiorców – mówi Łukasz Nowicki, kierownik zespołu w Biurze Bankowości Omnikanałowej w Pekao.

Także przy korzystaniu z usług oferowanych przez dostawców usług płatniczych (TPP) wymagane będzie silne uwierzytelnienie klienta. Każdorazowo w przypadku zainicjowania płatności, uzyskania informacji o rachunku i przy pierwszym dostępie do informacji oraz nie rzadziej niż co 90 dni w przypadku zgody wielokrotnej na dostęp do historii rachunku. Pekao zdecydował o wycofaniu autoryzacji niezgodnych z zasadami SCA (m.in. karta kodów jednorazowych i token) i pozostawieniu metod autoryzacji opartych na kodach SMS oraz wiadomościach push generowanych przez aplikację PeoPay.

Zaufane urządzenie pozwoli uniknąć dodatkowej autoryzacji

Także w Santander Banku Polska od połowy września zmieni się sposób logowania do usług zdalnych. – Wymagane będzie silne uwierzytelnienie w bankowości internetowej, czyli klienci, którzy dotychczas logowali się, podając login i hasło, będą każdorazowo proszeni o autentykację dodatkowym sposobem: kodem SMS, tokenem lub mobilnym podpisem. Dla wygody klientów wprowadzamy także nowe rozwiązanie – logowanie się urządzeniem zaufanym (tzw. zaufanym komputerem). Klient będzie miał możliwość dodania swojego komputera, tabletu lub smartfona jako „zaufanego komputera”.

Przy logowaniu z takiego urządzenia nie będzie konieczności uwierzytelnienia innym dodatkowym sposobem, czyli klient będzie się logował jak dotychczas: jedynie z użyciem loginu i hasła – wyjaśnia Szymon Staśczak odpowiedzialny w Santanderze za PSD2. W aplikacji mobilnej klient, który jeszcze nie dodał smartfona lub tabletu jako urządzenia zaufanego, będzie proszony o „zaufanie” urządzenia i podczas pierwszego logowania zostanie poproszony o dodatkową autentykację za pomocą kodu SMS, tokenu lub mobilnego podpisu. mBank informuje, że w jego przypadku sposób logowania do aplikacji mobilnej nie zmieni się. W internecie ze względu na wymogi SCA bank poprosi klienta o potwierdzenie logowania kodem z SMS albo mobilną autoryzacją. Także tu jest sposób na to, aby nie musieć za każdym razem potwierdzać logowania SMS lub mobilną autoryzacją – należy dodać swój komputer (telefon, tablet) do zaufanych urządzeń.

ING Bank Śląski

ING Bank Śląski wyjaśnia, że w trakcie logowania do bankowości internetowej Moje ING klient może zostać poproszony o wpisanie kodu autoryzacyjnego z SMS. Logowanie może przebiegać na dwa sposoby: login i hasło maskowane (pięć wybranych znaków) albo login, hasło maskowane (pięć wybranych znaków) i kod SMS. Z kolei logowanie do aplikacji mobilnej może mieć trzy formy: tylko PIN do aplikacji, tylko identyfikator biometryczny (odcisk palca lub face ID) albo połączenie obu, czyli identyfikator biometryczny i PIN do aplikacji.

W ING Banku Śląskim za każdym razem, gdy klient będzie się logować lub zlecać dyspozycje w aplikacji, system bezpieczeństwa przeanalizuje sytuację i dobierze odpowiedni sposób autoryzacji. Oceni też, czy dodatkowa autoryzacja jest potrzebna. – Nie będzie konieczności potwierdzania każdego logowania dwuskładnikowo, SMS będzie wymagany przy niektórych logowaniach. Nigdy nie używaliśmy autoryzacji mobilnej przy logowaniu i nadal nie będziemy. Nie używaliśmy też listy haseł jednorazowych do autoryzacji i nadal nie będziemy – mówi Ewa Szerszeń z ING BSK.

Zmiany dotyczące loginów

W Aliorze klienci poza identyfikatorem i hasłem będą podawali kod SMS lub potwierdzali logowanie przy pomocy aplikacji mobilnej (tzw. logowanie dwuskładnikowe). Jeśli klient doda swoje urządzenie do zaufanych, wystarczy, że podczas logowania wpisze swój identyfikator i hasło. Listą zaufanych urządzeń można będzie zarządzać za pośrednictwem bankowości internetowej. Klienci Aliora otrzymają możliwość skorzystania z powiadomień PUSH w aplikacji mobilnej do autoryzowania operacji zlecanych w bankowości internetowej. Powiadomienia zatwierdzane będą przy pomocy kodu PIN, odcisku palca lub Touch ID. Włączenie autoryzacji mobilnej będzie możliwe w bankowości internetowej oraz podczas aktywacji aplikacji mobilnej.

W Credit Agricole osoby korzystające z e-banku, co jakiś czas podczas logowania będą proszone o wpisanie kodu autoryzacyjnego wysłanego SMS-em (kod trzeba będzie wpisać oprócz loginu i hasła). Osoby korzystające z aplikacji mobilnej mogą zostać poproszone o wpisanie dodatkowo PIN-u mobilnego (tego samego, którym zatwierdza się wykonanie przelewu). Dotychczasowy identyfikator (login), zostanie przekształcony w alias, który będzie można samodzielnie zmieniać. Wprowadzony też będzie nowy identyfikator służący m.in. do logowania – można go znaleźć w skrzynce wiadomości po zalogowaniu się do e-banku. Nowy identyfikator numeryczny oraz alias mogą być używane zamiennie.

Krótsza sesja, dodatkowa autoryzacja przy pobieraniu historii

Dostosowując się do nowych wymogów sporo banków skróci także czas trwania tzw. sesji, czyli czasu po zalogowaniu. Jeśli użytkownik nie będzie wykonywał żadnej czynności w bankowości internetowej lub aplikacji mobilnej, zostanie automatycznie wylogowany po 5 minutach. Tak będzie m.in. w Aliorze czy Credit Agricole (w niektórych bankach takie zasady mogły funkcjonować już wcześniej).

Niektóre banki w serwisie internetowym i mobilnym będzie wymagać dodatkowej autoryzacji również przy pobieraniu informacji starszych niż 90 dni. Zrobi tak np. Credit Agricole: wyświetlając historię lub wyciąg, który obejmuje dane sprzed 90 dni, klient będzie musiał wpisać hasło SMS, klucz, lub PIN mobilny – w zależności od tego z jakiej metody korzysta.

Dodatkowy PIN przy płatności zbliżeniowej o wartości 2 zł?

Same transakcje, już po zalogowaniu do bankowości mobilnej czy internetowej, w zdecydowanej większości już teraz autoryzowane są zgodnie z nowymi wymogami SCA za pomocą jednorazowego hasła czy autoryzacji mobilnej. mBank podkreśla, że nic nie zmienia w autoryzacji poza tym, co oczywiste: nie będzie możliwe korzystanie z listy haseł jednorazowych TAN. – Poza tym nieco częściej poprosimy klienta o kod PIN przy transakcjach zbliżeniowych – mówi Kinga Wojciechowska-Rulka z mBanku. Na ten element zwraca też uwagę Santander. – W przypadku płatności zbliżeniowych kartami płatniczymi klient może zostać poproszony o podanie PIN nawet przy transakcjach, których kwota jest mniejsza niż 50 zł – wyjaśnia Staśczak.

Takiego działania należy się spodziewać we wszystkich bankach, bo nowe przepisy powodują, że niektóre transakcje mogą wymagać zatwierdzenia kodem PIN, nawet jeśli się zdarzy, że klient dokona zakupów tylko za 2 zł. Przepisy wymagać będą autoryzacji, gdy łączna kwota poprzednich transakcji z ostatnich dni bez PIN przekroczy limit, który wynosić będzie maksymalnie 150 euro (ok. 650 zł), ale poszczególne banki będą mogły ustawić go niżej, np. na 20 czy 50 euro. Limit będzie się kasować, gdy klient wykona transakcję z autoryzacją kodem PIN, czyli na kwotę ponad 50 zł. Tych transakcji jest całkiem sporo i klienci robią je często, więc prawdopodobnie nie będzie aż tak dużo przypadków, gdy kwota będzie bardzo niska (parę zł), ale uzbiera się już ta kumulatywna kwota i konieczne będzie zatwierdzanie PIN.

Uwaga na przestępców podszywających się pod banki

Jedną z ważniejszych zmian jest wprowadzenie tzw. silnego uwierzytelnienia przy korzystaniu z dostępu do rachunku on-line. – Uznano, że stosowane dziś zabezpieczenia np. podanie loginu i hasła to za mało. Stąd przepisy przewidują wprowadzenie dodatkowych zabezpieczeń, np. dodatkową autoryzację kodem SMS czy aplikacją mobilną. Do tego tworzy się wiele nowych możliwości potwierdzenia transakcji związanych z rozwojem technologii np. dodatkowe potwierdzenie odciskiem palca, skan oka czy twarzy – mówi Izabela Dąbrowska-Antoniak, dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego.

Zmiany mogą dotyczyć zarówno samego logowania do bankowości internetowej, jaki i wykonywania poszczególnych transakcji, także transakcji zbliżeniowych. Banki wysyłają do klientów informacje dotyczące tych zmian. To może być okazja dla przestępców, którzy podszywając się banki mogą przykładowo żądać od klientów podania danych potrzebnych do logowania na specjalnie stworzonych stronach internetowych przypominających serwisy bankowe.

– Należy zachować ostrożność i pod żadnym pozorem np. nie odpowiadać na maile z takim żądaniem. Szczególnie jeśli jesteśmy w nich proszeni o zalogowanie się do naszego konta przy pomocy linku zamieszczonego w przesłanym mailu – przestrzega Dąbrowska-Antoniak. Podobne ostrzeżenie w tym zakresie wydała kilka dni temu również Komisja Nadzoru Finansowego.

Przestępca jako odbiorca zaufany

Eksperci Rzecznika Finansowego zwracają też uwagę, że nowe przepisy pozwalają na zwolnienie z silnego uwierzytelnienia niektórych rodzajów transakcji. Chodzi tu na przykład o przelewy wewnątrz konta np. z konta oszczędnościowego na rachunek oszczędnościowo rozliczeniowy. Wyłączona z tego wymogu jest też procedura definiowania odbiorcy zaufanego. Analiza skarg klientów dotyczących nieautoryzowanych transakcji pokazała, że przydałoby się dodatkowe zabezpieczenie transakcji przeprowadzonych w ramach rachunku bankowego.

– Mieliśmy przypadki w których przestępcy, którzy już dostali się do panelu klienta w bankowości elektronicznej definiowali swój rachunek jako odbiorcy zaufanego. Następnie transferowali środki z ROR, konta oszczędnościowego, wykorzystywali limity w kartach, a nawet  zaciągali tzw. pożyczki „na klik”, czyli według uproszczonej procedury. Efekt był taki, że poszkodowany klient nie tylko tracił pieniądze które posiadał, ale też miał do spłacenia dług – opisuje Izabela Dąbrowska-Antoniak.

Jej zdaniem po wdrożeniu zasad silnego uwierzytelnienia przejęcie kontroli nad kontem będzie rzeczywiście trudniejsze. Jednak po sforsowaniu zabezpieczeń, przestępcy będą mieli nadal swobodę działania w ramach konta. Dlatego dobrze by było, żeby silne uwierzytelnienie było stosowane również przy wspominanych transakcjach.

– Część klientów z pewnością będzie wolała, żeby ich pieniądze były bardziej bezpieczne, nawet kosztem tego, że transakcja będzie trwała trochę dłużej. Bank powinien być raczej bezpieczny, a nie szybki – zaznacza Izabela Dąbrowska-Antoniak.

Szybki zwrot ukradzionych pieniędzy

Wspominane przepisy dyrektywy i ustawy zaostrzyły już wcześniej – bo w czerwcu ubiegłego roku – zasady odpowiedzialności banków w sytuacji gdy przestępcom uda się sforsować zabezpieczenia. Zgodnie z nimi bank musi zwrócić kwoty wytransferowane w ramach nieautoryzowanej przez klienta transakcji zgodnie zasadą D+1, co oznacza, że banki w większości przypadków powinny zwracać środki następnego dnia roboczego po zgłoszeniu nieautoryzowanej transakcji. – Wyjątkiem jest sytuacja, w której bank będzie miał uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta i poinformuje o tym organy ścigania – wyjaśnia Izabela Dąbrowska-Antoniak.

Tylko jeśli w późniejszym postępowaniu wyjdzie na jaw, że klient celowo oszukał bank lub do transakcji doszło na skutek jego rażącego niedbalstwa, bank może zażądać od niego zwrotu tych środków. – W praktyce zapewne będzie musiał ich dochodzić w sądzie i udowadniać swoje twierdzenia. Uważam, że to właściwa kolejność, bo dziś bank jest trochę sędzią we własnej sprawie – mówi Dąbrowska-Antoniak.

Źródło: pieniadze.rp.pl
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA