Mała rewolucja w płatnościach

Nowa unijna dyrektywa PSD2 spowoduje, że bank będzie mógł zażądać od klienta dodatkowego potwierdzenia tożsamości choćby podczas zwykłego logowania.

Publikacja: 05.06.2019 10:30

Mała rewolucja w płatnościach

Foto: AdobeStock

W połowie września tego roku w życie wejdzie unijna dyrektywa PSD2 dotycząca płatności. Ważną nowością będzie obowiązek stosowania przez banki i innych dostawców usług płatniczych tzw. silnego uwierzytelniania. Wprowadzi to sporo zmian w bankowości w zakresie logowania czy autoryzacji transakcji.

Silne uwierzytelnienie oznacza potwierdzenie tożsamości klienta w oparciu o zastosowanie co najmniej dwóch elementów (należących do kategorii: wiedza, posiadanie i cechy), niezależnych od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych.

Mnogość zmian

– Od połowy września powinno być stosowane silne uwierzytelnianie, a dotychczasowa praktyka pokazuje, że w zakresie podstawowej czynności, jaką jest logowanie do bankowości internetowej, nie jest spełniony jeden z warunków – mówi Joanna Erdman, dyrektor ds. projektów strategicznych w mBanku.

Teraz podajemy login i hasło: o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków silnego uwierzytelnienia. – To oznacza, że banki będą musiały dodać kolejne zabezpieczenie, będą stosowały różne sposoby. Na przykład może to być dodatkowe hasło czy autoryzacja za pomocą aplikacji mobilnej. Banki zdają sobie sprawę z wagi bezpieczeństwa i wrażliwości danych, dlatego w tym obszarze możemy się spodziewać zmian. Same transakcje, już po zalogowaniu do bankowości mobilnej czy internetowej, w zdecydowanej większości przypadków autoryzowane są już teraz zgodnie z nowymi wymogami silnego uwierzytelniania za pomocą jednorazowego hasła czy autoryzacji mobilnej – wyjaśnia ekspertka.

Dużą niewiadomą są tzw. transakcje one-click, czyli niewymagające dodatkowego hasła czy autoryzacji. Są to np. płatności predefiniowane czy niskokwotowe, których nie trzeba potwierdzać, co upraszcza płatność. Niestety, nie w każdym przypadku takie transakcje będą spełniać wymogi silnego uwierzytelniania.

– Można oczywiście dodać kolejne zabezpieczenie, np. w bankowości mobilnej czy jednorazowe hasło, ale to może utrudnić przeprowadzanie takich płatności, a poza tym sporo takich operacji wykonywanych jest z komputerów i nie wszyscy użytkownicy korzystają z aplikacji mobilnej. Obecnie trwa dyskusja z regulatorami, banki oczekują na interpretację nadzorcy – dodaje Erdman.

Jest jeszcze jeden scenariusz: klientowi bez silnego uwierzytelnienia można pokazać tylko część elementów w bankowości elektronicznej, takich jak podstawowe dane rachunku, historię transakcji do 90 dni itp. To efekt tego, że dyrektywa PSD2 reguluje tylko płatności, więc wszelkie inwestycje, kredyty, które nie są w dyrektywie opisane, mogą być tam przedstawiane. Być może niektóre banki zdecydują się na to, by wpuszczać klientów do tej podstawowej bankowości bez dodatkowego uwierzytelnienia, ale do przeprowadzenia płatności byłoby już konieczne.

Uwaga na oszustów

Mimo że operatorzy kart, czyli Visa i Mastercard, mają już zgodę Narodowego Banku Polskiego na podniesienie limitu płatności bez PIN do 100 zł, to na razie nadal będzie on wynosił 50 zł. Sektor bankowy stwierdził, że klientów i tak czeka teraz sporo zmian, więc lepiej odczekać do co najmniej początku przyszłego roku. Jednak nowe przepisy powodują, że od połowy września niektóre transakcje mogą wymagać zatwierdzenia kodem PIN, nawet jeśli się zdarzy, że klient dokona zakupów za tylko 2 zł.

– Przepisy wymagać będą autoryzacji, gdy łączna kwota poprzednich transakcji z ostatnich dni bez PIN przekroczy limit, który wynosić będzie maksymalnie 150 euro, ale poszczególne banki będą mogły ustawić go niżej, np. na poziomie 20 czy 50 euro. Limit będzie się kasować, gdy klient wykona transakcję z autoryzacją kodem PIN, więc szacujemy, że nie przybędzie aż tak dużo transakcji na niskie kwoty, gdy uzbiera się już ta kumulatywna kwota i konieczne będzie zatwierdzanie PIN. Ich liczba może się zwiększyć o kilka–kilkanaście procent – wskazuje ekspertka mBanku.

Przedmiotem dyskusji z regulatorami są transakcje przeprowadzane za pomocą bankowości telefonicznej. Te w wersji z operatorem nie wymagają silnego uwierzytelniania, ale wg KNF transakcje o podwyższonym ryzyku powinny mieć dodatkowe uwierzytelnianie. Poza tym przeprowadzanie transakcji za pomocą w pełni automatycznego call center czy chatbotów prawdopodobnie będzie wymagało także dodatkowej weryfikacji za pomocą aplikacji mobilnej czy dodatkowego hasła, czyli metod znanych klientom.

Wszelkie te zmiany i nowości oznaczają większe ryzyko, że oszuści mogą wykorzystać dezorientację klientów do wyłudzenia ich haseł, danych osobowych itp. Już dziś, gdy nie ma zmian w zasadach logowania i transakcji, pojawiają się wyłudzenia za pomocą socjotechniki. Ważne, aby banki sprawnie wprowadziły zmiany i uświadomiły klientów w zakresie nowych zasad.

W połowie września tego roku w życie wejdzie unijna dyrektywa PSD2 dotycząca płatności. Ważną nowością będzie obowiązek stosowania przez banki i innych dostawców usług płatniczych tzw. silnego uwierzytelniania. Wprowadzi to sporo zmian w bankowości w zakresie logowania czy autoryzacji transakcji.

Silne uwierzytelnienie oznacza potwierdzenie tożsamości klienta w oparciu o zastosowanie co najmniej dwóch elementów (należących do kategorii: wiedza, posiadanie i cechy), niezależnych od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych.

Pozostało 88% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Analizy Rzeczpospolitej
Online czy gotówką – zapłacić trzeba. Grunt, aby w terminie
Materiał Promocyjny
BaseLinker uratuje e-sklep przed przestojem
Analizy Rzeczpospolitej
Doświadczenie klienta a rozwój płatności na polskim rynku
Analizy Rzeczpospolitej
Sektor finansowy coraz częściej trafia na celownik hakerów
Analizy Rzeczpospolitej
Klienci chcą płacić smartfonem i zegarkiem