Mała rewolucja w płatnościach

W połowie września tego roku w życie wejdzie unijna dyrektywa PSD2 dotycząca płatności. Ważną nowością będzie obowiązek stosowania przez banki i innych dostawców usług płatniczych tzw. silnego uwierzytelniania. Wprowadzi to sporo zmian w bankowości w zakresie logowania czy autoryzacji transakcji.

Silne uwierzytelnienie oznacza potwierdzenie tożsamości klienta w oparciu o zastosowanie co najmniej dwóch elementów (należących do kategorii: wiedza, posiadanie i cechy), niezależnych od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych.

Mnogość zmian

– Od połowy września powinno być stosowane silne uwierzytelnianie, a dotychczasowa praktyka pokazuje, że w zakresie podstawowej czynności, jaką jest logowanie do bankowości internetowej, nie jest spełniony jeden z warunków – mówi Joanna Erdman, dyrektor ds. projektów strategicznych w mBanku.

Teraz podajemy login i hasło: o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków silnego uwierzytelnienia. – To oznacza, że banki będą musiały dodać kolejne zabezpieczenie, będą stosowały różne sposoby. Na przykład może to być dodatkowe hasło czy autoryzacja za pomocą aplikacji mobilnej. Banki zdają sobie sprawę z wagi bezpieczeństwa i wrażliwości danych, dlatego w tym obszarze możemy się spodziewać zmian. Same transakcje, już po zalogowaniu do bankowości mobilnej czy internetowej, w zdecydowanej większości przypadków autoryzowane są już teraz zgodnie z nowymi wymogami silnego uwierzytelniania za pomocą jednorazowego hasła czy autoryzacji mobilnej – wyjaśnia ekspertka.

Dużą niewiadomą są tzw. transakcje one-click, czyli niewymagające dodatkowego hasła czy autoryzacji. Są to np. płatności predefiniowane czy niskokwotowe, których nie trzeba potwierdzać, co upraszcza płatność. Niestety, nie w każdym przypadku takie transakcje będą spełniać wymogi silnego uwierzytelniania.

– Można oczywiście dodać kolejne zabezpieczenie, np. w bankowości mobilnej czy jednorazowe hasło, ale to może utrudnić przeprowadzanie takich płatności, a poza tym sporo takich operacji wykonywanych jest z komputerów i nie wszyscy użytkownicy korzystają z aplikacji mobilnej. Obecnie trwa dyskusja z regulatorami, banki oczekują na interpretację nadzorcy – dodaje Erdman.

Jest jeszcze jeden scenariusz: klientowi bez silnego uwierzytelnienia można pokazać tylko część elementów w bankowości elektronicznej, takich jak podstawowe dane rachunku, historię transakcji do 90 dni itp. To efekt tego, że dyrektywa PSD2 reguluje tylko płatności, więc wszelkie inwestycje, kredyty, które nie są w dyrektywie opisane, mogą być tam przedstawiane. Być może niektóre banki zdecydują się na to, by wpuszczać klientów do tej podstawowej bankowości bez dodatkowego uwierzytelnienia, ale do przeprowadzenia płatności byłoby już konieczne.

Uwaga na oszustów

Mimo że operatorzy kart, czyli Visa i Mastercard, mają już zgodę Narodowego Banku Polskiego na podniesienie limitu płatności bez PIN do 100 zł, to na razie nadal będzie on wynosił 50 zł. Sektor bankowy stwierdził, że klientów i tak czeka teraz sporo zmian, więc lepiej odczekać do co najmniej początku przyszłego roku. Jednak nowe przepisy powodują, że od połowy września niektóre transakcje mogą wymagać zatwierdzenia kodem PIN, nawet jeśli się zdarzy, że klient dokona zakupów za tylko 2 zł.

– Przepisy wymagać będą autoryzacji, gdy łączna kwota poprzednich transakcji z ostatnich dni bez PIN przekroczy limit, który wynosić będzie maksymalnie 150 euro, ale poszczególne banki będą mogły ustawić go niżej, np. na poziomie 20 czy 50 euro. Limit będzie się kasować, gdy klient wykona transakcję z autoryzacją kodem PIN, więc szacujemy, że nie przybędzie aż tak dużo transakcji na niskie kwoty, gdy uzbiera się już ta kumulatywna kwota i konieczne będzie zatwierdzanie PIN. Ich liczba może się zwiększyć o kilka–kilkanaście procent – wskazuje ekspertka mBanku.