Od papierowej listy po hasła w postaci SMS

Według danych Rady Bankowości Elektronicznej Związku Banków Polskich w Polsce jest już 10,3 mln rachunków obsługiwanych przez Internet, z czego 5,3 mln to konta aktywne, a więc takie, na których w ciągu miesiąca wykonywana jest przynajmniej jedna operacja. Wprowadzenie bankowości internetowej miało służyć temu, by podstawowe operacje klient wykonywał sam, nie zajmując czasu pracownikowi w oddziale. Dziś o zaletach bankowości internetowej nie trzeba już nikogo przekonywać.

Korzyść z takiego rozwiązania czerpie oczywiście bank, bo zlecenie, które klient wykona własnoręcznie za pośrednictwem Internetu, jest znacznie tańsze niż takie, przy którym musi uczestniczyć pracownik oddziału. Równie dużo zyskuje klient, który zaufa nowoczesnym technologiom. Może bowiem realizować operacje przez całą dobę, bez wychodzenia z domu, a także bez ryzyka, że pracownik oddziału pomyli się, wpisując numer rachunku do komputera lub nie zrealizuje papierowego zlecenia.

Internetowe serwisy transakcyjne banków pozwalają wykonać wszystkie podstawowe operacje na rachunku. Klienci każdej instytucji mogą przejrzeć i wydrukować historię operacji, zlecić przelew, założyć lokatę terminową, a zwykle też zainwestować w fundusze. Różnice pojawiają się dopiero przy bardziej zaawansowanych, za to mniej typowych usługach.

Nie każdy bank pozwala wykonywać przez Internet przelewy międzynarodowe. Nie zawsze udostępniany jest podgląd blokad (obciążeń rachunku, które powstały w wyniku operacji przeprowadzonych kartami, ale jeszcze nie zostały ostatecznie rozliczone). Nie wszędzie istnieje również możliwość ustanawiania ilościowych i kwotowych limitów dla poszczególnych typów transakcji. Trzeba jednak pamiętać, że z takich zaawansowanych opcji w praktyce korzysta niewielka część użytkowników kont z dostępem przez Internet.

Oprócz zakresu usług, jakie bank udostępnia internautom, znaczenie ma także funkcjonalność serwisu. Tu jednak końcowa ocena zależy od indywidualnych upodobań. Część klientów wybierze serwis bogaty i w dużym stopniu konfigurowalny, nawet gdyby miał być nieco bardziej skomplikowany. Z kolei inni będą się lepiej czuć w takim, który daje mniej możliwości, za to podanych w jasny, czytelny sposób.

Trzeba też pamiętać, że zdecydowana większość klientów przed założeniem konta nie porównuje wersji demonstracyjnych serwisów różnych banków i nie wybiera rachunku na tej podstawie. Liczy się cena i zakres usług, lokalizacja bezpłatnych bankomatów czy marka instytucji prowadzącej rachunek, a nie to, na ile wygodnie wykonuje się przelewy przez Internet. Oczywiście możliwość wykonywania operacji na odległość jest niezbędna, jednak kształt serwisu nie ma kluczowego znaczenia z punktu widzenia klienta. Użytkownik przyzwyczaja się do bankowego interfejsu i podstawowe operacje wykonuje bez zastanawiania się, czy są wygodne czy nie.

Poszczególnym bankom można oczywiście wytknąć niezbyt szczęśliwe rozwiązania, takie jak chociażby niepotrzebne ekrany reklamowe, uciążliwe sposoby dodawania nowych kontrahentów do książki adresowej, umieszczanie poleceń w innym menu, niż można się było spodziewać. Z drugiej strony trzeba pamiętać o sile przyzwyczajenia. Można zaryzykować twierdzenie, że kiepsko zorganizowany, za to dobrze znany serwis wyda się klientowi bardziej przyjazny niż taki, którego trzeba się uczyć od podstaw, nawet jeśli jest lepiej pomyślany.

Przy wyborze rachunku pewne znaczenie może mieć wygląd i funkcjonalność części informacyjnej serwisu internetowego. Jeżeli informacje o produktach i opłatach są łatwe do znalezienia i są podane w czytelny sposób, zwiększa to szansę, że internauta poszukujący informacji z czasem stanie się klientem banku.

Z danych OBOP i firmy F-Secure wynika, że 47 proc. Polaków obawia się włamania na konto bankowe, 13 proc. dostrzega zagrożenie kradzieżą loginu i hasła, a 6 proc. boi się fałszywych stron bankowych. Fachowcy przekonują jednak, że subiektywne poczucie zagrożenia jest większe niż realne niebezpieczeństwo. Polski system bankowy uchodzi za jeden z lepiej zabezpieczonych, choć oczywiście nie jest odporny na sytuacje, kiedy to sami użytkownicy zapominają o zdrowym rozsądku i naruszają zasady bezpieczeństwa. Jednak przy zastosowaniu minimum ostrożności zabezpieczenia są wystarczająco solidne.

Rozwiązania, w których do przelania pieniędzy z konta wystarczała znajomość stałego loginu i stałego hasła, szczęśliwie odeszły do historii. Zamiast nich banki stosują różnego rodzaju zmienne hasła (jednorazowe). Choć eksperci od bezpieczeństwa dostrzegają pewne różnice między skutecznością poszczegołnych typów haseł, przyznają, że nawet te najprostsze zapewniają klientom banków i ich pieniądzom solidną ochronę.

Najmniej nowoczesnym rozwiązaniem jest papierowa lista haseł jednorazowych. W części banków taka lista przybiera postać tzw. karty-zdrapki, w innych hasła są po prostu wydrukowane na niczym niezabezpieczonym arkuszu papieru. Bardziej wyrafinowanym urządzeniem jest token, czyli elektroniczny generator haseł. Prostszy typ wyświetla hasła, którymi potwierdza się transakcje. Do bardziej zaawansowanego trzeba wprowadzić hasło wysłane przez bank drogą internetową, a następnie wpisać do formularza na stronie WWW odpowiedź tokena na to hasło.

Kolejna możliwość to przesłanie hasła w postaci wiadomości SMS. To rozwiązanie jest z pewnością tańsze, bo ani bank, ani klient nie muszą inwestować w token. Dla wielu klientów, którzy nie rozstają się z komórką, jest też wygodniejsze.

Ciekawym, choć mało popularnym zabezpieczeniem jest tzw. java token. To zainstalowany w telefonie komórkowym prosty program, który generuje hasła jednokrotnego użytku w dokładnie taki sam sposób, co token w postaci odrębnego urządzenia.

Wszystkie te formy zabezpieczeń sprawiają, że nawet jeśli cyberprzestępca przechwyci hasło, którym klient banku potwierdza wykonywaną operację, nie będzie mógł go wykorzystać, by przechwycić pieniądze z konta. Bo raz wykorzystanego hasła nie da się użyć ponownie.

Coraz więcej instytucji pozwala klientowi wybrać sposób zabezpieczania transakcji w systemie bankowości internetowej.

Banki, które wcześniej wyposażały klientów w token lub papierową listę haseł jednorazowych, obecnie coraz częściej oferują dodatkową możliwość – hasła wysyłane na telefon komórkowy w postaci wiadomości SMS. Równolegle wciąż dostępny jest stary system autoryzowania transakcji. I tak np. BZ WBK wprowadził kody SMS jako alternatywę dla tokena. Klienci mBanku mogą wybierać między hasłami przesyłanymi na komórkę a kodami z listy haseł jednorazowych. Natomiast w Fortis Banku hasła wysyłane na telefon komórkowy pozwalają zrezygnować z korzystania z podpisu elektronicznego. Podpis jest rozwiązaniem bardzo bezpiecznym, ale też niezbyt wygodnym. Używając go, do banku można się zalogować tylko z takiego komputera i tylko takiej przeglądarki internetowej, do której wcześniej zostały dograne dodatkowe komponenty. W BPH, gdzie podstawowym zabezpieczeniem jest niekwalifikowany podpis elektroniczny, korzystanie z kodów SMS jest wymagane tylko wtedy, gdy klient przechowuje klucz prywatny na serwerze banku. Jeżeli wybierze bezpieczniejsze rozwiązanie, a więc zapisze klucz np. na przechowywanej w domu płycie CD lub nośniku typu pendrive, nie musi stosować dodatkowych zabezpieczeń.

Ciekawa zmiana nastąpi wkrótce w ING. Obecnie hasła dostarczane klientowi telefonicznie są tylko jednym z możliwych sposobów autoryzacji, jednak od maja będą jedynym dostępnym. Posiadacz rachunku będzie mógł tylko wybrać, czy chce je otrzymywać SMS-em na komórkę czy odsłuchiwać w serwisie telefonicznym banku.

Zdarza się też, że bank pozwala wybierać spośród dwóch innych niż SMS sposobów przesyłania haseł. I tak np. BGŻ pozwala korzystać z haseł jednorazowych z papierowej listy lub wygenerowanych przez token. To drugie rozwiązanie jest jednak droższe. Za wydanie tokena większość klientów indywidualnych musi zapłacić 50 złotych, gdy korzystanie z listy haseł jednorazowych nie wiąże się z dodatkowymi opłatami.

Ireneusz Wojciechowski, dyrektor Departamentu Bankowości Elektronicznej Toyota Banku

Udział transakcji dokonywanych za pomocą systemów bankowości elektronicznej w e-bankach waha się od 75 do 98 proc. Na etapie wyboru banku tylko 20 – 30 proc. osób zwraca uwagę na funkcjonalność systemu bankowości elektronicznej. Jakość obsługi, ergonomia, dostępność czy bezpieczeństwo nabierają jednak znaczenia, kiedy klienci zaczynają w pełni korzystać z systemu. Wtedy ponad połowa z nich poddaje go ciągłej ocenie.

Na pierwszym miejscu klienci stawiają komfort i jakość obsługi. Oceniają przede wszystkim intuicyjność systemu i łatwość dostępu do poszczególnych usług, operacji czy informacji. Wyznacznikiem komfortu jest dzisiaj minimalna liczba kliknięć, mało uciążliwy i efektywny sposób autoryzacji, np. za pomocą koszyka transakcji, czy też możliwość personalizacji, zmiany wyglądu i układu informacji na stronie.

Dla początkujących użytkowników istotny jest brak bariery konfiguracyjnej: system powinien prawidłowo działać, opierając się na domyślnych ustawieniach komputerów we wszystkich popularnych systemach operacyjnych. Zaawansowani użytkownicy doceniają uniwersalną nawigację i możliwość swobodnej wymiany informacji z domowym oprogramowaniem do zarządzania prywatnymi finansami. Poziom bezpieczeństwa systemów bankowości elektronicznej w różnych bankach wydaje się podobny, ale nadal jest on jednym z ważniejszych kryteriów oceny. Być może powodem są mniej lub bardziej poważne naruszenia bezpieczeństwa finansowego klientów. Pełne bezpieczeństwo jest zagwarantowane przy korzystaniu z systemów opartych na zmiennym haśle. Bardzo ciekawe rozwiązanie oferuje Toyota Bank, który każdemu klientowi posiadającemu konto wydaje bezpłatnie nowoczesny token RSA (inaczej klucz elektroniczny), a tym, którzy mają tylko kartę kredytową czy kredyt samochodowy, udostępnia tzw. pasywną wersję dającą możliwość monitorowania historii transakcji, płatności czy terminów spłaty rat kredytowych.