Nowoczesne kanały dostępu do rachunku muszą być solidnie zabezpieczone, aby nikt niepowołany nie miał dostępu do powierzonych bankowi pieniędzy. Jednocześnie zabezpieczenia te nie mogą być zbyt skomplikowane, bo to zniechęcałoby klientów.

Aby zalogować się przez Internet do konta bankowego, zwykle wystarczy znajomość dwóch stałych identyfikatorów: loginu i hasła. Część banków wymaga podania ich w całości, inne żądają tylko wybranych znaków z hasła. Ma to zwiększać bezpieczeństwo, na wypadek gdyby niepowołana osoba podejrzała wpisywane dane. Przy kolejnym logowaniu system zażąda innych znaków z hasła, więc wcześniej przechwycone informacje i tak nie pozwolą włamać się na konto.

Przy przeprowadzaniu operacji używa się haseł jednorazowych. Stosunkowo rzadko są one potrzebne przy każdej transakcji (takie zasady obowiązują np. w PKO BP i Deutsche Banku). Zwykle jest to wymagane tylko przy operacjach wiążących się z większym ryzykiem; dotyczy to przede wszystkim zewnętrznych przelewów na niezdefiniowane rachunki (czyli takie, których parametry nie zostały wcześniej podane). Mniej ryzykowne operacje (np. założenie lub zerwanie lokaty, przelew środków między własnymi rachunkami), nie wymagają dodatkowego potwierdzania. Aby je wykonać, wystarczy znać login i hasło.

[srodtytul]Mocniejsze zabezpieczenie[/srodtytul]

Hasła jednorazowe mogą być dostarczane klientom na kilka sposobów. Najprostszym jest zwykła kartka zadrukowana listą numerów lub karta-zdrapka z hasłami ukrytymi pod zabezpieczającą warstwą. Kody mogą być też przesyłane w postaci SMS lub generowane przez token; jest to niewielkie, elektroniczne urządzenie, które klient otrzymuje od banku przy podpisywaniu umowy.

Przewagą tych dwóch ostatnich rozwiązań jest ścisłe powiązanie kodów z poszczególnymi transakcjami. Tradycyjne listy haseł są przygotowane z wyprzedzeniem. Dopiero w momencie zlecania transakcji okazuje się, że np. hasło 25 492, oznaczone numerem 15, zostanie użyte do potwierdzenia przelewu w wysokości 100 zł na konto gazowni. W przypadku hasła SMS lub kodu wygenerowanego przez token jest inaczej. Ich treść bezpośrednio zależy od tego, kto jest beneficjentem przelewu i jaka jest jego kwota. Gdyby przestępca przechwycił takie hasło, nie będzie mógł go użyć do potwierdzenia innego przelewu.

Część banków pozwala zastąpić jednorazowe hasła podpisem elektronicznym. Jedne akceptują tylko kwalifikowany podpis elektroniczny, który z mocy prawa jest równoważny odręcznemu. Inne same wydają klientom działające podobnie podpisy, ale służące tylko do komunikacji z daną instytucją.

[srodtytul]Bardziej restrykcyjne procedury[/srodtytul]

Jest kilka wyjątków od zasady, że do zalogowania się na rachunek i wykonania zdefiniowanego wcześniej przelewu wystarczy znajomość stałego loginu i hasła. W BNP Paribas Fortis Banku kodu SMS lub podpisu elektronicznego trzeba użyć już na etapie logowania się do systemu bankowości internetowej. Podobnie jest w Nordea Banku. Tu jednak można też skorzystać z hasła jednorazowego z tradycyjnej listy.

BGŻ i Lukas Bank wymagają podania hasła z tokena, ale tylko od klientów, którzy używają tego urządzenia. Pozostali logują się w tradycyjny sposób. W BZ WBK i Raiffeisen Banku to klient decyduje, czy chce logować się na konto, podając jedynie hasło i login czy dodatkowo również kod jednorazowy.

[srodtytul]Karty-zdrapki bez opłat[/srodtytul]

Jeśli bank proponuje klientom tylko jeden sposób zabezpieczania transakcji, zwykle nie wiąże się to z dodatkowymi opłatami. Jeśli do wyboru jest kilka zabezpieczeń, przynajmniej jedno jest darmowe.

Z reguły płaci się za token. Typowa stawka to kilkadziesiąt złotych jednorazowo. Ale Nordea Bank pobiera aż 240 zł (opłata jest rozłożona na 12 miesięcznych rat).

Tradycyjne listy haseł jednorazowych zwykle są darmowe, choć np. mBank i MultiBank życzą sobie 5 zł za wygenerowanie i wysłanie takiej listy. Najczęściej nie płaci się też za hasła SMS.

Wyjątki od tej zasady można policzyć na palcach jednej ręki. W BPH hasła SMS, które są podstawowym zabezpieczeniem dla klientów indywidualnych, są bezpłatne tylko dla posiadaczy wybranych rachunków, np. Sezam Max. Użytkownicy innych kont, np. Sezam Direct, za darmo dostają tylko pięć kodów miesięcznie. Za każdy następny muszą zapłacić 35 gr.

W BZ WBK szóste i każde kolejne hasło w miesiącu kosztuje 20 gr (alternatywą jest token, również płatny). Zarówno w BPH, jak i w BZ WBK można ograniczyć wydatki, definiując zaufanych odbiorców w systemie bankowości internetowej; wtedy przelewów do nich nie trzeba potwierdzać kodem. Istnieje też możliwość wykorzystania jednego kodu do potwierdzenia wielu przelewów wykonanych podczas tej samej sesji.

[srodtytul]Przez telefon tylko ze stałym hasłem[/srodtytul]

Znacznie słabiej zabezpieczone są usługi świadczone przez telefon. Najczęściej stosowane są tylko stałe hasła. Przy logowaniu się i składaniu dyspozycji bank wymaga podania loginu i wybranych cyfr odrębnego hasła do usług bankowości telefonicznej. Dodatkowo klient może być odpytany z danych osobowych, takich jak numer PESEL, adres zamieszkania lub nazwisko panieńskie matki. Są to stałe informacje, stosunkowo łatwe do uzyskania przez osobę postronną.

Bezpieczniejsze rozwiązania można znaleźć tylko w kilku bankach. Kredyt Bank przy przelewach telefonicznych wymaga hasła jednorazowego lub kodu wygenerowanego przez token. W Pekao SA i PKO BP klient musi potwierdzić dyspozycję hasłem z tradycyjnej listy. Jeszcze dalej idzie Nordea Bank. Tu silne zabezpieczenie (kod z listy haseł jednorazowych lub hasło odczytane z ekranu tokena) jest potrzebne już w momencie logowania się do systemu bankowości telefonicznej.

W niektórych bankach istnieją dodatkowe procedury weryfikacyjne. W BGŻ, gdy kwota przelewu zlecanego przez telefon przekracza ustalony w umowie limit, bank oddzwania do klienta, by potwierdzić złożoną przez niego dyspozycję.

W Banku Pocztowym, jeśli wartość operacji przekracza 1000 zł i „istnieje podejrzenie, że rozmówca może nie być osobą uprawnioną do dokonywania operacji finansowych w rachunku”, bank oddzwania do właściciela konta na numer telefonu zarejestrowany w systemie. Skuteczność tego zabezpieczenia zależy przede wszystkim od czujności pracownika przyjmującego zlecenie.

[ramka][srodtytul]Aplikacja w pamięci komórki[/srodtytul]

Token może być oddzielnym urządzeniem, ale też aplikacją wgraną do pamięci telefonu komórkowego. To drugie rozwiązanie wprowadziło ostatnio Pekao SA. Wcześniej z podobnego korzystali tylko klienci Euro Banku.

W Pekao SA transakcje zlecane przez Internet mogą być teraz autoryzowane na trzy sposoby: przez PekaoToken, hasła z tradycyjnej listy i kody przesyłane w postaci SMS.

– PekaoToken traktujemy jako bezpłatną i nowocześniejszą alternatywę dla kodów SMS. Aby wygenerować kod do autoryzacji, klient korzystający z tokena wgranego do telefonu musi podać cztery cyfry numeru rachunku, na który realizowany jest przelew. Typowe kody SMS też są powiązane z konkretną transakcją, jednak praktyka pokazuje, że klienci nie zawsze czytają informacje dołączone do kodu – tłumaczy Rafał Witczak, odpowiadający w Pekao SA za usługę Pekao24.

Aby dało się korzystać z nowego rozwiązania, telefon musi obsługiwać aplikacje Java. Poza tym potrzebne jest przynajmniej 300 KB wolnej pamięci. Aby pobrać aplikację i zdefiniować kod PIN, musi istnieć możliwość połączenia się z Internetem (dalsza obsługa tokena nie wymaga łączności z siecią). Bank udostępnia na swojej stronie internetowej listę modeli komórek, które prawidłowo współpracują z PekaoTokenem.[/ramka]

[b][link=http://www.rp.pl/galeria/181770,1,441862.html]Zobacz ile trzeba zapłacić za token (w zł)[/link][/b]