Cyberbezpieczeństwo | Prawo i regulacje

Od września bankowanie mobilne trudniejsze, ale bardziej bezpieczne

Marcin Złoch | aleBank.pl
Od września bankowanie mobilne trudniejsze, ale bardziej bezpieczne
Fot. stock.adobe.com/Daniel Krasoń
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Ważną nowością wprowadzoną przez PSD 2 jest obowiązek stosowania przez dostawców usług płatniczych mechanizmów tzw. silnego uwierzytelniania użytkownika, które ma zapewniać wyższy poziom wiarygodności i odporności na fraudy. Nowe przepisy zaczną obowiązywać 14 września 2019 roku.

Tomasz Bukowski: Silne uwierzytelnienie jest jednym z wymogów dyrektywy #PSD2, a więc od 14 września, kiedy regulacja ta wejdzie w życie, stanie się obowiązkowe dla wszystkich dostawców usług płatniczych i ich klientów #CreditAgricole @BankMillennium

Silne uwierzytelnianie klienta (strong customer authentication – SCA) to mechanizm, który ma na celu zwiększenie bezpieczeństwa transakcji płatniczych. By je zrealizować, dostawca usług płatniczych (m.in. bank) ma obowiązek stosowania metody składającej się z co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkowniku), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest wyłącznie użytkownik).

Elementy SCA mają być dodatkowo niezależne w ten sposób, że kompromitacja jednego z nich nie osłabi wiarygodności pozostałych. Ma to szczególne znaczenie, jeżeli którykolwiek z tych elementów jest stosowany na urządzeniu wielofunkcyjnym, czyli w urządzaniu takim jak tablet lub telefon komórkowy, które można wykorzystać zarówno do wydania dyspozycji płatności, jak i w procesie uwierzytelniania.

Stare zasady logowania idą do lamusa

– Dziś, aby poznać swoje saldo, wystarczy zalogować się do bankowości elektronicznej z wykorzystaniem loginu i hasła. Przekładając te dwa elementy na wymogi SCA – byłyby to dwa elementy z kategorii wiedzy. Przy czym login pod reżimem PSD2 nie spełni wymogu czegoś, co wie wyłącznie użytkownik, choćby dlatego, że jest on drukowany na umowie na etapie jej zawierania i może poznać go np. doradca.

Dla inicjowania transakcji wymagane jest natomiast podanie hasła SMS, jednak nie dzieje się tak za każdym razem. Przykładowo, transakcje CnP (card not present), stosowane na przykład dla wynajmu aut czy rezerwacji usług hotelowych, nie wymagają podawania PIN (wymagane jest podanie jedynie nr karty oraz kodu weryfikacyjnego karty CVV/CVC). Oznacza to, że dotychczas znane schematy logowania ulegną modyfikacji, w związku z wdrożeniem uwierzytelniania co najmniej dwuskładnikowego – wyjaśnia OIga Mędraś, radca prawny w banku Credit Agricole.

Wyższy poziom

W związku z obowiązkiem stosowania SCA, po 14 września br., co do zasady, dla poznania salda rachunku i każdorazowo dla wykonania transakcji, z wyjątkami, np. w przypadku odbiorców zaufanych, klient zobowiązany będzie podać: a) coś, co wie tylko użytkownik – np. hasło, kod PIN, b) coś, co stanowi wyłączną własność użytkownika – np. nr karty płatniczej, c) unikalne, immanentne cechy użytkownika – element biometryczny (odcisk palca, skan siatkówki).

W aplikacji mobilnej banku takim dwuskładnikowym uwierzytelnieniem będzie skorzystanie z tokena mobilnego (elementu wiedzy), zainstalowanej na urządzeniu wielofunkcyjnym, które klient zadeklaruje jako należące wyłącznie do niego.

Dodatkowo w przypadku elektronicznych transakcji płatniczych na odległość, dostawcy usług płatniczych będą stosowali takie metody autoryzacji transakcji, które nie tylko wypełniają wymóg SCA, lecz również zawierają elementy dynamicznie łączące daną transakcję z określoną kwotą i odbiorcą (przykładowo, ostatnie cyfry rachunku i kwota transakcji wysyłana w formie SMS wraz z kodem autoryzacyjnym).

Bez odwrotu po 14 września

Dostawcy usług płatniczych, w tym banki, mają obowiązek stosowania SCA począwszy od 14 września 2019 r. Oznacza to, że klient będący tego dnia klientem banku, zobligowany będzie do uwierzytelniania się zgodnie z procedurą przyjętą w danym banku.

Jeśli nie zgadza się na przyjęte w nim metody autoryzacji, istnieje możliwość wyrażenia sprzeciwu/złożenia wypowiedzenia względem zmian wzorców umownych, które zakomunikowane zostaną mu z dwumiesięcznym wyprzedzeniem. Klient ma oczywiście nadal możliwość wyboru kanału, w którym przeprowadzi transakcję płatniczą. Przykładowo, jeśli nie jest zainteresowany wymianą tokena na nowy, a spełniający wymogi SCA, istnieje alternatywa w postaci korzystania z aplikacji mobilnej, która wymogi SCA spełni. To klient decyduje, z którego kanału skorzysta.

– Silne uwierzytelnienie nie jest usługą, a raczej sposobem czy cechą autoryzacji/uwierzytelniania. Jest jednym z wymogów dyrektywy PSD2, a więc od 14 września, kiedy regulacja ta wejdzie w życie, stanie się obowiązkowe dla wszystkich dostawców usług płatniczych, będzie więc też obowiązkowe dla wszystkich klientów – podsumowuje Tomasz Bukowski, Departament Bezpieczeństwa, Bank Millennium.

Więcej informacji o innowacyjnych technologiach wykorzystywanych w bankowości w najbliższym wydaniu Miesięcznika Finansowego BANK

Źródło: Marcin Złoch