Bank i Klient. PSD2: Od 14 września z silnym uwierzytelnieniem
Otwarta bankowość ma zwiększyć konkurencję na rynku usług finansowych w krajach Unii Europejskiej i stać się dodatkowym impulsem do rozwoju nowych technologii w branży. Jeśli klienci banków mają na tym zyskać, to konieczne jest zachowanie wysokich standardów bezpieczeństwa. Ma temu służyć tzw. silne uwierzytelnienie (SCA). Dyrektywa PSD2 wymaga go od dostawców usług płatniczych podczas przeprowadzania zdalnych transakcji elektronicznych. Można do tego wykorzystać dwa lub więcej elementów, które spełniają takie warunki, jak:
- wiedza (coś, co zna tylko użytkownik),
- posiadanie (coś, co posiada tylko użytkownik, np. telefon).
- unikalna cecha klienta (coś, co jest z nim bezpośrednio związane, np. odcisk palca, wzór tęczówki oka lub układ naczyń krwionośnych).
Kolejną cechą, którą muszą spełniać metody stosowane przy takim uwierzytelnieniu jest ich niezależność. Oznacza to, że naruszenie jednego ze sposobów uwierzytelnienia nie może mieć wpływu na wiarygodność pozostałych.
Dyrektywa wprowadza wyjątki od obowiązku silnego uwierzytelnienia przy każdej transakcji drogą elektroniczną. Dla przykładu – tylko co piąta płatność zbliżeniowa na niskie kwoty (w Polsce do 50 zł) będzie wymagała zastosowania SCA, czyli autoryzacji kodem PIN. Inne będą też kwoty graniczne i liczby następujących po sobie transakcji, jeśli sprzedawca będzie umieszczony na tzw. liście zaufanych klientów. Dotyczy to również regulowania płatności za parkingi i korzystanie z autostrad.
Przygotowania do SCA
To, że będziemy proszeni częściej niż dotychczas o podanie kodu przy płatnościach zbliżeniowych, także przy potwierdzaniu małych kwot, nie powinno stanowić problemu. Inaczej będzie w przypadku wymogu dwuetapowego logowania do bankowości elektronicznej i mobilnej. Czyli konieczności dodatkowego – poza podaniem jak dotychczas loginu i hasła do konta – uwierzytelnienia. Banki starały się nie zmieniać zasad logowania i ostrzegały przed próbami dodatkowej „weryfikacji”, co stosowali przestępcy próbujący przejąć kontrolę nad kontem klienta. Po 14 września, kiedy zaczną obowiązywać nowe przepisy, część klientów może odczuwać dyskomfort podczas logowania się do rachunku. Mówi się o możliwych problemach z realizacją wymagań np. uwierzytelnienia przez SMS i kwestii tzw. dynamicznego wiązania itp. Zapytaliśmy o zmiany, jakie wprowadzają banki w związku z wymogami SCA.
Jak to będzie w praktyce
PKO Bank Polski SA przygotował dla bankowości internetowej iPKO dwuetapowe logowanie z mobilną autoryzacją IKO (z tego rozwiązania klienci PKO Banku Polskiego mogą już korzystać) oraz dodatkowe potwierdzenie narzędziem autoryzacji wglądu do historii transakcji starszej niż 90 dni. W przypadku bankowości mobilnej IKO historia konta i powiadomienia PUSH starsze niż 90 dni będą dostępne jedynie w trybie aktywnym, a w wypadku płatności kartą niektóre transakcje poniżej 50 zł będą wymagały potwierdzenia kodem PIN. Bank planuje stosować rozwiązania, z których już korzystają jego klienci. Chce też, by dostarczane rozwiązania były spójne dla wszystkich grup klientów.
Bank Pekao SA w przypadku chęci uzyskania dostępu do informacji o rachunku (logowania do bankowości internetowej i mobilnej), będzie wymagał, nie rzadziej niż co 90 dni, podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay – poinformował nas o tym Łukasz Nowicki, kierownik Zespołu w Biurze Bankowości Omnikanałowej. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. W razie konieczności silnego uwierzytelnienia podczas logowania w aplikacji mobilnej PeoPay, zostanie poproszony o podanie PIN-u – nawet w przypadku ustawionego logowania biometrią. Dla transakcji płatniczych zastosowany zostanie szereg wyłączeń z silnej autoryzacji, np. w przypadku przelewów między własnymi rachunkami lub przelewów do zdefiniowanych odbiorców. Przy korzystaniu z ofert dostawców usług płatniczych (tzw. third party providers – TPP) wymagane będzie silne uwierzytelnienie klienta. Będzie tak każdorazowo w przypadku usługi zainicjowania płatności, usługi uzyskania informacji o rachunku i przy pierwszym dostępie do informacji oraz nie rzadziej niż co 90 dni w przypadku zgody wielokrotnej na dostęp do historii rachunku.
– Wdrożyliśmy niedawno autoryzację mobilną w aplikacji PeoPay, która odpowiada na potrzeby związane z silnym uwierzytelnianiem. Pracujemy również nad rozwiązaniami opartymi na Device Fingerprinting, które pozwolą na identyfikację urządzenia posiadacza rachunku na podstawie charakterystycznych cech urządzenia – dodaje Łukasz Nowicki. – Klient będzie mógł dodać urządzenie do zaufanych, a tym samym podczas kolejnych logowań z jego wykorzystaniem nie będzie proszony o dodatkową autoryzację. Zdecydowaliśmy także o wycofaniu metod autoryzacji niezgodnych z zasadami silnego uwierzytelnienia (m.in. karta kodów jednorazowych oraz token) i pozostawieniu metod autoryzacji opartych na kodach SMS oraz wiadomościach push generowanych przez aplikację PeoPay.
W ING Banku Śląskim nastąpi zmiana sposobu logowania do Mojego ING i do aplikacji na telefon Moje ING mobile. W trakcie logowania do bankowości internetowej Moje ING, bank może poprosić użytkownika o wpisanie kodu autoryzacyjnego z SMS-a. Logowanie może przebiegać na dwa sposoby: login i hasło maskowane (5 wybranych znaków) lub login, hasło maskowane (5 wybranych znaków) i kod SMS. W aplikacji Moje ING mobile autoryzacja może przebiegać na trzy sposoby: tylko PIN do aplikacji, tylko identyfikator biometryczny – odcisk palca lub face ID, lub identyfikator biometryczny i PIN do aplikacji. Za każdym razem, gdy użytkownik będzie się logować, system bezpieczeństwa przeanalizuje sytuację i oceni czy dodatkowa autoryzacja jest konieczna. Nie będzie obowiązku potwierdzania każdego logowania dwu-faktorowo, SMS będzie wymagany przy niektórych logowaniach. Bank nie używał autoryzacji mobilnej i listy haseł jednorazowych i nadal nie będzie z nich korzystać.
Santander Bank Polska SA, zawsze będzie wymagać silnego uwierzytelnienia – poinformował nas o tym Szymon Staśczak, koordynujący wdrożenie PSD2. W Santander Internet dodatkowym faktorem (poza hasłem) będą standardowe już teraz narzędzia token/smsKod/mobilny podpis oraz nowość – „urządzenie zaufane” (tablet/telefon/laptop/komputer). W aplikacji mobilnej domyślnym dodatkowym faktorem będzie znane już klientom urządzenie zaufane. Podczas pierwszego logowania (przed zaufaniem urządzenia) bank poprosi klienta o dodatkową autoryzację za pomocą smsKodu/tokenu/mobilnego podpisu.
Bank Millennium starał się połączyć dostosowanie procesów do wymogów prawnych z wygodą klientów. W połowie sierpnia analizowano wszystkie dostępne rozwiązania. Halina Karpińska, dyrektor Departamentu Bankowości Elektronicznej, stwierdziła, że bank zamierza wycofywać się całkowicie z uwierzytelnienia transakcji kartowych e-commerce z wykorzystaniem OTP-SMS. SMS nadal będzie wykorzystywany jako jeden z dwóch elementów SCA w transakcjach procesowanych w Millenecie (kiedy klient nie korzysta z uwierzytelnienia w aplikacji mobilnej). – Proces ten będzie jednak bardziej przyjazny w aplikacji mobilnej, dlatego będziemy zachęcać klientów do korzystania z niego. Oczywiście jest on bardziej złożony niż potwierdzanie transakcji w aplikacji mobilnej – podkreśliła Halina Karpińska. – Zmiany będą dotyczyły również klientów korporacyjnych, jednak nie będą one duże, ponieważ przy głównych procesach dostępu do rachunku dla klientów korporacyjnych silne uwierzytelnianie stosuje się od kilku już lat.
Alior Bank planuje wprowadzić silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać za pośrednictwem systemu bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną.
W Euro Banku najistotniejszą zmianą, jaka pojawi się w związku z silnym uwierzytelnieniem będą modyfikacja w sposobie logowania do serwisu eurobank online, polegająca na konieczności użycia dodatkowej metody autoryzacji – oprócz identyfikatora i hasła będzie wymagane podanie hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji (w zależności od wyboru klienta). Nastąpi też zmiana sposobu aktywacji aplikacji eurobank mobile 2.0 – trzeba będzie podać hasło z serwisu eurobank online zamiast numeru PESEL wycofana zostanie także możliwość aktywacji aplikacji eurobank mobile 1.0.
mBank SA będzie prosić klientów o potwierdzenie logowania do serwisu transakcyjnego dodatkowo SMS-em lub mobilną autoryzacją. Pozostaje przy tym wymóg podania ID oraz hasła. Nie pojawią się nowe technologie – bank będzie korzystał ze znanych już klientom rozwiązań. Nie będą natomiast honorowane listy haseł jednorazowych, ponieważ nie spełniają one wymogów dyrektywy. Zostanie wprowadzona nowa aplikacja mobilna w rodzaju tokena – ale tylko dla klientów indywidualnych/private/MSP (nie dotyczy to korporacji). Będzie ona służyć wyłącznie do potwierdzania operacji mobilną autoryzacją.
BOŚ Bank zadbał o to, aby klienci korporacyjni mogli korzystać w systemie IBOSS24, z trzech sposobów uwierzytelniania: nowej metody – autoryzacji mobilnej, podpisu niekwalifikowanego oraz podpisu kwalifikowanego. Klienci detaliczni, we wdrażanym nowym systemie BOŚBank24, będą mogli korzystać z dwóch metod uwierzytelniania: dotychczas dostępnej autoryzacji kodami SMS oraz nowej – autoryzacji mobilnej. Nowością jest autoryzacja mobilna z wykorzystaniem aplikacji BOŚtoken. BOŚ Bank w systemie dla klientów korporacyjnych nie wykorzystywał do uwierzytelnienia SMS-ów. Inaczej było w przypadku klientów detalicznych, od 14 września podczas logowania do systemu uwierzytelnianie kodami zostanie zmodyfikowane o potwierdzanie hasła dodatkowym kodem SMS.
|
W bankowości internetowej Nest Banku SA sam sposób logowania nie ulegnie zmianie. Jak powiedziała nam Małgorzata Adamczyk, dyrektor zarządzająca Obszarem Rozwoju i Sprzedaży w Kanałach Cyfrowych, bank będzie wymagał loginu, hasła i awatara nadanego przez użytkownika. Jednak już po zalogowaniu do panelu klienta, przy próbie przejścia do niektórych elementów serwisu i historii rachunku starszej niż 90 dni system będzie wymagał podania kodu SMS wysłanego na telefon klienta lub autoryzacji operacji w aplikacji mobilnej (jednorazowo w ramach danej sesji). – Analizowane są możliwości wykorzystywania innych elementów zwiększających bezpieczeństwo w sieci, które również traktowane są jako fragmenty silnego uwierzytelniania, np. możliwość zdefiniowania komputera jako zaufanego („device fingerprint”) – zaznaczyła Małgorzata Adamczyk. – O możliwości włączenia takiego dodatkowego zabezpieczenia będziemy informowali. Uwierzytelnianie SMS będzie wykorzystywane jako jeden z elementów silnego uwierzytelniania, a alternatywą dla SMS będzie uwierzytelnianie poprzez aplikację mobilną.
Bank BPS SA realizuje silne uwierzytelnienie poprzez kod autoryzacyjny przekazywany przez SMS lub komunikat PUSH i dodatkowo tzw. kod uwierzytelnienia. Jest on nadawany przez klienta i tylko jemu jest znany. Nową technologią wykorzystywaną w Banku BPS są komunikaty PUSH. Nie wycofuje się on z uwierzytelnienia przez SMS, natomiast jako dodatkowe zabezpieczenie wprowadził kod uwierzytelnienia. Bank zrezygnował z tokenu sprzętowego oraz z karty-zdrapki.