Dzięki silnemu uwierzytelnianiu płacenie kartą będzie bezpieczniejsze?

Dzięki silnemu uwierzytelnianiu płacenie kartą będzie bezpieczniejsze?
Fot. stock.adobe.com/Sergio Monti Photos
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Podwójna weryfikacja transakcji, mniejsza odpowiedzialność klienta za nieautoryzowane płatności i tzw. otwarta bankowość, to tylko niektóre ze zmian dotyczące płatności kartą czy telefonem, które zostały wprowadzone we wrześniu ubiegłego roku, wraz z obowiązywaniem unijnej dyrektywy dotyczącej usług płatniczych.
Tożsamość osoby korzystającej z usług płatniczych musi od września 2019 roku zostać podwójnie zweryfikowana #PodwójneUwierzytelnianie #PSD2 #OpenBanking

Pod nazwą PSD2, czyli Payment Services Directive, kryje się szereg nowości dla konsumentów, ale także dla banków, które mają sprawić, że będziemy lepiej chronieni przed nadużyciami finansowymi podczas dokonywania bezgotówkowych płatności. Najważniejsze z nich, to m.in. np. nowy sposób logowania się do serwisów bankowości elektronicznej, ale także konieczność częstszego wpisywania kodu PIN podczas płatności zbliżeniowych. Czy wspomniane zmiany, oznaczają dla konsumentów większe bezpieczeństwo podczas płacenia kartą czy robienia zakupów w sieci? Na to pytanie odpowiadają eksperci Związku Firm Pośrednictwa Finansowego (ZFPF).

Jak podaje InfoDok – każdego dnia w naszym kraju dochodzi średnio do 16 prób dokonania cyberprzestępstw na łączną kwotę 1,3 mln zł. Z kolei według ekspertów z F-Secure, hakerzy z całego świata tylko w ciągu jednej godziny podejmują średnio 700 prób cyberataków na naszych obywateli. Twórcy złośliwych oprogramowań mogą starać się przejąć nasze hasła np. do internetowych kont bankowych, wykorzystując do tego np. phishing, czyli podszywanie się pod inną osobę lub instytucję w celu wyłudzenia poufnych danych. Odpowiedzią na to zjawisko stała się dyrektywa PSD2, czyli Payment Services Directive. Musiały dostosować się do niej wszystkie kraje należące do Wspólnoty Europejskiej – Polska zrobiła to we wrześniu zeszłego roku, poprzez nowelizację ustawy o usługach płatniczych, która obowiązuje od czerwca 2018 roku. Wprowadzenie dyrektywy miało zwiększyć bezpieczeństwo klientów banków przed nadużyciami finansowymi podczas płatności bezgotówkowych, a także przyspieszyć ich realizację. Jakie więc dokładnie zmiany wprowadza PSD2?

Silne uwierzytelnianie

Zmianą, którą na pewno już zauważyli konsumenci, jest wprowadzenie procedury silnego uwierzytelniania. Co to oznacza?

– Tożsamość osoby korzystającej z usług płatniczych musi od września 2019 roku zostać podwójnie zweryfikowana. Dyrektywa wyjaśnia, że ten proces musi zostać przeprowadzony, kiedy płatnik loguje się do swojego konta w serwisie transakcyjnym swojego banku, dokonuje płatności czy przeprowadza jakąkolwiek czynność, która może narazić go na ataki cyberprzestępców. Podwójna weryfikacja odbywa się w oparciu o minimum dwa elementy, do których należą: wiedza, czyli informacja, o której wie tylko użytkownik, czyli w praktyce, np. hasło, posiadanie, czyli coś, co posiada tylko klient banku, czyli np. kod sms czy potwierdzenie w aplikacji lub cechy klienta, czyli tzw. biometria (odcisk palca lub wizerunek twarzy). Każda część weryfikacji musi być od siebie niezależna, a więc naruszenie jednego etapu, nie osłabia wiarygodności reszty. Warto również wiedzieć, że każdy bank wprowadził własne sposoby weryfikacji klientów – zaznacza Leszek Zięba, ekspert ZFPF, mFinanse.

Jak silne uwierzytelnianie wpływa na sposób dokonywania płatności? Jeszcze do niedawna podczas płatności zbliżeniowych kod PIN podawaliśmy przeważnie wtedy, kiedy kwota jednorazowej transakcji była wyższa niż 50 zł. Od września 2018 roku kodem PIN musimy autoryzować również co szóstą transakcję na kwotę nieprzekraczającą 50 zł. Większość konsumentów może nawet nie odczuć tej zmiany, ponieważ wystarczy jedna płatność powyżej tej kwoty wymagająca autoryzacji kodem PIN, aby licznik startował od zera lub, jeśli łączna wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro, czyli ok. 630 zł.

Mniejsza odpowiedzialność konsumenta i szybsze reklamacje

Dyrektywa PSD2 zmieniła kwotę, do której konsument ponosił odpowiedzialność, jeżeli nieświadomie padł ofiarą kradzieży lub przywłaszczenia np. karty bankowej.

– Do tej pory w takich sytuacjach zostawaliśmy przez bank obciążeni za nieautoryzowane transakcje do kwoty 150 euro. W praktyce oznacza to, że jeśli nasza karta została skradziona i ktoś dokonał nią płatności, bank zwracał nam skradzioną kwotę pomniejszoną o 150 euro, chyba, że transakcje zostały dokonane po zgłoszeniu do banku utraty karty, wtedy odpowiedzialność spadała na dostawcę usług i pełna kwota wracała na nasze konto. PSD2 zmniejsza wspomnianą kwotę do 50 euro. Co więcej, w przypadku transakcji niewymagających silnego uwierzytelniania, to dostawcy usług płatniczych, a nie konsument, zostaną obciążeni kwotą transakcji – zaznacza Leszek Zięba, ekspert ZFPF, mFinanse.

Czytaj także: Dominującym dodatkowym uwierzytelnieniem będą SMS-y >>>

Osoby, które znajdą się w takiej sytuacji, są także zobowiązane zgłosić do banku nieautoryzowane transakcje w terminie 13 miesięcy od dnia obciążenia rachunku, w innym przypadku to oni będą ponosili za nie odpowiedzialność. Istotną zmianą jest także skrócenie czasu odpowiedzi na reklamację z 30, do 15 dni roboczych od dnia jej otrzymania. W szczególnie skomplikowanych przypadkach przewidywany termin rozpatrzenia reklamacji i udzielenia odpowiedzi powinien być nie dłuższy niż 35 dni roboczych.

Otwarta bankowość

PSD2 wprowadza także zupełnie nowy rodzaj usług na rynku płatniczym – oprócz banków pojawiły się instytucje określane jako dostawcy zewnętrzni (TPP czyli Third Party Provider). Mogą one świadczyć dwa typy usług – Account Information Service (AIS) oraz Payment Initiation Service (PIS).  

Czytaj także: Ostrożnie z udzielaniem podmiotom trzecim dostępu do własnego rachunku bankowego >>>

– Dzięki AIS, będziemy mieli łatwy wgląd w stan swoich finansów, jeśli posiadamy konta w wielu różnych bankach. Druga usługa polega na inicjowaniu transakcji płatniczej przez dostawcę PIS, który zleca w imieniu klienta transfer środków z rachunku, który konsument posiada w innej instytucji finansowej, np. banku. Co więcej, transfer środków jest realizowany bezpośrednio do odbiorcy, a dostawca PIS na żadnym etapie transakcji nie wchodzi w posiadanie środków. To zadaniem banków będzie, za zgodą klienta, udostępnić dostawcom AIS oraz PIS dostęp do jego rachunków – dodaje Ewa Kozłowska, ekspert ZFPF, Gold Finance.

Mała Instytucja Płatnicza

Dzięki dyrektywie powstała Mała Instytucja Płatnicza (MIP). To nowy rodzaj podmiotu, który jest uprawniony do świadczenia usług płatniczych na małą skalę, bez nadzoru i licencji. Jej założycielami mogą być osoby fizyczne prawne lub jednostki organizacyjne niebędące osobą prawną, ale posiadające zdolność prawną.

– Wystarczy tylko wpis do rejestru KNF, a firma będzie mogła legalnie działać. MIP będą musiały jednak spełnić kilka wymogów: wielkość ich miesięcznego obrotu nie może przekroczyć 1,5 mln euro oraz nie mogą przechowywać więcej niż 2 tys. euro od jednego klienta. Co więcej, MIP nie mogą świadczyć usług opierających się na dostępie do rachunku czy działać za granicą. Małe Instytucje Płatnicze będą mogły m.in. wydawać np. aplikacje mobilne, przejmować płatności innych podmiotów, wymieniać waluty na potrzeby transakcji, czy nawet udzielać kredytów płatniczych – podkreśla Ewa Kozłowska, ekspert ZFPF, Gold Finance.

MIP może szczególnie zainteresować firmy z sektora FinTech, czyli takie, które dostarczają usługi i rozwiązania, także te z obszaru finansów osobistych czy płatności, wykorzystujące nowoczesne technologie. To podmioty, które oferują nowinki z dziedziny sztucznej inteligencji, automatycznego doradztwa, biometrii czy analizy dużych baz danych (Płatności i otwarta bankowość – implementacja dyrektywy PSD2, Dane Gov.pl).

Źródło: Związek Firm Pośrednictwa Finansowego / ZFPF