PSD2: jeśli nie zareagujesz, nie będziesz mógł korzystać z bankowości elektronicznej

PSD2: jeśli nie zareagujesz, nie będziesz mógł korzystać z bankowości elektronicznej
Open banking Fot. stock.adobe.com/WrightStudio
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Niemal w każdym banku zmieniają się zasady korzystania z bankowości elektronicznej co ma związek z wejściem w życie w Polsce 14 września przepisów o silnym uwierzytelnianiu, które są zawarte w unijnej dyrektywie PSD2. Klienci właśnie w tych dniach otrzymują od banków informacje o czekających ich zmianach. Co banki piszą do klientów? O tym informujemy poniżej.

 

Bohdan Szafrański: Pierwszą zmianą, którą odczują klienci banków, będzie wymóg dodatkowego uwierzytelnienia poza podaniem jak dotychczas loginu i hasła do konta @INGBankSlaski @MiesiecznikBANK @mBankpl @PKOBP @BankPekaoSA @SantanderBankPL

Wprowadzane zmiany dotyczące tzw. silnego uwierzytelnienia wynikają z kolejnego etapu wdrażania dyrektywy PSD2 w sektorze usług finansowych. Dyrektywa otwiera rynek usług związanych z płatnościami dla nowych podmiotów.

Celem jest promowanie innowacji i zwiększenie konkurencji, a to na wolnym rynku przekłada się zwykle na konkretne korzyści dla konsumentów. Jeśli tak ma się stać, to podstawą musi być poprawa ochrony konsumentów i bezpieczeństwa usług płatniczych w całej Unii Europejskiej.

Czym jest silne uwierzytelnienie?

Pod koniec czerwca Europejski Urząd Nadzoru Bankowego (EBA) opublikował opinię w sprawie elementów silnego uwierzytelnienia klienta (SCA) zgodnie z dyrektywą o usługach płatniczych (PSD2).

Przypomniano w niej, że dyrektywa w sprawie usług płatniczych została opublikowana w listopadzie 2015 r. i weszła w życie 13 stycznia 2016 r., a obowiązuje od 13 stycznia 2018 r. Wymaganie stosowania silnego uwierzytelnienia wymagane jest zwłaszcza od dostawców usług płatniczych podczas przeprowadzania zdalnych transakcji elektronicznych.

W dyrektywie zdefiniowano je jako uwierzytelnianie oparte na wykorzystaniu dwóch lub więcej elementów sklasyfikowanych jako wiedza (coś, co zna tylko użytkownik), posiadanie (coś, co posiada tylko użytkownik) i unikalna cecha klienta (coś, co jest z nim bezpośrednio związane, np. odcisk palca, wzór tęczówki oka lub układ żył).

Muszą to też być niezależne sposoby potwierdzania tożsamości i naruszenie jednego z nich nie może zagrażać wiarygodności innych.

Wyjątki od reguły

Dyrektywa stanowi też, że SCA należy stosować do wszystkich płatności elektronicznych, chyba że ma zastosowanie jeden z wyjątków.

Te wyjątki to płatności zbliżeniowe na niskie kwoty (obecnie w Polsce do 50 zł) – tylko co piąta będzie wymagała uwierzytelnienia. Wprowadza się też licznik wartościowy, następujących po sobie transakcji (limit 150 euro), a niższy może być określony przez wydawcę instrumentu płatniczego.

Wprowadzono limity, do których granicy nie trzeba korzystać z silnego uwierzytelnienia np. przy płatnościach elektronicznych za zakupy w internecie dla pojedynczych transakcji do 30 euro.

Jest też górna granica łącznej kwoty kilku transakcji (100 euro) i licznik liczby kolejnych następujących po sobie transakcji (5 transakcji). Wartości te mogą być wyższe, jeśli sprzedawca jest na tzw. liście zaufanych klientów.

Czytaj także: Zakupy w internecie i płatności zbliżeniowe po 14 września

 

Banki ogłaszają zmiany

W praktyce pierwszą zmianą, którą bezpośrednio mogą odczuć klienci banków, będzie wymóg dwuetapowego logowania do bankowości elektronicznej i mobilnej. Czyli dodatkowe uwierzytelnienie poza podaniem jak dotychczas loginu i hasła do konta.

W banku PKO BP  będzie to mobilna autoryzacja w IKO

W Banku Pekao SA np. nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Od 14 sierpnia 2019 r. Bank Pekao wycofuje stare metody autoryzacji, takie jak: karta kodów jednorazowych, aplikacja PekaoToken i token w postaci osobnego urządzenia. W zamian będzie można korzystać bezpłatnej autoryzacji dzięki aplikacji mobilnej PeoPay lub kodów SMS (płatne w wysokości 20 gr za każdy SMS dla niektórych kont prowadzonych w banku).

W mBank klienci będą potwierdzać logowanie do bankowości internetowej hasłem SMS lub mobilną autoryzacją. Jest możliwość wskazania danego komputer przez klienta jako zaufanego tzw. device fingerprint, co ograniczy dodatkowe potwierdzenia tylko do niektórych logowań. Bank rezygnuje z autoryzacji za pomocą papierowej listy haseł jednorazowych (tzw. list TAN).

W Santander Bank Polska logowania będą wymagać silnego uwierzytelnienia za pomocą tokena, smsKod lub mPodpis. Również będzie można wpisać komputer do grupy zaufanych.

W ING Banku Śląskim tylko przy niektórych logowaniach będzie stosowany wymóg dodatkowego uwierzytelnienia przez podanie kodu przesłanego SMS. W aplikacji mobilnej klient może być wybiórczo poproszony o weryfikację odciskiem palca, kodem PIN lub w obu systemach równocześnie.

To tylko niektóre zmiany w wybranych bankach, a w niektórych jeszcze nie podano informacji o ich dostosowaniu do wymogów związanych z silnym uwierzytelnieniem.

Do 14 września będziemy informować o szczegółach wprowadzanych zmian i omówimy stosowane zabezpieczenia.

Źródło: aleBank.pl