PSD2 – nowe zasady logowania do bankowości elektronicznej
Karol J. Mórawski: Dzień 14 września 2019 r. przyniesie istotne zmiany zasad logowania do bankowości elektronicznej. Jakie czynności będziemy musieli podjąć, aby już w sobotę skorzystać z własnego konta?
Maciej Kostro, ZBP: Dyrektywa PSD2 wprowadziła obowiązek stosowania tzw. silnego uwierzytelniania również w przypadku samego logowania się do systemów bankowości elektronicznej. Do tej pory, aby dostać się na konto bankowe, z reguły wystarczało podać dwa ciągi znaków, czyli login i hasło. Twórcy PSD2 uznali, że taka forma autentykacji jest zbyt mało bezpieczna, w konsekwencji musi zostać wzbogacona o jeszcze jeden element.
Owe zasady silnego uwierzytelniania, które określone zostały w towarzyszących dyrektywie regulacyjnych standardach technicznych wskazują, że weryfikacja użytkownika systemów bankowych powinna przebiegać w oparciu o kryteria należące do co najmniej dwóch spośród trzech kategorii: „coś, co wiem” (np. hasło lub PIN), „coś, co posiadam” (np. telefon lub token), i wreszcie „coś, czym jestem”, czyli w szczególności wszelkiego rodzaju cechy biometryczne.
W konsekwencji hasło, którym logujemy się do banku i które należy do kategorii „wiedza” musi zostać uzupełnione o ten drugi element, pochodzący z innej kategorii. Takie kryteria spełnia na przykład SMS. Pomimo, iż jest on również ciągiem znaków, to jednak przesyłany jest pod numer telefonu, który posiada wyłącznie klient, i który został przez niego podany podczas zakładania rachunku w banku czy innej instytucji płatniczej. Można zatem stwierdzić, iż wiadomość SMS spełnia kryterium posiadania, a w konsekwencji autentykację dokonaną w ten sposób należy uznać za silną.
Warto zresztą przypomnieć, iż uwierzytelnianie dwuelementowe, w którym poszczególne faktory pochodzą z różnych kategorii, nie jest rozwiązaniem obcym ani nowym. Wiele firm i organizacji, nie tylko z branży finansowej czy płatniczej, stosuje tego rodzaju logowanie w różnych sytuacjach, schemat ten jest też zalecany przez organizacje międzynarodowe specjalizujące się w problematyce bezpieczeństwa w sieci.
Zastosowanie silnego uwierzytelniania również w kontekście bankowości jest z jednej strony naturalną konsekwencją upowszechniania tego typu usług w Internecie i zwiększającej się świadomości ewentualnych niebezpieczeństw, z drugiej zaś faktycznego wzrostu zagrożenia ze strony cyberprzestępców.
Mówiliśmy o bankowości elektronicznej, niemniej na pewne zmiany muszą się przygotować także posiadacze tak popularnych na polskim rynku kart zbliżeniowych…
W Polsce ten sposób płacenia faktycznie zrewolucjonizował nasze codzienne zakupy. Adopcja tego typu płatności na rodzimym rynku jest naprawdę imponująca, w skali światowej chyba tylko Czesi mogą mówić o większym upowszechnieniu płatności bezstykowych.
Zmiany przewidziane w PSD2 nie powinny być szczególnie dotkliwe czy odczuwalne dla posiadaczy tego typu instrumentów płatniczych, ponieważ co do zasady ograniczają się do wprowadzenia dodatkowych limitów, po których trzeba zatwierdzić operację z użyciem kodu PIN. Jednym z nich będzie ograniczenie liczby operacji dokonywanych bez autoryzacji.
Dotychczas funkcjonowała generalna zasada, że płatności poniżej kwoty 50 zł nie muszą być zatwierdzane przez PIN. Zgodnie z dyrektywą PSD2 po dokonaniu pięciu tego typu transakcji przy kolejnej pojawi się żądanie wprowadzenia kodu. Dodatkowym ograniczeniem będzie limit sumarycznej kwoty wykonanych operacji, po przekroczeniu której również możemy zostać poproszeni o autoryzację płatności. Zgodnie z prawem unijnym suma ta wynosi równowartość 150 euro.
Niektóre specyficzne płatności były dotychczas ex definitione zwolnione z obowiązku wprowadzania numeru PIN. Czy PSD2 zmieni ten stan rzeczy?
Ten obszar, co do zasady, pozostaje niezmieniony. W nowych regulacjach, konkretnie w RTS zostały uwzględnione wyjątki od silnego uwierzytelniania. Należą do nich między innymi transakcje związane z płatnościami z autostrady.
Instytucje finansowe już od pewnego czasu informują o nowych regułach korzystania z ich systemów. Czy przy obecnym poziomie obycia klientów z bankowością elektroniczną i nowoczesnymi instrumentami płatniczymi zmiany powinny przejść bezstresowo?
Mam nadzieję, że polscy konsumenci szybko dostosują się do nowych realiów. Wsparcia w tej dziedzinie udzielają im nie tylko poszczególne banki, ale również Komisja Nadzoru Finansowego. Regulator wydał w tym tygodniu stosowny komunikat, w którym przypomina i uczula klientów banków na potencjalne zagrożenie związane z okresem wejścia w życie przepisów.
Czytaj także: PSD2 wchodzi w życie. KNF ostrzega przed próbami wyłudzania poufnych informacji
Nie należy bowiem zapominać, że wszelkiego rodzaju zmiany, którym towarzyszy wzmożona komunikacja ze strony banków czy innych instytucji płatniczych, stanowią zarazem czas wzmożonej działalności przestępczej. Hakerzy najpewniej będą chcieli skorzystać z pewnej dezorientacji i mogą próbować manipulować klientami, podszywając się pod dostawców usług płatniczych.
Co to oznacza dla przeciętnego Kowalskiego? Z całą pewnością trzeba wykazywać wzmożoną ostrożność, czytać uważnie korespondencję sygnowaną przez bank i umieć dostrzec ewidentne fałszywki. Wbrew pozorom nie jest to szczególnie trudne, a prowadzone przez banki w ostatnim czasie kampanie informacyjne powinny stanowić cenne wsparcie dla klientów.
Reasumując uważam, że nie powinno dojść do jakiegoś szczególnego zamieszania. Rzecz jasna, jeśli tylko posiadacze kont wykażą się zdrowym rozsądkiem i ostrożnością.
Współczesny klient, zwłaszcza z tzw. pokolenia Z, przyzwyczajony jest do obsługi w trybie one click i niechętnie rezygnuje z tej wygody. Czy reguły wprowadzane przez PSD2 oznaczają zmianę wspomnianego paradygmatu?
W kontekście tego, co nazywamy anglojęzycznym terminem „user experience”, często wspomina się o tak zwanym pozytywnym tarciu. Sprawia ono, że co prawda cały proces trwa nieco dłużej, a klient bywa zobowiązany do podjęcia dodatkowych czynności, jednak owe wymogi nie są postrzegane wyłącznie jako kolejna uciążliwość.
Poprzez dodatkowe zabezpieczenie konsumenci zaczynają rozumieć, iż cały proces wymaga ich wzmożonej uwagi, że logując się do systemu bankowego wchodzą do specyficznego środowiska, które rządzi się swoimi prawami również w obszarze autentykacji i procedur bezpieczeństwa.
Wydaje się, że nie powinniśmy w żaden sposób traktować kryteriów wprowadzonych przez PSD2 w kontekście wyhamowania procesu digitalizacji usług finansowych, tylko jako faktyczny element ochrony przed rozwijającą się cyberprzestępczością. Po ulicy nie należy chodzić z wypełnionym gotówką portfelem w przysłowiowej już tylnej kieszeni spodni, podobnie także w Internecie powinniśmy pamiętać o zasadach ostrożności.
