PSD2: zmienia się sposób logowania do banków. Co jeszcze?
– Tzw. silne uwierzytelnianie musi być połączeniem dwóch z trzech kategorii. Pierwsza to kategoria wiedzy, czyli coś, o czym wie tylko klient. Druga to kategoria posiadania, czyli coś, co ma tylko klient. Trzecia to kategoria biometrii, czyli np. odcisk palca lub wzór siatkówki. Bank musi połączyć przynajmniej dwa z tych czynników, aby uwiarygodnić i zweryfikować tożsamość klienta – wyjaśnia Tomasz Klecor, partner w Kancelarii Legal Geek. – Nie wystarczy już, jak w tej chwili, samo podanie loginu i hasła. Od 14 września będziemy musieli podać hasło i dodatkowo autoryzowanej aplikacji banku wstukać kod albo użyć odcisku palca.
Czytaj także: PSD2 wchodzi w życie. KNF ostrzega przed próbami wyłudzania poufnych informacji >>>
Większość banków wdrożyła już odpowiednie zmiany
Większość banków wdrożyła już odpowiednie zmiany i poinformowała swoich klientów o tym, czego mogą się spodziewać i jak będzie wyglądała bankowość elektroniczna po 14 września. Ci powinni być gotowi, że przy płatnościach kartą albo logowaniu do konta bank będzie wymagać od nich czegoś więcej niż do tej pory. Z drugiej strony powinni też uważać na wiadomości od oszustów podszywających się pod banki. Ci wykorzystują zmieniające się przepisy do własnych celów.
– Tak naprawdę dla klientów zmiana nie będzie istotna. Większość z nich została już do tego przygotowana przez banki. Nie powinni się spodziewać więc żadnych przejściowych problemów z uzyskaniem dostępu do konta. Chyba że ktoś miał np. kartkę z kodami i nie wymienił jej zawczasu na aplikację mobilną. Wtedy 14 września faktycznie może mieć problem z zalogowaniem się do banku i będzie musiał udać do placówki, ale będą to raczej jednostkowe przypadki – mówi Tomasz Klecor.
Czytaj także: PSD2: nadchodzi rewolucja w płatnościach. Hasła jednorazowe przechodzą do lamusa >>>
Silne uwierzytelnianie
Uwierzytelnianie dwuskładnikowe, czyli tzw. silne uwierzytelnianie, ma przede wszystkim ograniczyć liczbę wyłudzeń i fraudów – oszukańczych transakcji zlecanych przez osoby, które w jakiś sposób weszły w posiadanie telefonu komórkowego czy karty płatniczej klienta banku i próbują się pod niego podszyć. Ze statystyk BIK wynika, że w ubiegłym roku udaremniano średnio 15 wyłudzeń kredytów dziennie, jednak w sumie mogło dojść do nawet 67 tys. skutecznych wyłudzeń na sumaryczną kwotę ok. 600 mln zł.
Czytaj także: PSD2: od 14 września prywatność mocno ograniczona >>>
– Najczęstszym błędem popełnianym przez klientów bankowości jest nieświadome udostępnienie swoich danych do logowania osobie trzeciej, np. oszustowi. Zwykle jest to efekt tzw. phishingu, czyli wysłania przez oszusta wiadomości, która łudząco przypomina tę z banku i zachęca do zalogowania się na swoje konto, bo np. wpłynął tam jakiś przelew, który trzeba potwierdzić. Klient nie weryfikuje tej wiadomości, wchodzi na taką fałszywą stronę i nieświadomie przekazuje swoje dane do logowania oszustowi. Innym sposobem wyłudzeń są przypadki, kiedy dzwoni ktoś podszywający się pod infolinię banku i prosi o potwierdzenie danych do logowania – mówi Tomasz Klecor.
Większa odpowiedzialność banku za nieautoryzowane płatności
Od 14 września rozszerzona zostaje również odpowiedzialność banku za nieautoryzowane płatności. Do tej pory zaczynała się ona od kwoty 150 euro, choć od tej zasady istniały pewne wyjątki. Obecnie odpowiedzialność banku w takich przypadkach będzie zaczynać się już od równowartości 50 euro.
– W przypadku, kiedy ktoś nam ukradnie kartę czy telefon, przy użyciu których dokona płatności, nasze ryzyko będzie ograniczone do kwoty 50 euro. Po tej kwocie będzie odpowiadał za to bank. Również w sytuacji płatności kartą, która zgodnie z nowymi przepisami wymaga tzw. silnego uwierzytelniania, bank będzie odpowiadał za całą tę transakcję – mówi partner w Kancelarii Legal Geek.
Banki muszą udostępniać dane o rachunkach klientów innym podmiotom
Zgodnie z wymogami unijnej dyrektywy PSD2 banki muszą także udostępnić innym podmiotom dostęp do rachunków swoich klientów za pośrednictwem tzw. otwartego API. Otwarta bankowość spowoduje większą konkurencję na rynku finansowym i wzmocni pozycję klientów oraz stworzy szerokie pole do rozwoju fintechów.
– Od 14 września banki zobowiązane będą do udostępnienia tzw. API, czyli interfejsu dostępowego, za pomocą którego podmiot trzeci, posiadający stosowną licencję, będzie mógł niejako dostać się na rachunek bankowy klienta i podejrzeć historię tego rachunku albo inicjować transakcję płatniczą. Większość polskich banków ma już wdrożone API, najczęściej w tzw. standardzie PolishAPI i są one gotowe na wejście nowych przepisów – mówi Tomasz Klecor.
W oparciu o nie start-upy finansowe, serwisy płatnicze oraz inne banki będą mogły projektować nowe aplikacje finansowe i wdrażać nowe usługi.
– Dla banku oznacza to większą konkurencję, ale także nowe możliwości, ponieważ bank również może być tym tzw. podmiotem trzecim, który uzyskuje dostęp do rachunków swoich konkurentów – mówi Tomasz Klecor. – Przykładowo, jeden bank będzie mógł udostępnić w swojej bankowości internetowej możliwość podglądu rachunku w innym banku. To oznacza, że jako klient, mając rachunki w kilku różnych bankach, być może będę mógł zarządzać nimi z poziomu jednego.
Nowe usługi płatnicze
Dla rynku finansowego wdrożenie otwartej bankowości, możliwości dostępu do rachunku przez API oznacza przede wszystkim nowe usługi płatnicze, które umożliwią zarządzanie kilkoma rachunkami bankowymi czy nowe sposoby płatności, które nie wymagają karty płatniczej bądź pozwalają na szybsze wykonanie płatności w sklepie internetowym. Nowe przepisy stworzą też szerokie pole do rozwoju fintechów.
– Dla fintechów oznacza to przede wszystkim łatwiejsze świadczenie usług płatniczych. Od 14 września będą mieć API i będą mogli się do takiego rachunku dostać, jeżeli tylko będą posiadać odpowiednią licencję – mówi Tomasz Klecor.
Jak podkreśla, konsekwencje wdrożenia wymogów związanych z dyrektywą PSD2 dla klientów będą głównie pozytywne. Ci zyskają przede wszystkim dostęp do nowych usług płatniczych i możliwość łatwiejszego zarządzania kilkoma rachunkami bankowymi. Tzw. otwarta bankowość spowoduje większą konkurencję na rynku finansowym i wzmocni pozycję konsumentów.
– Banki świetnie przygotowały się na tę rewolucję. Na początku się jej bały, a później dostrzegły możliwości, które również dla nich wynikają z dyrektywy PSD2. Tak więc nie ma podstaw do obaw, że banki będą nieprzygotowane do zmian – mówi partner w Kancelarii Legal Geek.
Zmiany obejmą wszystkie kraje UE. Wynikają one z unijnej dyrektywy PSD2, czyli drugiej dyrektywy dotyczącej świadczenia usług płatniczych.