Silne uwierzytelnienie i PSD2: uwaga na płatności za granicą po 14 września
Główną przesłanką wdrażanych rozwiązań jest zwiększenie bezpieczeństwa korzystania z usług płatniczych oferowanych drogą elektroniczną i tym samym ograniczenie możliwości wystąpienia oszustw związanych z tymi usługami. W tym celu wprowadzona zostanie konieczność stosowania procedur silnego uwierzytelnienia czyli minimum dwuelementowego potwierdzania tożsamości klientów. Opiera się ono na zastosowaniu co najmniej dwóch elementów należących do 3 kategorii: „wiedza”, „posiadanie” lub „cecha klienta”. Co oznaczają te kategorie? Otóż „wiedza” to kod (np. PIN) lubhasło, które są i powinny być znane tylko klientowi – posiadaczowi danego instrumentu płatniczego lub dostępu do bankowości internetowej i których nie wolno udostępniać osobom trzecim. Z kolei „posiadanie” oznacza element, który dany użytkownik ma w posiadaniu (np. karta plastikowa, telefon z kartą SIM) i który może zostać użyty w trakcie dokonywania płatności lub korzystania z bankowości internetowej. Ostatnia kategoria czyli „cecha klienta” to specyficzna dla danego klienta cecha, którą tylko on dysponuje i która go jednoznacznie wyróżnia. Dobrym przykładem jest cecha biometryczna w postaci np. odcisku palca, tęczówki oka czy układu żył. I właśnie użycie dwóch elementów spośród opisanych powyżej trzech kategorii określane jest jako silne uwierzytelnienie. Ważne jest przy tym, aby elementy te były niezależne od siebie, to znaczy, że naruszenie jednego elementu nie osłabia wiarygodności innych elementów. Stąd apele wydawców kart, aby nie ujawniać ani nie zapisywać numeru PIN, szczególnie na karcie lub w jej pobliżu (np. w portfelu), ponieważ kradzież portfela oznacza utratę dwóch niezależnych elementów silnego uwierzytelnia, w tym przypadku plastikowej karty („posiadanie”) oraz kodu PIN (wiedza), wykorzystywanych w trakcie dokonywania płatności.
Czytaj także: 14 września i PSD2. Zobacz, co się zmieni w Twoim banku?
Gdzie będzie wykorzystywane silne uwierzytelnienie?
Przy dokonywaniu płatności w terminalach płatniczych (POS), płatnościach za zakupy w internecie (e-commerce, m-commerce) oraz logowaniu i korzystaniu z bankowości internetowej czy mobilnej.
Czytaj także: Od 14 września usługi bankowe po nowemu >>>
Silne uwierzytelnianie nie przy każdej transakcji
Czy konieczne będzie przy dokonywaniu każdej transakcji stosowanie silnego uwierzytelniania? Otóż nie. Rozporządzenie określa sytuacje wyjątkowe, w których dostawcy usług płatniczych, w tym wydawcy kart, nie muszą stosować silnego uwierzytelnienia klienta w zakresie płatności. Ma to ułatwiać możliwość dokonywania płatności bez istotnego zwiększania ich ryzyka. Pierwszy wyjątek dotyczący płatności zbliżeniowych, który funkcjonuje już w Polsce od wielu lat i daje możliwość płacenia w terminalach z funkcją zbliżeniową do 50 PLN bez podania kodu PIN (limit w tej wysokości obowiązuje w Polsce, Rozporządzenie określa górny limit na poziomie 50 EUR). Kwota tego limitu w Polsce zostanie na razie utrzymana (z możliwością podniesienia do 100 PLN w późniejszym terminie) gdyż zgodnie z RTS-ami oprócz tego limitu pod uwagę brane są także nowe warunki, po przekroczeniu których silne uwierzytelnienie będzie wymagane. Te nowe warunki to tzw. liczniki transakcji, ilościowe albo wartościowe. Licznik ilościowy wymusza silne uwierzytelnienie po pięciu następujących po sobie transakcjach zbliżeniowych (bez względu na kwotę).. Licznik wartościowy silne uwierzytelnienie wymusi z kolei po przekroczeniu określonej przez wydawcę instrumentu płatniczego kwoty następujących po sobie transakcji zbliżeniowych.. Chociaż Rozporządzenie określa kwotę takiego limitu na 150 EUR, to wydawca danego instrumentu może określić ten limit na niższym poziomie. Polscy wydawcy (banki) skorzystają z tej możliwości i będą ustawiać go niżej.
Podobne mechanizmy funkcjonować będą w przypadku dokonywania elektronicznych płatności za zakupy w internecie (m-commerce, e-commerce). W tym przypadku kwota pojedynczej transakcji nie może przekroczyć 30 EUR, licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 EUR, a liczba następujących po sobie transakcji jest analogiczna jak w płatnościach zbliżeniowych i wynosi 5. W tym obszarze wyjątkiem od powyższych reguł jest możliwość ujęcia danego sprzedawcy na liście tzw. zaufanych sprzedawców, co pozwala na zastosowanie nieco innych (wyższych) limitów określonych szczegółowo w Rozporządzeniu. Wymaga to jednak rozszerzonego zakresu monitorowania transakcji od takiego sprzedawcy.
Istotnym wyłączeniem spod rygorów silnego uwierzytelnienia jest dokonywanie transakcji w terminalach samoobsługowych służących do regulowania opłat za transport np. w biletomatach, na bramkach autostradowych czy w parkometrach. Często w takich urządzeniach nie ma możliwości użycia kodu PIN, w związku z tym niemożliwe lub bardzo utrudnione byłoby zrealizowanie silnego uwierzytelnienia.
Na co zwrócić uwagę przy płatnościach?
Jakie wnioski i rady dla użytkownika bankowości internetowej (mobilnej) i płacących kartami płatniczymi (telefonami)?
Zwrócić uwagę i zapoznać się z korespondencją od dostawców usług płatniczych (banków), bo w niej można odnaleźć miedzy innymi:
Czy i jakie zmiany nastąpią w sposobie korzystania z bankowości internetowej. Może to być inny (dodatkowy) element przy logowaniu się poprzez np. wpisanie kodu z SMS otrzymanego na telefon lub potwierdzenia chęci zalogowania się w aplikacji mobilnej.
Czytaj także: PSD2: jeśli nie zareagujesz, nie będziesz mógł korzystać z bankowości elektronicznej >>>
Jaki rodzaj i wysokość limitów dany dostawca będzie stosował, po przekroczeniu których wymagane będzie silne uwierzytelnienie w transakcjach zbliżeniowych oraz przy płaceniu za zakupy internetowe według zasad opisanych powyżej.
Od kiedy wprowadzane zmiany obowiązują. Wiele instytucji płatniczych i banków wprowadza zmiany wcześniej niż 14 września 2019 (to ustawowy, nieprzekraczalny termin) szczególnie w sposobie logowania do bankowości internetowej.
Jeśli ktoś do tej pory zawsze płacił zbliżeniowo kartą tylko do 50 złotych, z pewnością powinien sobie przypomnieć lub odnaleźć swój PIN, bo będzie on potrzebny po przekroczeniu limitów opisanych powyżej.
Co z płatnościami poza Unią Europejską?
Przy wyjeździe, szczególnie poza strefę Unii Europejskiej i chęci skorzystania z bankowości internetowej, trzeba pamiętać o wykorzystywanym sposobie logowania się do konta. Jeśli jest to potwierdzenie w bankowości mobilnej (aplikacji), to, aby móc się zalogować do konta, potrzebny będzie dostęp do internetu w telefonie. Warto mieć to na uwadze, żeby nie być zaskoczonym niemożnością skorzystania z bankowości internetowej lub wyższymi kosztami poniesionymi w związku z transmisją danych mobilnych zagranicą. Aby uniknąć takich sytuacji, należy sprawdzić w banku i jeśli jest to możliwe wybrać inną metodę potwierdzania zamiaru zalogowania się np. poprzez wprowadzenie kodu z SMSa otrzymanego na telefon, który nie musi mieć w tym przypadku włączonej opcji transmisji danych.