Sprawne wdrożenie PSD2 w polskim sektorze bankowym
14 września weszły w życie ostatnie zapisy Dyrektywy o usługach płatniczych (PSD2) oraz techniczne standardy z nią związane tzw. RTSy, które dotyczą dwóch obszarów działania dostawców usług płatniczych (w tym banków):
- Zasad działania tzw. silnego uwierzytelnienia klienta (SCA) w korzystaniu z bankowości internetowej (mobilnej), dokonywaniu transakcji zbliżeniowych w terminalach płatniczych oraz zakupach internetowych (e-commerce i m-commerce).
- Dostępu do rachunków płatniczych przez podmioty trzecie (TPP) w ramach tzw. „otwartej bankowości”.
Wdrożenie PSD2 w polskim sektorze bankowym przebiegło bardzo sprawnie
Poza nielicznymi wyjątkami w kliku mniejszych bankach związanych z logowaniem do bankowości internetowej (patrz tekst poniżej) nie odnotowano problemów w korzystaniu z rachunków i dokonywaniu płatności. Banki z odpowiednim wyprzedzeniem poinformowały klientów o zmianach w sposobie logowania i korzystania z bankowości internetowych oraz w dokonywaniu transakcji instrumentami płatniczymi.
W zakresie płatności zbliżeniowych nie we wszystkich terminalach wgrane zostało nowe oprogramowanie obsługujące limity transakcyjne ponieważ ze względu na liczbę terminali i sposób ich konfigurowania (część trzeba wykonać ręcznie choć większość jest wgrywana zdalnie) proces ten jeszcze jest realizowany co oznacza, że istnieją sytuacje, w których nie jest wymagane podanie PINu w sytuacji przekroczenia limitów wynikających z wprowadzonych technicznych standardów silnego uwierzytelnienia klientów. Nie zmniejsza to poziomu bezpieczeństwa w stosunku do sytuacji sprzed 14 września, w dalszym ciągu funkcjonuje (jak do tej pory) konieczność podania PINu przy transakcjach zbliżeniowych przekraczających 50 złotych.
W związku z wdrażaniem nowych rozwiązań dotyczących dodatkowych elementów bezpieczeństwa w korzystaniu z bankowości internetowej może dochodzić do prób wyłudzania od klientów danych wrażliwych np. służących do logowania oraz wysyłania fałszywych SMS autoryzujących lub żądających zalogowania się do bankowości internetowej albo zapłaty najczęściej drobnych kwot. Należy zatem przypomnieć, że banki nigdy nie żądają lub nie proszą o zalogowanie się do bankowości internetowej poprzez link w wysłanym smsie lub mailu do klienta. Trzeba także bezwzględnie pamiętać, żeby nie podawać pełnego hasła do logowania, jeśli bank stosuje tzw. hasło maskowane, czyli tylko wprowadzenie wybranych liter, cyfr czy znaków. Ważne jest, aby zwracać uwagę na otrzymywane SMS autoryzacyjne. Te które przychodzą z banków nie żądają zapłaty jakiejś kwoty z użyciem dodanego linku i są ściśle w treści powiązane z dokonywaną autoryzacją poprzez podanie szczegółów, że chodzi o logowanie lub z podaniem szczegółów transakcji realizowanej w bankowości internetowej lub podczas zakupów w internecie, czyli kwoty, a także odbiorcy jak również np. części numeru rachunku. Dzięki temu klient może zweryfikować czy otrzymany SMS dotyczy danej czynności lub transakcji i pochodzi z banku. W przypadku wątpliwości zawsze należy skontaktować się z bankiem i potwierdzić wiarygodność otrzymanego SMSa.
Czytaj także: PSD2: nie masz telefonu? Możesz być wykluczony finansowo >>>
W zakresie otwartej bankowości i bezpiecznego udostępniania interfejsów programistycznych (API) przez banki polski sektor płatniczy wypracował wspólny standard dostępu do rachunków, opublikowany pod nazwą PolishAPI. Już w marcu 2019 roku niemal 100% polskich banków uruchomiło swoje środowisko testowe (tzw. sandboxy) w oparciu o standard PolishAPI, dając tym samym możliwość wypróbowania stronom trzecim (tzw. TPP, firmom z obszaru fintech, które oferują klientom produkty finansowe) jak działa i co oferuje ich API. Zgodnie z dyrektywą, usługami, które są dostępne w ten sposób są:
- Usługa inicjacji płatności (PIS) polega na tym, że dyspozycja przelewu z rachunku dociera do banku za pośrednictwem strony trzeciej, posiadającej stosowną licencję oraz na podstawie zgody klienta. Podobną usługę polscy klienci już dobrze znają – tak działają popularne w internecie szybkie płatności pay-by-link.
- Usługa dostępu do informacji o rachunku (AIS) pozwala stronie trzeciej (dostawcy usług dostępu do informacji o rachunku) na pobranie za zgodą klienta informacji oraz historii transakcji rachunku płatniczego.
Czytaj także: PSD2 wchodzi w życie. KNF ostrzega przed próbami wyłudzania poufnych informacji >>>
Trzeba pamiętać, że usługi te dotyczą tylko rachunków płatniczych i polegają wyłącznie na dostępie do informacji, które mogą być wykorzystywane np. do agregacji informacji pochodzących z różnych rachunków w różnych bankach.
W chwili obecnej nie ma jeszcze wydanych licencji przez KNF dla nie-bankowych podmiotów świadczących wspomniane usługi, jakkolwiek kilkanaście (jest mowa o 13) firm stara się o taki status. Do świadczenia usług inicjacji płatności oraz dostępu do informacji o rachunku uprawnione są natomiast już wybrane banki (w liczbie 5) oraz firmy, które zarejestrowały się w innych krajach członkowskich UE i notyfikowały się w polskim urzędzie (KNF) – takich firm jest już kilkadziesiąt. Obecnie wie widać wzmożonego ruchu firm trzecich w zakresie dostępu do rachunków płatniczych w bankach.