BANK 2019/10

Temat Numeru Forum Usług Płatniczych: PSD 2, czyli bezpieczeństwo w praktyce

Marcin Złoch
Temat Numeru Forum Usług Płatniczych: PSD 2, czyli bezpieczeństwo w praktyce
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Dyrektywa PSD2 z pewnością znalazłaby się w ścisłej czołówce ustaw regulujących rynek płatności na przestrzeni ostatnich kilkunastu lat. Data 14 września, kiedy przepisy tej ustawy oficjalnie weszły w Polsce w życie, była w branży finansowej odmieniana przez wszystkie przypadki.

Marcin Złoch

Spośród wielu licznych zmian, które wprowadza w życie unijna dyrektywa PSD2, kluczowe są dwa obszary – otwarta bankowość i bezpieczeństwo transakcji. Bankowość otwarta oznacza ekosystem działający według zupełnie nowych zasad. Usługi bankowe będą mogły świadczyć firmy nieposiadające licencji bankowej, tj. podmioty trzecie (TPP), które uzyskają na to zgodę regulatora. Niesie to za sobą pewne wyzwania. Chodzi o zapewnienie, że to nowe środowisko będzie działać sprawnie, podobnie jak współpraca między poszczególnymi graczami, co umożliwi dostarczanie klientom wysokiej jakości usług.

– Idea otwartej bankowości wspierana przez PSD2 to przyszłość i jedyny realny model rozwoju. PSD2 i idąca z nią otwarta bankowość niosą ogromne zmiany w rozumieniu korzystania z konta bankowego. Za sprawą usług AIS (Account Information Services) klient zyska możliwość agregowania swoich danych finansowych z różnych kont bankowych w jednym miejscu. Ponadto za pośrednictwem usługi PIS (Payment Initiation Services) klienci będą mogli zlecać przelewy z innych kont bankowych. To absolutnie nowe doświadczenie. Nowy wymiar UX to również zniesienie barier przy wyborze przez klientów produktów i usług finansowych m.in. konta bankowego. Chcemy proaktywnie pomóc klientowi, który rozważa np. zakup konta bankowego w Nest Banku, aby mógł sprawnie i w pełni online przejść do naszego banku. Patrząc z tej perspektywy, widzimy duży potencjał właśnie w regulacji PSD2 informuje Małgorzata Adamczyk, dyrektor zarządzający Obszarem Rozwoju i Sprzedaży w Kanałach Cyfrowych w Nest Banku.

Bezsprzecznie PSD2 wprowadzi zmiany na rynku, ale w rzeczywistości transformacja cyfrowa trwa od pewnego czasu i jest motywowana zmianami w zachowaniach konsumentów. Oczekują oni, że zostaną obsłużeni w sposób nie tylko bezpieczny – co jest oczywiste – ale również sprawny. Dobrym przykładem może być nastawienie europejskich konsumentów z 22 krajów do biometrii, która ułatwia sprawną weryfikację transakcji – według badań Visa aż 63% z nich preferuje tę metodę autentykacji płatności.

– Nowe regulacje doprowadzą do nowych sposobów, w jaki sektory bankowy i fintechowy będą ze sobą współpracować. PSD2 spowoduje większą konkurencję na rynku usług finansowych, jednak dużo fintechów widzi siebie bardziej jako dostarczycieli nowoczesnych technologii do banków niż jako podmioty oferujące produkty bezpośrednio konsumentom. W związku z wysokim stopniem rozwoju płatności cyfrowych w Polsce uważam, że nowe regulacje są szansą dla banków i fintechów na stworzenie nowych rozwiązań zapewniających jeszcze lepsze doświadczenie płatnicze. Oczywiście, to klienci ostatecznie zweryfikują ich wartość i zdecydują, które z nich utrzymają się na rynku – zauważa Jakub Grzechnik, Head of Product, CEE, Visa.

„Cyberprzestępcy mogą wykorzystywać możliwość dostępu fintechów do danych w celu tworzenia nowych scenariuszy ataku, np. stworzą aplikację podszywającą się pod fintech w celu kradzieży tożsamości, a następnie środków. Może się zdarzyć, że słabo zabezpieczony fintech będzie źródłem wycieku informacji. Wyzwaniem dla banków będzie zatem także ochrona reputacji, gdyż klienci nie zawsze mogą rozumieć, że ich dane wyciekły tak naprawdę z fintechu.”

– Do otwartej bankowości podchodzimy jak do szansy. Zastanawiamy się, jakie nowe możliwości dostarczenia jeszcze lepszych doświadczeń klientowi pojawiają się dzięki niej. Już w usługach, które wynikają z PSD2, czyli w inicjowaniu płatności, a przede wszystkim w dostępie do danych o rachunku, który pozwala na agregację informacji o zasobach klientów na wszystkich jego kontach w ramach jednego systemu, widzimy ogromy potencjał. Chcemy tę szansę wykorzystać jako TPP i to jest wyzwanie, do którego się przygotowujemy i nad czym pracujemy – dodaje Halina Karpińska, dyrektor Departamentu Bankowości Elektronicznej w Banku Millennium.

Bezpieczne bankowanie

Według informacji z Biura Prasowego Idea Banku, najistotniejszą sferą związaną z PSD2 są wyzwania w zakresie cyberbezpieczeństwa i ochrony przed kradzieżami. PSD2, poprzez funkcje AIS, otworzy dostęp do informacji o rachunkach klientów fintechom. Taki dostęp rzecz jasna będzie wymagał zgody klienta i poprawnego uwierzytelnienia. Na tej podstawie fintech będzie miał dostęp do większości danych klienta, a także poprzez funkcje PIS możliwe będzie inicjowanie transakcji poprzez fintech, czyli de facto klienci będą mogli bankować za pośrednictwem fintechu. I tutaj ekspert Biura Prasowego Idea Banku widzi pewne obawy dotyczące bezpieczeństwa danych klientów. Banki przez lata budowały swoje zabezpieczenia, w każdej z warstw systemów i procesów, pod okiem nadzoru. Tymczasem nadzór nad fintechami jest znikomy, a klienci nie zawsze posiadają odpowiedni poziom świadomości. Banki w sytuacji, gdy klienci działają poprzez fintech, tracą wiele informacji o kliencie, jego zachowaniu, co znacząco utrudnia wykrywanie nadużyć. A jednocześnie PSD2 zwiększa odpowiedzialność banku za kradzieże środków, a także skraca czas rozpatrywania reklamacji klienta.

Może też dojść do sytuacji, kiedy cyberprzestępcy, których kreatywność jest nieskończona, będą wykorzystywali możliwość dostępu fintechów do danych w celu tworzenia nowych scenariuszy ataku, np. stworzą aplikację podszywającą się pod fintech w celu kradzieży tożsamości, a następnie środków. Może się zdarzyć, że słabo zabezpieczony fintech będzie źródłem wycieku informacji. Wyzwaniem dla banków będzie zatem oprócz dbania o ochronę danych klientów, także ochrona reputacji, gdyż klienci nie zawsze mogą rozumieć, że ich dane wyciekły tak naprawdę z fintechu.

Silne uwierzytelnianie

Implementacja przepisów PSD2 wymagała od sektora finansowego odpowiedniego przygotowania się. Największym wyzwaniem był krótki czas na realizację zadania oraz jego złożoność. Uczestnicy rynku finansowego muszą wprowadzić silne uwierzytelnienie klienta SCA (ang. Strong Customer Authentication), czyli rozwiązanie oparte na zastosowaniu co najmniej dwóch elementów uwierzytelniających (wiedza, posiadanie lub cecha), zapewniających należyte bezpieczeństwo transakcji. Dotychczas takie mechanizmy były implementowane w polskich bankach w oparciu o analizę ryzyka i najlepsze praktyki. PSD2 wprowadza wymogi stosowania SCA w konkretnych sytuacjach, m.in. przy logowaniu. Tymczasem kradzieże kodów SMS przy logowaniu są bardzo częstym scenariuszem cyberprzestępców. A banki przez lata jak mantrę powtarzały, że „bank nigdy nie prosi o kod jednorazowy przy logowaniu. Przyszłość SCA to oczywiście odejście od SMS na rzecz np. autoryzacji w aplikacji – tyle że nie każdy klient ma smartfon.

– Dane, do tej pory znajdujące się w gestii banku, będą wymieniane pomiędzy różnymi firmami. Część z nich nie będzie posiadać licencji bankowej i ochrony prawnej, a jednocześnie będą miały dostęp do informacji o rachunkach klientów i będą mogły inicjować w ich imieniu płatności. Nowy ekosystem może być dla klientów trudny do zrozumienia, dlatego tym bardziej trzeba im tłumaczyć, jak działa i jakie korzyści się z nim wiążą – przekonuje Tomasz Owczarek, dyrektor ds. sprzedaży i strategii w polskim oddziale Mastercard Europe.

Edukacja ku bezpieczeństwu

Jak pokazał raport KPMG, przygotowany na zlecenie Związku Banków Polskich, ponad 1/3 polskich bankowców postrzega PSD2 jako szansę na rozwój oferty bankowej. Nieco mniej (26%) widzi zagrożenia dla banków wynikające przede wszystkim z rosnącej konkurencji ze strony takich firm, jak Google, Facebook, Amazon. Bankowcy czują, że muszą szybko wypracować ciekawe z punktu widzenia doświadczeń klientów rozwiązania, żeby w dłuższej perspektywie nie pożegnać się z częścią z nich.

Wprowadzenie PSD2 oferuje bardzo wiele możliwości na rynku płatności, na pewno zwiększy rywalizację pomiędzy wszystkimi graczami na rynku i wpłynie również na konkurencyjność oferowanych rozwiązań, niewątpliwie z korzyścią dla klienta. Taka sytuacja tworzy też spore pole do popisu dla startupów. Jednocześnie sektor przy współpracy z nadzorem powinien wprowadzić najlepsze praktyki bezpieczeństwa dla fintechów mających dostęp do danych i transakcji klientów. Fintechy powinny ściśle współpracować z bankami w celu wypracowania podejścia do ochrony przed kradzieżami środków. Najważniejsze jednak wydaje się kontynuowanie programów budowy świadomości wśród klientów, zarówno przez banki, sektor (wspólnie w ramach ZBP), jak i poszczególne banki samodzielnie.

– Otwarcie rynku płatności może się jednak wiązać również ze zwiększonym ryzykiem fraudów, dlatego tak istotna jest ciągła edukacja klientów i zapewnienie najwyższych standardów bezpieczeństwa oferowanych rozwiązań – podsumowuje Halina Karpińska, dyrektor Departamentu Bankowości Elektronicznej w Banku Millennium.