- Prowadzimy monitoring transakcji dokonywanych przy użyciu kart wydanych przez bank. W przypadku transakcji odbiegających od standardowego zachowania na rachunku karty klienta, bank kontaktuje się nim przez infolinię w celu potwierdzenia transakcji. Ze względów bezpieczeństwa nie udzielamy informacji na temat szczegółów związanych z monitorowaniem transakcji – mówi Paweł Jurek, rzecznik Pekao S.A.

Czytaj więcej

Jak zrobić zakupy w internecie nie płacąc za nie od razu

PIN czasem potrzebny

Pani Agnieszka we wrześniu kupowała w internecie bilet lotniczy. Płaciła kartą kredytową. Kilka dni później, w godzinach nocnych dokupiła jeszcze bagaż na swój lot.

– Byłam bardzo zdziwiona, że poza standardowym kodem w ramach 3D Secure, który dostaję SMS-em musiałam jeszcze podać kod PIN karty – opowiada.

I dodaje: - Zdarzyło mi się to po raz pierwszy. Zawsze transakcję w sieci, a wykonuję je kilka razy w miesiącu zatwierdzałam kodem SMS w ramach 3D Secure. Dlaczego teraz zażądano ode mnie dodatkowego potwierdzenia? Czyżby z powodu pory zakupu – zastanawia się czytelniczka.

Czy banki wymaga dodatkowych zabezpieczeń w czasie niektórych transakcji w sieci?

Roman Grzyb z PKO BP mówi, że jego bank stosujemy różne sposoby zabezpieczania transakcji kartowych w Internecie.

- Sposób autoryzacji takich dyspozycji zależy głównie od merchanta, czyli sklepu, w którym dokonywana jest transakcja. To sprzedawca określa zasady obsługi płatności, do których się dostosowujemy – tłumaczy Roman Grzyb.

Autopromocja
Panel dyskusyjny "Ach te magazyny"

Silniki boomu pracują pełną parą - rynek będzie rósł z uwagi na dalszy rozwój logistyki i e-commerce

OGLĄDAJ RELACJĘ

I wylicza, że na rynku można spotkać sklepy stosujące różne metody zabezpieczeń transakcji, co przekłada się na różne sposoby autoryzacji transakcji.

I tak np: poprzez podanie danych karty i kodu CVV/CVC czy poprzez metodę autoryzacji opartą o 3DSecure1, gdzie transakcja jest potwierdzana dodatkowo poprzez zalogowanie się do serwisu internetowego iPKO i potwierdzenie transakcji z używanego narzędzia autoryzacyjnego (kody SMS i karty zdrapki).

Czytaj więcej

Zakupy online - tak. Ochrona kupujących - już niekoniecznie

Bywa, że metoda autoryzacji oparta jest o 3DSecure2, gdzie transakcja jest potwierdzana autoryzacją mobilną IKO, przez podanie PIN-u do karty lub kodu SMS. - Wszystkie te metody autoryzacji transakcji kartowych w Internecie, spełniają najwyższe standardy bezpieczeństwa – zapewnia Roman Grzyb.

Agata Bura, odpowiedzialna za karty płatnicze w Santander Bank Polska mówi, że płatności kartą w internecie wymagają podania danych karty: numer karty, data ważności, kod CVC2/CVV2. W przypadku niektórych transakcji wymagane jest dodatkowe potwierdzenie - silne uwierzytelnienie (ang. SCA - strong customer authentication) – m.in. kodem 3D-Secure, pinem lub hasłem. 

- Nie każda transakcja internetowa wymaga silnego uwierzytelnienia. Dyrektywa PSD2 obowiązuje w Unii Europejskiej i dotyczy podmiotów mających siedzibę na terenie Europejskiego Obszaru Gospodarczego – mówi Agata Bura.

Przypomina, że przepisy wykonawcze do dyrektywy PSD2 definiują również sytuacje, w których można odstąpić od stosowania silnego uwierzytelnienia, np. transakcje cykliczne (subskrypcje) na tą samą kwotę i wysyłane do tego samego dostawcy.

- Konieczność silnego uwierzytelniania wynika z przepisów prawa znowelizowanej ustawy o usługach płatniczych wdrażającej wymogi Dyrektywy Parlamentu Europejskiego i Rady tzw. Dyrektywy PSD2 – mówi przedstawicielka Santander Bank Polska.

Przyjazne autoryzacje

Kinga Wojciechowska –Rulka z mBanku mówi, że nie wymaga on żadnych dodatkowych PIN-ów ani haseł. - Transakcje kartą przez internet są zabezpieczone 3DSecure – tłumaczy Kinga Wojciechowska-Rulka.

3-D Secure to dodatkowe zabezpieczenie wykorzystywane przy realizacji internetowych płatności kartami płatniczymi. Transakcje realizowane w tym standardzie wymagają podania hasła przesłanego w formie SMS lub w aplikacji mobilnej banku. 

W Pekao SA podczas dokonywania płatności internetowych kartą nie wymaga się od klienta dodatkowych zabezpieczeń transakcji poza 3D-Secure.

Bartosz Spólnik, manager Zespołu Support Product Managerów w Credit Agricole mówi, że w przypadku transakcji internetowych klient podaje dane karty (numer, datę ważności, kod CVV2/CVC2), a sama transakcja wymaga dodatkowego potwierdzenia.

- W aplikacji mobilnej banku CA24 Mobile – w przypadku klientów, którzy uruchomili mobilną autoryzację transakcji internetowych – tłumaczy.

Czytaj więcej

Coraz więcej Polaków zakupy jedzenia robi w internecie

Wówczas klient potwierdza transakcję podając PIN mobilny lub za pomocą odcisku palca lub zdjęcia twarzy (gdy włączył możliwość potwierdzania transakcji z wykorzystaniem biometrii urządzenia. Innym sposobem jest podanie kodu 3D-Secure wysyłanego SMS-em na numer telefonu klienta oraz numeru PIN karty (klienci, którzy nie włączyli mobilnej autoryzacji transakcji internetowych).

- Nie odnotowujemy zgłoszeń klientów o stosowanych zabezpieczeniach transakcji internetowych. Zachęcamy ich do korzystania z mobilnej autoryzacji jako bardziej przyjaznej dla klienta – dodaje Bartosz Spólnik.

Jak zauważa Magdalena Ostrowska z ING Banku Śląskiego podczas płacenia kartą w internecie, klient może być poproszony o jej potwierdzenie, które realizowane jest przez bank w ramach tzw. procesu 3D Secure.

- Najwygodniejszym sposobem takiego potwierdzenia jest aplikacja Moje ING, w której klient łatwo i szybko może potwierdzić płatność. Jeśli klient nie posiada aplikacji mobilnej ING, może potwierdzić płatność poprzez zalogowanie się do bankowości internetowej Moje ING i potwierdzenie kodem SMS – dodaje Magdalena Ostrowska.

Od stycznia 2021 roku weszła w życie zmiana przepisów prawa, która wymusza modyfikację usługi 3D Secure do wszystkich płatności internetowych dokonywanych kartą.

Realizacja wymogu silnego uwierzytelniania będzie polegała na dodaniu, obok dziś funkcjonującego obowiązku podania jednorazowego kodu przesyłanego w formie SMS na nr telefonu podany w banku, drugiego obowiązkowego zabezpieczenia w postaci kodu PIN dedykowanego dla usługi 3D Secure.