14 września wejdzie w życie dyrektywa PSD2, która przyniesie nie tylko otwarcie bankowości na podmioty trzecie, ale też obowiązek tzw. silnego uwierzytelniania.
Silne uwierzytelnienie SCA przy logowaniu się do konta w internecie oznacza potwierdzenie tożsamości klienta przez zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik, np. hasło, PIN), posiadanie (coś, co ma tylko użytkownik, np. telefon) i cechy (coś, co charakteryzuje tylko użytkownika: odcisk palca, skan oka, twarzy).
Warto sprawdzić: Najciekawsze nowości w aplikacjach bankowych
Login i hasło nie wystarczy
Dodatkowo muszą być niezależne od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Teraz podajemy login oraz hasło i o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków SCA. Dlatego banki będą musiały dodać kolejne zabezpieczenie i będą stosowały różne sposoby.
Ponadto metody autoryzacji dla transakcji elektronicznych powinny łączyć transakcję z określoną kwotą i odbiorcą, np. przez podanie w SMS informacji o kwocie operacji i ostatnich cyfrach rachunku odbiorcy.
Także przy korzystaniu z usług oferowanych przez dostawców usług płatniczych (TPP) wymagane będzie silne uwierzytelnienie klienta. Każdorazowo w przypadku zainicjowania płatności, uzyskania informacji o rachunku i przy pierwszym dostępie do informacji oraz nie rzadziej niż co 90 dni w przypadku zgody wielokrotnej na dostęp do historii rachunku.
Banki różnie podchodzą do dodatkowych zabezpieczeń przy logowaniu, najczęściej sposobem na spełnienie wymogów SCA będzie kod SMS, token, mobilny podpis czy potwierdzenie w aplikacji mobilnej.
Same transakcje, po zalogowaniu do bankowości mobilnej czy internetowej, w zdecydowanej większości już teraz są autoryzowane zgodnie z nowymi wymogami SCA za pomocą jednorazowego hasła czy autoryzacji mobilnej. Jednak w razie płatności zbliżeniowych kartami klient może zostać poproszony o podanie PIN nawet przy transakcjach, których kwota jest mniejsza niż 50 zł. Tego należy się spodziewać we wszystkich bankach.
Warto sprawdzić: Vishing, smishing, phishing – nie daj się oszukać w sieci
PIN nawet przy zakupach za 2 zł
Nowe przepisy powodują, że niektóre transakcje mogą wymagać zatwierdzenia kodem PIN, nawet jeśli klient dokona zakupów tylko za 2 zł, bo przepisy wymagać będą autoryzacji, gdy łączna kwota poprzednich transakcji z ostatnich dni bez PIN przekroczy limit, który wynosić będzie maksymalnie 150 euro (ok. 650 zł). Poszczególne banki będą mogły ustawić go niżej, np. na 20 czy 50 euro, ale limit będzie się odnawiać, gdy klient wykona transakcję z autoryzacją kodem PIN. Ten i tak wymagany jest teraz przy kwotach ponad 50 zł, więc kumulacja drobnych transakcji zmuszająca do zatwierdzenia ich PIN nie będzie aż tak częsta.
Żadna część jak i całość utworów zawartych w dzienniku nie może być powielana i rozpowszechniana lub dalej rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (w tym także elektroniczny lub mechaniczny lub inny albo na wszelkich polach eksploatacji) włącznie z kopiowaniem, szeroko pojętę digitalizację, fotokopiowaniem lub kopiowaniem, w tym także zamieszczaniem w Internecie - bez pisemnej zgody Gremi Media SA. Jakiekolwiek użycie lub wykorzystanie utworów w całości lub w części bez zgody Gremi Media SA lub autorów z naruszeniem prawa jest zabronione pod groźbą kary i może być ścigane prawnie.
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami "Regulaminu korzystania z artykułów prasowych" [Poprzednia wersja obowiązująca do 30.01.2017]. Formularz zamówienia można pobrać na stronie www.rp.pl/licencja.
Gremi Media SA, Prosta Office Centre, ul. Prosta 51, 00-838 Warszawa