Mimo nowych technologii wciąż króluje autoryzacja za pomocą SMS

Jakie metody autoryzacji transakcji stosowane są w polskich bankach?

W PKO BP klienci korzystający z bankowości elektronicznej iPKO mają do wyboru kilka sposobów autoryzacji. Głównie są to kody SMS – przesyłane na telefon komórkowy służą do autoryzacji operacji dokonywanych za pośrednictwem serwisu internetowego i telefonicznego. Można korzystać też z tokena iPKO. Jest to aplikacja na telefon komórkowy, która generuje kody jednorazowe. Co ciekawe, bank umożliwia nadal używanie karty kodów jednorazowych.

Niebawem planowane jest wprowadzenie tzw. mobilnej autoryzacji. Klienci korzystający z aplikacji mobilnej IKO będą mogli zatwierdzać operacje za jej pomocą. Na razie w IKO transakcje domyślnie autoryzuje się 4-cyfrowym kodem PIN do aplikacji. Dotyczy to wszystkich operacji powyżej 50 zł. Przy kwotach niższych wystarczy kliknąć OK lub potwierdzenie nie jest potrzebne. Wartości te można ustawiać. Można zdecydować, które transakcje będą musiały być potwierdzone PIN do aplikacji, a które nie. Bank przygotował gotowe warianty (domyślny, komfortowy, zawsze z PIN), ale można też korzystać z własnych ustawień.

W Pekao klienci serwisu Pekao24 mogą używać kodu SMS wygenerowanego przez aplikację PekaoToken lub token sprzętowy oraz kodów z karty kodów jednorazowych (podobne rozwiązania, z wyjątkiem tego ostatniego, dotyczą aplikacji tabletowej). W bankowości na telefonie komórkowym autoryzacje przeprowadza się za pomocą kodu PIN, który klient sam ustala (musi być 6-cyfrowy) podczas aktywacji aplikacji na urządzeniu.

Ale Pekao zapowiada, że nowa aplikacja mobilna, która zostanie udostępniona w drugiej połowie roku, będzie również miała możliwość autoryzacji biometrycznej.

W BZ WBK klienci mają wiele możliwości. W serwisie internetowym jest oczywiście kod SMS – bezpieczna, tania i łatwa w obsłudze metoda zatwierdzania transakcji internetowych za pomocą kodu otrzymywanego w wiadomości SMS. Pozwala m.in. na wykonywanie przelewów na dowolne rachunki, akceptację aneksów do umowy (np. zmiana limitów transakcji), zawieranie umów o dodatkowe produkty.

Jest także token (miniaturowe urządzenie szyfrujące), służący do generowania jednorazowych, niepowtarzalnych kodów będących rodzajem cyfrowego podpisu. Uruchomienie tokena wymaga wprowadzenia na jego klawiaturze specjalnego, pięciocyfrowego PIN. Dzięki temu niepowołane osoby nie będą mogły go użyć.

Token w BZ WBK jest dostępny tylko dla klientów firmowych. Bank oferuje im też kartę procesorową. Jest to urządzenie elektroniczne w postaci karty, na którym zapisany jest indywidualny certyfikat. Służy do identyfikacji użytkownika i do autoryzacji jego transakcji, a także wniosków i zleceń w module Trade Finance.

W bankowości mobilnej za pomocą kodu SMS należy potwierdzić rejestrację urządzenia mobilnego. Wtedy aplikacja mobilna pozwala na wykonywacie transakcji bez dodatkowego potwierdzania (z limitem do 3 tys. zł). BZ WBK pracuje też nad mobilną autoryzacją.

Jako pierwszy rozwiązanie to wprowadził na rynek parę tygodni temu mBank. Eliminuje ono konieczność przepisywania haseł. Po zleceniu operacji w internetowym serwisie transakcyjnym, w aplikacji mobilnej banku od razu pojawia się tzw. push, który prowadzi do powiadomienia autoryzacyjnego. Potem wystarczy zalogować się do aplikacji i potwierdzić lub odrzucić transakcję jednym kliknięciem. Prezentowany w powiadomieniu ekran szczegółów operacji jest bardzo czytelny i łatwo zorientować się, czy operacja, którą klient zamierza potwierdzić jest tą, którą zlecał i czy nie zawiera błędów.

W mBanku poza tym można autoryzować transakcję za pomocą listy kodów jednoraozwych TAN i haseł SMS. W aplikacji mobilnej przelewy wymagające autoryzacji zatwierdza się poprzez podanie PIN (tego samego, który służy do logowania do aplikacji).

W ING Banku Śląskim transakcje są autoryzowane jednorazowym kodem SMS. Niebawem udostępniona będzie mobilna autoryzacja dla przelewów.

Podobnie jest w Raiffeisenie (tu dochodzi token w aplikacji mobilnej). Getin Noble Bank także oferuje w bankowości internetowej kod SMS i kod token z karty Display. W bankowości mobilnej autoryzacja odbywa się za pomocą PIN nadawanego samodzielnie przez użytkownika.

W Millennium w serwisie internetowym obowiązuje ważny 15 minut kod SMS. Niebawem bank wprowadzi nowy sposób autoryzacji – mobilny token. W aplikacji mobilnej transakcje są autoryzowane hasłem do aplikacji (tzw. hasło mobilne). W przypadku Blik autoryzacja odbywa się w aplikacji mobilnej za pomocą PIN. Klient może też przeprowadzić trzy transakcje dziennie poprzez Blik (do 50 zł), które potwierdzi w aplikacji wyłącznie przyciskiem „Akceptuj”. Z opcji tej można zrezygnować. Wtedy wszystkie transakcje należy potwierdzać PIN.

Wideoweryfikacja zamiast wizyty w oddziale

Kilka dni temu Alior jako pierwszy bank w Polsce wprowadził wideoweryfikację (w tym samym czasie, ale w wersji pilotażowej zrobił to Inbank działający tylko w internecie). Teraz tożsamość klienta składającego wniosek o założenie konta może zostać zweryfikowana zdalnie podczas rozmowy wideo. Decyzję banku można otrzymać nawet w ciągu 10 minut bez wychodzenia z domu. Przy pomocy wideoweryfikacji można otworzyć rachunek, a także złożyć wniosek o kartę płatniczą. Zatwierdzone tak konto pozwala też na korzystanie z rachunku maklerskiego, zakładanie lokat i zaciąganie pożyczek. Bank udostępni też wideoweryfikację przy zakładaniu rachunku w kantorze walutowym.

Jak to działa? Podczas połączenia wideo z konsultantem wystarczy mieć przy sobie dowód osobisty i telefon. W trakcie rozmowy wykonywane są zdjęcia twarzy klienta i dokumentu tożsamości. W kanale wideo weryfikowane są zabezpieczenia dowodu oraz tożsamość osoby chcącej otworzyć konto. Dzięki temu nie są potrzebne dodatkowe przelewy weryfikacyjne, spotkania z kurierem czy wizyty w placówce banku. Założenie konta z wykorzystaniem wideoweryfikacji jest traktowane przez bank na równi z wizytą w oddziale.

Budżet rodzinny