W połowie września gigantyczną zmianę w polskiej bankowości wprowadzi unijna dyrektywa PSD2 - z ang. Payment Services Directive. To dokument regulujący rynek usług płatniczych. Brzmi obco, ale dotyka każdego z nas - korzystającego z konta i płacącego w sklepie.
Oprócz dotychczasowej nazwy użytkownika i hasła pojawią się dodatkowe zabezpieczenia, na przykład dodatkowy kod w wiadomości SMS. Wpiszesz i dopiero wchodzisz na konto. Kolejna nowość? Zdecydowanie częściej niż teraz trzeba będzie wbijać PIN podczas płatności kartą. I to nawet tych zbliżeniowych.
Część banków skorzysta z okazji i wprowadzi zupełnie nowy wygląd strony logowania i nowy sposób wchodzenia do internetowego konta.
Zobacz także: Bankowość elektroniczna ma być bardziej bezpieczna
To, w jakich sytuacjach i ile razy musisz wbić PIN podczas płatności kartą w sklepie, reguluje właśnie PSD2. To również dokument, który określa czas rozpatrywania reklamacji w banku. W połowie września polskie banki będą miały obowiązek dostosować się do zupełnie nowych regulacji. A tych jest sporo, zwłaszcza dla standardowych klientów.
Największa dotyczy sposobów logowania się do serwisów internetowych banków, składania dyspozycji przelewu (np. za pośrednictwem serwisu internetowego banku) oraz "przeprowadzania za pomocą kanału zdalnego czynności, która może wiązać się z ryzykiem oszustwa". We wszystkich tych sytuacjach bank powinien wymagać od swoich klientów tzw. silnego uwierzytelnienia.
Oznacza to dwuetapowy proces weryfikacji tożsamości. Do tej pory by dostać się do bankowości, wystarczyło wpisać numer klienta i podać hasło.
Jedna wielka zmiana
- Od 14 września sam numer klienta i hasło to będzie zdecydowanie za mało, by dostać się do konta. To gigantyczna zmiana z perspektywy klientów, którzy będą musieli się przyzwyczaić do nowej metody autoryzacji tożsamości. Zmiana podyktowana jest oczywiście bezpieczeństwem - mówi money.pl dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej w Warszawie.
Co istotne, banki mają wiele pomysłów na to, jak podwójna weryfikacja tożsamości ma wyglądać.
Dla przykładu mBank, Millennium, Pekao, Euro Bank oraz PKO BP dopuszczają użycie kodu jednorazowego - przyjdzie w wiadomości SMS. Podobne mechanizmy chce wprowadzić Bank Pocztowy oraz Santander Bank Polska (w przypadku tego banku możliwy będzie jeszcze wybór tokenu).
Hasła SMS będzie wysyłał również bank ING - chociaż nie będzie to wymóg dotyczący każdego logowania, system będzie analizował aktywność na koncie i sam wybierze odpowiedni moment.
W przypadku niektórych banków do wyboru będzie również autoryzacja za pośrednictwem aplikacji zainstalowanej na telefonie komórkowym. W ten sposób logowanie będzie możliwe np. w Pekao, PKO BP, mBanku oraz Alior Banku.
To nowość dla wielu osób. Jednocześnie bank Pekao zdecydował o wycofaniu z użytku haseł z papierowej listy kodów oraz tokenów. Jednorazowe tokeny znikną również z systemów Getin Noble Bank. Informacje na temat zmian użytkownicy banków zobaczą m.in. na stronach swojej bankowości internetowej.
W kilku wypadkach zmiana dotyczy nie tylko sposobu wejścia do konta internetowego. Dostęp do części danych będzie wymagał podania kolejnego kodu. I tak bank Pekao będzie wymagał dodatkowej autoryzacji także do wejścia w historię operacji starszą niż 90 dni. Identyczny mechanizm będzie funkcjonował w banku PKO BP.
Na dodatek największy polski bank w niektórych wypadkach wyświetli również swoim klientom kod CAPTCHA. Jak wyjaśnia bank, zmiana polega na przeprowadzeniu krótkiego testu przed logowaniem.
Jak to będzie działać? Po podaniu loginu lub numeru klienta możesz zobaczyć zestaw kilku zdjęć z prośbą o zaznaczenie tych, na których widać konkretną rzecz (np. samochody).
Banki nie czekają z akcją informacyjną
Jak tłumaczy Jacek Barszczewski, rzecznik Komisji Nadzoru Finansowego, "silne uwierzytelnianie jest to uwierzytelnianie zapewniające ochronę poufności danych". Banki będą musiały zastosować co najmniej dwa z elementów należących do kategorii:
- wiedza o czymś, o czym wie wyłącznie użytkownik (np. PIN, hasło wielorazowe),
- posiadanie czegoś, co posiada wyłącznie użytkownik (np. karta płatnicza, aplikacja w smartfonie),
- cechy charakterystyczne użytkownika (np. cechy biometryczne).
Banki w ostatnim czasie rozpoczęły już wysyłkę informacji o nowych metodach logowania do bankowości internetowej. - Klienci zostali już poinformowani o zmianach. Obok identyfikatora i hasła będziemy prosić o dodatkową metodę autoryzacji. Wybór będzie należał do klienta - mówi money.pl Łukasz Pałka, rzecznik prasowy Euro Banku.
Informacje o zmianach kilka dni temu zostały również przekazane klientom banku PKO BP. Banery informacyjne pojawiły się po zalogowaniu do aplikacji banku oraz serwisu internetowego. - Akcja informacyjna została uruchomiona dwa tygodnie temu - mówi money.pl Grzegorz Culepa z biura prasowego PKO BP.
- Prowadzimy obecnie kampanię informacyjną. Klienci, którzy korzystają z wycofywanych metod autoryzacji, są systematycznie informowani o konieczności zmiany metody autoryzacji na zgodną z zasadami silnego uwierzytelnienia poprzez komunikaty w bankowości internetowej i w bankowości mobilnej, wiadomości SMS, IVR, wiadomości głosowe, a także przez pracowników oddziałów. Ponadto komunikujemy zmiany na głównej stronie banku - informuje money.pl Łukasz Nowicki, przedstawiciel Pekao.
Część klientów informacje będzie widzieć już niebawem. - W najbliższym czasie informacje o zmianach wprowadzonych przez wdrożenie kolejnych elementów dyrektywy PSD2 będą trafiać do naszych klientów - zapowiada w rozmowie z money.pl Joanna Majer-Skorupa, zastępca rzecznika prasowego banku ING.
Kartą też po nowemu
Zmiany dotkną także płatności kartą metodą zbliżeniową. W tej chwili kod PIN należy podać, gdy wartość transakcji wynosi ponad 50 zł. Od 14 września banki będą zdecydowanie częściej wymagać kodu PIN. Mają dwie możliwości: albo uzależnią go od liczby transakcji, albo od ich wartości.
O co chodzi? Przykładowo przy metodzie liczbowej co piąta transakcja będzie np. wymagała podania kodu PIN. Banki mogą jednak zdecydować, że PIN trzeba będzie podać po przekroczeniu pewnej sumy płatności. Zgodnie z przepisami górny próg może być ustawiony na poziomie 150 euro, czyli w przeliczeniu 650 zł.
Banki mogą jednak limit ustawić na niższym poziomie. Związek Banków Polskich przekonuje, że polskie instytucje finansowe są przygotowane do zmian. ZBP nie spodziewa się ani chaosu, ani braku informacji wśród klientów.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl