16.09.2019: od soboty trudniejsze logowanie, autoryzowanie PIN nawet drobnych kwot zbliżeniowo kartą. Co w bankach zmieniło się jeszcze

AIP
Od soboty 14 września będziemy inaczej się logować i autoryzować transakcje. Lucyna Nenow / Polska Press
Czy faktycznie 14 września czeka nas rewolucja? Z pewnością od soboty 14 września będziemy inaczej się logować i autoryzować transakcje, zwłaszcza w przypadku banków, które dopiero teraz rezygnują z tzw. zdrapek, czyli kart z kodami jednorazowymi, na rzecz np. aplikacji mobilnych.

Niemniej jednak, choć od 14 września faktycznie banki muszą „otworzyć” prowadzone przez siebie rachunki i udostępnić podmiotom trzecim dostęp do nich za pośrednictwem tzw. API, to w Polsce zapewne jeszcze trochę na to poczekamy. Wynika to z faktu, iż formalnie jeszcze żaden dostawca inny niż bank nie uzyskał odpowiedniej licencji. Tym samym krajowe FinTechy nie są w stanie rozpocząć świadczenia usług opartych o PSD2.

Od 14 września 2019 r. dostawcy usług płatniczych w całej Unii Europejskiej, w tym banki, muszą wdrożyć nowe wymogi prawne wynikające z tzw. Dyrektywy PSD2, czyli drugiej dyrektywy dotyczącej świadczenia usług płatniczych. O nowych przepisach głośno jest już od jakiegoś czasu. Dla klientów bankowości elektronicznej mogą to być z pozoru niewielkie zmiany – niemniej jednak długoterminowo możemy spodziewać się nie tylko wzrostu poziomu bezpieczeństwa płatności internetowych, ale również nowych usług finansowych.

Co tak naprawdę zmienia PSD2?

Druga dyrektywa o usługach płatniczych wprowadza dwie kluczowe zmiany dla rynku płatności. Pierwsza z nich to tzw. silne uwierzytelnianie. Dotyczy ono przede wszystkim sposobu autoryzowania płatności i logowania się do bankowości online. Druga zmiana to wprowadzenie dwóch nowych usług płatniczych, w ramach których bank lub dostawca usług płatniczych może uzyskać dostęp do rachunku bankowego prowadzonego przez inny bank.

Silne uwierzytelnianie – czyli logowanie po nowemu

Silne uwierzytelnianie wymaga od banku, aby autoryzując użytkownika wymagał użycia co najmniej dwóch z trzech kategorii danych uwierzytelniających. Do tej pory, aby zalogować się do bankowości elektronicznej, najczęściej podawaliśmy login, np. numer klienta i hasło. Od 14 września będziemy musieli podać przynajmniej jeszcze jedną dodatkową informację uwierzytelniającą – z innej kategorii danych.
PSD2, a w zasadzie przepisy wykonawcze do Dyrektywy, tzw. RTS, wskazują, że należy posłużyć się dwoma różnymi kategoriami danych uwierzytelniających. Te kategorie to: coś co tylko użytkownik wie, coś co tylko użytkownik ma oraz coś czym tylko użytkownik niejako jest. W praktyce ostatnia kategoria to tzw. biometria, czyli odcisk palca lub wizerunek twarzy, głos. Hasło to pierwsza z tych kategorii, dlatego bank musi dodać jeszcze jedno pytanie, np. o kod SMS czy potwierdzenie w aplikacji – wyjaśnia Tomasz Klecor, prawnik i partner zarządzający w kancelarii Legal Geek, specjalizującej się w obsłudze sektora finansowego.
W ramach kanałów internetowych większość podmiotów finansowych zdecydowała się na łączenie właśnie kryterium wiedzy (haseł, kodów PIN) z kryterium posiadania (czyli kodów generowanych w aplikacji czy przekazywanych na zaufane urządzenie). Dodatkowo w aplikacjach mobilnych możemy spodziewać się kryteriów biometrycznych. Może się więc okazać, że logowanie do banku będzie trudniejsze niż dotychczas.
- Musimy pamiętać, że silne uwierzytelnianie będzie wymagane nie tylko przy logowaniu się do banku, ale również przy zlecaniu transakcji czy dodawaniu tzw. zaufanych odbiorców. Niemniej w tym obszarze jesteśmy raczej przyzwyczajeni, że sam login i hasło nie wystarczą, aby zlecić przelew – wyjaśnia Tomasz Klecor, partner zarządzający w kancelarii Legal Geek.

Zbliżeniowo częściej z PINem

Silne uwierzytelnianie klienta to nie tylko płatności w Internecie. Ponieważ nowe wymogi odnoszą się do wszystkich kanałów płatności narażonych na nadużycia, objęły również płatności kartą w terminalach i innych punktach. Co prawda płatności niskokwotowe i zbliżeniowe nadal będą mogły być realizowane w sposób uproszczony, tj. bez podania kodu PIN, ale tylko w ograniczonym zakresie.
Zgodnie z nową regulacją zasadą będzie wymuszenie silnego uwierzytelniania po przekroczeniu określonej liczby lub kwoty transakcji kartowych. W przypadku płatności zbliżeniowych bank nie musi wymagać silnego uwierzytelniania poniżej kwoty 50 euro, pod warunkiem, że klient nie wykonał więcej niż 5 transakcji lub nie przekroczył 150 euro od ostatniego zastosowania silnego uwierzytelniania.
- Stosowanie tzw. koszyków, czyli wolumenów transakcji, po których przekroczeniu bank musi wymusić silne uwierzytelnianie, ma chronić klientów, którzy utracili swoje karty, np. zgubili je lub zostały one skradzione. W praktyce chroni jednak wydawcę karty, gdyż Dyrektywa PSD2 rozszerzyła jego odpowiedzialność – precyzuje Tomasz Klecor.

Mniejsza odpowiedzialność klienta, bank zwróci więcej

Dyrektywa PSD2 doprowadziła również do zmniejszenia kwoty odpowiedzialności klienta, któremu skradziono kartę lub który kartę zgubił. Do tej pory klienta obciążały nieautoryzowane transakcje do kwoty 150 euro. Jeśli więc skradziono nam kartę i ktoś dokonał nią zakupów, bank zwracał nam niejako kwotę skradzioną pomniejszoną o 150 euro. Oczywiście istniały pewne wyjątki od tej zasady – nie odpowiadaliśmy np. za transakcje dokonane po zgłoszeniu do banku utraty karty. PSD2 zmniejsza tę kwotę do 50 euro. Dodatkowo bank odpowiada za wszystkie transakcje, które powinny być dokonane z zastosowaniem silnego uwierzytelniania, a nie były.
Jest to dobra wiadomość dla klientów banków, zwłaszcza tych, którym zdarza się gubić portfele z kartami. Taka strata będzie teraz dla nich znacznie mniej kosztowna.

Uwaga na wiadomości z banku!

Wprowadzenie nowych zabezpieczeń to również dobry powód dla oszustów, aby rozpocząć wyłudzanie danych do logowania. Wykorzystują oni fakt, że klienci otrzymują więcej wiadomości od swoich dostawców i wysyłają im odpowiednio spreparowane linki do fałszywych stron internetowych, do złudzenia przypominających strony banków. Klient podaje tam swoje dane dostępowe do banku, a czasem wręcz może być poproszony o podanie kodu SMS i zupełnie nieświadomie opróżnia w ten sposób swoje konto.
Przed tzw. phishingiem, czyli podszywaniem się np. pod nasze banki ostrzega m.in. Komisja Nadzoru Finansowego. Kiedy dostajemy wiadomość od kogoś, kto podaje się za nasz bank – powinniśmy dokładnie zweryfikowa

W czerwcu zapłaciliśmy w sklepach mniej niż w maju

Wideo

Materiał oryginalny: 16.09.2019: od soboty trudniejsze logowanie, autoryzowanie PIN nawet drobnych kwot zbliżeniowo kartą. Co w bankach zmieniło się jeszcze - Strefa Biznesu

Komentarze 1

Komentowanie artykułów jest możliwe wyłącznie dla zalogowanych Użytkowników. Cenimy wolność słowa i nieskrępowane dyskusje, ale serdecznie prosimy o przestrzeganie kultury osobistej, dobrych obyczajów i reguł prawa. Wszelkie wpisy, które nie są zgodne ze standardami, proszę zgłaszać do moderacji. Zaloguj się lub załóż konto

Nie hejtuj, pisz kulturalne i zgodne z prawem komentarze! Jeśli widzisz niestosowny wpis - kliknij „zgłoś nadużycie”.

Podaj powód zgłoszenia

S
Sia
Cytuję tytuł: "16.09.2019: od soboty trudniejsze logowanie, autoryzowanie PIN nawet drobnych kwot zbliżeniowo kartą. Co w bankach zmieniło się jeszcze". Co za grafoman to napisał? Ręce opadają.
Dodaj ogłoszenie