- Silne uwierzytelnienie – na czym polega?
- Silne uwierzytelnienie – od kiedy?
- Jak wyglądają zmiany w logowaniu do banku?
- Konieczność potwierdzania zwykłych operacji na koncie
- Dwuetapowe logowanie do bankowości internetowej lub mobilnej w praktyce
- Dwuetapowa weryfikacja transakcji kartą, a więc częściej z PIN-em
- Co się na pewno NIE zmieni? Uwaga na oszustów!
- Czy silne uwierzytelnienie to krok w dobrą stronę?
Unijna dyrektywa PSD II (Payment Services Directive) ma na celu uregulowanie europejskiego rynku usług płatniczych. Umożliwia m.in. wprowadzenie podmiotów trzecich do płatności, na które monopol do tej pory miały instytucje bankowe, zmienia zasady reklamacji i odpowiedzialność klientów za nieautoryzowane transakcje, a także nakłada na banki obowiązek tzw. silnego uwierzytelnienia przy logowaniu na konto i zatwierdzaniu niektórych operacji.
Celem silnego uwierzytelnienia jest lepsza ochrona Twoich danych, a tym samym środków zgromadzonych na Twoich rachunkach. Osobom niepożądanym trudniej będzie włamać się na konta bankowe, gdyż będą one chronione dodatkowymi zabezpieczeniami. Nowe zasady bezpieczeństwa opierają się na łączeniu już stosowanych metod: kombinacji tego, co wie tylko właściciel (hasło i login), co posiada wyłącznie właściciel (konkretny laptop, tablet, smartfon) i co jest unikalną cechą właściciela (dane biometryczne). Połączenie to sprawia, że ryzyko nieautoryzowanego dostępu do rachunków ma zostać zminimalizowane.
Silne uwierzytelnienie – na czym polega?
W obrębie zapowiadanych zmian silne uwierzytelnienie sprowadza się po prostu do dwuetapowego weryfikowania tożsamości klienta. Innymi słowy, logowanie do konta opierać się będzie na dwu-, nie zaś na jednostopniowej autoryzacji. Obecnie w serwisie internetowym logujesz się jednoetapowo: wprowadzając login i hasło lub PIN (odcisk palca) do aplikacji.
Teraz do „starej” metody dojdzie kolejny krok, np. dodatkowe potwierdzenie Twojej tożsamości. Bank może w kolejnym okienku poprosić Cię o podanie kodu przysłanego SMS-em lub potwierdzenia w aplikacji mobilnej (np. przez wpisanie PIN-u lub przez odcisk palca). Tak więc dotychczasowy sposób logowania nie tyle zmienia się, ile rozszerza.
Podobne zabezpieczenia będą obowiązywać przy kartach płatniczych. Płacąc „plastikiem” nawet na niższe kwoty, możesz zostać poproszony przez bank o podanie PIN-u do karty w trakcie wykonywania operacji.
Możesz spotkać się także z koniecznością potwierdzenia czynności, które do tej pory nie wymagały dodatkowej autoryzacji (po zalogowaniu na konto).
Silne uwierzytelnienie – od kiedy?
Powyższe zmiany zostały już wprowadzone przez część banków (np. ING Bank Śląski i Bank Millennium), w pozostałych mają wejść w życie od 14 września..., chyba że bank będzie miał dobry powód, aby dodatkowe procedury opóźnić. Jednak zdecydowana większość instytucji bankowych jest przygotowana do uruchomienia silnego uwierzytelnienia i raczej wywiąże się z obowiązków.
Jak wyglądają zmiany w logowaniu do banku?
Co ciekawe, nie wszystkie banki będą spełniać wymogi dyrektywy w identyczny sposób. W niektórych z nich podwójne uwierzytelnianie nie będzie stosowane przy każdej transakcji lub logowaniu się do konta, a jedynie MOŻE BYĆ zastosowane. To bank będzie decydował, czy przy okazji logowania poprosi Cię o dodatkowe potwierdzenie tożsamości (np. gdy nie logowałeś się na swoje konto w ciągu 90 dni). Takie rozwiązanie przyjął m.in. mBank, ING Bank Śląski i Pekao SA.
Niektóre banki postawiły na bardziej radykalne zabezpieczenia. Dla przykładu, w Getin Banku każde logowanie do bankowości internetowej będzie wiązało się z dwoma etapami, tj. po pierwsze, „standardowym” potwierdzeniem własnej tożsamości (hasło i login) oraz, po drugie, podaniem kodu SMS lub zatwierdzeniem operacji w aplikacji mobilnej. Drugi etap weryfikacji możesz pominąć, jeśli dodasz w banku swoje urządzenie jako zaufane. Każde urządzenie (jak smartfon, laptop czy tablet) może być „przypisane” wyłącznie do jednego klienta i nie można „podpiąć” go do drugiego użytkownika, np. współwłaściciela konta. Podobne procedury będą obowiązywać w Santander Bank Polska. W Alior Banku zamiast urządzenia będzie można dodać do zaufanych przeglądarkę – na okres 90 dni, po upływie tego czasu procedurę trzeba będzie powtórzyć.
Konieczność potwierdzania zwykłych operacji na koncie
Niekiedy banki będą żądały także dodatkowego zatwierdzenia wykonania operacji, przy których do tej pory nie było to wymagane. Dla przykładu, w PKO BP zostaniesz poproszony o autoryzowanie wyświetlenia historii rachunku za okres wcześniejszy niż ostatnie 90 dni. Podobne rozwiązanie będzie wprowadzone także w Pekao SA, gdzie także pobranie trzeciego i kolejnego wyciągu bankowego będzie wymagać autoryzacji.
Ponadto w Pekao SA, PKO BP, Santander Bank Polska i w Alior Banku okres bezczynności na koncie zostanie skrócony do 5 minut - po tym czasie nastąpi automatyczne wylogowanie.
Dwuetapowe logowanie do bankowości internetowej lub mobilnej w praktyce
Spójrzmy na przykład. Jeżeli będziesz chciał zalogować się do mBanku w bankowości internetowej, pierwszy etap będzie wyglądał tak samo jak dotąd:
Podstawowe zasady logowania do banku pozostają bez zmian. Nie ulega zmianom ani adres strony, ani witryna. Logujesz się dokładnie tak samo jak zawsze (dodatkowo w najbliższym czasie mBank udostępni aplikację mBank Token, która będzie służyć wyłącznie do autoryzacji operacji. Nie zastąpi ona dotychczas funkcjonującej aplikacji, ale będzie funkcjonować obok niej).
Gdy podasz swój login i hasło, bank może – ale nie musi – poprosić Cię o spełnienie kolejnego warunku. W przypadku mBanku będzie to hasło SMS, które zostanie wysłane na Twój nr telefonu, lub powiadomienie w aplikacji mobilnej.
Jeśli masz konto w banku, który za każdym razem wymaga dwuskładnikowej weryfikacji (np. w Santander Bank Polska), możesz w trakcie logowania dodać sprzęt, z którego korzystasz, jako urządzenie zaufane. Informujący Cię o tym komunikat zobaczysz na stronie logowania – pod warunkiem jednak, że Twoje urządzenie spełnia wymogi techniczne stawiane przez bank. Dodanie urządzenia zatwierdzisz SMS lub za pomocą aplikacji mobilnej (w Santander Banku również mobilnym podpisem).
Dwustopniowe logowanie do aplikacji mobilnej
Podobnie sytuacja będzie przedstawiała się przy logowaniu do aplikacji mobilnej. Przykładowo, obecnie w ING Banku Śląskim do aplikacji możesz zalogować się za pomocą PIN-u lub danych biometrycznych (odcisk palca, wizerunek twarzy).
Po wprowadzeniu zmian bank może poprosić Cię o dodatkową weryfikację. Jeżeli logowałeś się odciskiem palca, będzie to prośba o wprowadzenie PIN-u. Niektóre operacje wykonywane w aplikacji, np. przeglądanie historii starszej niż 90 dni, również mogą wymagać kolejnego potwierdzenia PIN-em.
Niektóre banki nie wprowadzają w swoich aplikacjach mobilnych dodatkowej weryfikacji klienta; ich aplikacje spełniają bowiem założenia nakładane przez dyrektywę i nie wymagają korzystania z dodatkowych metod potwierdzania tożsamości. Bez przechodzenia dodatkowych kroków zalogujesz się do aplikacji mobilnej m.in. Getin Banku i BNP Paribas.
Dwuetapowa weryfikacja transakcji kartą, a więc częściej z PIN-em
Większe środki ostrożności dotyczyć będą także płatności bezgotówkowych kartami płatniczymi. Banki muszą poprosić klienta o użycie PIN przy co szóstej transakcji bez użycia tego kodu lub gdy wartość transakcji bez silnego uwierzytelnienia będzie wyższa niż 150 euro (każdy bank decyduje sam, którą metodę wybiera). Są to wartości maksymalne, tak więc niektóre instytucje mogą żądać PIN-u częściej, np. w Getin Banku będzie to dotyczyć co piątej transakcji.
Co ciekawe, każda transakcja z użyciem PIN „kasuje licznik”, przy czym nie musi to być wcale operacja bezgotówkowa, ale np. wybranie środków z bankomatu. Ważne jest potwierdzenie, że użytkownik karty zna jej PIN. Zasady płatności dla kwot powyżej 50 zł pozostają bez zmian.
Od zasady podwójnego uwierzytelnienia jest kilka drobnych wyjątków. Należą do nich m.in. płatności kartą za przejazd autostradą, w parkomatach i samoobsługowych biletomatach komunikacji miejskiej. Przy tego rodzaju transakcjach podawanie PIN-u nie będzie wymagane.
Płatności mobilne z silnym uwierzytelnieniem
Powyższe zasady dotyczą również mobilnych transakcji zbliżeniowych, jeśli do swojego mobilnego portfela masz podpiętą kartę płatniczą. Tak więc płacąc np. za pomocą Google Pay, Apple Pay lub HCE, również będziesz musiał od czasu do czasu potwierdzić swoją tożsamość poprzez wprowadzenie PIN-u lub dane biometryczne, nawet w przypadku niższych kwot.
Podobne zasady będą obowiązywały w przypadku Blika. Dla przykładu, Alior Bank przy co piątej szybkiej transakcji Blikiem będzie prosił o dodatkowe jej zatwierdzenie w aplikacji mobilnej.
Silne uwierzytelnienie a płatność kartą w Internecie
Od połowy września bezpieczniej zapłacisz kartą w sieci; każda tego typu transakcja będzie wymagała dodatkowego potwierdzenia w aplikacji mobilnej – za pomocą wprowadzenia PIN-u lub danych biometrycznych (np. odcisku palca).
Do tej pory przy płatnościach internetowych wystarczyło jedynie podać dane zawarte na karcie, takie jak imię i nazwisko właściciela, kod CCV czy data ważności karty. Groziło to łatwym przejęciem danych przez złodziei i wykorzystaniem ich w trakcie zakupów w sieci. Przeciwdziałać temu miała usługa 3D Secure, jednak wymaga ona wdrożenia nie tylko przez banki, ale i przez sklepy, przez co nie zawsze można z niej skorzystać. Natomiast silne uwierzytelnienie transakcji internetowych kartą gwarantuje bezpieczeństwo na takim samym poziomie jak wykonywanie standardowych przelewów z konta przez bankowość internetową lub mobilną.
Od zasady dwustopniowej weryfikacji przy płatnościach kartą w Internecie jest kilka wyjątków. Banki mogą od niej odstąpić w sytuacji, gdy płacisz na małe kwoty (do 50 zł), opłacasz zlecenia cykliczne (np. rachunki) lub w wybranych, zaufanych sklepach, w których często robisz zakupy. Zrezygnowanie z dwuetapowej weryfikacji w danym przypadku będzie jednak zależało od banku.
Co się na pewno NIE zmieni? Uwaga na oszustów!
Choć zmiany wyglądają na rewolucyjne, rzeczywistość nie zmieni się diametralnie. Wprowadzenie nowych zasad nie wiąże się z koniecznością zmiany Twoich loginów, haseł czy nr PIN. Wręcz przeciwnie: jeśli otrzymałeś wiadomość, że w związku z dyrektywą PSD II musisz zaktualizować swoje poufne dane w banku, najprawdopodobniej jest to próba oszustwa.
Pamiętaj, że bank nigdy nie prosi o podanie hasła do konta poza stroną logowania ani o PIN karty poza transakcjami bezgotówkowymi w punktach POS (czyli najczęściej w sklepach). Nigdy nikt z obsługi banku nie zapyta Cię o hasło, PIN czy przesłany kod SMS do autoryzacji, nawet w celu rzekomej weryfikacji, gdyż bank zwyczajnie tych danych nie zna i nie ma z czym ich porównać; prawdziwość hasła weryfikowana jest przez systemy informatyczne banku i nawet pracownikom tych instytucji ukazywana jest w formie zaszyfrowanej.
Uwaga! Kilka banków, korzystając z wprowadzanych zmian, postanowiło upiec dwie pieczenie na jednym ogniu i przy tej okazji odświeżyć swój serwis bankowości internetowej. Są to m.in. PKO BP i BOŚ Bank. Naszym zdaniem to niezbyt trafiony pomysł, który może pogłębić dezorientację klientów, czy na pewno znajdują się na właściwej (czyt. bezpiecznej) stronie. Pamiętaj, że prawdziwa strona do serwisu bankowości internetowej zawsze zabezpieczona jest równocześnie dwoma elementami: kłódką i protokołem https://. Przy okazji wprowadzanych zmian warto też zweryfikować certyfikat strony. Jak to zrobić? Podpowiedź znajdziesz w naszym poradniku.
O tym, o co banki nigdy nie proszą i jak chronić się przed hakerami, czytaj w naszym artykule o bezpiecznym bankowaniu.
Czy silne uwierzytelnienie to krok w dobrą stronę?
Wprowadzana na wielu płaszczyznach dyrektywa PSD II nakłada na banki m.in. obowiązek silnego uwierzytelnienia operacji wykonywanych zdalnie przez klientów. Rozwiązania technologiczne służące zwiększeniu bezpieczeństwa powinny być witane przez nas z otwartymi rękoma.
Nie da się jednak ukryć, że realizacja założeń dyrektywy nieco utrudni, a z pewnością wydłuży czas logowania się do kont bankowych czy wykonywania płatności kartą. Ostatnio dużo słyszeliśmy o podwyższeniu limitu kwotowego transakcji bez PIN-u z 50 zł do 100 zł, tymczasem wielu z nas będzie musiało zatwierdzać kodem transakcje o znacznie niższej wartości (co nie zmienia faktu, że prace nad projektem do 100 zł bez PIN-u trwają i być może już w przyszłym roku rozwiązanie to zostanie wprowadzone).
Z kolei niektórzy klienci do zwykłego zalogowania się na koncie internetowym będą potrzebowali zawsze mieć przy sobie telefon. Jeżeli urządzenie nie będzie z jakiegoś powodu działać, logowanie się do rachunku nie będzie możliwe. Ktoś, kto nie korzystał do tej pory ze smartfona lub aplikacji mobilnej banku, prawdopodobnie będzie w końcu musiał to zrobić. Poszczególne rozwiązania zależą jednak od konkretnej instytucji bankowej.
Wprowadzenie obowiązku dwuetapowej weryfikacji zmusiło co niektóre banki do odświeżenia i unowocześnienia swojej oferty. Część klientów zauważyła z pewnością, że w ostatnim czasie wycofano się ze zdrapek i tokenów – wynika to z faktu, że metody te zostały uznane za niespełniające wymogów silnego uwierzytelnienia i banki musiały zastąpić je nowocześniejszymi rozwiązaniami. Niektóre z instytucji dopiero teraz wdrożyły aplikacje mobilne (jak np. Toyota Bank)! Pod tym względem obowiązek dwustopniowego logowania i weryfikacji jest zdecydowanie krokiem w dobrą stronę.
Wprowadzane zmiany przynajmniej częściowo mogą uchronić klientów przez phishingiem, czyli wyłudzeniem haseł do kont bankowych. Jeżeli ktoś będzie próbował zalogować się na Twoje konto, prawdopodobnie – w zależności od tego, w którym banku posiadasz konto – Twoja aplikacja mobilna zażąda od Ciebie potwierdzenia wejścia na rachunek.
Warto jednak pamiętać, że nawet najlepsze zabezpieczenia nie uchronią klientów przed kradzieżą, kiedy „zaśpi” zdrowy rozsądek. Możemy być też pewni, że przestępcy szybko znajdą nowy sposób na wyłudzanie pieniędzy – mamy nadzieję, że dzięki silnemu uwierzytelnieniu będzie on jednak mniej skuteczny i trudniejszy w realizacji.
Zdania co do sensu silnego uwierzytelnienia są podzielone. W naszej redakcji opinie wahają się od gorzkiego: „już niedługo do zalogowania się na własne konto będzie konieczny odcisk łapy swojego psa”, aż po umiarkowany entuzjazm, szczególnie pod kątem bezpieczniejszych transakcji kartami w Internecie, co do tej pory stanowiło niemałą piętę achillesową kart płatniczych. A jakie jest Twoje zdanie?
