Co oznacza wprowadzenie dyrektywy PSD2?

Wolność czy bezpieczeństwo?

Im więcej wolności, tym mniej bezpieczeństwa, a im więcej bezpieczeństwa, tym mniej wolności. W kontekście usług płatniczych wolność przekłada się przede wszystkim na prostotę i wygodę wykonywania operacji finansowych. Niestety zazwyczaj uproszczenie procedur oznacza uszczerbek dla bezpieczeństwa. I odwrotnie - wzmocnienie bezpieczeństwa najczęściej wiąże się z prowadzeniem dodatkowych procedur.

Nowe przepisy stawiają przede wszystkim na bezpieczeństwo i ochronę konsumentów. Główne założenie dyrektywy PSD2 to bezpieczeństwo płatności kartą i procedury logowania do bankowości internetowej. Nazywa się to silnym uwierzytelnieniem klienta (co najmniej dwuelementowe potwierdzenie tożsamości). Banki chcą ograniczyć liczbę oszustw związanych z tymi usługami. Dlatego od 14 września trzeba wprowadzać PIN przy płatności kartą zbliżeniowo, potwierdzać transakcje internetowe, logować się do bankowości internetowej z dodatkowym potwierdzeniem tożsamości.

Pozostałe zmiany

Dyrektywa PSD2 oznacza nie tylko zmiany w logowaniu do bankowości internetowej. Jedną z pozostałych zmian jest skracanie sesji dla bankowości internetowej, w niektórych przypadkach nawet o połowę. Dotyczy to np. banku PKO BP, gdzie standardowo sesja trwała 10 minut, a po zmianach będzie trwać tylko 5 minut. Może się to okazać uciążliwe dla użytkowników, którzy będą częściej wylogowywani.

Wycofane zostaną hasła jednorazowe, jako najbezpieczniejsze uznane zostały hasła SMS, powiadomienia PUSH wysyłane przez aplikacje bankowe a także rozwiązania biometryczne, czyli weryfikacja za pośrednictwem odcisku palca lub skanu tęczówki oka.

Jak to wygląda (przykładowo) w poszczególnych bankach?

mBank

mBank standardowo przy każdym logowaniu będzie stosował kody SMS oraz mobilną autoryzację. Mobilna autoryzacja będzie możliwa nie tylko z poziomu aplikacji banku. Zostanie także udostępniona klientom aplikacja mBank Token. Będzie ona umożliwiała wyłącznie mobilną autoryzację (nie będzie miała innych funkcjonalności aplikacji mobilnej mBanku).

Klienci mBanku będą mogli uniknąć silnego uwierzytelnienia przy każdym logowaniu. W tym celu konieczne będzie dodanie (w systemie bankowości internetowej) komputera do urządzeń "zaufanych". Wówczas mBank będzie prosił o dodatkowe uwierzytelnienie (kodem SMS albo mobilną autoryzacją) tylko co jakiś czas - przynajmniej co 90 dni.

PKO BP

PKO BP informuje, że sposób logowania do serwisu internetowego nie zmieni się. Od 14 września będą stosowane te metody i narzędzia autoryzacyjne, które są stosowane obecnie, np. potwierdzenie logowania w aplikacji mobilnej IKO.

PKO BP dodaje, że poprosi o dodatkową autoryzację klienta, który będzie chciał zobaczyć historię swojego konta starszą niż 90 dni.

ING Bank Śląski

W przypadku logowania do ING Business za pomocą loginu i hasła, bank dodatkowo poprosi o wprowadzenie kodu z SMS. Od 14 września niektóre transakcje zbliżeniowe poniżej 50 PLN będą potwierdzane kodem PIN. Zmniejszeniu do 50 EUR ulega kwota, powyżej której bank odpowiada za nieautoryzowane transakcje (wcześniej było to 150 EUR). Odbiorca płatności nie będzie mógł naliczać dodatkowych opłat za płatności kartami płatniczymi (zwłaszcza debetowymi i kredytowymi), w których wysokość opłaty interchange jest regulowana. Odbiorca płatności może zablokować pieniądze na karcie zlecającego dopiero po zatwierdzeniu kwoty transakcji (dotyczy w szczególności rezerwacji hotelowych oraz wypożyczalni samochodów). Klienci częściej będą proszeni o umieszczenie karty płatniczej w terminalu (w przypadku dokonywania płatności zbliżeniowej).

Alior Bank

Alior Bank wprowadził silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać za pośrednictwem systemu bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną.

Bank Millennium

Bank Millennium wprowadził wymagane procedury jeszcze przed 14 września br. Obecnie klienci logują się do serwisu internetowego Millenet za pomocą identyfikatora (MilleKodu), ustalonego przez siebie hasła i wybranych znaków z numeru dokumentu potwierdzającego tożsamość lub PESEL. W aplikacji natomiast za pomocą ustalonego w procesie aktywacji kodu PIN, odcisku palca bądź poprzez usługę FaceID, na modelach telefonów wyposażonych w tę funkcję. Po 14 września Bank Millennium będzie wykorzystywał znane klientom formy uwierzytelniania – hasło SMS i autoryzację mobilną.

Eurobank

W Eurobanku zmienił się sposób logowania do serwisu online. Poza wprowadzeniem identyfikatora oraz hasła, trzeba również podać hasło SMS, wskazać token GSM lub użyć mobilnej autoryzacji.

W Automatycznym Serwisie Telefonicznym wycofane zostaną takie usługi jak: odblokowanie dostępu do Kanału Bankowości Internetowej, uzyskanie informacji o dostępnych środkach na koncie, zmiana Telekodu. Nie będzie też możliwości zdalnego odblokowania dostępu do Bankowości Internetowej. Bank skrócił również sesje w serwisie online oraz w aplikacjach mobilnych do 5 minut.

Idea Bank

Logowanie się do bankowości internetowej w Idea Banku odbywa się na dwa sposoby: za pomocą hasła internetowego pod warunkiem tzw. powiązania urządzenia, czyli dodaniu urządzenia do zaufanych oraz za pomocą hasła internetowego i kodu SMS. W przypadku, gdy użytkownik nie doda urządzenia do zaufanych, każde logowanie do systemu będzie wymagało potwierdzenia kodem SMS. W przypadku bankowości mobilnej największą zmianą jest wymóg dodania urządzenia do zaufanych. Każde urządzenie mobilne zawsze musi być powiązane z osobą/kontem. Po dodaniu urządzeń do zaufanych możliwe jest logowanie poprzez: cechę biometryczną (odcisk palca, Face ID), kod PIN lub znak graficzny (wężyk).