Co się zmieni po wejściu PSD2? Przede wszystkim banki i inni dostawcy usług płatniczych będą mieli obowiązek stosowania tzw. silnego uwierzytelniania (SCA). Wprowadzi to sporo zmian w logowaniu czy autoryzacji transakcji. Ankietowane przez nas banki informują, co się u nich zmieni.
Dodatkowe potwierdzenie w bankowości internetowej
Silne uwierzytelnienie oznacza potwierdzenie tożsamości klienta przez zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik, np. hasło, PIN), posiadanie (coś, co ma tylko użytkownik, np. telefon) i cechy (coś, co charakteryzuje wyłącznie użytkownika, odcisk palca, skan oka lub twarzy). Muszą być niezależne od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Teraz podajemy login oraz hasło i o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków SCA. Dlatego banki będą musiały dodać kolejne zabezpieczenie i będą stosowały różne sposoby. Ponadto metody autoryzacji dla transakcji elektronicznych powinny łączyć transakcję z określoną kwotą i odbiorcą, np. przez podanie w SMS informacji o kwocie operacji i ostatnich cyfrach rachunku odbiorcy.
PKO Bank Polski informuje, że wprowadza dwuetapowe uwierzytelnienie, które wzmocni bezpieczeństwo logowania do serwisu. Klienci mogą korzystać z autoryzacji mobilnej w aplikacji IKO i funkcji dwuetapowego logowania do systemu bankowości elektronicznej iPKO i Inteligo. Po jej włączeniu każdorazowo podczas logowania do bankowości elektronicznej oprócz podania standardowo hasła do iPKO/Inteligo klient zatwierdza logowanie także w aplikacji mobilnej.
– W przypadku uzyskania dostępu do informacji o rachunku przez logowanie do bankowości internetowej i mobilnej Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. Podczas logowania w aplikacji mobilnej PeoPay klient zostanie poproszony o podanie PIN nawet w razie ustawionego logowania biometrią. Do transakcji płatniczych zastosowanie będzie miało wiele wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych odbiorców – mówi Łukasz Nowicki, kierownik zespołu w Biurze Bankowości Omnikanałowej w Pekao. Także przy korzystaniu z usług oferowanych przez dostawców usług płatniczych (TPP) wymagane będzie silne uwierzytelnienie klienta. Każdorazowo w przypadku zainicjowania płatności, uzyskania informacji o rachunku i przy pierwszym dostępie do informacji oraz nie rzadziej niż co 90 dni w przypadku zgody wielokrotnej na dostęp do historii rachunku. Pekao zdecydował o wycofaniu autoryzacji niezgodnych z zasadami SCA (m.in. karta kodów jednorazowych i token) i pozostawieniu metod autoryzacji opartych na kodach SMS oraz wiadomościach push generowanych przez aplikację PeoPay.
Zaufane urządzenie pozwoli uniknąć dodatkowej autoryzacji
Także w Santander Banku Polska od połowy września zmieni się sposób logowania do usług zdalnych. – Wymagane będzie silne uwierzytelnienie w bankowości internetowej, czyli klienci, którzy dotychczas logowali się, podając login i hasło, będą każdorazowo proszeni o autentykację dodatkowym sposobem: kodem SMS, tokenem lub mobilnym podpisem. Dla wygody klientów wprowadzamy także nowe rozwiązanie – logowanie się urządzeniem zaufanym (tzw. zaufanym komputerem). Klient będzie miał możliwość dodania swojego komputera, tabletu lub smartfona jako „zaufanego komputera". Przy logowaniu z takiego urządzenia nie będzie konieczności uwierzytelnienia innym dodatkowym sposobem, czyli klient będzie się logował jak dotychczas: jedynie z użyciem loginu i hasła – wyjaśnia Szymon Staśczak odpowiedzialny w Santanderze za PSD2. W aplikacji mobilnej klient, który jeszcze nie dodał smartfona lub tabletu jako urządzenia zaufanego, będzie proszony o „zaufanie" urządzenia i podczas pierwszego logowania zostanie poproszony o dodatkową autentykację za pomocą kodu SMS, tokenu lub mobilnego podpisu. mBank informuje, że w jego przypadku sposób logowania do aplikacji mobilnej nie zmieni się. W internecie ze względu na wymogi SCA bank poprosi klienta o potwierdzenie logowania kodem z SMS albo mobilną autoryzacją. Także tu jest sposób na to, aby nie musieć za każdym razem potwierdzać logowania SMS lub mobilną autoryzacją – należy dodać swój komputer (telefon, tablet) do zaufanych urządzeń.