Finanse
Forum

Duże zmiany w logowaniach do banków

Od soboty, 14 września, wejdzie w życie unijna dyrektywa PSD2 dotycząca płatności, która przyniesie nie tylko otwarcie bankowości na podmioty trzecie, ale też spore zmiany w logowaniu.

Publikacja: 13.09.2019 12:56

Duże zmiany w logowaniach do banków

Foto: Adobestock

Maciej Rudke

Co się zmieni po wejściu PSD2? Przede wszystkim banki i inni dostawcy usług płatniczych będą mieli obowiązek stosowania tzw. silnego uwierzytelniania (SCA). Wprowadzi to sporo zmian w logowaniu czy autoryzacji transakcji. Ankietowane przez nas banki informują, co się u nich zmieni.

Dodatkowe potwierdzenie w bankowości internetowej

Silne uwierzytelnienie oznacza potwierdzenie tożsamości klienta przez zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik, np. hasło, PIN), posiadanie (coś, co ma tylko użytkownik, np. telefon) i cechy (coś, co charakteryzuje wyłącznie użytkownika, odcisk palca, skan oka lub twarzy). Muszą być niezależne od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Teraz podajemy login oraz hasło i o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków SCA. Dlatego banki będą musiały dodać kolejne zabezpieczenie i będą stosowały różne sposoby. Ponadto metody autoryzacji dla transakcji elektronicznych powinny łączyć transakcję z określoną kwotą i odbiorcą, np. przez podanie w SMS informacji o kwocie operacji i ostatnich cyfrach rachunku odbiorcy.

PKO Bank Polski informuje, że wprowadza dwuetapowe uwierzytelnienie, które wzmocni bezpieczeństwo logowania do serwisu. Klienci mogą korzystać z autoryzacji mobilnej w aplikacji IKO i funkcji dwuetapowego logowania do systemu bankowości elektronicznej iPKO i Inteligo. Po jej włączeniu każdorazowo podczas logowania do bankowości elektronicznej oprócz podania standardowo hasła do iPKO/Inteligo klient zatwierdza logowanie także w aplikacji mobilnej.

– W przypadku uzyskania dostępu do informacji o rachunku przez logowanie do bankowości internetowej i mobilnej Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. Podczas logowania w aplikacji mobilnej PeoPay klient zostanie poproszony o podanie PIN nawet w razie ustawionego logowania biometrią. Do transakcji płatniczych zastosowanie będzie miało wiele wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych odbiorców – mówi Łukasz Nowicki, kierownik zespołu w Biurze Bankowości Omnikanałowej w Pekao. Także przy korzystaniu z usług oferowanych przez dostawców usług płatniczych (TPP) wymagane będzie silne uwierzytelnienie klienta. Każdorazowo w przypadku zainicjowania płatności, uzyskania informacji o rachunku i przy pierwszym dostępie do informacji oraz nie rzadziej niż co 90 dni w przypadku zgody wielokrotnej na dostęp do historii rachunku. Pekao zdecydował o wycofaniu autoryzacji niezgodnych z zasadami SCA (m.in. karta kodów jednorazowych i token) i pozostawieniu metod autoryzacji opartych na kodach SMS oraz wiadomościach push generowanych przez aplikację PeoPay.

Zaufane urządzenie pozwoli uniknąć dodatkowej autoryzacji

Także w Santander Banku Polska od połowy września zmieni się sposób logowania do usług zdalnych. – Wymagane będzie silne uwierzytelnienie w bankowości internetowej, czyli klienci, którzy dotychczas logowali się, podając login i hasło, będą każdorazowo proszeni o autentykację dodatkowym sposobem: kodem SMS, tokenem lub mobilnym podpisem. Dla wygody klientów wprowadzamy także nowe rozwiązanie – logowanie się urządzeniem zaufanym (tzw. zaufanym komputerem). Klient będzie miał możliwość dodania swojego komputera, tabletu lub smartfona jako „zaufanego komputera". Przy logowaniu z takiego urządzenia nie będzie konieczności uwierzytelnienia innym dodatkowym sposobem, czyli klient będzie się logował jak dotychczas: jedynie z użyciem loginu i hasła – wyjaśnia Szymon Staśczak odpowiedzialny w Santanderze za PSD2. W aplikacji mobilnej klient, który jeszcze nie dodał smartfona lub tabletu jako urządzenia zaufanego, będzie proszony o „zaufanie" urządzenia i podczas pierwszego logowania zostanie poproszony o dodatkową autentykację za pomocą kodu SMS, tokenu lub mobilnego podpisu. mBank informuje, że w jego przypadku sposób logowania do aplikacji mobilnej nie zmieni się. W internecie ze względu na wymogi SCA bank poprosi klienta o potwierdzenie logowania kodem z SMS albo mobilną autoryzacją. Także tu jest sposób na to, aby nie musieć za każdym razem potwierdzać logowania SMS lub mobilną autoryzacją – należy dodać swój komputer (telefon, tablet) do zaufanych urządzeń.

ING Bank Śląski wyjaśnia, że w trakcie logowania do bankowości internetowej Moje ING klient może zostać poproszony o wpisanie kodu autoryzacyjnego z SMS. Logowanie może przebiegać na dwa sposoby: login i hasło maskowane (pięć wybranych znaków) albo login, hasło maskowane (pięć wybranych znaków) i kod SMS. Z kolei logowanie do aplikacji mobilnej może mieć trzy formy: tylko PIN do aplikacji, tylko identyfikator biometryczny (odcisk palca lub face ID) albo połączenie obu, czyli identyfikator biometryczny i PIN do aplikacji. W ING Banku Śląskim za każdym razem, gdy klient będzie się logować lub zlecać dyspozycje w aplikacji, system bezpieczeństwa przeanalizuje sytuację i dobierze odpowiedni sposób autoryzacji. Oceni też, czy dodatkowa autoryzacja jest potrzebna. – Nie będzie konieczności potwierdzania każdego logowania dwuskładnikowo, SMS będzie wymagany przy niektórych logowaniach. Nigdy nie używaliśmy autoryzacji mobilnej przy logowaniu i nadal nie będziemy. Nie używaliśmy też listy haseł jednorazowych do autoryzacji i nadal nie będziemy – mówi Ewa Szerszeń z ING BSK.

Zmiany dotyczące loginów

W Aliorze klienci poza identyfikatorem i hasłem będą podawali kod SMS lub potwierdzali logowanie przy pomocy aplikacji mobilnej (tzw. logowanie dwuskładnikowe). Jeśli klient doda swoje urządzenie do zaufanych, wystarczy, że podczas logowania wpisze swój identyfikator i hasło. Listą zaufanych urządzeń można będzie zarządzać za pośrednictwem bankowości internetowej. Klienci Aliora otrzymają możliwość skorzystania z powiadomień PUSH w aplikacji mobilnej do autoryzowania operacji zlecanych w bankowości internetowej. Powiadomienia zatwierdzane będą przy pomocy kodu PIN, odcisku palca lub Touch ID. Włączenie autoryzacji mobilnej będzie możliwe w bankowości internetowej oraz podczas aktywacji aplikacji mobilnej.

W Credit Agricole osoby korzystające z e-banku, co jakiś czas podczas logowania będą proszone o wpisanie kodu autoryzacyjnego wysłanego SMS-em (kod trzeba będzie wpisać oprócz loginu i hasła). Osoby korzystające z aplikacji mobilnej mogą zostać poproszone o wpisanie dodatkowo PIN-u mobilnego (tego samego, którym zatwierdza się wykonanie przelewu). Dotychczasowy identyfikator (login), zostanie przekształcony w alias, który będzie można samodzielnie zmieniać. Wprowadzony też będzie nowy identyfikator służący m.in. do logowania – można go znaleźć w skrzynce wiadomości po zalogowaniu się do e-banku. Nowy identyfikator numeryczny oraz alias mogą być używane zamiennie.

Krótsza sesja, dodatkowa autoryzacja przy pobieraniu historii

Dostosowując się do nowych wymogów sporo banków skróci także czas trwania tzw. sesji, czyli czasu po zalogowaniu. Jeśli użytkownik nie będzie wykonywał żadnej czynności w bankowości internetowej lub aplikacji mobilnej, zostanie automatycznie wylogowany po 5 minutach. Tak będzie m.in. w Aliorze czy Credit Agricole (w niektórych bankach takie zasady mogły funkcjonować już wcześniej).

Niektóre banki w serwisie internetowym i mobilnym będzie wymagać dodatkowej autoryzacji również przy pobieraniu informacji starszych niż 90 dni. Zrobi tak np. Credit Agricole: wyświetlając historię lub wyciąg, który obejmuje dane sprzed 90 dni, klient będzie musiał wpisać hasło SMS, klucz, lub PIN mobilny – w zależności od tego z jakiej metody korzysta.

Dodatkowy PIN przy płatności zbliżeniowej o wartości 2 zł?

Same transakcje, już po zalogowaniu do bankowości mobilnej czy internetowej, w zdecydowanej większości już teraz autoryzowane są zgodnie z nowymi wymogami SCA za pomocą jednorazowego hasła czy autoryzacji mobilnej. mBank podkreśla, że nic nie zmienia w autoryzacji poza tym, co oczywiste: nie będzie możliwe korzystanie z listy haseł jednorazowych TAN. – Poza tym nieco częściej poprosimy klienta o kod PIN przy transakcjach zbliżeniowych – mówi Kinga Wojciechowska-Rulka z mBanku. Na ten element zwraca też uwagę Santander. – W przypadku płatności zbliżeniowych kartami płatniczymi klient może zostać poproszony o podanie PIN nawet przy transakcjach, których kwota jest mniejsza niż 50 zł – wyjaśnia Staśczak.

Takiego działania należy się spodziewać we wszystkich bankach, bo nowe przepisy powodują, że niektóre transakcje mogą wymagać zatwierdzenia kodem PIN, nawet jeśli się zdarzy, że klient dokona zakupów tylko za 2 zł. Przepisy wymagać będą autoryzacji, gdy łączna kwota poprzednich transakcji z ostatnich dni bez PIN przekroczy limit, który wynosić będzie maksymalnie 150 euro (ok. 650 zł), ale poszczególne banki będą mogły ustawić go niżej, np. na 20 czy 50 euro. Limit będzie się kasować, gdy klient wykona transakcję z autoryzacją kodem PIN, czyli na kwotę ponad 50 zł. Tych transakcji jest całkiem sporo i klienci robią je często, więc prawdopodobnie nie będzie aż tak dużo przypadków, gdy kwota będzie bardzo niska (parę zł), ale uzbiera się już ta kumulatywna kwota i konieczne będzie zatwierdzanie PIN.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: parkiet.com

Banki Informatyka
Santander BP pozytywnie zaskoczył
Banki
Santander BP pozytywnie zaskoczył
Sprawdź Ofertę Powitalną z Lokatą w Citi Handlowy. Oferta ważna do 22.05.2024 r.
Materiał Promocyjny
Sprawdź Ofertę Powitalną z Lokatą w Citi Handlowy. Oferta ważna do 22.05.2024 r.
Advertisement
Zysk Pekao wyraźnie powyżej oczekiwań
Banki
Zysk Pekao wyraźnie powyżej oczekiwań
Bank Pekao miał 1 514 mln zł zysku netto, 19,6% ROE w I kw. 2024 r.
Banki
Bank Pekao miał 1 514 mln zł zysku netto, 19,6% ROE w I kw. 2024 r.
Bank Santander BP miał 1 564,74 mln zł zysku netto, 20,1% ROE w I kw. 2024 r.
Banki
Bank Santander BP miał 1 564,74 mln zł zysku netto, 20,1% ROE w I kw. 2024 r.
Wsparcie dla beneficjentów dotacji unijnych, w tym środków z KPO
Materiał Promocyjny
Wsparcie dla beneficjentów dotacji unijnych, w tym środków z KPO
Banki będą mieć zaskakująco dobry wynik odsetkowy. A zyski?
Banki
Banki będą mieć zaskakująco dobry wynik odsetkowy. A zyski?
Słodko-gorzkie prognozy dla największych banków
Banki
Słodko-gorzkie prognozy dla największych banków
e-Wydanie
Forum