14 września wchodzą w życie przepisy wdrażające dyrektywę unijną PSD2, które wprowadzają nowe wymagania dotyczące potwierdzania tożsamości m.in. przy korzystaniu z bankowości elektronicznej. Wzmacniają one sposób uwierzytelniania w bankowości elektronicznej i uwierzytelniania się przy transakcjach zbliżeniowych, by zwiększyć bezpieczeństwo korzystania z usług płatniczych oferowanych elektronicznie i tym samym ograniczyć możliwości wystąpienia oszustw związanych z tymi usługami. Nowe przepisy zobowiązują banki do wprowadzenia dwustopniowego uwierzytelniania na etapie uzyskiwania dostępu do konta internetowego, dokonywania transakcji i płatności internetowych.
Według informacji przesłanych PAP na początku tygodnia wynika, że banki już od co najmniej kilku tygodni prowadzą akcje informacyjne w tej sprawie, przesyłając klientom smsy i wiadomości na skrzynki w aplikacjach oraz na kontach internetowych. Od dłuższego czasu informują także klientów o zmianie przepisów na swoich stronach internetowych. Niektóre z nich starają się, by nowe wymagania dotyczące np. logowania na konto były jak najmniej odczuwalne dla klientów, inne przy okazji zmieniają wygląd swoich serwisów internetowych i aplikacji. Zmienioną stronę logowania do serwisu iPKO przygotował np. bank PKO BP.
W związku z nowymi regulacjami wszystkie banki przewidują zmiany zasad korzystania z konta i aplikacji mobilnej, zwłaszcza w sposobie logowania do kont elektronicznych. Większość z nich planuje wykorzystać do tego znane już ich klientom narzędzia. Np. bank Millennium po 14 września będzie wykorzystywał stosowane obecnie formy uwierzytelniania - hasło SMS i autoryzację mobilną.
Z kolei klienci banku Santander, którzy obecnie przy logowaniu się do bankowości internetowej muszą podać login oraz hasło, po 14 września będą także np. podawali sms kod lub składali mobilny podpis, w zależności od tego, z jakiego narzędzia autoryzacyjnego korzystają obecnie przy zleceniach przelewu. Dodatkowo bank umożliwi klientom oznaczenie w systemie wybranego przez nich urządzenia zaufanego - komputera, tabletu czy smartfona - co ograniczy wymagania przy logowaniu się do konta.
Dodatkowe wymagania będą dotyczyły także operacji na kontach lub np. wglądu w historię. Np. bank Pekao przy uzyskiwaniu dostępu do informacji o rachunku będzie wymagał nie rzadziej niż co 90 dni podania kodu sms lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni. Zmiany przewidziano także w odniesieniu do aplikacji mobilnej PeoPay. W przypadku konieczności silnego uwierzytelnienia podczas logowania w PeoPay klient zostanie poproszony o podanie PIN-u nawet w przypadku ustawionego logowania przy użyciu danych biometrycznych.
Zmiany w potwierdzeniu tożsamości będą także wymagane np. przy logowaniu do aplikacji Moje ING mobile. Bank przewidział, że użytkownicy tej aplikacji mogą zalogować się na trzy sposoby: podając PIN do aplikacji, przedstawiając identyfikator biometryczny – odcisk palca lub obraz twarzy, albo obie na raz. Za każdym razem, gdy użytkownik będzie się logować, automatyczny system bezpieczeństwa banku zdecyduje, czy dodatkowa autoryzacja jest konieczna.
Banki wycofują się także z niektórych używanych obecnie rozwiązań, które nie spełniają warunków silnego uwierzytelnienia. Np. Pekao wycofuje karty kodów jednorazowych, tokeny aplikacyjne i sprzętowe, a mBank listę haseł jednorazowych służących potwierdzaniu operacji.
Jak mówił PAP ekspert ds. danych osobowych Maciej Kawecki, trzeba wykazać szczególną czujność, by wchodzące od 14 września przepisy, nie dały okazji także oszustom. Jego zdaniem zmiany są potrzebne, "bo skala zjawiska związanego z oszustwami w sektorze finansowym jest ogromna".
Według Kaweckiego nowe obowiązki, paradoksalnie mogą na początku dać okazję złodziejom. "Spodziewam się fali oszustw nieco podobnych do tych, z jakimi mieliśmy do czynienia np. przy wprowadzaniu RODO, kiedy pod pretekstem aktualizacji różnych polityk prywatności od wielu ludzi wyłudzono pieniądze. Obawiam się, że zaleją nas maile przypominające wiadomości od banku i zawierające linki, pod którym będziemy zachęcani do zmiany hasła. Przestępcy wykorzystają je do wyłudzenia haseł i kradzieży pieniędzy z kont" - powiedział.
Ekspert uczula klientów, by zachowali szczególną ostrożność, by przepisy, które mają nas chronić i zwiększyć nasze bezpieczeństwo finansowe, nie obniżyły naszego bezpieczeństwa przez tego typu incydenty.
Dodał, że poza tym zastrzeżeniem, nowe przepisy poprawią bezpieczeństwo klientów banków, dzięki wprowadzeniu dwustopniowej weryfikacji tożsamości. "Polega ona na tym, że bank musi wykorzystać co najmniej dwa z trzech modeli potwierdzania tożsamości klienta. Pierwszy model wykorzystuje to, co klient wie: czyli hasło wielorazowe bądź PIN. Drugim modelem jest to, co mam w ręku, czyli np. karta kredytowa bądź aplikacja mobilna, którą specjalnie sobie musiałem ściągnąć, podać hasło. Trzecim są dane biometryczne, czyli np. głos lub układ żył na dłoni" - powiedział.
Dodatkowo nowe przepisy wprowadzają wyłączenia z konieczności uwierzytelnienia przy płatnościach, np. kartą w sklepie przy zakupach poniżej limitów (ilościowych lub wartościowych) albo przy niskich kwotach w internecie. "Ten element nowych regulacji budzi mój większy sceptycyzm. Mam wrażenie, że tylko w niewielkim stopniu ograniczy to wyłudzenia, a utrudni płatność bezgotówkową" - powiedział ekspert.
Jak podał Urząd Komisji Nadzoru Finansowego, podmioty, które potrzebują więcej czasu na wdrożenie nowych rozwiązań w zakresie silnego uwierzytelniania (SCA) powinny poinformować o tym KNF przed 14 września 2019 r. KNF nie będzie wydawać w tym przypadku żadnych decyzji, lecz w ramach działań nadzorczych będzie ustalać indywidualnie z poszczególnymi podmiotami "plany migracji", w tym harmonogramy.
"Terminy - do czasu wypracowania w ramach EBA (unijnego nadzoru bankowego - PAP) wspólnego podejścia w tej kwestii - nie są na razie przedmiotem ustaleń pomiędzy KNF, a podmiotami nadzorowanymi. Z pewnością nie będzie to jednak zależeć wyłącznie od woli czy deklarowanych potrzeb tych podmiotów. Problemem nie jest stopień przygotowania samych banków - wydawców kart płatniczych, ale wszystkich uczestników rynku e-commerce - w tym organizacji kartowych, agentów rozliczeniowych i samych merchantów" - wyjaśniono. UKNF przypomina, że nie wszyscy z tych użytkowników są podmiotami nadzorowanymi.
"Z uwagi na ustawową tajemnicę zawodową Urząd KNF nie może przekazać szczegółowych informacji na temat wniosków poszczególnych banków dot. opóźnienia terminu wdrożenia rozwiązań w zakresie silnego uwierzytelniania (SCA). Z informacji UKNF wynika jednak, że banki, jako wydawcy instrumentów płatniczych, są przygotowane na wdrożenie nowych rozwiązań w terminie. Urząd spodziewa się jednak, że wnioski takie się pojawią, a przedłużenie terminu wdrożenia rozwiązań SCA będzie uzasadnione koniecznością dostosowania się do nowych przepisów po stronie acquirerów, czyli agentów rozliczeniowych (podmioty, które rozliczają działając na rzecz akceptantów/sprzedawców transakcje instrumentami płatniczymi)" - dodano.