Pierwszy efekt obowiązywania dyrektywy PSD2 dla bankowych klientów to nowe zasady uwierzytelniania i autoryzowania niektórych operacji.
PSD2 wprowadza silne uwierzytelnianie. Do wejścia na rachunek albo wykonania operacji nie wystarczy już tylko podanie loginu i hasła. Konieczne stało się potwierdzenie chęci np. zlecenia przelewu przez wpisanie kodu – albo wysłanego w wiadomości SMS przez bank na telefon właściciela konta, albo przez aplikację bankową zainstalowaną w smartfonie.
Choć silne uwierzytelnianie to większe bezpieczeństwo, to dla niektórych klientów banków może to stanowić utrudnienie. Z problemem mogą się zetknąć np. osoby, które nie zaktualizowały w porę swoich danych, z numerem telefonu na czele. Albo takie, które używają komórki sporadycznie lub wcale. Zapytaliśmy główne urzędy odpowiedzialne za ochronę praw konsumentów, czy w takim przypadku prawa konsumentów będą należycie chronione.
– Nie analizowaliśmy tej kwestii – przyznaje Agnieszka Majchrzak z Urzędu Ochrony Konkurencji i Konsumentów.
Swoje zdanie na ten temat ma też Komisja Nadzoru Finansowego, która odpowiada za prawidłowe działanie systemu bankowego. Choć KNF odsyła do UOKiK i rzecznika finansowego jako instytucji odpowiedzialnych za ochronę praw konsumenckich, to jednak zaznacza, że trudno sobie wyobrazić sytuację, w której dostawca usług płatniczych, ze względu na konieczność wdrożenia nowych rozwiązań, będzie uniemożliwiał klientowi skorzystanie z usług, w tym utrudniał dostęp do bankowości online.
– Jeżeli klient nie ma możliwości uwierzytelnienia się daną metodą (np. nie ma telefonu komórkowego), dostawca powinien przewidzieć metodę alternatywną – np. kontakt za pośrednictwem urządzenia, z którego klient korzysta w celu dostępu do usług lub wykonania transakcji – mówi Jacek Barszczewski, dyrektor departamentu komunikacji społecznej UKNF.
Bankowcy uważają, że przypadki, by ktoś korzystający z bankowości internetowej nie używał jednocześnie telefonu, to rzadkość. W większości instytucji już na etapie zawierania umowy klient podaje numer telefonu, który służy mu potem do autoryzowania transakcji poprzez SMS – np. do zatwierdzania przelewów. Klienci indywidualni PKO nadal będą stosowali dotychczasowe metody w zakresie silnego uwierzytelniania. Z tym że częściej niż dotychczas, bo np. już na poziomie logowania do konta czy przy uzyskiwaniu dostępu do historii rachunku obejmującej więcej niż 90 dni. Podobnie jest w ING Banku Śląskim. Ta ostatnia instytucja podkreśla, że numer telefonu trzeba było podać już w umowie o prowadzenie bankowości internetowej, więc nie powinno być kłopotu z dodatkowymi elementami uwierzytelniania.
– Obecnie może być niewielki odsetek osób, które nie zaktualizowały swojego numeru telefonu, i wówczas nie będzie możliwe zalogowanie się do systemu bądź przeprowadzenie transakcji przelewu. W takich sytuacjach realizacja transakcji będzie możliwa jedynie w oddziale banku – przyznaje bank.
W Millennium dodatkowymi elementami uwierzytelniania będą narzędzia wykorzystywane do tej pory: hasło SMS i autoryzacja mobilna. – W celu zabezpieczenia klientom dostępu do kanałów elektronicznych prowadzimy liczne działania informacyjne. Szczególnie intensywnie komunikujemy zmiany klientom, którzy nie korzystali dotychczas z dostępnych narzędzi autoryzacji – podaje biuro prasowe banku Millennium.
Także mBank rozszerza jedynie stosowanie dotychczas używanych metod dodatkowej autoryzacji, przy logowaniu na konto poza koniecznością wpisania loginu i hasła pojawi się konieczność zatwierdzenia logowania mobilną autoryzacją lub przez SMS.
– Klient nie musi korzystać z usług online, a jeżeli chce to robić – to powinien mieć silne uwierzytelnienie. Osoba, która nie korzysta z telefonu i aplikacji, będzie mogła skorzystać z obsługi w naszych placówkach – stwierdza biuro prasowe mBanku w odpowiedzi na nasze pytania w tej sprawie.
Eksperci informują, że silne uwierzytelnienie niesie ze sobą również udogodnienia dla klientów.
– Dzięki nowym usługom identyfikacyjnym, starając się np. o pożyczkę, będziemy mogli podawać mniej danych osobowych – komentuje Luiza Bolda-Bas, ekspertka Blue Media.
Po przekierowaniu na stronę banku i zaakceptowaniu regulaminu do pożyczkodawcy będą kierowane informacje o tożsamości klienta oraz jego zagregowane dane finansowe. Przed przekazaniem danych klient będzie widział dokładny raport na swój temat, który przekazany zostanie danej instytucji. Dzięki temu klient na każdym kroku będzie miał świadomość, jakie dane, w jakim zakresie i do kogo są kierowane.
Jak zaznacza Luiza Bolda-Bas, dzięki temu nie tylko proces wnioskowania o pożyczkę będzie szybszy i wygodniejszy, lecz także jako klienci będziemy mieć pełną kontrolę nad tym, jakie dane chcemy udostępnić danej instytucji.
Ten, kto nie ma smartfonu, będzie musiał osobiście stawić się w banku
Klient ma prawo nie korzystać z usług online, a jeżeli chce to robić – musi mieć silne uwierzytelnienie