Od 14 września 2019 r. dostawcy usług płatniczych zobowiązani są do stosowania silnego uwierzytelnienia użytkownika. Oznacza to, że zarówno logowanie do bankowości internetowej czy płatności kartami staną się nieco bardziej skomplikowane.

Zmiany te wynikają z art. 32i ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych oraz Rozporządzenia Delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. Nowe obowiązki to także efekt implementacji dyrektywy znanej pod określeniem „PSD2”.

Dlaczego instytucje finansowe będą wprowadzić dodatkowe zabezpieczenia? Chodzi o zmniejszanie ryzyka utraty środków przez klientów instytucji finansowych. To odpowiedź na wyzwania jakie przynosi rozwój informatyzacji, a wraz z nim wzrost wyłudzeń i ataków hakerskich czy kradzieży tożsamości.

Z jakimi zmianami konkretnie spotkamy się od 14 września 2019 r?

- Dotyczą one sposobu uwierzytelniania tożsamości użytkownika usług płatniczych, czyli weryfikowania jego tożsamości w przypadku min. inicjowania elektronicznej transakcji płatniczej (np. płatności kartą za zakupy Internecie – przyp. red.), czy uzyskiwania dostępu do rachunku w trybie on-line – wyjaśnia Artur Piechocki, radca prawny, partner zarządzający w kancelarii APLaw Artur Piechocki.

Co najmniej dwa zabezpieczenia przy transakcjach online

Silne uwierzytelnienie on-line ma polegać na zastosowaniu co najmniej dwóch elementów zabezpieczeń z trzech dopuszczonych kategorii. O jakie kategorie chodzi?

- Pierwszy element to „wiedza” o czymś co jest znane wyłącznie użytkownikowi (np. kod PIN – przyp. red). Drugi z kolei to zastosowanie czegoś będącego w „posiadaniu” (np. karta lub telefon z kartą SIM – przyp. red) wyłącznie użytkownika. Trzecia kategoria zabezpieczeń to cechy charakterystyczne użytkownika. Elementy muszą jednak pozostawać od siebie niezależne, co oznacza, że naruszenie jednego z tych elementów (np. w wyniku jego ujawnienia niepowołanej osobie – przyp. red) nie osłabia wiarygodności pozostałych elementów – informuje Katarzyna Gorzkowska, prawnik w kancelarii APLaw Artur Piechocki.

Warto w tym miejscu lepiej przyjrzeć się, czym jest trzecia kategoria uwierzytelniania, czyli tzw. „cecha klienta”. Musi być ona specyficzna i przypisana do konkretnej osoby – dysponuje nią bowiem tylko klient i to właśnie ona go wyróżnia spośród innych ludzi.

W tej kategorii mieści się np. logowanie za pomocą odcisku palca czy siatkówki i tęczówki oka. Mniej powszechne, lecz także dopuszczalne metody zabezpieczeń wykorzystujących elementy biologiczne to skanowanie układu żył, rozpoznawanie geometrii dłoni, rozpoznawanie głosu. Możemy spotkać się także metodami polegającymi na analizowaniu zachowania użytkownika, np. identyfikacji po sposobie pisania.

Zgodnie ze stanowiskiem Europejskiego Urzędu Nadzoru Bankowego (EUNB), zastosowane elementy silnego uwierzytelnienia powinny należeć do różnych kategorii. Oznacza to, że dostawcy usług płatniczych nie będą mogli weryfikować tożsamości użytkownika prosząc wyłącznie o podanie dwóch różnych haseł.

W ramach zabezpieczeń, które znajdują się wyłącznie "w posiadaniu" użytkownika (druga kategoria), EUNB dopuścił także instrumenty niematerialne, takie jak aplikacje mobilne. EUNB zwraca jednak uwagę na konieczność spełnienia pod tym względem wymagań określonych w Regulacyjnych standardach technicznych

Płatność kartą w sklepie stacjonarnych

Zmiany, które wymusiła dyrektywa PSD2 będą dotyczyć także niektórych płatności kartami. Obecnie w Polsce przy transakcjach zbliżeniowych do 50 zł nie jest wymagane podawanie kodu PIN. Natomiast już od 14 września 2019, szóstą z kolei płatność zbliżeniową trzeba będzie potwierdzić PIN-em. Następnie licznik wyzeruje się i przy pięciu kolejny transakcjach do 50 zł nie będziemy wstukiwać czterocyfrowego kodu.

Pamiętajmy jednak, że silne uwierzytelnianie nie będzie jednak w ogóle stosowane przy płatnościach za przejazdy autostradą czy biletomatach.

Zmiany także dla przedsiębiorców

Zasady silnego uwierzytelniania będą dotyczyły zarówno konsumentów jak i przedsiębiorców, czy osób uprawnionych do zlecania przelewów z rachunków firmowych. W rozumieniu ustawy o usługach płatniczych, użytkownikiem korzystającym z usług płatniczych w charakterze płatnika lub odbiorcy może być bowiem osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, której ustawa przyznaje zdolność prawną (art. 2 pkt 22 i art. 22 pkt 34 ustawy o usługach płatniczych).