Od 14 września spore zmiany w e-bankowości i płatnościach, przy okazji bat na oszusta

Jednym z obowiązków nakładanych tą dyrektywą przez regulatora na banki i instytucje płatnicze, w tym pośredników w płatnościach internetowych jest konieczność wprowadzenia tzw. silnego (podwójnego) uwierzytelniania w trakcie dokonywania płatności elektronicznych.

Dla kupujących i płacących przez internet nowe przepisy oznaczają zmiany w procesie weryfikacji tożsamości podczas e-zakupów. Silne uwierzytelnianie wymagać będzie zastosowania co najmniej dwóch z trzech elementów: czegoś, co klient zna (np. PIN lub hasło), czegoś, co klient ma (np. telefon) i czegoś, czym klient jest (np. odcisk palca, rozpoznawanie twarzy lub głosu) - wyjaśniają eksperci z PayU.

Przy płatnościach przelewem typu pay-by-link podwójne uwierzytelnianie będzie polegało np. na zalogowaniu do bankowości elektronicznej (coś, co klient zna - hasło) oraz, dodatkowo, np. na przepisaniu kodu otrzymanego w wiadomości SMS (coś, co klient ma - telefon). Warto zatem przy e-zakupach mieć przy sobie telefon. Dla określonych wyjątków (np. transakcji niskiego ryzyka lub transakcji poniżej 30 euro) bank będzie mógł nadal decydować o uwierzytelnianiu transakcji na starych zasadach (np. bez konieczności wpisywania kodu SMS).

ZOBACZ TAKŻE:Kaufland przejmie sklepy Tesco? Sieć marketów złożyła wniosek do UOKiK

Użytkownicy płacący kartą kredytową lub debetową mogą się spodziewać zmian w przechodzeniu przez procedurę 3D Secure tak, aby spełniała ona w pełni wymogi silnego uwierzytelniania. Oznaczać to może np., oprócz wpisania kodu z wiadomości SMS (coś, co klient ma), dodatkowo konieczność zalogo-wania się do bankowości elektronicznej banku - wydawcy karty (coś, co klient zna - hasło) lub zatwierdzenie płatności za pomocą biometrii poprzez zalogowanie się do aplikacji mobilnej banku - wydawcy karty (coś, czym klient jest - odcisk palca). Jednak nadal agenci rozliczeniowi będą mogli zastosować wyjątki od silnego uwierzytelniania, umożliwiające dokonanie płatności zapisaną kartą bez konieczności stosowania procedury 3D Secure.

Najmniej zmian zauważą natomiast użytkownicy BLIK-a, gdyż to rozwiązanie już dziś wykorzystuje podwójne uwierzytelnianie, czyli jednorazowy kod generowany w aplikacji mobilnej (coś, co klient ma) oraz logowanie do aplikacji mobilnej banku (coś, co klienta zna - hasło lub coś, czym klient jest - odcisk palca, jeśli do logowania wykorzystywana jest biometria).

- Z silnego uwierzytelniania zwolnione będą także płatności za usługi oparte na subskrypcji, czyli powtarzające się płatności o tej samej lub różnej wartości na rzecz wskazanego akceptanta. Jedynie moment wyrażenia zgody na cykliczne obciążenie i zapisanie karty będzie wymagał silnego uwierzytelniania. Nadal będzie można tworzyć także listy zaufanych odbiorców czy składać zlecenia stale i tutaj silne uwierzytelnianie będzie wymagane jednorazowo, podczas inicjowania takiej operacji - mówi Jakub Seifert z PayU.

Wprowadzane przez PSD2 zmiany mają na celu zwiększenie bezpieczeństwa transakcji dokonywanych online - tłumaczą przedstawiciele PayU. Szczególnie w ostatnim czasie, gdy są coraz częstsze próby wyłudzenia przez oszustów czy to danych kartowych, czy do logowania do e-bankowości, kwestia ta jest absolutnie priorytetowa.

Jak podają eksperci portalu Bankier.pl, np. klienci PKO BP będą mogli korzystać z autoryzacji mobilnej w aplikacji IKO i funkcji dwuetapowego logowania do systemu e-bankowości iPKO i Inteligo. Po jej włączeniu, podczas logowania do e-bankowości, oprócz podania standardowo hasła do iPKO/ Inteligo, klient będzie zatwierdzał logowanie także w aplikacji mobilnej. Tak jak do tej pory, będzie można korzystać z różnych form autoryzacji, np. z kodów SMS lub jednorazowych z karty kodów.

Logując się do bankowości internetowej i mobilnej, Bank Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod też w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. W przypadku konieczności silnego uwierzytelnienia podczas logowania w aplikacji mobilnej PeoPay, klient zostanie poproszony o podanie PIN-u nawet w przypadku ustawionego logo-wania biometrią. Dla transakcji płatniczych zastosowanie będzie miał szereg wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub do zdefiniowanych odbiorców.

CZYTAJ:Phishing. Podają się za administratorów Onetu. Ufaj zaufanym nadawcom!

Bank ten podjął decyzję o wycofaniu metod autoryzacji niezgodnych z zasadami silnego uwierzytelnienia (karta kodów jednorazowych, token) i pozostawieniu metod autoryzacji opartych o kody SMS oraz wiadomości push (z aplikacji PeoPay).

Santander Bank Polska będzie zawsze wymagać silnego uwierzytelnienia. Dodatkowym zabezpieczeniem (poza hasłem) będą token, smsKod lub mPodpis (wybór klienta). Nowością będzie możliwość zdefiniowania komputera jako urządzenia zaufanego. Wówczas dodatkowe zabezpieczenie będzie wymagane jedynie co jakiś czas.

W trakcie logowania do bankowości internetowej mBank poprosi klientów o podanie hasła SMS lub potwierdzenie operacji mobilną autoryzacją. Wyjątkiem będzie sytuacja, w której klient doda komputer do zaufanych. Wtedy bank będzie go prosił tylko czasami o dodatkowe potwierdzenie logowania.

W ING Banku system w trakcie logowania będzie mógł poprosić o wpisanie kodu autoryzacyjnego z SMS-a. Zatem nie będzie konieczności potwierdzania każdego logowania dwuetapowo - SMS będzie wymagany przy niektórych logowaniach. Za każdym razem gdy użytkownik będzie się logować, system bezpieczeństwa błyskawicznie przeanalizuje sytuację i oceni czy dodatkowa autoryzacja jest konieczna. Bank nie będzie używał do logowania na rachunek autoryzacji mobilnej. Dodatkowe potwierdzenie logowania może się też pojawić w aplikacji mobilnej. Wówczas bank poprosi nie tylko o odcisk palca lub PIN, ale równocześnie o oba zabezpieczenia.

ZOBACZ:Kujawsko-pomorska skarbówka i CBŚ zlikwidowali nielegalną fabrykę papierosów

Alior Bank planuje wprowadzić silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać przez system bankowości internetowej. Logowanie do niego będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną.

- Wyjeżdżając za granicę do krajów spoza UE, sprawdź jakie dodatkowe sposoby uwierzytelnienia są wymagane przez bank od 14 września i wybierz taki, który nie wymaga włączenia transferu danych np. potwierdzenia SMS. Koszty odebrania wiadomości przychodzących z reguły pokrywa sieć - podaje ZBP. Szczegóły na ich stronie.

Urząd Komisji Nadzoru Finansowego przestrzega właśnie Polaków przed możliwością kradzieży tożsamości lub środków finansowych. KNF zwraca uwagę na konieczność zachowania szczególnej ostrożności oraz apeluje do klientów instytucji finansowych o postępowanie zgodne z ustalonymi przez te instytucje standardami w zakresie komunikacji. Podejrzenia powinny wzbudzić wszelkiego rodzaju wiadomości e-mailowe, SMS oraz próby kontaktu telefonicznego powołujące się na wejście w życie nowych rozwiązań, gdzie klient proszony jest o przekazanie informacji zawierających dane wrażliwe, w szczególności: dane logowania do bankowości elektronicznej, kody autoryzacyjne i kody PIN, dane osobowe; lub informowany jest o zablokowanym koncie albo proszony o kliknięcie w przesłany mailem lub SMS-em link, zmianę hasła lub innych danych do logowania za pomocą przesłanego linku, otworzenie podejrzanego załącznika, uruchomienie lub instalację przesłanej aplikacji, wykonanie podejrzanej płatności lub przelewu internetowego.

W przypadku wątpliwości, kontaktujmy się ze swoim dostawcą usług płatniczych.