Silne uwierzytelnianie (konieczność potwierdzania operacji na urządzeniu mobilnym), PIN po dokonaniu pięciu transakcji, czy informacje o wszystkich rachunkach w jednym miejscu – to zmiany, których klienci doświadczą już od 14 września. Niestety nowe regulacje to także dobry moment dla oszustów, na przykład na wyłudzanie danych do logowania do bankowości elektronicznej. Przed phishingiem, czyli podszywaniem się na przykład pod banki, ostrzega między innymi Komisja Nadzoru Finansowego – warto o tym pamiętać.

Silne uwierzytelnianie – o co chodzi? Smartfon jest niezbędny

W związku ze zmianą przepisów banki działające w Polsce wprowadzają nowe metody logowania do bankowości elektronicznej, czy potwierdzania internetowych płatności. Aby zainicjować płatność lub zalogować się do serwisu transakcyjnego konieczna będzie autoryzacja za pomocą co najmniej dwóch z trzech niezależnych metod uwierzytelnienia – czegoś co klient ma, czegoś co klient wie i tego kim klient jest.

Właśnie na tym polega silne uwierzytelnianie (ang. SCA). Do tej pory do zalogowania do bankowości elektronicznej wystarczyło podanie loginu i hasła – czyli tego co klient wie. Teraz niezbędne będzie wykorzystanie także drugiej metody uwierzytelniania, czyli na przykład kodów SMS lub mobilnej autoryzacji (coś co klient ma). Alternatywą może być także biometria, ale na razie nasze banki stawiają raczej na dwie wymienione wcześniej metody.

Te same zmiany dotyczą płatności w e-commerce. Po wprowadzeniu danych karty płatniczej, lub zalogowaniu się na konto bankowe, klient będzie musiał potwierdzić płatność otrzymanym kodem SMS lub mobilną autoryzacją – wpisaniem kodu PIN w bankowej aplikacji mobilnej. Co do zasady każda transakcja ma być autoryzowana z wykorzystaniem dwóch elementów, ale w kilku przypadkach przewidziano wyjątki. Mogą one dotyczyć: niskich kwot transakcji (do 50 PLN), płatności cyklicznych (np. abonament za usługi cyfrowe, opłaty za rachunki), czy wybranych sklepów, którym konsumenci ufają.

Niestety jeśli nie mamy przy sobie telefonu, lub jego bateria się rozładowała, to nie będziemy mogli przeprowadzić silnego uwierzytelniania, a co za tym idzie płatność online nie zostanie zrealizowana. To samo dotyczy logowania do bankowości internetowej.

PIN po pięciu transakcjach i wszystkie konta w jednym miejscu

Kolejna istotna zmiana to płatności w fizycznych sklepach. Zgodnie z wymogami PSD2 klient zostanie poproszony o podanie PIN-u nie tylko przy transakcjach powyżej 50 złotych, ale także po dokonaniu pięciu płatności. Banki będą zobowiązane do stosowania silnego uwierzytelnienia przy co szóstej transakcji (piąta może być bez SCA) lub jeśli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro. W tym miejscu zachęcamy do zapoznania się z krótkim przewodnikiem, który dokładnie opisuje zmiany w płatnościach kartą od 14 września.

Dyrektywa PSD2 to także dwie nowe usługi – inicjowanie płatności w imieniu klienta oraz dostęp do rachunku bankowego. Pierwsza z nich polega na dostaniu się na konto bankowe klienta (oczywiście tylko za jego zgodą) i zainicjowaniu płatności w jego imieniu. Mogą to zrobić na przykład bramki płatnicze w trakcie zakupów internetowych. Dzięki temu środki trafią do sklepu z pominięciem rachunku bankowego pośrednika.

A co jeśli chodzi o usługę dostępu do rachunku bankowego? W dużym uproszczeniu: z poziomu jednej aplikacji bankowej będzie można uzyskać dostęp do rachunków prowadzonych w różnych bankach. Banki działające w Polsce stopniowo zdobywają licencje, pozwalające działać jako TPP (ang. Third Party Provider), a Santander dokonał już nawet stosownych zmian w statucie banku. Bez takiej licencji nie można uzyskać dostępu do bankowego API. Niestety do tej pory stosownego zezwolenia nie uzyskał jeszcze żaden fintech działający w Polsce – dlatego na faktyczną rewolucję otwartej bankowości trzeba będzie jeszcze poczekać.