Bezpieczeństwo

Korzystasz z bankowości elektronicznej? Przeczytaj, to ważne (czyli słowo o dyrektywie PSD2)

Co zmieni się w momencie wdrożenia dyrektywy PSD2?

Tomasz Szwast·
Strona główna
Bezpieczeństwo
Korzystasz z bankowości elektronicznej? Przeczytaj, to ważne (czyli słowo o dyrektywie PSD2)

Co jakiś czas przepisy prawa międzynarodowego narzucają zmiany w sposobie korzystania z różnych usług. Kolejna duża zmiana nadejdzie już 14 września.

Ostatnie lata to okres bardzo dynamicznego rozwoju usług zdalnych, w zdecydowanej większości opartych na komunikacji przez Internet. Powoduje to szereg zmian, za którymi usiłują nadążyć osoby stanowiące prawo krajowe i międzynarodowe. Cel zawsze jest szczytny – dostosowanie przepisów do wymagań zmieniającego się świata, jednak efekty… cóż, bywają różne.

Kilka lat temu na niemal wszystkich stronach internetowych pojawił się obowiązkowy komunikat dotyczący cookies. Dziś już chyba nikt nie zwraca na niego uwagi i odruchowo zamyka po wejściu na jeszcze nieodwiedzaną stronę. Niedługo później w życie weszły przepisy FATCA i CRS, obligujące klientów instytucji finansowych do składania oświadczeń o rezydencji podatkowej. 2018 rok przyniósł takie dyrektywy jak IDD (w praktyce: konieczność złożenia oświadczenia o tym, że dany produkt ubezpieczeniowy spełnia nasze wymagania), RODO (w praktyce: wszechobecne klauzule informacyjne i widmo drakońskich kar u większości przedsiębiorców), czy IV dyrektywa AML (w praktyce: konieczność składania oświadczeń o niezajmowaniu eksponowanego stanowiska politycznego wobec szeregu instytucji, dla przedsiębiorców dodatkowe obowiązki związane z tzw. beneficjentem rzeczywistym).

Informację o zmianach dla klientów ING dostarczyła jak zwykle czujna Kasia :)

Nowe przepisy potrafią nieźle namieszać

Jak duży chaos potrafi wywołać nowy porządek prawny świadczy chociażby, pierwszy z brzegu przypadek dostosowania się do wymogów IV dyrektywy AML przez SkyCash, gdzie większość użytkowników zignorowała mailowe prośby o uzupełnienie danych (m.in. przesłanie skanu dowodu osobistego). Zgodnie z prawem, jako że operator płatności nie mógł zastosować wymaganych środków bezpieczeństwa finansowego, zablokował dostęp do platformy klientom, którzy uchylili się od konieczności dostarczenia danych. Spowodowało to utratę dostępu do środków zgromadzonych w elektronicznej portmonetce, brak możliwości opłacenia biletów komunikacji miejskiej czy miejsca parkingowego. Zaskoczeni klienci dosłownie zalali SkyCash uzupełnieniem dokumentacji, co spowodowało wydłużenie czasu trwania weryfikacji do kilku dni.

Tym razem zmiany będą nieco mniej radykalne, obejmą bowiem sposób, w jaki logujemy się do bankowości elektronicznej czy korzystamy z niej. Pojawi się też szereg pomniejszych zmian, w tym dotyczących płatności zbliżeniowych. W kilku poniższych akapitach postaram się przedstawić zmiany, jakie pociągnie za sobą wdrożenie zmian wymaganych przez PSD2 (ang. Payment Services Directive 2).

Fragment komunikatu dla klientów PKO BP

Dlaczego konieczne jest wdrożenie PSD2?

Dyrektywa PSD2 ma za zadanie zapewnić rozwój usług płatniczych w kilku obszarach. Pierwszym z nich jest znaczące podniesienie bezpieczeństwa transakcji dokonywanych przy wykorzystaniu elektronicznych środków płatniczych (bankowość elektroniczna, płatności mobilne, płatności kartą płatniczą). Drugim – ujednolicenie i usprawnienie systemu płatności funkcjonującego w całej Unii Europejskiej. Trzecim – rozwój nowych technologii usług płatniczych. Czwartym – uczynienie rynku finansowego bardziej konkurencyjnym, m.in. poprzez konieczność otwarcia się na zewnętrznych dostawców usług.

O zmianach informuje również mBank (dzięki Andrzej!)

Bezpieczeństwo – silne uwierzytelnianie

PSD2 nakłada na instytucje finansowe wdrożenie mechanizmu silnego uwierzytelniania (ang. Strong Customer Authentication). Oznacza to wprowadzenie dodatkowych narzędzi mających zapewnić, że konkretne operacje wykonuje osoba upoważniona. W tym celu wprowadzone zostaną, między innymi:

  • dwuetapowe logowanie do bankowości elektronicznej – samo logowanie, poza podaniem numeru klienta i hasła (albo hasła maskowanego), będzie musiało zostać zatwierdzone narzędziem autoryzacyjnym (aplikacja mobilna, kod SMS, token itp). W większości banków włączenie takiego zabezpieczenia jest możliwe już od kilku lat, od września stanie się obowiązkowe;
  • CAPTCHA – w serwisach bankowości elektronicznej może pojawić się, wybiórczo, powszechnie nielubiane zabezpieczenie polegające na wskazaniu określonych treści na obrazku czy przepisaniu wyświetlonego ciągu znaków;
  • w przypadku chęci pobrania historii transakcji starszej niż transakcje bieżące (z reguły około 90 dni) konieczne będzie zatwierdzenie operacji narzędziem autoryzacyjnym;
  • maskowanie wprowadzanych kodów z narzędzia autoryzacyjnego (zamiast cyfr w formularzu pojawią się gwiazdki, jak przy standardowym polu hasła);
  • skrócenie czasu aktywnej sesji (automatyczne wylogowanie szybciej niż do tej pory, najczęściej już po pięciu minutach);
  • konieczność potwierdzania PINem do karty wybranych transakcji niezależnie od kwoty (prośba o PIN będzie się losowo pojawiać nawet przy transakcjach poniżej 50 zł).
Pekao SA część zmian już wcielił w życie

Wprowadzane obostrzenia powinny więc, w teorii, znacząco ograniczyć zjawisko phishingu, które obecnie staje się co raz powszechniejsze. Podszywanie się pod banki, firmy kurierskie, czy nawet osoby bliskie w serwisach społecznościowych to niestety ponury standard. Przejście dodatkowych kroków ma uczulić użytkownika na konieczność weryfikacji każdej transakcji. Czy system zadziała? Śmiem wątpić. Zmiany w procesie szybko spowszednieją, a lekkomyślnych użytkowników nigdy nie braknie. W większości przypadków nowości po prostu wydłużą czas obsługi bankowości elektronicznej.

Podobnie sytuacja wygląda z zatwierdzaniem PINem małych kwot. Czy taki zabieg skłoni użytkowników do weryfikacji tego, co jest widoczne na ekranie terminala? Nie chcę być pesymistą, jednak przeczuwam, że wciąż znajdą się osoby, które odruchowo wklepią cyferki i zatwierdzą transakcję. Dla większości – kolejna niedogodność.

Wzrost konkurencyjności – model otwartej bankowości elektronicznej

Ta zmiana jest, z pewnością, dużo bardziej prokonsumencka niż nowe ograniczenia wynikające z kwestii bezpieczeństwa. Najpóźniej do dnia 14 września instytucje finansowe mają obowiązek udostępnienia swojego API wszystkim zainteresowanym podmiotom zewnętrznym, które pozytywnie przeszły weryfikację regulatora rynku (w przypadku Polski jest to Komisja Nadzoru Finansowego). Podmioty trzecie będą mogły, na wniosek użytkownika, wykonać trzy operacje:

  1. AIS – dostęp do informacji o rachunku bankowym (m.in. historia rachunku);
  2. PIS – inicjowanie płatności;
  3. CAF – informacja o wysokości salda na rachunku.

Jak to się przekłada na praktykę? Wyobraźmy sobie, że dany klient posiada rachunek w banku X oraz banku Y. Jako, że obydwa muszą dostosować się do dyrektywy PSD2 na czas wdrażają otwartą bankowość. Jeśli bank X zaoferuje stosowną funkcjonalność klient będzie mógł nakazać bankowi Y udostępnienie możliwości wykonania wskazanych wyżej operacji. Oznacza to, że po zalogowaniu do bankowości elektronicznej banku X, będzie widział wysokość salda oraz historię transakcji na rachunku w banku Y. Będzie mógł również zlecić przelew z konta w banku Y z poziomu bankowości X.

Takie rozwiązanie wydaje się bardzo wygodne. Wiadomo nie od dziś, że poszczególne serwisy bankowości internetowej i aplikacje mobilne potrafią diametralnie różnić się w zakresie czytelności i wygody obsługi. Od września możliwym stanie się obsługiwanie wielu kont w jednym, znajomym interfejsie. Moim zdaniem to bardzo użyteczne rozwiązanie.

Drugi wariant wykorzystania danych przez bank trzeci to klasyczny wniosek o pożyczkę czy kredyt. Jeśli dany klient będzie wnioskował o produkt kredytowy w banku A, będzie mógł mu nadać dostęp do historii rachunku w banku B. To również znaczące udogodnienie, oznaczające w praktyce brak konieczności generowania wyciągów czy pozyskiwania zaświadczeń od pracodawcy. Dodatkowo taka możliwość badania wiarygodności kredytowej może wpłynąć na korzyść klienta, co spowoduje wzrost konkurencyjności na rynku.

Alior Bank chwali się dopełnieniem formalności

Pozostałe nowości

Zmiany opisane powyżej są najbardziej istotne z perspektywy codziennego korzystania z bankowości, jednak unijni prawodawcy na tym nie poprzestali. Zmieniono bowiem również maksymalny czas oczekiwania na rozpatrzenie reklamacji dotyczących usług płatniczych (z 30 dni kalendarzowych na 15 dni roboczych), zmniejszono próg odpowiedzialności banków za nieautoryzowane transakcje (z dotychczasowej równowartości 150 euro na 50 euro) oraz ustalono jednolity sposób rozliczania kosztów przelewu zagranicznego do krajów Europejskiego Obszaru Gospodarczego (obowiązuje wyłącznie dzielenie kosztów między nadawcę a odbiorcę).

Jak przygotować się na zmiany?

Przede wszystkim uważnie czytać korespondencję, która w najbliższych dniach pojawi się, lub już pojawiła na skrzynkach e-mail, w bankowości elektronicznej oraz na stronach dostawców usług finansowych z których korzystamy. Warto zweryfikować, którego dokładnie dnia dana instytucja będzie wdrażała stosowne zmiany do swojej bankowości. Wiadomo, że systemy informatyczne bywają zawodne, mimo najszczerszych chęci programistów i administratorów, dlatego warto postarać się o wcześniejszą realizację transakcji, które musimy zlecić w dniu wprowadzania zmian oraz zabezpieczyć, na wszelki wypadek, fizyczną gotówkę w wysokości niezbędnej do przeczekania możliwych godzin niedostępności bankowości internetowej.

Jeśli rzadko korzystamy z elektronicznej bankowości w danym banku warto również sprawdzić, czy dysponujemy ważnym narzędziem autoryzacyjnym. Najczęściej są to kody SMS, więc jeśli w ostatnim czasie nasz numer telefonu się zmienił, warto poinformować o tym bank.

Źródło: własne, PKO Bank Polski

Obserwuj nas