Od soboty 14 września br. klientów wszystkich banków obowiązuje wymóg silnego uwierzytelniania podczas obsługi kont online. Sprawdziliśmy, jak PSD2 wpłynęło na sposób logowania do serwisów internetowych poszczególnych banków: kiedy proces będzie wydłużony, a kiedy będzie można się logować na starych zasadach.
14 września 2019 roku upłynął termin wdrożenia przez banki działające w Polsce zaleceń dotyczących usług płatniczych, wydanych w postaci unijnej dyrektywy PSD2 (Payment Services Directive 2 - Dyrektywa Parlamentu Europejskiego i Rady UE 2015/2366 z dnia 25 listopada 2015 r.).
Konsekwencją implementacji PSD2 stała się m.in. zmiana standardów technicznych w zakresie silnego uwierzytelniania klienta podczas dokonywana przez niego wybranych operacji bankowych w elektronicznych kanałach obsługi:
inicjowania płatności,
sprawdzania salda konta,
dostępu do informacji o rachunku.
Celem zmian nakładanych przez PSD2 było ograniczenie ryzyka oszustw związanych z transakcjami elektronicznymi, w tym kradzieży pieniędzy z rachunków deponentów podczas wykonywania przez nich przelewów w bankowości internetowej i mobilnej.
Sposobem na zmniejszenie zagrożeń związanych z obsługą rachunków na odległość stało się silne uwierzytelnienie, które polega na stosowaniu do autoryzacji operacji bankowych co najmniej dwóch elementów z różnych kategorii:
kategoria „wiedza” (czyli informacje, posiadane przez klienta, np. hasło internetowe, PIN)
kategoria „posiadanie” (czyli coś należące wyłącznie do klienta, np. otrzymany na telefon kod SMS, powiadomienie PUSH, karta SIM, data ważności lub kod CVC2/CVV2 karty płatniczej)
kategoria „cechy klienta” (czyli cechy biometryczne klienta, np. odcisk palca, twarz, głos)
Do zmian musiały się dostosować wszystkie banki komercyjne, banki spółdzielcze i SKOK-i.
Zwiększenie wymogów w stosunku do obowiązujących procedur uwierzytelniających ma zagwarantować konsumentom i przedsiębiorcom maksymalny poziom bezpieczeństwa płatności elektronicznych.
Większość banków nowy, rozszerzony sposób autoryzacji będzie stosować nie tylko na etapie zlecania przez klienta przelewu czy sprawdzenia przez niego historii wykonanych transakcji, ale już podczas logowania na konto.
Nie zawsze jednak silne uwierzytelnienie będzie konieczne przy każdorazowej próbie uzyskania dostępu do rachunku. W wielu bankach dodatkowa metoda autoryzacji będzie stosowana tylko co jakiś czas lub tylko w przypadkach, gdy od ostatniego logowania minęło więcej niż 90 dni.
Niektóre banki umożliwiają logowanie na starych zasadach po wskazaniu danego urządzenia jako zaufanego, czego można dokonać nawet już na etapie logowania do serwisu transakcyjnego.
Sprawdziliśmy, jak często banki będą wymagać od klientów dwustopniowego uwierzytelnienia podczas logowania do bankowości internetowej oraz jakie metody autoryzacji poza standardowymi (login, hasło, obrazek bezpieczeństwa) będą do tego stosowane.
Bank | Dodatkowy sposób autoryzacji | Jak często będzie wymagane silne uwierzytelnienie? |
|---|---|---|
Alior Bank | kod SMS LUB | każdorazowo LUB |
Bank Pocztowy | kod SMS LUB | każdorazowo |
BNP Paribas | kod SMS LUB | co jakiś czas |
BOŚ | kod SMS LUB | każdorazowo |
Citi Handlowy | kod SMS LUB | co 90 dni |
Credit Agricole | kod SMS | co jakiś czas |
eurobank | kod SMS LUB | każdorazowo |
Getin Bank | kod SMS LUB | każdorazowo LUB |
Idea Bank | kod SMS | każdorazowo LUB |
ING Bank Śląski | kod SMS | co jakiś czas |
Inteligo | autoryzacja mobilna LUB | każdorazowo |
mBank | kod SMS LUB | każdorazowo LUB |
Millennium | kod SMS LUB | co jakiś czas |
Nest Bank | brak - sposób logowania pozostaje bez zmian (potrzebne jedynie: login, hasło i awatar) | silne uwierzytelnianie - kod SMS - będzie stosowane dopiero przy próbie dostępu do wybranych zakładek |
Pekao | kod SMS LUB | nie rzadziej niż co 90 dni |
kod SMS LUB | każdorazowo | |
Santander Bank Polska | smsKOD LUB | każdorazowo LUB |
T-Mobile Usługi Bankowe | kod SMS LUB | każdorazowo |
Toyota Bank | autoryzacja mobilna | każdorazowo |
Źródło: Opracowanie własne na podstawie danych opublikowanych w serwisach internetowych banków | ||
Uwaga! Zestawienie uwzględnia tylko sposób logowania do bankowości internetowej. W przypadku bankowości mobilnej mogą obowiązywać procedury inne niż wymienione w powyższej tabeli.