Europejski Urząd Nadzoru Bankowego opublikował projekt standardów towarzyszących drugiej dyrektywie o usługach płatniczych (PSD2). Użytkownicy bankowości internetowej będą musieli przyzwyczaić się do trzymania telefonu pod ręką. Jednorazowe hasła będą konieczne czasem także przy samym logowaniu.
W zeszłym tygodniu Europejski Urząd Nadzoru Bankowego (EBA) przedstawił długo oczekiwany projekt regulacyjnych standardów technicznych (RTS) wymaganych przez drugą dyrektywę o usługach płatniczych. Prace nad dokumentem przeciągnęły się – pierwotnie regulacje miały ujrzeć światło dzienne w styczniu. Do nadzoru w drugiej rundzie konsultacji napłynęło jednak ponad 220 stanowisk. Nigdy jeszcze przygotowywany przez EBA dokument nie wzbudził takiego zainteresowania i tylu kontrowersji.
Pierwsza wersja standardów technicznych zaprezentowana w połowie 2016 r. spotkała się z krytyką branży. Regulacje uznano za nadmiernie restrykcyjne. Jednym z głównych zarzutów było rozciągnięcie obowiązku stosowania tzw. silnego uwierzytelnienia na operacje, które nie wiążą się z dużym ryzykiem.
Przypomnijmy, że idea silnego uwierzytelnienia opiera się na użyciu przez klienta co najmniej dwóch z trzech elementów:
- Czegoś, co wiemy (np. numeru klienta, hasła, numeru PESEL),
- Czegoś, co mamy (np. telefonu komórkowego, tokena),
- Czegoś, czym jesteśmy (np. odcisk palca).
Zabezpieczenia powinny być od siebie niezależne. Naruszenie pierwszej linii ochrony (np. utrata hasła) nie powinno wpływać na drugi poziom (np. posiadanie telefonu komórkowego, na który wysyłane są hasła SMS). Z takiego mechanizmu korzystamy już m.in. zlecając przelewy w bankowości internetowej. Jest on dobrze znany klientom polskich banków.
„Bank nie wymaga podania hasła jednorazowego przy logowaniu” – tak już nie będzie
Na ekranach logowania do serwisów transakcyjnych wiele polskich banków umieszcza dziś ostrzeżenie przed podawaniem jednorazowych haseł. Tak informuje się klientów, że przestępcy (np. za pośrednictwem konia trojańskiego infekującego komputer) mogą wyłudzać dane potrzebne do zlecenia operacji na rachunku. Już wkrótce użytkownicy będą musieli jednak zmienić przyzwyczajenia.
Standardy techniczne EBA przewidują, że silne uwierzytelnienie wymagane będzie także w przypadku dostępu do rachunku płatniczego. Wyjątki stanowią sytuacje, gdy:
- sprawdzamy saldo rachunku płatniczego.
- Przeglądamy historię transakcji z ostatnich 90 dni dokonanych na rachunku płatniczym.
Takie informacje będziemy mogli zatem otrzymać tylko np. logując się numerem klienta i hasłem („coś, co wiemy”) lub odciskiem palca w bankowości mobilnej („coś, czym jesteśmy”). Warunkiem zastosowania wyjątku od zasady silnego uwierzytelnienia jest niedostępność „wrażliwych danych płatniczych”, czyli wszystkich informacji, które mogą posłużyć do dokonania oszustwa. Oznacza to, że wejście np. do zakładki z danymi klienta powinno wymagać użycia mocniejszych zabezpieczeń.
Wyłączenia przewidziane w standardach europejskiego nadzoru nie oznaczają jednak, że osoby zaglądające na internetowe konto bez zlecania płatności nie będą musiały od czasu do czasu sięgnąć po telefon. Silne uwierzytelnienie będzie wymagane, jeśli:
- po raz pierwszy logujemy się na rachunek płatniczy, nawet tylko po to, by poznać saldo rachunku lub listę operacji.
- Od ostatniego razu „spojrzenia” na listę transakcji z użyciem silnego uwierzytelnienia minęło ponad 90 dni.
Klienci banków będą musieli przyzwyczaić się, że co najmniej raz na trzy miesiące będą musieli sięgnąć po jednorazowe hasło lub inne narzędzie stanowiące drugą linię zabezpieczeń. EBA poszedł jednak na pewne ustępstwa – w poprzedniej wersji standardów technicznych proponowano, by termin ten był krótszy (raz na miesiąc).
Telefon z rootem? Może być problem
W dokumencie europejskiego nadzoru znalazł się fragment, który może zainteresować posiadaczy smartfonów ze złamanymi zabezpieczeniami (tzw. jailbreak lub root). Dostawców usług płatniczych zobowiązano do wprowadzenia mechanizmów, które mają uniemożliwiać korzystanie w procesie silnego uwierzytelnienia z urządzeń „zmodyfikowanych” przez płatnika lub trzecią stronę, ewentualnie do „złagodzenia” efektów takich modyfikacji. Taki zapis może dać instytucjom podstawę do dyskryminowania użytkowników chcących korzystać z gadżetów po przeróbkach.
Ostateczny szkic standardów technicznych przygotowany przez EBA zostanie teraz przekazany do Komisji Europejskiej, a następnie do Parlamentu Europejskiego. Regulacje zaczną obowiązywać od 18 miesięcy po ich opublikowaniu w dzienniku urzędowym – najwcześniej w listopadzie 2018 r.
