Tak poważnej zmiany, dotykającej większości klientów jednocześnie, nie było od początków bankowości elektronicznej. Do tej pory banki mogły w dużej mierze samodzielnie ustalać, jak będzie wyglądać logowanie do serwisów transakcyjnych i potwierdzanie operacji. Bardziej zestandaryzowane było podejście do płatności kartowych, co wynikało z reguł narzucanych przez organizacje płatnicze.
Wszystko zmieni się 14 września 2019 r., gdy w życie wejdą zmiany w ustawie o usługach płatniczych. Wynikają one z unijnej dyrektywy PSD2. Dostawcy usług płatniczych mieli czas, by przygotować się na rewolucję, ale wiele instytucji wprowadza nowe reguły niemal na ostatnią chwilę. Niewykluczone zatem, że w połowie września infolinie banków, SKOK-ów i innych dostawców podstawowych usług finansowych będą przeżywać oblężenie. Związek Banków Polskich zebrał najważniejsze informacje z punktu widzenia klientów i radzi, jak przygotować się na zbliżające się nowości.
Silne uwierzytelnienie – co to jest?
Od 14 września stosowanie silnego uwierzytelnienia będzie obowiązkowe w niektórych typach operacji dokonywanych w sklepach (terminalach płatniczych), sieci (zakupy online) oraz przy logowaniu i korzystaniu z bankowości internetowej i mobilnej. Idea jest następująca – potwierdzenie naszej tożsamości będzie musiało odbywać się poprzez użycie co najmniej dwóch niezależnych od siebie elementów z poniższej listy:
- Czegoś, co wiemy (np. numeru klienta, hasła),
- Czegoś, co mamy (np. telefonu komórkowego),
- Czegoś, czym jesteśmy (np. odcisk palca).
Z silnym uwierzytelnieniem spotykamy się już dzisiaj, np. podczas płatności kartami w sieci. Podczas potwierdzenia transakcji wymaga się od nas czegoś, co wiemy (numer karty, kod CVC2/CVV2 z rewersu plastiku), a potem czegoś, co mamy (np. wpisania hasła przesłanego na telefon komórkowy).
Co się zmieni w płatnościach kartą?
W przypadku płatności kartami silne uwierzytelnienie nie będzie obowiązkowe przy transakcjach zbliżeniowych. Ten wyjątek jest jednak obwarowany dodatkowymi warunkami. „Te nowe warunki to tzw. liczniki transakcji, ilościowe albo wartościowe. Licznik ilościowy wymusza silne uwierzytelnienie po pięciu następujących po sobie transakcjach zbliżeniowych (bez względu na kwotę). Licznik wartościowy silne uwierzytelnienie wymusi z kolei po przekroczeniu określonej przez wydawcę instrumentu płatniczego kwoty następujących po sobie transakcji zbliżeniowych. Chociaż rozporządzenie określa kwotę takiego limitu na 150 euro, to wydawca danego instrumentu może określić ten limit na niższym poziomie. Polscy wydawcy (banki) skorzystają z tej możliwości i będą ustawiać go niżej” – wskazuje Wojciech Pantkowski, dyrektor Zespołu Systemów Płatniczych i Bankowości Elektronicznej Związku Banków Polskich.
Rygor silnego uwierzytelnienia nie będzie obejmował transakcji w terminalach samoobsługowych służących do regulowania opłat za transport, np. w biletomatach, na bramkach autostradowych czy w parkometrach.
W przypadku płatności kartami online również przewidziano kilka wyjątków. „W tym przypadku kwota pojedynczej transakcji nie może przekroczyć 30 euro, licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 euro, a liczba następujących po sobie transakcji jest analogiczna jak w płatnościach zbliżeniowych i wynosi 5. W tym obszarze wyjątkiem od powyższych reguł jest możliwość ujęcia danego sprzedawcy na liście tzw. zaufanych sprzedawców, co pozwala na zastosowanie nieco innych (wyższych) limitów określonych szczegółowo w rozporządzeniu. Wymaga to jednak rozszerzonego zakresu monitorowania transakcji od takiego sprzedawcy” – podkreśla Wojciech Pantkowski.
Co się zmieni w korzystaniu z bankowości elektronicznej?
Wymóg silnego uwierzytelnienia będzie obowiązywał także w przypadku dostępu do rachunku płatniczego online. Do tej pory w większości instytucji spotykaliśmy się z logowaniem opartym wyłącznie na jednym czynniku (podanie loginu i hasła – czegoś, co wiemy). Teraz pojawi się także drugi element – np. konieczność potwierdzenia operacji w aplikacji zainstalowanej na telefonie (czymś, co mamy).
- logujemy się po raz pierwszy,
- logujemy się po raz kolejny na rachunek, nie rzadziej niż raz na 90 dni,
- uzyskujemy dostęp do danych wrażliwych, które mogą posłużyć do dokonania oszustwa (np. zakładka z naszymi danymi osobowymi, adresami itp.).
Najważniejsze informacje o zmianach planowanych przez polskie banki zebraliśmy w podsumowaniu.
Co warto zrobić przed 14 września?
ZBP przypomina, że klienci banków powinni uważnie zapoznać się z korespondencją od swojej instytucji. Banki informują nie tylko o nowych zasadach, ale także o terminach, od których zaczynają one obowiązywać. Część instytucji wprowadza zmienione reguły wcześniej, przed 14 września. Konieczne mogą być dodatkowe kroki – np. zainstalowanie aplikacji mobilnej zastępującej inne stosowane wcześniej narzędzie (kartę kodów jednorazowych, token).
Osoby płacące kartami wyłącznie zbliżeniowo i na niewielkie kwoty, powinny przypomnieć sobie numer PIN. Nawet jeśli do tej pory nie był on potrzebny, to po 14 września będzie wymagany również przy niektórych drobnych transakcjach.