

Banki systematycznie zmieniają sposoby autoryzacji transakcji finansowych przeprowadzanych w internecie. Proponują rozwiązania, które zwiększają bezpieczeństwo obrotu bezgotówkowego. W tym roku jest to o tyle ważne, że do 13 stycznia powinna zostać zaimplementowana do polskiego porządku prawnego unijna dyrektywa PSD 2. W polskim parlamencie trwa procedowanie nowelizacji ustawy o usługach płatniczych.
Banki od lat dbają o to, by sposoby autoryzacji były bezpieczne oraz by jak najbardziej odpowiadały przyzwyczajeniom oraz wiedzy klientów. Dla ponad dziewięciomilionowej rzeszy klientów bankowości mobilnej oraz większej - prawie 16 milionowej grupy osób, które korzystają z bankowości internetowej,instytucje finansowe wprowadziły w zeszłym roku aplikacje mobilne do zatwierdzenia transakcji (tzw. mobilną autoryzację). Dane o liczbie osób korzystających w różny sposób z usług bankowych co kwartał podaje Związek Banków Polskich.
Osoby o bardziej konserwatywnych przyzwyczajeniach bankowych wciąż mogą korzystać z jednorazowych kodów autoryzacyjnych otrzymanych SMS-em.
Jeszcze kilka lat temu kody SMS były uważane za jedno z najbezpieczniejszych narzędzi autoryzacyjnych. Jednak hakerzy nauczyli się przechwytywać SMS-owe hasła, głównie przez instalowanie złośliwego oprogramowania w urządzeniach mobilnych, przede wszystkim w smartfonach. Celem wielu ataków phishingowych – oprócz wyłudzenia loginów i haseł do kont bankowych – jest właśnie pozyskanie SMS-a zawierającego kod autoryzacyjny, np. przez przekierowanie SMS-ów na inny numer telefonu. Banki przekonują więc, że aplikacje mobilne są bezpieczniejszym sposobem autoryzacji niż kody jednorazowe. Klienci zainteresowani zmianą sposobu autoryzacji transakcji muszą zainstalować aplikację mobilną na telefon. Podczas zlecania przelewu w serwisie bankowości internetowej otrzymują w aplikacji mobilnej powiadomienie autoryzacyjne push na telefon zamiast SMS-a ze szczegółami transakcji i kilkucyfrowym hasłem. Po zalogowaniu się do aplikacji mobilnej za pomocą wcześniej zdefiniowanego kodu PIN lub za pomocą odcisku palca pojawia się powiadomienie ze szczegółami transakcji, które wystarczy zatwierdzić poprzez klikniecie przyciskiem na ekranie. A zatem, aby ukraść pieniądze, przestępca musiałby znać nie tylko login i hasło do bankowego konta internetowego klienta, ale także mieć telefon i znać hasło do bankowej aplikacji mobilnej. Obecnie już kilka banków w Polsce oferuje swoim klientom autoryzację mobilną, a kolejne banki potwierdzają zainteresowanie udostępnieniem tej usługi swoim klientom.
Jednak wydaje się, że obecna wersja autoryzacji mobilnej to nie ostatnie słowo banków, które pracują nad autoryzacją biometryczną, czyli zatwierdzaniem transakcji w aplikacji przy użyciu odcisku palca, przykładanego do czytnika na smartfonie, odczytu rysów twarzy lub rozpoznawania głosu.
Część banków stosuje tokeny „sprzętowe”, jednak możliwość korzystania z takiego tokena jest coraz rzadsza. Token sprzętowy to miniaturowe urządzenie szyfrujące, służące do generowania jednorazowych, niepowtarzalnych kodów akceptujących transakcję internetową. Niektóre banki zamieniają token „sprzętowy” na token gsm – aplikację na telefon komórkowy, która generuje kody jednorazowe.
Na bezpieczeństwo transakcji przeprowadzanych w internecie zwraca uwagę unijna dyrektywa Payment Services Directive 2 (PSD 2). Została przyjęta dwa lata temu. W Polsce powinna być implementowana od 13 stycznia tego roku. Wprowadza ona obowiązek wdrożenia silnego uwierzytelnienia klienta (SCA – Strong Customer Authentication), po to by zwiększyć ochronę danych. Instytucje finansowe mają przy identyfikacji użytkownika i autoryzacji transakcji stosować dwie spośród trzech niezależnych elementów uwierzytelnienia. Do pierwszej kategorii należą informacje, które zna tylko klient, np. hasło, kod PIN. Druga kategoria odnosi się do posiadanego sprzętu, np. token, karta mikroprocesorowa czy telefon wykorzystywane do przesyłania danych. Trzecia kategoria to cechy klienta, czyli elementy odróżniające go od innych osób, np. odcisk linii papilarnych. Od zasad stosowania silnego uwierzytelnienia klienta przewidziano wyłączenia, m.in. dotyczące transakcji niskokwotowych (do wysokości 30 euro), transakcji niskiego ryzyka czy transakcji do zaufanych odbiorców.
Nowe przepisy przewidują podniesienie poziomu bezpieczeństwa płatności. Jest to kluczowa kwestia dla wielu użytkowników usług płatniczych, a zwłaszcza konsumentów płacących za pośrednictwem internetu. Wszyscy dostawcy usług płatniczych będą musieli udowodnić, że posiadają właściwe środki bezpieczeństwa po to, by zapewnić odpowiednie zabezpieczenia płatności. Dostawcy usług płatniczych będą musieli przeprowadzać ocenę ryzyka operacyjnego i ryzyka zabezpieczeń.
Unijna dyrektywa PSD 2 nie została jeszcze wdrożona do polskiego porządku prawnego. Ale w Sejmie znajduje się nowela ustawy o usługach płatniczych z rozwiązaniami wynikającymi z tej dyrektywy. Przewiduje się, że nowe przypisy wejdą w życie w drugim kwartale 2018 r.
Projekt realizowany z Narodowym Bankiem Polskim w ramach programu edukacji ekonomicznej.























































