REKLAMA

Nowe standardy w bankowości elektronicznej – logowanie do banku będzie bardziej skomplikowane

Michał Kisiel2017-03-02 06:00analityk Bankier.pl
publikacja
2017-03-02 06:00

Europejski Urząd Nadzoru Bankowego opublikował projekt standardów towarzyszących drugiej dyrektywie o usługach płatniczych (PSD2). Użytkownicy bankowości internetowej będą musieli przyzwyczaić się do trzymania telefonu pod ręką. Jednorazowe hasła będą konieczne czasem także przy samym logowaniu.

W zeszłym tygodniu Europejski Urząd Nadzoru Bankowego (EBA) przedstawił długo oczekiwany projekt regulacyjnych standardów technicznych (RTS) wymaganych przez drugą dyrektywę o usługach płatniczych. Prace nad dokumentem przeciągnęły się – pierwotnie regulacje miały ujrzeć światło dzienne w styczniu. Do nadzoru w drugiej rundzie konsultacji napłynęło jednak ponad 220 stanowisk. Nigdy jeszcze przygotowywany przez EBA dokument nie wzbudził takiego zainteresowania i tylu kontrowersji.

fot. / / YAY Foto

Pierwsza wersja standardów technicznych zaprezentowana w połowie 2016 r. spotkała się z krytyką branży. Regulacje uznano za nadmiernie restrykcyjne. Jednym z głównych zarzutów było rozciągnięcie obowiązku stosowania tzw. silnego uwierzytelnienia na operacje, które nie wiążą się z dużym ryzykiem.

Przypomnijmy, że idea silnego uwierzytelnienia opiera się na użyciu przez klienta co najmniej dwóch z trzech elementów:

  • Czegoś, co wiemy (np. numeru klienta, hasła, numeru PESEL),
  • Czegoś, co mamy (np. telefonu komórkowego, tokena),
  • Czegoś, czym jesteśmy (np. odcisk palca).

Zabezpieczenia powinny być od siebie niezależne. Naruszenie pierwszej linii ochrony (np. utrata hasła) nie powinno wpływać na drugi poziom (np. posiadanie telefonu komórkowego, na który wysyłane są hasła SMS). Z takiego mechanizmu korzystamy już m.in. zlecając przelewy w bankowości internetowej. Jest on dobrze znany klientom polskich banków.

„Bank nie wymaga podania hasła jednorazowego przy logowaniu” – tak już nie będzie

Na ekranach logowania do serwisów transakcyjnych wiele polskich banków umieszcza dziś ostrzeżenie przed podawaniem jednorazowych haseł. Tak informuje się klientów, że przestępcy (np. za pośrednictwem konia trojańskiego infekującego komputer) mogą wyłudzać dane potrzebne do zlecenia operacji na rachunku. Już wkrótce użytkownicy będą musieli jednak zmienić przyzwyczajenia.

Standardy techniczne EBA przewidują, że silne uwierzytelnienie wymagane będzie także w przypadku dostępu do rachunku płatniczego. Wyjątki stanowią sytuacje, gdy:

  • sprawdzamy saldo rachunku płatniczego.
  • Przeglądamy historię transakcji z ostatnich 90 dni dokonanych na rachunku płatniczym.

Takie informacje będziemy mogli zatem otrzymać tylko np. logując się numerem klienta i hasłem („coś, co wiemy”) lub odciskiem palca w bankowości mobilnej („coś, czym jesteśmy”). Warunkiem zastosowania wyjątku od zasady silnego uwierzytelnienia jest niedostępność „wrażliwych danych płatniczych”, czyli wszystkich informacji, które mogą posłużyć do dokonania oszustwa. Oznacza to, że wejście np. do zakładki z danymi klienta powinno wymagać użycia mocniejszych zabezpieczeń.

Wyłączenia przewidziane w standardach europejskiego nadzoru nie oznaczają jednak, że osoby zaglądające na internetowe konto bez zlecania płatności nie będą musiały od czasu do czasu sięgnąć po telefon. Silne uwierzytelnienie będzie wymagane, jeśli:

  • po raz pierwszy logujemy się na rachunek płatniczy, nawet tylko po to, by poznać saldo rachunku lub listę operacji.
  • Od ostatniego razu „spojrzenia” na listę transakcji z użyciem silnego uwierzytelnienia minęło ponad 90 dni.

Klienci banków będą musieli przyzwyczaić się, że co najmniej raz na trzy miesiące będą musieli sięgnąć po jednorazowe hasło lub inne narzędzie stanowiące drugą linię zabezpieczeń. EBA poszedł jednak na pewne ustępstwa – w poprzedniej wersji standardów technicznych proponowano, by termin ten był krótszy (raz na miesiąc).

Telefon z rootem? Może być problem

W dokumencie europejskiego nadzoru znalazł się fragment, który może zainteresować posiadaczy smartfonów ze złamanymi zabezpieczeniami (tzw. jailbreak lub root). Dostawców usług płatniczych zobowiązano do wprowadzenia mechanizmów, które mają uniemożliwiać korzystanie w procesie silnego uwierzytelnienia z urządzeń „zmodyfikowanych” przez płatnika lub trzecią stronę, ewentualnie do „złagodzenia” efektów takich modyfikacji. Taki zapis może dać instytucjom podstawę do dyskryminowania użytkowników chcących korzystać z gadżetów po przeróbkach.

Ostateczny szkic standardów technicznych przygotowany przez EBA zostanie teraz przekazany do Komisji Europejskiej, a następnie do Parlamentu Europejskiego. Regulacje zaczną obowiązywać od 18 miesięcy po ich opublikowaniu w dzienniku urzędowym – najwcześniej w listopadzie 2018 r.

Źródło:
Michał Kisiel
Michał Kisiel
analityk Bankier.pl

Specjalizuje się w zagadnieniach związanych z psychologią finansów, analizuje jak płacą i zadłużają się Polacy. Doktor nauk ekonomicznych, zwolennik idei społeczeństwa bez gotówki. Pomysłodawca finansowego eksperymentu "2 tygodnie bez portfela", w ramach którego banknoty i karty płatnicze zamienił na smartfona.

Tematy
Nowy etap inwestycji „GRZEGÓRZECKA 77” w Krakowie. Sprawdź!

Nowy etap inwestycji „GRZEGÓRZECKA 77” w Krakowie. Sprawdź!

Komentarze (40)

dodaj komentarz
(usunięty)
(wiadomość usunięta przez moderatora)
~wkurzonycenzurom
znowu kur...moderator usuwa niewygodne wpisy
~kalafior
Nie warto się podniecać logowaniem. Czy ktoś pamięta, co to był dalekopis?
Rok 2035: każdy noworodek od przyjścia na świat ma wszczepiany podskórnie chip z indywidualnym kodem do wszystkiego.
Rok 2070: każde dziecko od chwili poczęcia (po pierwszym podziale zapłodnionej komórki) jest oznaczany indywidualnym nanomarkerem towarzyszącym
Nie warto się podniecać logowaniem. Czy ktoś pamięta, co to był dalekopis?
Rok 2035: każdy noworodek od przyjścia na świat ma wszczepiany podskórnie chip z indywidualnym kodem do wszystkiego.
Rok 2070: każde dziecko od chwili poczęcia (po pierwszym podziale zapłodnionej komórki) jest oznaczany indywidualnym nanomarkerem towarzyszącym mu aż do naturalnej śmierci.
Komórka znów oznacza jedynie pomieszczenie na węgiel. Bo węgiel to polskie złoto!
~ja
co sadzicie o nowej wersji strony ING??ja ciagle lece na starej.wszystkie to nowosci ,kafelki itp to jakas paranoja.
~sebek
nie chcę cię martwić ale za niedługo stary serwis ing będzie wyłączony....
~CzerwonyWiewior odpowiada ~sebek
Dokładnie to samo było w mBanku/Multibanku. Wprawdzie nowy interfejs daje więcej możliwości, ale czasem trzeba 2-3 więcej klikać, żeby zrobić to samo co przedtem. Po jakimś czasie jednak nie ma już wyboru... a te kafle to jakaś plaga, wszędzie
~starodawny
Masz rację -wszystkie zmiany prowadzą tylko do haosu!
~sebek
nudzi się matołom utrzymywanym z naszych podatków oj nudzi.
Ja się nie będę męczył bo jakiś urzędas tak postanowił, po prostu zamknę konto. Płacenie gotówką owszem nie jest wygodne tak jak kartą, ale póki co nie jest zakazane. Na nowo się przyzwyczaję.
~quanto
Zgadzam się, ale jak dostaniesz wypłatę. Ja np. pracuje na etacie w korporacji i nie mam możliwości brania pieniędzy do ręki
~sebek odpowiada ~quanto
mam to szczęście, że zatrudnia mnie normalny, życiowy facet - szef wręcz dusza człowiek. Ci co chcą dostają kasę do ręki (w kopercie) inni np. tak jak ja dostają ją przelewem na konto. Nie będę miał zatem problemu "z przesiadką" :) Inni niestety mają gorzej i to jest realny problem, który dotyczy sporej liczby ludzi zatrudnionych mam to szczęście, że zatrudnia mnie normalny, życiowy facet - szef wręcz dusza człowiek. Ci co chcą dostają kasę do ręki (w kopercie) inni np. tak jak ja dostają ją przelewem na konto. Nie będę miał zatem problemu "z przesiadką" :) Inni niestety mają gorzej i to jest realny problem, który dotyczy sporej liczby ludzi zatrudnionych na etacie w naszym kraju.

Powiązane

Polecane

Najnowsze

Popularne

Ważne linki