Nowe zasady logowania i autoryzacji transakcji

Od 14 września wejdzie w życie unijna dyrektywa PSD2 dotycząca płatności, która przyniesie nie tylko otwarcie bankowości na podmioty trzecie (o tym w ramce poniżej), ale też obowiązek stosowania przez banki i innych dostawców usług płatniczych tzw. silnego uwierzytelniania (SCA). Wprowadzi to sporo zmian w logowaniu czy autoryzacji transakcji. Ankietowane przez nas banki informują, co się u nich zmieni.

Logowanie po nowemu, ale nie zawsze

Silne uwierzytelnienie oznacza potwierdzenie tożsamości klienta przez zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik, np. hasło, PIN), posiadanie (coś, co ma tylko użytkownik, np. telefon) i cechy (coś, co charakteryzuje wyłącznie użytkownika, odcisk palca, skan oka lub twarzy). Muszą być niezależne od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Teraz podajemy login oraz hasło i o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków SCA. Dlatego banki będą musiały dodać kolejne zabezpieczenie i będą stosowały różne sposoby. Ponadto metody autoryzacji dla transakcji elektronicznych powinny łączyć transakcję z określoną kwotą i odbiorcą, np. przez podanie w SMS informacji o kwocie operacji i ostatnich cyfrach rachunku odbiorcy.

PKO BP informuje, że wprowadza dwuetapowe uwierzytelnienie, które wzmocni bezpieczeństwo logowania do serwisu. Klienci mogą korzystać z autoryzacji mobilnej w aplikacji IKO i funkcji dwuetapowego logowania do systemu bankowości elektronicznej iPKO i Inteligo. Po jej włączeniu każdorazowo podczas logowania do bankowości elektronicznej oprócz podania standardowo hasła do iPKO/Inteligo klient zatwierdza logowanie także w aplikacji mobilnej.

Foto: GG Parkiet

– W przypadku uzyskania dostępu do informacji o rachunku przez logowanie do bankowości internetowej i mobilnej Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. Podczas logowania w aplikacji mobilnej PeoPay klient zostanie poproszony o podanie PIN nawet w razie ustawionego logowania biometrią. Do transakcji płatniczych zastosowanie będzie miało wiele wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych odbiorców – mówi Łukasz Nowicki, kierownik zespołu w Biurze Bankowości Omnikanałowej w Pekao.

Także przy korzystaniu z usług oferowanych przez dostawców usług płatniczych (TPP) wymagane będzie silne uwierzytelnienie klienta. Każdorazowo w przypadku zainicjowania płatności, uzyskania informacji o rachunku i przy pierwszym dostępie do informacji oraz nie rzadziej niż co 90 dni w przypadku zgody wielokrotnej na dostęp do historii rachunku. Pekao zdecydował o wycofaniu autoryzacji niezgodnych z zasadami SCA (m.in. karta kodów jednorazowych i token) i pozostawieniu metod autoryzacji opartych na kodach SMS oraz wiadomościach push generowanych przez aplikację PeoPay.

Także w Santander Banku Polska od połowy września zmieni się sposób logowania do usług zdalnych. – Wymagane będzie silne uwierzytelnienie w bankowości internetowej, czyli klienci, którzy dotychczas logowali się, podając login i hasło, będą każdorazowo proszeni o autentykację dodatkowym sposobem: kodem SMS, tokenem lub mobilnym podpisem. Dla wygody klientów wprowadzamy także nowe rozwiązanie – logowanie się urządzeniem zaufanym (tzw. zaufanym komputerem). Klient będzie miał możliwość dodania swojego komputera, tabletu lub smartfona jako „zaufanego komputera". Przy logowaniu z takiego urządzenia nie będzie konieczności uwierzytelnienia innym dodatkowym sposobem, czyli klient będzie się logował jak dotychczas: jedynie z użyciem loginu i hasła – wyjaśnia Szymon Staśczak odpowiedzialny w Santanderze za PSD2. W aplikacji mobilnej klient, który jeszcze nie dodał smartfona lub tabletu jako urządzenia zaufanego, będzie proszony o „zaufanie" urządzenia i podczas pierwszego logowania zostanie poproszony o dodatkową autentykację za pomocą kodu SMS, tokenu lub mobilnego podpisu.

mBank informuje, że w jego przypadku sposób logowania do aplikacji mobilnej nie zmieni się. W internecie ze względu na wymogi SCA bank poprosi klienta o potwierdzenie logowania kodem z SMS albo mobilną autoryzacją. Także tu jest sposób na to, aby nie musieć za każdym razem potwierdzać logowania SMS lub mobilną autoryzacją – należy dodać swój komputer (telefon, tablet) do zaufanych urządzeń.

ING Bank Śląski wyjaśnia, że w trakcie logowania do bankowości internetowej Moje ING klient może zostać poproszony o wpisanie kodu autoryzacyjnego z SMS. Logowanie może przebiegać na dwa sposoby: login i hasło maskowane (pięć wybranych znaków) albo login, hasło maskowane (pięć wybranych znaków) i kod SMS. Z kolei logowanie do aplikacji mobilnej może mieć trzy formy: tylko PIN do aplikacji, tylko identyfikator biometryczny (odcisk palca lub face ID) albo połączenie obu, czyli identyfikator biometryczny i PIN do aplikacji. W ING Banku Śląskim za każdym razem, gdy klient będzie się logować lub zlecać dyspozycje w aplikacji, system bezpieczeństwa przeanalizuje sytuację i dobierze odpowiedni sposób autoryzacji. Oceni też, czy dodatkowa autoryzacja jest potrzebna.

– Nie będzie konieczności potwierdzania każdego logowania dwuskładnikowo, SMS będzie wymagany przy niektórych logowaniach. Nigdy nie używaliśmy autoryzacji mobilnej przy logowaniu i nadal nie będziemy. Nie używaliśmy też listy haseł jednorazowych do autoryzacji i nadal nie będziemy – mówi Ewa Szerszeń z ING BSK.

Alior informuje, że planuje wprowadzić SCA do każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać w bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym przez SMS lub aplikację mobilną. O pozostałych zmianach Alior będzie informować w drugiej połowie sierpnia.