Czy realia PSD2 zaskoczą klientów banków?
Od soboty 14 września każdy bank musi wprowadzić dodatkowe narzędzie mające zagwarantować, że operacje wykonuje osoba upoważniona. Czy korzystanie z e-bankowości stanie się bardziej uciążliwe?
Klientów bankowości elektronicznej w Polsce czekają spore zmiany, których celem jest podniesienie poziomu bezpieczeństwa. Czy korzystanie z e-bankowości stanie się od dziś bardziej uciążliwe, a klienci zostaną zaskoczeni nowymi wymogami? Banki przekonują, że wszystko jest pod kontrolą – ocenia Marek Jaślan w „Gazecie Bankowej”.
Payment Services Directive 2, znana pod skrótem PSD2 to unijna dyrektywa, której jednym z celów jest otwarcie rynku finansowego dla tzw. podmiotów trzecich (ang. Third Party Providers, TPP). Od 14 września klienci polskich banków poczują na własnej skórze jej skutki, bowiem właśnie wtedy zacznie też obowiązywać wymóg podniesienia bezpieczeństwa transakcji dokonywanych przy wykorzystaniu elektronicznych środków płatniczych. Od tego dnia każdy bank musi wprowadzić dodatkowe narzędzie mające zagwarantować, że konkretne operacje wykonuje osoba upoważniona. To tzw. silne uwierzytelnienie, które w uproszczeniu polega na tym, że niektóre operacje wykonywane przez użytkowników rachunków płatniczych (w tym bankowych) muszą być zatwierdzane za pomocą przynajmniej dwóch różnych sposobów.
Do tych zmian banki przygotowują się na kilku płaszczyznach – nie tylko trzeba bowiem dokonać modyfikacji technicznych w serwisach bankowych, ale i poinformować klientów, by po 14 września nie byli zaskoczeni nowymi wymogami. To drugie wcale nie jest takie proste, ponieważ akcje informacyjno-edukacyjne trzeba było przeprowadzać w czasie wakacji, kiedy niekoniecznie każdy ma ochotę czytać e-maile czy SMS-y od banku.
Jak skutecznie dotrzeć z informacją?
Na przykład w Eurobanku zmiana w sposobie logowania do serwisu eurobank online będzie wymagała użycia dodatkowej metody autoryzacji – oprócz identyfikatora i hasła, także podania hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji (w zależności od wyboru klienta). Zmieni się też sposób aktywacji aplikacji eurobank mobile 2.0 – klienci będą musieli podać hasła z serwisu eurobank online zamiast numeru PESEL; wycofana zostanie możliwość aktywacji aplikacji eurobank mobile 1.0.
Łukasz Pałka, rzecznik prasowy Eurobanku, zapewnia, że klienci zostali korespondencyjnie poinformowani o zmianach.
Jak jednak pokazał niedawny przykład mBank, który poprosił – także korespondencyjnie - swoich klientów o uzupełnienie danych w związku z nowymi wymogami Komisji Nadzoru Finansowego mającymi przeciwdziałać praniu brudnych pieniędzy, nie zawsze to wystarcza. Sankcją za nieprzekazanie wymaganych informacji była blokada konta. Dotknęła ona kilkuset aktywnych klientów firmowych mBanku, bo gdzieś prośba od banku im umknęła. Sytuacja mocno zbulwersowała m.in. aktorkę Maję Bohosiewicz, której firma znalazła się gronie tych, którym mBank zablokował konta i zdecydowała się nagłośnić sprawę w mediach społecznościowych. – Wyobraźcie sobie, że macie swoją firmę, która ma swoje zobowiązania. Pensje, opłaty, czynsze, płatności faktury, zwroty – grzmiała na Instagramie, i ostatecznie zmieniła bank. mBank tłumaczył, że wszyscy, którzy znaleźli się w podobnej sytuacji, mogą mieć przywrócony dostęp do środków w zaledwie kilkanaście minut po wizycie w placówce banku.
W przypadku zmian, które niesie od 14 września dyrektywa PSD2 grono tych, które będą one dotyczyć jest znacznie szersze. Stąd pojawia się pytanie, czy banki nie obawiają się ewentualnego zamieszania i – w konsekwencji – utraty klientów?
mBank – mimo opisanej doświadczeń z firmą aktorki – nie widzi powodów do niepokoju. Jak informuje jego biuro prasowe silne uwierzytelnienie dla klientów mBanku będzie przebiegało z użyciem znanych już im metod potwierdzania transakcji. Różnica będzie taka, że po zalogowaniu się hasłem oraz ID bank poprosi klienta o podanie kodu z SMS-a lub zatwierdzenie operacji logowania przez mobilną autoryzację (zależnie od tego, z jakiej metody obecnie on korzysta).
– Nie będziemy natomiast już honorować haseł jednorazowych z listy (tzw. TAN-ów). Co do zamieszania – już od kwietnia informujemy klientów o tych zmianach, planujemy też dalsze szerokie działania komunikacyjne i w ten sposób mamy nadzieję dotrzeć do klientów w taki sposób, aby 14 września nie okazał się dla nich zaskoczeniem – odpowiada biuro prasowe mBanku.
Także Elżbieta Czerwińska-Kubisiak z działu PR i komunikacji wewnętrznej Alior Banku mocno wierzy w skuteczności akcji informacyjnej, skierowanej do wszystkich osób korzystających z jego bankowości internetowej. Alior Bank od 14 września planuje wprowadzić m.in. silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać za pośrednictwem systemu bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną.
Zmiany w systemach IT
W niektórych bankach klienci jednak mocniej odczują zmiany, co także wiąże się z pewnymi inwestycjami w systemy IT. Bank Pekao SA podjął decyzję o wycofaniu metod autoryzacji niezgodnych z zasadami silnego uwierzytelnienia (m.in. karta kodów jednorazowych oraz token) i zastosowaniu metod autoryzacji opartych o kody SMS oraz wiadomości push generowane przez aplikację PeoPay.
– To dlatego, że zgodnie z przepisami prawa, które wprowadziła nowelizacja ustawy o usługach płatniczych oraz regulacyjne standardy techniczne (RTS), dostawca usług płatniczych po 14 września 2019 r. ma stosować silne uwierzytelnienie klienta, poprzez użycie co najmniej dwóch różnych elementów z kategorii wiedzy (np. hasło, kod PIN), posiadania (np. telefon) lub biometrii (np. odcisk palca, skan siatkówki). Ponadto, używane metody autoryzacji dla transakcji elektronicznych powinny dynamicznie łączyć daną transakcję z określoną kwotą i odbiorcą, np. przez przekazanie w wiadomości SMS informacji o kwocie operacji oraz ostatnich cyfrach rachunku odbiorcy – tłumaczy Łukasz Nowicki, kierownik zespołu w Biurze Bankowości Omnikanałowej Banku Pekao SA.
Wszystkie te zmiany znajdą odzwierciedlenie w bankowości internetowej i mobilnej. W przypadku uzyskania dostępu do informacji o rachunku, Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. W przypadku konieczności silnego uwierzytelnienia podczas logowania w aplikacji mobilnej PeoPay, klient zostanie poproszony o podanie PIN-u nawet wówczas, gdy posiada ustawione logowanie biometrią. Dla transakcji płatniczych zastosowanie będzie miał szereg wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych odbiorców.
– Podobnie przy korzystaniu z usług oferowanych przez dostawców usług płatniczych (tzw. third party providers – TPP) wymagane będzie silne uwierzytelnienie klienta. Każdorazowo w przypadku usługi zainicjowania płatności, usługi uzyskania informacji o rachunku i przy pierwszym dostępie do informacji oraz nie rzadziej niż co 90 dni w przypadku zgody wielokrotnej na dostęp do historii rachunku – dodaje Łukasz Nowicki. Nie ukrywa, że zmiany wymagały inwestycji w systemy frontendowe bankowości elektronicznej oraz w aplikacje współpracujące z tymi systemami, np. w zakresie bezpieczeństwa.
Także Małgorzata Adamczyk, dyrektor zarządzająca Obszarem Rozwoju i Sprzedaży w Kanałach Cyfrowych w Nest Banku przyznaje, że obowiązek dostosowania się do wytycznych wynikających z PSD2 wymagał również wprowadzenie pewnych zmian się w technologii. Zapewnia jednak, że jej bank z chwilą wejścia w życie dyrektywy spełni obowiązek stosowania silnego uwierzytelniania w oparciu o kody sms lub autoryzację mobilną. W bankowości internetowej Nest Banku sam sposób logowania nie ulegnie zmianie. Bank będzie wymagał loginu, hasła i awatara nadanego przez użytkownika. Jednak już po zalogowaniu do panelu klienta, przy próbie przejścia do niektórych elementów serwisu i historii starszej niż 90 dni system będzie wymagał podania kodu SMS wysłanego na telefon klienta lub autoryzacji operacji w aplikacji mobilnej (jednorazowo w ramach danej sesji). W celu zminimalizowania ryzyka pojawienia się „zamieszania wśród klientów”, bank ma zaplanowaną akcję informacyjną.
Zadbać o komfort klienta
Halina Karpińska, dyrektor Departamentu Bankowości Elektronicznej w Banku Millennium, zdradza, że dostosowanie procesów logowania do nowych wymogów wiązało się z pracą zespołów odpowiedzialnych za projektowanie rozwiązań, development i bezpieczeństwo. – W celu dostosowania do PSD2, bank przeprowadza modernizację w zakresie infrastruktury IT służącej do procesowania transakcji kartowych w e-commerce. Ma to na celu zwiększenie bezpieczeństwa transakcji oraz poprawę komfortu ich dokonywania dzięki możliwości zastosowania wyjątków od silnego uwierzytelnienia. Daje to klientowi możliwość dokonywania transakcji kartowych w trybie „one-click” – mówi Halina Karpińska. Zapewnia, że proces logowania w kanałach elektronicznych banku zostanie dostosowany do wymagań dyrektywy PSD2.
– Staramy się, by zmiany były wprowadzone w sposób najmniej odczuwalny dla klientów. Mamy nadzieję, że nie wpłyną na komfort korzystania z naszych usług a tym samym będą mało odczuwalne dla klientów głównie korzystających z aplikacji mobilnej. Wspólnym mianownikiem wszystkich zmian jest jeszcze większe bezpieczeństwo w korzystaniu z kanałów elektronicznych – przekonuje Halina Karpińska.
Tomasz Bukowski z Departamentu Bezpieczeństwa Banku Millennium dodaje, że w przypadku tej instytucje silne uwierzytelnienie użytkownika (strong customer authentication) nie jest niczym nowym. – Pojęcie to zostało wprowadzone przez twórców dyrektywy PSD2, a oznacza funkcjonujące już od dłuższego czasu uwierzytelnienie dwuskładnikowe (dwustopniowe), które ma zapewniać wyższy poziom bezpieczeństwa uwierzytelnianej operacji, a tym samym odporności na fraudy. Poza PSD2 nazywane jest 2FA (Two Factor Authentication). To podzbiór uwierzytelniania wieloskładnikowego. Polega na uwierzytelnianiu klienta za pomocą składników należących do dwóch z trzech dostępnych kategorii. Pierwsza to element wiedzy, coś co wiesz (sekrety, hasła, itp.), druga to element posiadania, coś co masz (karta SIM, karta PKI, token), a trzeci to element z cech klienta – coś czym jesteś (biometria, odciski palca, itp.). Silne uwierzytelnienie nie jest usługą, a raczej sposobem czy cechą autoryzacji/uwierzytelniania. Jest jednym z wymogów dyrektywy PSD2, a więc od 14 września, kiedy regulacja ta wejdzie w życie, stanie się obowiązkowe dla wszystkich dostawców usług płatniczych, będzie więc też obowiązkowe dla wszystkich klientów. Jeśli chodzi o Bank Millennium, np. już teraz wszystkie przelewy realizowane w kanałach bankowości elektronicznej objęte są silnym uwierzytelnieniem. Przykładem takiego uwierzytelnienia może być potwierdzanie operacji w Millenecie (WEB) tokenem mobilnym na telefonie – wyjaśnia Tomasz Bukowski.
Czy optymizm okaże się uzasadniony?
Pewni swego są też bankowcy w ING Banku Śląskim, gdzie zmieni się sposób logowania i autoryzacji dyspozycji w Moim ING. Od 14 września w trakcie logowania do bankowości internetowej Moje ING, bank będzie mógł poprosić użytkownika o wpisanie kodu autoryzacyjnego z SMS-a. W efekcie logowanie może przebiegać na dwa sposoby. W pierwszym przypadku klient będzie musiał podać login i hasło maskowane (pięć wybranych znaków), a w drugim – login, hasło maskowane (pięć wybranych znaków) i kod SMS.
Zmieni się też logowanie do aplikacji na telefon Moje ING mobile, które będzie mogło przebiegać na trzy sposoby. W pierwszym wystarczy, że klient poda tylko PIN do aplikacji. W drugim tylko identyfikator biometryczny – odcisk palca lub face ID. Wreszcie w trzeciej opcji zarówno identyfikator biometryczny, jak i PIN do aplikacji.
– Za każdym razem gdy użytkownik będzie się logować, nasz system bezpieczeństwa błyskawicznie przeanalizuje sytuację i oceni czy dodatkowa autoryzacja jest konieczna. Nie będzie konieczności potwierdzania każdego logowania dwufaktorowo, sms będzie wymagany przy niektórych logowaniach. Nigdy dotąd nie używaliśmy autoryzacji mobilnej przy logowaniu i nadal nie będziemy. Nie używaliśmy też listy haseł jednorazowych do autoryzacji i nadal nie będziemy – informuje Ewa Szerszeń z biura prasowego ING Banku Śląskiego.
Jak więc widać banki w Polsce spokojnie podchodzą do zmian, jakie przyniesie dyrektywa PSD2 w zakresie zwiększenia bezpieczeństwa korzystania z e-bankowości. Wierzą, że dobrze odrobili pracę domową.
Marek Jaślan
Więcej informacji i komentarzy o światowej i polskiej gospodarce i sektorze finansowym znajdziesz w bieżącym wydaniu „Gazety Bankowej” - do kupienia w kioskach i salonach prasowych. „Gazeta Bankowa” dostępna jest także jako e-wydanie, także na iOS i Android – szczegóły na http://www.gb.pl/e-wydanie-gb.html