- Tzw. silne uwierzytelnianie musi być połączeniem dwóch z trzech kategorii. Pierwsza to kategoria wiedzy, czyli coś, o czym wie tylko klient. Druga to kategoria posiadania, czyli coś, co ma tylko klient. Trzecia to kategoria biometrii, czyli np. odcisk palca lub wzór siatkówki. Bank musi połączyć przynajmniej dwa z tych czynników, aby uwiarygodnić i zweryfikować tożsamość klienta - wyjaśnia w rozmowie z agencją Newseria Biznes Tomasz Klecor, partner w Kancelarii Legal Geek. - Nie wystarczy już, jak w tej chwili, samo podanie loginu i hasła. Od 14 września będziemy musieli podać hasło i dodatkowo w autoryzowanej aplikacji banku wstukać kod albo użyć odcisku palca.
Większość banków wdrożyła już odpowiednie zmiany i poinformowała swoich klientów o tym, czego mogą się spodziewać i jak będzie wyglądała bankowość elektroniczna po 14 września. Ci powinni być gotowi, że przy płatnościach kartą albo logowaniu do konta bank będzie wymagać od nich czegoś więcej niż do tej pory. Z drugiej strony powinni też uważać na wiadomości od oszustów podszywających się pod banki. Ci wykorzystują zmieniające się przepisy do własnych celów.
- Tak naprawdę dla klientów zmiana nie będzie istotna. Większość z nich została już do tego przygotowana przez banki. Nie powinni się spodziewać więc żadnych przejściowych problemów z uzyskaniem dostępu do konta. Chyba że ktoś miał np. kartkę z kodami i nie wymienił jej zawczasu na aplikację mobilną. Wtedy 14 września faktycznie może mieć problem z zalogowaniem się do banku i będzie musiał udać do placówki, ale będą to raczej jednostkowe przypadki - mówi Tomasz Klecor.
Uwierzytelnianie dwuskładnikowe, czyli tzw. silne uwierzytelnianie, ma przede wszystkim ograniczyć liczbę wyłudzeń i fraudów - oszukańczych transakcji zlecanych przez osoby, które w jakiś sposób weszły w posiadanie telefonu komórkowego czy karty płatniczej klienta banku i próbują się pod niego podszyć. Ze statystyk BIK wynika, że w ubiegłym roku udaremniano średnio 15 wyłudzeń kredytów dziennie, jednak w sumie mogło dojść do nawet 67 tys. skutecznych wyłudzeń na sumaryczną kwotę ok. 600 mln zł.
- Najczęstszym błędem popełnianym przez klientów bankowości jest nieświadome udostępnienie swoich danych do logowania osobie trzeciej, np. oszustowi. Zwykle jest to efekt tzw. phishingu, czyli wysłania przez oszusta wiadomości, która łudząco przypomina tę z banku i zachęca do zalogowania się na swoje konto, bo np. wpłynął tam jakiś przelew, który trzeba potwierdzić. Klient nie weryfikuje tej wiadomości, wchodzi na taką fałszywą stronę i nieświadomie przekazuje swoje dane do logowania oszustowi. Innym sposobem wyłudzeń są przypadki, kiedy dzwoni ktoś podszywający się pod infolinię banku i prosi o potwierdzenie danych do logowania - mówi Tomasz Klecor.
Od 14 września rozszerzona zostaje również odpowiedzialność banku za nieautoryzowane płatności. Do tej pory zaczynała się ona od kwoty 150 euro, choć od tej zasady istniały pewne wyjątki. Obecnie odpowiedzialność banku w takich przypadkach będzie zaczynać się już od równowartości 50 euro.
- W przypadku, kiedy ktoś nam ukradnie kartę czy telefon, przy użyciu których dokona płatności, nasze ryzyko będzie ograniczone do kwoty 50 euro. Po tej kwocie będzie odpowiadał za to bank. Również w sytuacji płatności kartą, która zgodnie z nowymi przepisami wymaga tzw. silnego uwierzytelniania, bank będzie odpowiadał za całą tę transakcję - mówi partner w Kancelarii Legal Geek.
Zmiany obejmą wszystkie kraje UE. Wynikają one z unijnej dyrektywy PSD2, czyli drugiej dyrektywy dotyczącej świadczenia usług płatniczych.
Biznes INTERIA.PL na Twitterze. Dołącz do nas i czytaj informacje gospodarcze
