Banki przygotowują klientów na duże zmiany
Banki zaczynają oswajać klientów z dużymi zmianami, jakie czekają ich w związku z wejściem tzw. silnego uwierzytelnienia, co w praktyce oznacza inny sposób logowania i autoryzacji. Od połowy września zaczną obowiązywać nowe zasady potwierdzania tożsamości, co oznacza że nieco inaczej będziemy się logować się do banku, a zbliżeniowe transakcje na niskie kwoty (poniżej 50 zł), częściej niż teraz, potwierdzać PIN-kodem.
Część wysłała już szczegółowe instrukcje. Zmiany wchodzą w życie już od 14 września.
Od połowy września zaczną obowiązywać nowe zasady potwierdzania tożsamości, co oznacza że nieco inaczej będziemy się logować się do banku, a zbliżeniowe transakcje na niskie kwoty (poniżej 50 zł), częściej niż teraz, potwierdzać PIN-kodem.
Unijne rozporządzenie wprowadza konieczność stosowania procedur silnego uwierzytelnienia, czyli minimum dwuelementowego potwierdzania tożsamości klientów. Opiera się ono na zastosowaniu co najmniej dwóch elementów należących do 3 kategorii:
- Kategoria "wiedza" - to kod (np. PIN), hasło lub inny element, który jest i powinien być znany tylko klientowi - posiadaczowi danego instrumentu płatniczego lub bankowości internetowej,
- Kategoria "posiadanie" - to element, który dany użytkownik ma w posiadaniu (np. karta plastikowa, telefon z kartą SIM) i który może zostać użyty w trakcie dokonywania płatności lub korzystania z bankowości internetowej,
- Kategoria "cecha klienta" - to specyficzna dla danego klienta cecha, którą tylko on dysponuje i która go jednoznacznie wyróżnia. Dobrym przykładem jest biometria w postaci np. odcisku palca, tęczówki oka czy układu żył.
Stosowanie procedur silnego uwierzytelnienia będzie występować także przy płatnościach: w terminalach płatniczych (POS), za zakupy w internecie oraz przy logowaniu i korzystaniu z bankowości internetowej lub mobilnej. Są przy tym wyjątki, w których dostawcy usług płatniczych, w tym wydawcy kart (czyli głownie banki) nie muszą stosować silnego uwierzytelnienia klienta.
Choć klienci niechętnie czytają powiadomienia i korespondencję z banków, to tym razem powinni to zrobić dokładnie, co pozwoli uniknąć zaskoczeń i nieprzyjemnych niespodzianek po 14 września.
Zapytaliśmy największe banki czy już poinformowały klientów o zmianach, czy dopiero planują rozesłać taką informację i instrukcję oraz jakie będą najważniejsze zmiany.
mBank od lipca prowadzi intensywną kampanie informacyjną, także w kanałach bezpośrednich: poprzez powiadomienia "Push" w aplikacji mobilnej, SMS, wiadomość w serwisie transakcyjnym oraz maile.
- Powiadomienia wychodziły sukcesywnie od 27 lipca, co przy naszej bazie zajmuje kilka dni, ale na przełomie lipca i sierpnia wszyscy klienci powinni byli je dostać. Taką kampanię planujemy powtórzyć, a dodatkowo komunikować klientom zmiany także na stronie głównej (dodamy specjalne paski), stronie logowania, wylogowania, na profilach banku w mediach społecznościowych i w zasadzie wszędzie tam, gdzie jesteśmy obecni - mówi Kinga Wojciechowska z biura prasowego banku.
Bank wysłał klientom szczegółową i obrazkową instrukcję krok po kroku, jak będzie wyglądało logowanie po 14 września.
"Pierwszy etap się nie zmieni: standardowo wpisujesz identyfikator i hasło. Teraz czas na nowość, czyli silne uwierzytelnienie. Poprosimy Cię, abyś dodatkowo potwierdził logowanie - tak, jak potwierdzasz inne operacje, czyli hasłem SMS lub mobilną autoryzacją. Jeśli nie chcesz za każdym razem potwierdzać logowania SMS-em lub mobilną autoryzacją, dodaj swój komputer (telefon, tablet) do zaufanych (więcej w pkt. 3). Nie zmieni się sposób, w jaki logujesz się do aplikacji mobilnej" - czytamy w instrukcji.
Wyglądać nieco inaczej będzie także aktywacja i łączenie aplikacji z kontem. Może wymagać np. kodu PIN do ostatnio zainstalowanej aplikacji mobilnej, lub hasła do serwisu transakcyjnego oraz wybranych cyfr z numeru karty płatniczej.
Po 14 września nie będzie można korzystać z haseł jednorazowych, ponieważ nie spełniają warunków dyrektywy PSD2. Bank zachęca tych klientów, którzy z nich korzystają do jak najszybszej rezygnacji - zwraca opłatę za listę haseł, której klient nie zdążył wykorzystać.
Po 14 września aktywacja haseł SMS będzie możliwa już tylko u doradcy w placówce. Można także korzystać z mobilnej autoryzacji - w aplikacji mBanku lub oddzielnej aplikacji mBank Token.
mBank zachęca też do tego, by dodać swój komputer (telefon, tablet) do zaufanych, aby szybciej się logować na swoje konto. Dodanie danego urządzenia jako zaufanego oznacza, że nie trzeba przy każdym logowaniu do serwisu transakcyjnego z tego urządzenia, wpisywać dodatkowo hasła SMS lub potwierdzać logowania mobilną autoryzacją, choć - co ważne - dla bezpieczeństwa od czasu do czasu bank poprosi o dodatkowe potwierdzenie logowania na zaufanym urządzeniu. Natomiast przy logowaniu z innego urządzenia klient będzie proszony o dodatkowe potwierdzenie - hasłem SMS lub mobilną autoryzacją.
PKO Bank Polski podał, że w ubiegłym tygodniu klienci korzystający z serwisów iPKO i Inteligo otrzymali maile, informujące o planowanych zmianach, z linkami do stron w "Aktualnościach" zawierającymi komunikaty z bardziej szczegółowymi informacjami: klienci dowiedzieli się m.in., że silne uwierzytelnienie w banku oznacza np. dwuetapowe logowanie z mobilną autoryzacją w IKO (można skorzystać z usługi już teraz). Po drugie, jeżeli ktoś zechce zobaczyć historię swojego konta starszą niż 90 dni w serwisie internetowym, bank poprosi o potwierdzenie operacji narzędziem autoryzacji. W IKO historię konta starszą niż 90 dni można zobaczyć tylko w aplikacji w trybie aktywnym.
Bank informuje też, że w związku z wejściem w życie unijnej regulacji czasem poprosi o potwierdzenie PIN-em płatności zbliżeniowych, nawet dla kwot poniżej 50 zł. Tłumaczy na czym polega maskowanie haseł jednorazowych z narzędzi autoryzacji (gdy klient wpisuje w serwisie internetowym lub aplikacji mobilnej kod SMS, zamiast cyfr, zobaczy gwiazdki).
PKO BP informuje tez klientów o tym, że czas sesji w serwisie iPKO zostaje skrócony z 10 do 5 minut. Przykładowo: jeżeli przez 5 minut nie zauważy żadnej aktywności w iPKO, bezpiecznie wyloguje cię z serwisu.
- Komunikaty te były też anonsowane na stronach głównych serwisów informacyjnych pkobp.pl i Inteligo.pl. W tym tygodniu zostaną wysłane SMS-y i komunikaty typu push do użytkowników iPKO - podało biuro prasowe.
Pekao podał z kolei, że dostosowując się do wymogów, które wprowadza dyrektywa PSD2, bank podjął decyzję o wycofaniu metod autoryzacji, które nie spełniają warunków silnego uwierzytelnienia. Mowa o karcie kodów jednorazowych, tokenie aplikacyjnym oraz tokenie sprzętowym. Po 14 sierpnia dla klientów dostępne będą dwie metody autoryzacji - kody SMS oraz autoryzacja mobilna z wykorzystaniem aplikacji PeoPay.
Klienci, którzy korzystają z wycofywanych metod autoryzacji, są systematycznie informowani poprzez komunikaty w bankowości internetowej i w bankowości mobilnej, wiadomości SMS, IVR, wiadomości głosowe, a także przez pracowników oddziałów o konieczności zmiany metody autoryzacji na zgodną z zasadami silnego uwierzytelnienia - podaje biuro prasowe banku.
Od 14 września zmieni się także sposób logowania do bankowości elektronicznej. W przypadku uzyskania dostępu do informacji o rachunku Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni. W przypadku konieczności silnego uwierzytelnienia podczas logowania w aplikacji mobilnej PeoPay klient zostanie poproszony o podanie PIN-u nawet w przypadku ustawionego logowania biometrią. Dla transakcji płatniczych zastosowanie będzie miał szereg wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych obiorców - wyjaśnia Łukasz Nowicki, kierownik Zespołu w Biurze Bankowości Omnikanałowej Banku Pekao.
Santander Bank Polska rozpocznie komunikację dla klientów o zmianach związanych z silnym uwierzytelnieniem od 19 sierpnia. Jak zapewnia, plan komunikacji jest szeroki i uwzględnia różne kanały, w tym komunikację w usługach bankowości elektronicznej i mobilnej, sms, push.
- W zakresie metod autoryzacyjnych wprowadzamy silne uwierzytelnianie w logowaniu do bankowości internetowej i mobilnej. Po wpisaniu loginu i hasła poprosimy klienta o dodatkową autoryzację. Może to być: smsKod, token, mobilny podpis. Będziemy zachęcać klientów aby logowali się wygodniej, dodając swój komputer, telefon lub tablet jako urządzenia zaufane. Dzięki temu nie będą musieli autoryzować każdego logowania - wyjaśnia Katarzyna Mirowska-Wawrzyniak z Departamentu Klienta Indywidualnego Santander Bank Polska.
Jak dodaje, zmiana wpłynie również na bankowość mobilną, jeśli do tej pory klient nie korzystał z zaufanego urządzenia przy logowaniu bank będzie wymagać od niego wykonania tej czynności. To oznacza, że jeśli klient do tej pory logował się do bankowości mobilnie, ale nie dodał tego "smartfona" do urządzeń "zaufanych", to teraz "wyskoczy" mu taka prośba, którą będzie musiał potwierdzić kodem SMS i dzięki temu, nie będzie musiał przechodzić dodatkowej autoryzacji przy kolejnych logowaniach do bankowości mobilnej. Wystarczy tylko ten jeden raz.
Z kolei ING Bank Śląski poinformował, że w najbliższym czasie rozpoczyna komunikację o zmianach silnego uwierzytelniania do klientów. Wiadomość będzie dostępna w systemie Moje ING. Będzie ona dotyczyć zmian w logowaniu i autoryzacji dyspozycji.
Na czy polega zmiana? W trakcie logowania do bankowości internetowej Moje ING, może poprosić użytkownika o wpisanie kodu autoryzacyjnego z SMS-a. Logowanie może przebiegać na 2 sposoby: pierwszy to login i hasło maskowane (5 wybranych znaków); drugi to: login, hasło maskowane (5 wybranych znaków) i kod SMS.
Logowanie do aplikacji Moje ING mobile może przebiegać na 3 sposoby: pierwszy to tylko PIN do aplikacji. Drygo to tylko identyfikator biometryczny - odcisk palca lub face ID. Trzeci sposób to identyfikator biometryczny i PIN do aplikacji.
- Za każdym razem gdy użytkownik będzie się logować, nasz system bezpieczeństwa błyskawicznie przeanalizuje sytuację i oceni czy dodatkowa autoryzacja jest konieczna. Nie będzie konieczności potwierdzania każdego logowania dwu-faktorowo, sms będzie wymagany przy niektórych logowaniach. Nigdy dotąd nie używaliśmy autoryzacji mobilnej przy logowaniu i nadal nie będziemy. Nie używaliśmy też listy haseł jednorazowych do autoryzacji i nadal nie będziemy - dodaje biuro prasowe ING Banku Śląskiego.
Alior Bank podał natomiast, że od 14 września planuje wprowadzić między innymi silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać za pośrednictwem systemu bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną. - O pozostałych zmianach będziemy informować w drugiej połowie sierpnia - wtedy rozpoczniemy akcję informacyjną skierowaną do wszystkich klientów Alior Banku. Planujemy ją przeprowadzić na wielu płaszczyznach - w bankowości internetowej, poprzez SMSy, a także poprzez powiadomienia "Push". Oprócz tego będziemy informować o zmianach w naszych kanałach social media i w komunikatach prasowych - podaje biuro prasowe Aliora.
BNP Paribas podał z kolei, że na potrzeby zmian jakie niesie PSD2 powstanie specjalna strona, zbierająca wszystkie najważniejsze informacje i przedstawiająca je kompleksowo w bardzo przejrzysty i dostępny dla naszych klientów sposób. Poza tym, są prowadzone bieżące działania informacyjne.
Monika Krześniak-Sajewicz
Biznes INTERIA.PL na Twitterze. Dołącz do nas i czytaj informacje gospodarcze