Dyrektywa PSD2. Nadchodzi rewolucja w bankach?

Inaczej będziemy się logować i płacić kartami

Od połowy września inaczej będziesz logować się na swoje konto, a zbliżeniowe transakcje na niskie kwoty, częściej niż teraz, trzeba będzie potwierdzać PIN-kodem. To efekt unijnych regulacji mających zwiększyć bezpieczeństwo transakcji.

Dokładnie 14 września wchodzi w życie unijne rozporządzenie, które wprowadza wiele zmian w funkcjonowaniu rynku płatności, bo jak już pisaliśmy, między innymi umożliwia zewnętrznym firmom oferowanie usług w oparciu o nasze dane bankowe, a także zmienia zasady uwierzytelniania się i autoryzowania transakcji.

Nowe wytyczne techniczne (RTS) do dyrektywy PSD2, brzmią dla przeciętnego użytkownika obco i nieprzyjaźnie. Jednak nie chodzi o to, żeby zapamiętać nazwy prawne regulacji, ale nowe zasady, które zaczną obowiązywać i dotyczą między innymi silnego uwierzytelnienia klienta. Będziemy między innymi inaczej się logować do internetowego serwisu transakcyjnego i częściej podawać PIN w terminalach kartowych.

Reklama

Unijne regulacje mają zwiększyć bezpieczeństwo korzystania z usług płatniczych oferowanych drogą elektroniczną i tym samym ograniczyć możliwości wystąpienia oszustw związanych z tymi usługami.

Co to w praktyce oznacza?

- Wprowadzona zostanie konieczność stosowania procedur silnego uwierzytelnienia, czyli minimum dwuelementowego potwierdzania tożsamości klientów. Opiera się ono na zastosowaniu co najmniej dwóch elementów należących do trzech kategorii: "wiedza", "posiadanie" lub "cecha klienta". Co oznaczają te kategorie? Otóż "wiedza" to kod (np. PIN), hasło lub inny element, który jest i powinien być znany tylko klientowi - posiadaczowi danego instrumentu płatniczego lub bankowości internetowej i którego nie wolno udostępniać osobom trzecim. Z kolei "posiadanie" to element, który dany użytkownik ma w posiadaniu (np. karta plastikowa, telefon z kartą SIM) i który może zostać użyty w trakcie dokonywania płatności lub korzystania z bankowości internetowej - tłumaczy Wojciech Pantkowski, dyrektor Zespołu Systemów Płatniczych i Bankowości Elektronicznej Związku Banków Polskich.

- Ostatnia kategoria czyli "cecha klienta" to specyficzna dla danego klienta cecha, którą tylko on dysponuje i która go jednoznacznie wyróżnia. Dobrym przykładem jest biometria w postaci np. odcisku palca, tęczówki oka czy układu żył. I właśnie użycie dwóch elementów spośród opisanych powyżej trzech kategorii określane jest jako silne uwierzytelnienie - dodaje Pantkowski. Jak zaznacza, ważne jest przy tym aby te elementy były niezależne od siebie co oznacza, że naruszenie jednego elementu nie osłabia wiarygodności innych. Stąd dla przykładu wynika taka troska i apele wydawców kart, aby nie ujawniać ani nie zapisywać numeru PIN zwłaszcza na karcie lub w jej pobliżu (np. w portfelu), ponieważ kradzież portfela oznacza utratę niezależnych elementów silnego uwierzytelnia wykorzystywanych w trakcie dokonywania płatności.

Gdzie będzie wykorzystywane silne uwierzytelnienie?

Przy płatnościach w terminalach płatniczych (POS), płatnościach za zakupy w internecie oraz logowaniu i korzystaniu z bankowości internetowej czy mobilnej.

Jak będzie przebiegać logowanie po tych zmianach, swoim klientom już teraz tłumaczy mBank.

- Pierwszy etap się nie zmieni: standardowo wpisujesz identyfikator i hasło. Teraz czas na nowość, czyli silne uwierzytelnienie. Poprosimy cię, abyś dodatkowo potwierdził logowanie - tak, jak potwierdzasz inne operacje, czyli hasłem SMS lub mobilną autoryzacją. Jeśli nie chcesz za każdym razem potwierdzać logowania SMS-em lub mobilną autoryzacją, dodaj swój komputer (telefon, tablet) do zaufanych. Jeśli to zrobisz, nie będziesz musiał przy każdym logowaniu do serwisu transakcyjnego wpisywać dodatkowo hasła SMS lub potwierdzać logowania mobilną autoryzacją. To duże ułatwienie, zachęcamy, abyś z niego skorzystał - wyjaśnia mBank w instrukcji zamieszczonej na stronie internetowej. Bank zaznacza przy tym, że nie zmieni się sposób logowania do aplikacji mobilnej.

Nowe zasady obejmą też płatności w terminalach. Jak tłumaczy ekspert ZBP, rozporządzenie określa wyjątki, w których dostawcy usług płatniczych, w tym wydawcy kart, nie muszą stosować silnego uwierzytelnienia klienta w zakresie płatności.

Co z limitem 50 zł?

- Pierwszy wyjątek dotyczący płatności zbliżeniowych, które funkcjonuje już w Polsce od wielu lat i daje możliwość płacenia w terminalach z funkcją zbliżeniową do 50 zł (limit w Polsce). Rozporządzenie określa ten górny limit na poziomie 50 euro bez konieczności podawania kodu PIN. Kwota tego limitu w Polsce zostanie na razie utrzymana (z możliwością podniesienia do 100 zł w późniejszym terminie) gdyż zgodnie z RTS -ami oprócz tego limitu są także nowe warunki, po przekroczeniu których silne uwierzytelnienie będzie wymagane. Te nowe warunki to tzw. liczniki transakcji, które mogą być albo ilościowe albo wartościowe - wymienia ekspert ZBP.

Jak tłumaczy, licznik ilościowy pilnuje warunku, że po przekroczeniu pięciu, następujących po sobie transakcji zbliżeniowych (bez względu na kwotę) musi nastąpić silne uwierzytelnienie klienta. Licznik wartościowy z kolei określa, że po przekroczeniu określonej przez wydawcę instrumentu płatniczego kwoty następujących po sobie transakcji zbliżeniowych musi nastąpić silne uwierzytelnienie klienta. Jak zaznacza Wojciech Pantkowski, choć unijne rozporządzenie określa kwotę takiego limitu na 150 euro to wydawca danego instrumentu może określić ten limit na niższym poziomie i polscy wydawcy (banki) skorzystają z tej możliwości i będą ustawiać go niżej.

Podobne mechanizmy w przypadku płatności za zakupy w internecie.

- W tym przypadku kwota pojedynczej transakcji nie może przekroczyć 30 euro, licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 euro, natomiast licznik liczby następujących po sobie transakcji jest analogiczny jak w płatnościach zbliżeniowych i wynosi 5. Jest też możliwość podniesienia limitów, jeśli dany sklep internetowy zostanie wpisany na listę tzw. zaufanych.

Istotnym wyłączeniem spod rygorów silnego uwierzytelnienia będą natomiast transakcje w terminalach samoobsługowych służących do regulowania opłat za transport np. biletomaty czy autostrady lub postój. - Często w takich urządzeniach nie ma możliwości użycia kodu PIN stąd niemożliwe lub bardzo utrudnione byłoby zrealizowanie silnego uwierzytelnienia - tłumaczy Pantkowski.

Bankowcy apelują do klientów, by czytali korespondencję jaką dostają, bo w niej można odnaleźć miedzy innymi jaki rodzaj i wysokość limitów dany dostawca będzie stosował od 14 września, po przekroczeniu których wymagane będzie silne uwierzytelnienie według zasad opisanych powyżej.

Warto przypomnieć jeszcze o jednej zmianie, która jest efektem unijnej regulacji. Termin na udzielenie odpowiedzi na reklamację w sprawach związanych z usługami płatniczymi został skrócony do 15 dni roboczych, w szczególnie skomplikowanych maksymalnie do 35 dni.

O innych zmianach dla klientów, które niesie PSD2 można przeczytać w raporcie specjalnym Interii: " DyrektywaPSD2. Nadchodzi rewolucja w bankach?"

Monika Krześniak-Sajewicz

INTERIA.PL
Dowiedz się więcej na temat: bank | karty bankomatowe | karty platnicze
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »