Zmiany w bankowości elektronicznej

W związku z wejściem unijnych regulacji, które wprowadza dyrektywa PSD2, od soboty 14 września klienci banków inaczej będą logować się na swoje konto; zbliżeniowe transakcje na niskie kwoty, częściej niż teraz, trzeba będzie potwierdzać PIN-kodem, a przy płatnościach internetowych będzie potrzebny dodatkowy element autoryzacyjny.

W praktyce dla kupujących i płacących przez internet nowe przepisy oznaczają dodatkową weryfikację - najczęściej przez kody SMS czy mobilną autoryzację. To, jaką konkretnie, zależy od banku oraz klienta.

Zgodnie z unijnymi regulacjami silne uwierzytelnianie wymagać będzie zastosowania co najmniej dwóch z trzech elementów: czegoś, co klient zna (np. PIN lub hasło), czegoś, co klienta ma (np. telefon) oraz czegoś, czym klient jest (np. odcisk palca, rozpoznawanie twarzy lub głosu).

Jak to będzie działać w praktyce?

- W przypadku płatności przelewem typu pay-by-link podwójne uwierzytelnianie będzie polegało np. na zalogowaniu do bankowości elektronicznej (coś, co klient zna - hasło) oraz, dodatkowo, np. na przepisaniu kodu otrzymanego w wiadomości SMS (coś, co klient ma - telefon). Dla określonych w dyrektywie wyjątków bank będzie mógł nadal zdecydować o uwierzytelnianiu transakcji na starych zasadach (czyli np. bez konieczności wpisywania kodu SMS) - tłumaczą eksperci PayU, jednego z największych operatorów płatności internetowych.

Jak będzie wyglądała płatność kartą w internecie?

- Konsument będzie musiał wprowadzić dane swojej karty płatniczej i kliknąć przycisk "zapłać". W następnym kroku zrealizowane zostanie silne uwierzytelnienie poprzez wprowadzenie dodatkowego kodu (mogą być różne w zależności od banku i wyboru klienta). Jeśli kod mPIN, odcisk palca (bądź inne dane biometryczne) lub kod jednorazowy SMS zostanie zidentyfikowany pomyślnie, bank zatwierdzi płatność - tłumaczy firma Mastercard.

Co się zmieni dla klientów, którzy już teraz używają kart z aktywnym rozwiązaniem 3D Secure (funkcjonująca już metoda silnego uwierzytelnienia)?

- Mogą się spodziewać zmian w przechodzeniu przez procedurę 3D Secure, tak aby spełniała ona w pełni wymogi silnego uwierzytelniania. Oznaczać to może np. oprócz wpisania kodu z wiadomości SMS (coś, co klient ma), dodatkowo konieczność zalogowania się do bankowości elektronicznej banku - wydawcy karty (coś, co klient zna - hasło) lub zatwierdzenie płatności za pomocą biometrii poprzez zalogowanie się do aplikacji mobilnej banku - wydawcy karty (coś, czym klient jest - odcisk palca) - tłumaczą eksperci PayU. Zastrzega jednocześnie, że nadal jednak, na warunkach określonych w PSD2, agenci rozliczeniowi będą mogli zastosować wyjątki od silnego uwierzytelniania, umożliwiające dokonanie płatności zapisaną kartą bez konieczności stosowania tej procedury.

Jakie wyjątki dopuszczają regulacje, dla których nie trzeba silnego uwierzytelnienia?

W przypadku elektronicznych płatności za zakupy w internecie, kwota pojedynczej transakcji nie może przekroczyć 30 euro, licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 euro, a licznik ilościowy liczby następujących po sobie transakcji jest analogiczny jak w płatnościach zbliżeniowych i wynosi 5.

W ramach wyjątków jakie dopuszczają regulacje, jest możliwość ujęcia danego sprzedawcy na liście tzw. zaufanych klientów, co pozwala na zastosowanie nieco innych (wyższych) limitów określonych szczegółowo w unijnym rozporządzeniu. Wymaga to jednak wtedy rozszerzonego zakresu monitorowania transakcji od takiego sprzedawcy.

Ważna uwaga. - Z silnego uwierzytelniania zwolnione będą także płatności za usługi oparte na subskrypcji, czyli powtarzające się płatności o tej samej lub różnej wartości na rzecz wskazanego akceptanta. Jedynie moment wyrażenia zgody na cykliczne obciążenie i zapisanie karty będzie wymagał silnego uwierzytelniania - mówi Jakub Seifert, kierownik ds. produktów i usług płatniczych w PayU.

Jak to będzie wyglądać w praktyce?

Kupuję po raz kolejny buty w moim ulubionym sklepie online. Co się dla mnie zmieni po 14 września?

- W przypadku regularnych zakupów u konkretnego sprzedawcy wydawcy kart płatniczych mogą zastosować jeden z wyjątków zdefiniowanych w dyrektywie PSD2. Również sprzedawcy wspólnie ze swoim dostawcą płatności mogą w takich sytuacjach zasugerować bankowi wybrany wyjątek. Decyzja o zastosowaniu wyjątku należy do banku - wydawcy karty, ale informacja od sprzedawcy, że transakcja jest bezpieczna, znacząco zwiększa szansę odstąpienia banku od silnego uwierzytelnienia - przypomina MasterCard.

Najmniej zmian zauważą natomiast użytkownicy BLIKA, gdyż to rozwiązanie już początku wykorzystuje podwójne uwierzytelnianie, które dopiero teraz wprowadzają unijne regulacje w ramach dyrektywy PSD2. Jeśli kod BLIK użyty do wykonania transakcji został wyświetlony po zalogowaniu do aplikacji, to podczas potwierdzania transakcji ponowne podanie PIN-u nie jest wymagane. Podczas potwierdzania transakcji użytkownik widzi, jaka jest kwota transakcji i kto jest jej odbiorcą. Dlatego obecnie nie będzie większych zmian w korzystaniu z BLIKA, a jedyna dotyczy tzw. szybkich płatności w terminalach.

Na koniec warto przypomnieć, że unijne regulacje wprowadzają też skrócony czas rozpatrywania reklamacji. Dostawca usług płatniczych zobowiązany jest udzielić odpowiedzi w ciągu 15 dni (w sprawach szczególnie skomplikowanych - 35 dni) od dnia jej otrzymania.

Uwaga na próby wyłudzenia poufnych danych

Komisja Nadzoru Finansowego uczula na to, że czas wprowadzania tych zmian może być wykorzystany przez cyberprzestępców do prób wyłudzenia poufnych danych. Dlatego każde niestandardowe działania, takie jak wiadomości mailowe, SMS i próby kontaktu telefonicznego, powołujące się na wejście w życie nowych rozwiązań, w których klient jest proszony o podanie np. danych do logowania do banku, PIN-ów do karty płatniczej czy danych osobowych, powinny wzbudzać uzasadnione podejrzenia klientów. W przypadku jakichkolwiek wątpliwości najlepiej skontaktować się bezpośrednio z bankiem.

Monika Krześniak-Sajewicz