PSD2: dodatkowe zabezpieczenie logowania do konta w banku

PSD2: dodatkowe zabezpieczenie logowania do konta w banku

PSD2 jest nową dyrektywą unijną, do której zapisów zostały zobowiązane dostosować się instytucje finansowe. Skrót pochodzi od Payment Services Directive. Jak sama nazwa wskazuje, chodzi o systemy płatności. Zmiany dotyczą także sposobu logowania do banków. 14 września weszły w życie szczegółowe zapisy, które określają procedury mające na celu zabezpieczyć konta użytkowników przed oszustwami i kradzieżą pieniędzy.

PSD2 – główne założenia

Dyrektywa jest odpowiedzią na zmieniający się rynek płatności stacjonarnych i internetowych. W ostatnich latach banki łączyć swoje systemy płatności z coraz to nowszymi aplikacjami i serwisami pośredniczącymi. Zapisy PSD z ponad dekady nie przystawały już do realiów szybkich płatności internetowych. Dyrektywa, która w okresie między 20 czerwca 2018 roku a 14 września 2019 roku powinna zostać implementowana we wszystkich krajach członkowskich UE wprowadza kilka zmian na dwóch płaszczyznach:

  • zmiany w funkcjonowaniu instytucji obsługujących płatności – banki, pośredników,
  • zmiany w autoryzacjach płatności i odpowiedzialności za wykradzione dane i nośniki płatności.

W artykule skupimy się na drugim aspekcie z naciskiem na poprawie bezpieczeństwa w sposobie logowania do kont bankowych. Zmiany dla instytucji płatniczych to przede wszystkim liberalizacja dostępu do rynku usług płatniczych dla podmiotów innych niż banki. Został określony ich status prawny i usługi, które będą mogły świadczyć. Instytucją kontrolną dla tego rodzaju instytucji w Polsce będzie Komisja Nadzoru Finansowego.

Procedura silnego uwierzytelnienia

Zapisy dyrektywy PSD2 określają sytuacje, w których uwierzytelnienie, czyli autoryzacja dostępu powinna być silniejsza. Są to momenty, gdy:

  • użytkownik loguje się do swojego rachunku płatniczego (konta bankowego) w trybie online,
  • inicjowana jest płatność elektroniczna,
  • jest przeprowadzana operacja za pomocą kanału zdalnego (mobilnego), kiedy to łatwiej o oszustwo.

W praktyce silne uwierzytelnienie sprowadza się do podwójnej weryfikacji. Przepisy określają, że uwierzytelnienie musi opierać się o dwa elementy, które odwołują się do wiedzy, fizycznej rzeczy, którą posiada użytkownik (jak token) lub o jego cechy.

Przy transakcjach zbliżeniowych trzeba będzie podawać PIN przy płatności powyżej 150 euro (ponad 650 zł), albo co pięć transakcji dla kwot niższych. Pierwszy element ma raczej większe znaczenie w krajach innych niż Polska. W Polsce ten obowiązek obowiązuje już dla limitu 50 złotych.

Czy będziemy musieli podawać numer PIN za każdym 5-tym razem? Otóż nie, jeżeli wydawca naszej karty nie przyjmie tej metody. Więcej na temat płatności zbliżeniowych po PSD2 można przeczytać tutaj: https://kontawbanku.pl/psd2-platnosci-zblizeniowe-z-obowiazkowym-pinem/.

Logowanie do banku z hasłem sms

Skupmy się na praktycznej stronie logowania do banku po PSD2. Poniżej prezentujemy metodą obrazkową jak wygląda proces w 2 bankach – mBanku oraz Alior Banku.

Po zalogowaniu się do naszego konta zarówno osobistego jak i firmowego, otrzymujemy komunikat:

Komunikat mBanku o nie rozpoznanym urządzeniu - logowanie dekstop

Mamy tu do wyboru dwie opcje. Pierwsza to dodanie tego urządzenia do zaufanych. Jest to znaczne ułatwienie. Jeżeli nie chcemy za każdym razem wpisywać hasła SMS z jednorazowego dostępu, ta opcja sprawi, że nasze logowanie do banku będzie wyglądać w praktyce tak samo jak dotychczas. Oczywiście dopóki nie będziemy chcieli zalogować się swojego rachunku płatniczego np. na telefonie komórkowym lub służbowym. Wtedy zastanie nas podobna opcja. Dodanie urządzenia „Do zaufanych” też odbywa się poprzez wpisanie hasła sms:

PSD 2 - dodawanie urządzenia do zaufanych

Możemy je dowolnie nazwać tak by mieć pewność, że to my logujemy się do naszego konta i ewentualnie ułatwić sobie późniejsze zarządzanie zaufanymi komputerami. W dalszym kroku wpisujemy już tylko hasło SMS. Jak wygląda autoryzacja kodem SMS? Bardzo praktycznie i podobnie jak w przypadku autoryzacji samych przelewów do nie zaufanych kontaktów na koncie. Pokazujemy to na przykładzie etapu autoryzacji jednorazowego dostępu kodem sms.

Alior Bank - hasło do wpisania sms

Jak więc widzimy, oba banki spełniły wymagania narzucone przez dyrektywę. Elementem wiedzy jest w obu przypadkach logowania do konta – hasło do konta. Z kolei jako drugi poziom weryfikacji zastosowano element posiadania, czyli hasło z smsa. Wiadomość wysyłana jest zawsze na numer telefonu przypisany do konta bankowego i potwierdzony w procedurze weryfikacji przez pracownika banku. Co prawda, procedura uzyskania samego dostępu do konta jest dłuższa i trudniejsza, jednak wyłudzanie duplikatów kart SIM i ataki phishingowe wciąż trwają. Wrzesień i październik tuż po wejściu przepisów jest jednak jeszcze gorącym okresem, który jak ostrzega KNF – może być wykorzystany przez oszustów.

W naszej opinii dobrym może być zastosowanie autoryzacji mobilnej wejścia do konta z dekstopowych urządzeń, którą oferuje Alior Bank. Będzie działać oczywiście jeśli nie zgubimy telefonu.

Autoryzacje mobilne w alior banku

Maciej Zadrożny

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *