Wycofywanie starych metod autoryzacji, stopniowe wprowadzanie dodatkowych zabezpieczeń i akcje informacyjne - tak banki przygotowują klientów na wejście w życie 14 września przepisów dot. bezpieczeństwa w bankowości elektronicznej.

14 września wchodzą w życie przepisy wdrażające tak zwaną dyrektywę unijną PSD2. Wprowadzają nowe wymagania dotyczące potwierdzania tożsamości m.in. przy korzystaniu z bankowości elektronicznej i płatnościach mobilnych, żeby ograniczyć oszustwa. Przepisy zobowiązują banki do wprowadzenia dwustopniowego uwierzytelniania na etapie uzyskiwania dostępu do konta internetowego, dokonywania transakcji i płatności internetowych.

Przedstawiciele banków twierdzą, że już od co najmniej kilku tygodni prowadzą akcje informacyjne, przesyłając klientom smsy i wiadomości na skrzynki w aplikacjach oraz na kontach internetowych. Informują też o zmianie przepisów na swoich stronach internetowych. Niektóre z banków  starają się, by nowe wymagania dotyczące np. logowania na konto były jak najmniej odczuwalne dla klientów, inne przy okazji zmieniają wygląd swoich serwisów internetowych i aplikacji. Zmienioną stronę logowania do serwisu iPKO przygotował np. bank PKO BP.

Co się zmieni?

W związku z nowymi regulacjami wszystkie banki przewidują zmiany zasad korzystania z konta i aplikacji mobilnej, zwłaszcza w sposobie logowania do kont elektronicznych. Większość z nich planuje wykorzystać do tego znane już klientom narzędzia. Np. bank Millennium po 14 września będzie wykorzystywał stosowane obecnie formy uwierzytelniania - hasło SMS i autoryzację mobilną.

Z kolei klienci banku Santander, którzy przy logowaniu się do bankowości internetowej muszą podać login oraz hasło, po 14 września będą musieli również podać sms kod lub złożyć mobilny podpis. Zależeć to będzie od tego, z jakiego narzędzia autoryzacyjnego korzystają teraz przy zleceniach przelewu. Dodatkowo bank umożliwi klientom oznaczenie w systemie wybranego przez nich urządzenia zaufanego - komputera, tabletu czy smartfona - co ograniczy wymagania przy logowaniu się do konta.

Dodatkowe wymagania będą dotyczyły także operacji na kontach lub np. wglądu w historię. Np. bank Pekao przy uzyskiwaniu dostępu do informacji o rachunku będzie wymagał nie rzadziej niż co 90 dni podania kodu sms lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni. Zmiany przewidziano także w odniesieniu do aplikacji mobilnej PeoPay. W przypadku konieczności tak zwanego silnego uwierzytelnienia podczas logowania w PeoPay klient zostanie poproszony o podanie PIN-u nawet w przypadku ustawionego logowania przy użyciu danych biometrycznych.

Zmiany w potwierdzeniu tożsamości będą także wymagane np. przy logowaniu do aplikacji Moje ING mobile. Bank przewidział, że użytkownicy tej aplikacji mogą zalogować się na trzy sposoby: podając PIN do aplikacji, przedstawiając identyfikator biometryczny - odcisk palca lub obraz twarzy, albo obie na raz. Za każdym razem, gdy użytkownik będzie się logować, automatyczny system bezpieczeństwa banku zdecyduje, czy dodatkowa autoryzacja jest konieczna.

Banki wycofują się także z niektórych używanych teraz rozwiązań, które nie spełniają warunków "silnego uwierzytelnienia". Np. Pekao wycofuje karty kodów jednorazowych, tokeny aplikacyjne i sprzętowe, a mBank listę haseł jednorazowych służących potwierdzaniu operacji.

Opracowanie: