W najbliższą sobotę mija termin, do kiedy wszystkie banki muszą dostosować swoje systemy do unijnej dyrektywy PSD2. Dotyczy ona wszystkich usług płatniczych. Ma być bezpieczniej, ale kosztem wygody. Częściej niż dotąd trzeba będzie podawać PIN przy płaceniu kartą. Dodatkowe zabezpieczenia pojawią się przy zakupach w sklepie internetowym. Opisujemy główne zmiany.
Dyrektywa PSD2 została przyjęta przez kraje Unii Europejskiej w listopadzie 2015 roku. W Polsce pierwszą część przepisów wdrożono w 2018 roku za sprawą nowelizacji o usługach płatniczych. Te zmiany to między innymi: skrócenie czasu rozpatrywania reklamacji (z 30 dni kalendarzowych do 15 dni roboczych), zmniejszenie odpowiedzialności klienta za nieautoryzowane transakcje (na przykład w przypadku zgubienia lub kradzieży telefonu czy karty). Klient odpowiada do maksymalnie 50 euro (wcześniej było to 150 euro).
Wprowadzono także nowe zasady pokrywania kosztów przelewów zagranicznych. Przy transferze środków do kraju z Europejskiego Obszaru Gospodarczego (UE, Islandia, Norwegia, Lichtenstein, Szwajcaria) koszty są dzielone między nadawcę i odbiorcę.
Od 14 września w życie wchodzą kolejne przepisy.
Silne uwierzytelnienie
Dyrektywa PDS2 dokładnie określa, jak bank powinien weryfikować tożsamość użytkownika. W skrócie bank lub dostawca usług płatniczych powinien wykorzystać dwa z trzech elementów:
- coś, co wiesz (np. hasło)
- coś, co masz (np. telefon komórkowy)
- coś, czym jesteś (czyli np. odcisk palca lub system rozpoznawania twarzy)
Większość banków wprowadziło już taki system weryfikacji przy logowaniu się do bankowości internetowej. Na przykład w mBanku, logując się przez stronę internetową, trzeba będzie wpisać identyfikator, hasło i uwierzytelnić się w aplikacji (tzw. mobilna autoryzacja) lub przepisać kod, który zostanie wysłany SMS-em.
Nie zmieni się natomiast sposób logowania do aplikacji – tak jak obecnie trzeba będzie wpisać kod PIN, który składa się z minimum 5 cyfr, zalogować za pomocą odcisku palca lub systemem rozpoznawania twarzy.
Z kolei Bank Pekao zdecydował o wycofaniu z użytku haseł z papierowej listy kodów oraz tokenów. W zamian proponuje hasła jednorazowe wysyłane SMS-em lub autoryzację mobilną w aplikacji. Kod będzie potrzebny także do wejścia w historię operacji starszą niż 90 dni.
Bank Pocztowy oprócz dotychczasowego identyfikatora i hasła wprowadzi dodatkowy kod wysłany SMS-em lub wyśle prośbę o hasło do tak zwanego Certyfikatu, który posłuży do autoryzacji w bankowości.
Bank Ochrony Środowiska wprowadził zupełnie nowy serwis internetowy. Umożliwia korzystanie z nowej metody autoryzacji – autoryzacji mobilnej z wykorzystaniem tokena mobilnego. Funkcjonujące obecnie tokeny zostaną wycofane. Klienci mogą dokonywać autoryzacji kodem SMS.
Także Getin Noble Bank od 14 września wycofuje z użycia tokeny oraz karty Display (z interaktywnym wyświetlaczem). Zamiast tego wprowadzone zostanie dodatkowe uwierzytelnienie za pomocą SMS-a.
Również w Euro Banku oprócz hasła i loginu potrzebny będzie token, hasło wysłane SMS-em lub autoryzacja w mobilnej aplikacji. Dla bezpieczeństwa bank skróci także sesje w swoim serwisie online i w aplikacji mobilnej do 5 minut.
Alior Bank poinformował, że oprócz identyfikatora i hasła do bankowości internetowej klienci podczas logowania zostaną poproszeni "także o hasło SMS lub zatwierdzenie logowania w aplikacji mobilnej". Wprowadzona zostanie też nowa metoda potwierdzenia operacji zlecanych w bankowości internetowej, na przykład przelewów.
W ING Banku Śląskim przy logowaniu do bankowości internetowej mogą być proszeni o wpisanie kodu autoryzacyjnego z SMS-a. W przypadku wykonywania na przykład przelewów w aplikacji mobilnej, bank może poprosić klientów o dodatkową autoryzację: kodem SMS lub PIN-em do aplikacji.
W przypadku logowania do bankowości internetowej po wprowadzeniu loginu i hasła klienci banku Santander zostaną poproszeni o dodatkowe potwierdzenie logowania. Korzystanie z aplikacji Santander mobile również będzie wymagało wskazania "zaufanego urządzenia" mobilnego.
Płatności kartą
Dyrektywa PSD2 wprowadza limity związane z płatnościami kartą bez użycia PIN: limit ilościowy i wartościowy. Bank może wybrać jeden z nich.
Jeśli bank zdecyduje się na limit ilościowy, nieco częściej trzeba będzie wpisywać PIN. Dziś jedynie transakcje powyżej 50 zł wymagają potwierdzania tym kodem. Po 14 września pięć pierwszych transakcji do 50 zł będzie bez PIN-u, natomiast szósta będzie wymagała jego wpisania.
Jeśli bank wybierze limit wartościowy, to PIN będzie trzeba podać, gdy suma kolejnych płatności nie potwierdzanych tym kodem przekroczy ustalony przez bank próg. W dyrektywie ten limit ustalony jest na maksymalnie 150 euro, jednak mogą go zmniejszyć.
O swojej decyzji bank ma obowiązek poinformować klientów na 60 dni przed wprowadzeniem dyrektywy PSD2.
- Nie będzie to bardziej uciążliwe niż jest obecnie. Po pierwsze każdy raczej pamięta swój PIN, po drugie i tak transakcje zbliżeniowe powyżej 50 złotych już obecnie należy akceptować wpisując PIN. Po trzecie – jeszcze lepiej zabezpiecza to przed utratą środków pieniężnych w przypadku próby kradzieży – tłumaczy w rozmowie z www.tvn24bis.pl Wojciech Pantkowski dyrektor Zespołu Systemów Płatniczych i Bankowości Elektronicznej w Związku Banków Polskich. – Szacujemy, że konieczność wpisywania PIN-u będzie o około 10 procent częstsza niż obecnie – dodaje Pantkowski.
Wyjątkiem będą transakcje np. na autostradach, w maszynach z napojami i jedzeniem czy biletomatach w komunikacji miejskiej lub w parkometrach. Często w takich miejscach nie ma zintegrowanej klawiatury do wpisania kodu. Tam nadal będzie można zapłacić bez użycia PIN niezależnie od wprowadzonych przez banki limitów.
Zakupy w internecie także będą wymagały silnego uwierzytelnienia. Podobnie jak przy przelewach trzeba będzie podać kod z SMS-a lub uwierzytelnić się w aplikacji mobilnej. Nawet jeśli do konta w sklepie "przypięta" jest karta kredytowa, bank będzie wymagał dodatkowej weryfikacji.
Otwarta bankowość
Kolejną generalną zmianą, jaką przyniesie ze sobą wprowadzenie dyrektywy PSD2 będzie pojawienie się tak zwanych podmiotów trzecich (TPP – Third Party Providers) i otwartej bankowości. Zgodnie z PSD2 podmioty trzecie będą mogły, w imieniu użytkownika usług płatniczych i za jego zgodą, uzyskać dostęp do informacji o jego rachunku lub zlecać realizację płatności.
Z kolei otwarta bankowość oznacza, że każdy bank, który oferuje dostęp do konta przez internet będzie musiał umożliwić dostęp TPP do danych z rachunku posiadacza. Oczywiście za zgodą właściciela rachunku.
W praktyce może to wyglądać na przykład tak: klient ma konta w trzech bankach, podmiot trzeci oferuje aplikację, która pozwala na obsługę trzech kont w jednym miejscu. Zgadzając się na otwartą bankowość i dostęp podmiotu trzeciego do dostępu do danych z naszych trzech kont bankowych, możemy zarządzać finansami w jednym miejscu zamiast przelogowywać się między stronami banków.
- PSD2 jest często przedstawiane jako szansa dla sektora finansowego w Polsce, ale może też być poważnym zagrożeniem - mówi Piotr Alicki, prezes zarządu Krajowej Izby Rozliczeniowej.
- Warto mieć świadomość, że w rezultacie tych regulacji każdy z międzynarodowych gigantów technologicznych może swobodnie wejść na nasz rynek - bo ma kapitał niezbędny do skutecznego konkurowania, a dzięki otwartemu dostępowi do wszystkich krajów Unii Europejskiej staje się to korzystne biznesowo. Globalni giganci mogą stać się zatem potężną konkurencją dla polskich czy też europejskich firm – nie tylko tych z sektora finansowego – dodaje Alicki.
Autor: Marta Malinowska-Hirsch / Źródło: tvn24bis.pl
Źródło zdjęcia głównego: Shutterstock