W połowie września w Polsce zaczną obowiązywać zasady unijnej dyrektywy PSD2 (ang. Payment Services Directive), która w swoich założeniach ma doprowadzić do zmiany dotychczasowego modelu funkcjonowania instytucji bankowych i pozwolić na rozwój tzw. otwartej bankowości. Zapewni ona dostęp do usług dotychczas zarezerwowanych wyłącznie dla banków również firmom trzecim (TPP - ang. third party providers), przyczyniając się do szybszego rozwoju branży fintech. Z punktu widzenia przeciętnego użytkownika banku również zmieni się całkiem sporo, w dodatku w zasadzie wyłącznie na korzyść klientów. Banki będą zobowiązane do wzięcia większej odpowiedzialności za depozyty powierzone im przez swoich klientów, a także do zapewnienia użytkownikom wyższych niż dotychczas standardów zabezpieczeń konta bankowego i kart płatniczych m.in. przez wprowadzenie tzw. silnego uwierzytelniania. Co konkretnie zmieni się w bankach po 14 września z perspektywy „zwykłych” klientów, po wejściu w życie zasad dyrektywy PSD2?
To, co chyba najbardziej interesuje wszystkich z nas, czyli klientów banków, to nowe zasady logowania do panelu bankowości internetowej, wymuszone przez dyrektywę PSD2, a konkretnie zaś przez tzw. rozporządzenie RTS (Rozporządzenie dot. silnego uwierzytelniania i standardów komunikacji). Dotychczas bowiem banki miały dużą swobodę wyboru sposobu logowania, co najczęściej prowadziło do obniżania standardów bezpieczeństwa, nie zaś odwrotnie. Każdy, kto regularnie korzysta np. z giełd kryptowalut jest w stanie zauważyć, że w zasadzie wszystkie tego typu platformy internetowe dają możliwość włączenia dwuskładnikowego uwierzytelniania (2FA - ang. two-factor authentication) przy logowaniu (niektóre giełdy wręcz tego wymagają), podczas gdy jeszcze do niedawna w zasadzie żaden bank operujący w Polsce nawet nie posiadał takiej opcji. Dlaczego? Prawdopodobnie dlatego, że nie musiał. Od połowy września jednak się to zmieni, ponieważ dyrektywa PSD2 wprowadza obowiązkowe tzw. silne uwierzytelnianie klienta. Brzmi to dość skomplikowanie, opiera się jednak na trzech prostych elementach. Aby zapewnić silne uwierzytelnienie użytkownika, trzeba potwierdzić przy logowaniu swoją tożsamość na przynajmniej dwa z trzech sposobów, opierających się na:
Obowiązek silnego uwierzytelniania wymaga spełnienia dwóch z trzech typów potwierdzenia tożsamości (stąd też alternatywna nazwa: dwuskładnikowe uwierzytelnianie) - w praktyce oznacza to np. że logując się do bankowości internetowej na komputerze, po podaniu loginu i hasła będziemy zobowiązani do wpisania jednorazowego kodu uwierzytelniającego, który został wysłany na nasz nr telefonu. W przypadku logowania się z poziomu aplikacji mobilnej, po wpisaniu hasła lub PIN-u będziemy zobowiązani do potwierdzenia naszej tożsamości np. poprzez przyłożenie palca do czytnika linii papilarnych (o ile nasz telefon jest w niego wyposażony).
Spostrzegawczy zauważą, że w większości banków po zalogowaniu się użytkownika na swoje konto już od dawna konieczne było wpisanie przez niego np. kodu wysłanego sms-em do zrealizowania przelewu (chyba, że wysyłany był do tzw. „zaufanego odbiorcy”), co częściowo można uznać za dwuskładnikowe zabezpieczenie. Dyrektywa PSD2 wymusza jednak stosowanie silnego uwierzytelniania za każdym razem już przy samym logowaniu.
Silne uwierzytelnianie przez wielu klientów może być uznane za wydłużenie i utrudnienie logowania do bankowości internetowej, bez wątpienia jednak przyczyni się do tego, że uzyskanie dostępu do konta przez osoby niepowołane będzie trudniejsze. Co jednak, jeśli i tak do tego dojdzie i nasze środki ulokowane w banku wpadną w niepowołane ręce? Dyrektywa PSD2 wprowadza również tzw. odpowiedzialność banku za nieautoryzowane transakcje, bardzo istotną z punktu widzenia każdego klienta. Zasada ta obarcza pełną odpowiedzialnością za nieautoryzowane transakcje na koncie klienta dostawcę usług, czyli w tym przypadku bank. Wyjątkiem od tej zasady są sytuacje, w których doszło do rażącego nadużycia ze strony użytkownika. Dyrektywa wychodzi zatem z prostego założenia - jeżeli doszło do nieautoryzowanej transakcji, czy to przelewem, czy za pośrednictwem karty, oznacza to że bank zastosował zbyt słabe zabezpieczenia i to on ponosi odpowiedzialność. Co ciekawe, gdy dojdzie do transakcji niewykonanej zgodnie z wolą klienta, bank za każdym razem będzie musiał niezwłocznie (czyli do końca kolejnego dnia roboczego) zwrócić jej kwotę, później dopiero zaś dokonać ewentualnej oceny tego, czy zwrot kwoty był zasadny. Jest to całkowite odwrócenie obecnego modelu reklamacji nieautoryzowanych transakcji, w którym klienci zazwyczaj skazani są na wielomiesięczne batalie z bankiem, często również na drodze sądowej. Banki dotychczas najczęściej umywały ręce w przypadku nieautoryzowanych transakcji, zrzucając pełną winę na klientów, często nawet na tych, którzy palki ofiarami wyrafinowanych ataków phishingowych.
Zgodnie z dyrektywą PSD2, klient ponosi odpowiedzialność za nieautoryzowane transakcje do kwoty 50 euro (dotychczas było to 150 euro). Co więcej, od momentu zgłoszenia nieautoryzowanego wykorzystania funduszy przez klienta, bank ponosi pełną odpowiedzialność za dalsze straty wynikające z tego tytułu - np. w przypadku zagubienia karty płatniczej. Klient ponosi odpowiedzialność za nieautoryzowane transakcje jedynie wówczas, gdy nie zgłosi ich w okresie 13 miesięcy od momentu wystąpienia, a także gdy doszło do nich w wyniku rażącego nadużycia lub celowego działania. Jeżeli natomiast do nieautoryzowanych transakcji doszło z powodu braku silnego uwierzytelnienia na koncie klienta, odpowiedzialność zawsze będzie po stronie banku. Oprócz tego, czas rozpatrywania reklamacji przez bank zostanie skrócony do 15 dni, co zreszta zostało wdrożone przez wiele banków już jakiś czas temu.
Zmiany w tym zakresie są bez wątpienia korzystne dla użytkowników i wyeliminują większość sytuacji, w których banki dotychczas umywały ręce od odpowiedzialności za bezpieczeństwo środków i skazywały klientów na wielomiesięczne batalie sądowe.
Jakie zmiany wprowadzą banki?
Większość banków poinformowała już swoich klientów o zmianach w sposobie logowania, zgodnych z dyrektywą PSD2, pozwalając na ich wcześniejsze aktywowanie. Obowiązkowo wejdą one w życie na koncie każdego klienta z dniem 14 września. Poniżej lista podstawowych zmian w najpopularniejszych bankach:
Każdy bank powinien już jakiś czas temu poinformować klientów za pomocą elektronicznych kanałów komunikacji o konkretnych zmianach, które zostaną wprowadzone po 14 września. Część z banków wprowadziła nowe zasady już wcześniej, inne zaś zmienią je z dniem wejścia w życie dyrektywy PSD2.
