• Sklep
  • Odbierz prezent
Dyrektywa PSD2: Co zmieni się w Twoim banku od połowy września?

W połowie września w Polsce zaczną obowiązywać zasady unijnej dyrektywy PSD2 (ang. Payment Services Directive), która w swoich założeniach ma doprowadzić do zmiany dotychczasowego modelu funkcjonowania instytucji bankowych i pozwolić na rozwój tzw. otwartej bankowości. Zapewni ona dostęp do usług dotychczas zarezerwowanych wyłącznie dla banków również firmom trzecim (TPP - ang. third party providers), przyczyniając się do szybszego rozwoju branży fintech. Z punktu widzenia przeciętnego użytkownika banku również zmieni się całkiem sporo, w dodatku w zasadzie wyłącznie na korzyść klientów. Banki będą zobowiązane do wzięcia większej odpowiedzialności za depozyty powierzone im przez swoich klientów, a także do zapewnienia użytkownikom wyższych niż dotychczas standardów zabezpieczeń konta bankowego i kart płatniczych m.in. przez wprowadzenie tzw. silnego uwierzytelniania. Co konkretnie zmieni się w bankach po 14 września z perspektywy „zwykłych” klientów, po wejściu w życie zasad dyrektywy PSD2?

 

Silne uwierzytelnianie, czyli jakie?

To, co chyba najbardziej interesuje wszystkich z nas, czyli klientów banków, to nowe zasady logowania do panelu bankowości internetowej, wymuszone przez dyrektywę PSD2, a konkretnie zaś przez tzw. rozporządzenie RTS (Rozporządzenie dot. silnego uwierzytelniania i standardów komunikacji). Dotychczas bowiem banki miały dużą swobodę wyboru sposobu logowania, co najczęściej prowadziło do obniżania standardów bezpieczeństwa, nie zaś odwrotnie. Każdy, kto regularnie korzysta np. z giełd kryptowalut jest w stanie zauważyć, że w zasadzie wszystkie tego typu platformy internetowe dają możliwość włączenia dwuskładnikowego uwierzytelniania (2FA - ang. two-factor authentication) przy logowaniu (niektóre giełdy wręcz tego wymagają), podczas gdy jeszcze do niedawna w zasadzie żaden bank operujący w Polsce nawet nie posiadał takiej opcji. Dlaczego? Prawdopodobnie dlatego, że nie musiał. Od połowy września jednak się to zmieni, ponieważ dyrektywa PSD2 wprowadza obowiązkowe tzw. silne uwierzytelnianie klienta. Brzmi to dość skomplikowanie, opiera się jednak na trzech prostych elementach. Aby zapewnić silne uwierzytelnienie użytkownika, trzeba potwierdzić przy logowaniu swoją tożsamość na przynajmniej dwa z trzech sposobów, opierających się na:

  • wiedzy klienta: najprościej rzecz ujmując, chodzi o znajomość loginu lub numeru użytkownika oraz oczywiście hasła. Dotychczas większość banków kończyła uwierzytelnianie klienta na tym elemencie - po wpisaniu loginu i hasła następowało poprawne zalogowanie na konto. Jest to równoznaczne z tym, że każdy kto znał dane do logowania, mógł uzyskać dostęp do konta.
  • cechach klienta: chodzi tutaj o indywidualne cechy biometryczne konkretnego klienta - mowa np. o odcisku palca przyłożonego do czytnika linii papilarnych, czy o funkcji rozpoznawania twarzy. Metody tego typu są powszechnie stosowane m.in. do odblokowywania telefonu, co świadczy o tym, że technologie uwierzytelniania biometrycznego w obecnej fazie rozwoju są tanie w wykorzystaniu i stosunkowo bezpieczne.
  • posiadaniu: uwierzytelnienie tego typu polega na przesłaniu jednorazowego i tymczasowego kodu autoryzacyjnego na urządzenie lub adres należące do klienta. Przykładem takiego rozwiązania jest np. kod wysłany sms-em na nr telefonu klienta, przesłany na aplikację mobilną, czy na adres mailowy (skrzynka mailowa jest w tym przypadku dość dyskusyjna, ponieważ dostęp do niej można uzyskać z różnych urządzeń, znając dane do logowania). Co ciekawe, jako uwierzytelnienie oparte na posiadaniu nie można uznać wykorzystywanych jeszcze do niedawna kart zdrapek z kodami autoryzacyjnymi. Dlaczego? Chociażby z tego powodu, że umieszczone na nich kody nie są generowane w czasie rzeczywistym i nie spełniają wymogów tymczasowości. M.in. dlatego żaden bank obecnie z nich już nie korzysta.

 

Obowiązek silnego uwierzytelniania wymaga spełnienia dwóch z trzech typów potwierdzenia tożsamości (stąd też alternatywna nazwa: dwuskładnikowe uwierzytelnianie) - w praktyce oznacza to np. że logując się do bankowości internetowej na komputerze, po podaniu loginu i hasła będziemy zobowiązani do wpisania jednorazowego kodu uwierzytelniającego, który został wysłany na nasz nr telefonu. W przypadku logowania się z poziomu aplikacji mobilnej, po wpisaniu hasła lub PIN-u będziemy zobowiązani do potwierdzenia naszej tożsamości np. poprzez przyłożenie palca do czytnika linii papilarnych (o ile nasz telefon jest w niego wyposażony).

Spostrzegawczy zauważą, że w większości banków po zalogowaniu się użytkownika na swoje konto już od dawna konieczne było wpisanie przez niego np. kodu wysłanego sms-em do zrealizowania przelewu (chyba, że wysyłany był do tzw. „zaufanego odbiorcy”), co częściowo można uznać za dwuskładnikowe zabezpieczenie. Dyrektywa PSD2 wymusza jednak stosowanie silnego uwierzytelniania za każdym razem już przy samym logowaniu.

 

Większe bezpieczeństwo i więcej praw

Silne uwierzytelnianie przez wielu klientów może być uznane za wydłużenie i utrudnienie logowania do bankowości internetowej, bez wątpienia jednak przyczyni się do tego, że uzyskanie dostępu do konta przez osoby niepowołane będzie trudniejsze. Co jednak, jeśli i tak do tego dojdzie i nasze środki ulokowane w banku wpadną w niepowołane ręce? Dyrektywa PSD2 wprowadza również tzw. odpowiedzialność banku za nieautoryzowane transakcje, bardzo istotną z punktu widzenia każdego klienta. Zasada ta obarcza pełną odpowiedzialnością za nieautoryzowane transakcje na koncie klienta dostawcę usług, czyli w tym przypadku bank. Wyjątkiem od tej zasady są sytuacje, w których doszło do rażącego nadużycia ze strony użytkownika. Dyrektywa wychodzi zatem z prostego założenia -  jeżeli doszło do nieautoryzowanej transakcji, czy to przelewem, czy za pośrednictwem karty, oznacza to że bank zastosował zbyt słabe zabezpieczenia i to on ponosi odpowiedzialność. Co ciekawe, gdy dojdzie do transakcji niewykonanej zgodnie z wolą klienta, bank za każdym razem będzie musiał niezwłocznie (czyli do końca kolejnego dnia roboczego) zwrócić jej kwotę, później dopiero zaś dokonać ewentualnej oceny tego, czy zwrot kwoty był zasadny. Jest to całkowite odwrócenie obecnego modelu reklamacji nieautoryzowanych transakcji, w którym klienci zazwyczaj skazani są na wielomiesięczne batalie z bankiem, często również na drodze sądowej. Banki dotychczas najczęściej umywały ręce w przypadku nieautoryzowanych transakcji, zrzucając pełną winę na klientów, często nawet na tych, którzy palki ofiarami wyrafinowanych ataków phishingowych.

Zgodnie z dyrektywą PSD2, klient ponosi odpowiedzialność za nieautoryzowane transakcje do kwoty 50 euro (dotychczas było to 150 euro). Co więcej, od momentu zgłoszenia nieautoryzowanego wykorzystania funduszy przez klienta, bank ponosi pełną odpowiedzialność za dalsze straty wynikające z tego tytułu - np. w przypadku zagubienia karty płatniczej. Klient ponosi odpowiedzialność za nieautoryzowane transakcje jedynie wówczas, gdy nie zgłosi ich w okresie 13 miesięcy od momentu wystąpienia, a także gdy doszło do nich w wyniku rażącego nadużycia lub celowego działania. Jeżeli natomiast do nieautoryzowanych transakcji doszło z powodu braku silnego uwierzytelnienia na koncie klienta, odpowiedzialność zawsze będzie po stronie banku. Oprócz tego, czas rozpatrywania reklamacji przez bank zostanie skrócony do 15 dni, co zreszta zostało wdrożone przez wiele banków już jakiś czas temu.

Zmiany w tym zakresie są bez wątpienia korzystne dla użytkowników i wyeliminują większość sytuacji, w których banki dotychczas umywały ręce od odpowiedzialności za bezpieczeństwo środków i skazywały klientów na wielomiesięczne batalie sądowe.

Czytaj także: Ustawa antylichwiarska - dlaczego zniszczy branżę i odda klientów w ręce lichwiarzy?

Ustawa, szumnie nazywana antylichwiarską, została po raz pierwszy zaprezentowana w kwietniu zeszłego roku, w ramach programu o znamiennej nazwie „Sprawiedliwość i bezpieczeństwo”. Jej celem ma być ochrona obywateli przed parabankami, oferującymi pożyczki na „lichwiarski” procent, a także przed wykor.. Czytaj
Ustawa antylichwiarska - dlaczego zniszczy branżę i odda klientów w ręce lichwiarzy?

 

Jakie zmiany wprowadzą banki?

Większość banków poinformowała już swoich klientów o zmianach w sposobie logowania, zgodnych z dyrektywą PSD2, pozwalając na ich wcześniejsze aktywowanie. Obowiązkowo wejdą one w życie na koncie każdego klienta z dniem 14 września. Poniżej lista podstawowych zmian w najpopularniejszych bankach:

 

mBank:

  • logowanie na komputerze: tak, jak dotychczas (ID klienta + hasło) oraz potwierdzenie logowania hasłem SMS lub kodem wysłanym na aplikację mobilną mBank lub nowa aplikację mBank Token (wymaga uaktywnienia)
  • usunięcie haseł jednorazowych (wysyłanych pocztą do klienta)
  • możliwość nadania konkretnemu urządzeniu statusu „zaufanego” w celu uniknięcia silnej autoryzacji za każdym razem
  • usunięcie mobilnej wersji witryny bankowości internetowej (na rzecz aplikacji mobilnej)
  • usunięcie dyspozycji telefonicznych dla klientów Private Banking

 

PKO BP:

  • logowanie na komputerze: dwuetapowe, z wykorzystaniem kodu autoryzacyjnego wysyłanego na aplikację mobilną IKO
  • czas sesji w bankowości internetowej skrócony o połowę (z 10 do 5 minut)
  • maskowanie haseł jednorazowych za pomocą kropek

 

Pekao SA:

  • logowanie na komputerze: po wpisaniu loginu i hasła konieczne potwierdzenie kodem SMS (20 gr opłaty za każdy wysłany kod) lub kodem z aplikacji mobilnej PeoPay (darmowe)
  • wprowadzenie PekaoID, „cyfrowej tożsamości” działającej w oparciu o usługę MojeID, rozwijaną przez Krajową Izbę Rozliczeniową. Korzystanie z niej będzie dobrowolne.
  • całkowite wycofanie kodów jednorazowych na rzecz aplikacji mobilnej PekaoToken

 

Santander Bank:

  • logowanie na komputerze: po podaniu hasła konieczność potwierdzenia hasłem SMS, tokenem z aplikacji lub podpisem mobilnym
  • możliwość ustawienia urządzenia mobilnego (smartfona, tabletu) jako „zaufanego” z poziomu aplikacji Santander Mobile w celu wyeliminowania każdorazowego silnego uwierzytelniania

 

Alior Bank:

  • logowanie na komputerze: dwustopniowe uwierzytelnienie przez kod SMS lub token z aplikacji mobilnej
  • potwierdzanie operacji z poziomu aplikacji mobilnej z dodatkowym potwierdzeniem biometrycznym: FaceID (iPhone) lub odcisk palca
  • 5 minutowy czas sesji w bankowości internetowej (skrócony o połowę)

 

Każdy bank powinien już jakiś czas temu poinformować klientów za pomocą elektronicznych kanałów komunikacji o konkretnych zmianach, które zostaną wprowadzone po 14 września. Część z banków wprowadziła nowe zasady już wcześniej, inne zaś zmienią je z dniem wejścia w życie dyrektywy PSD2.

Czytaj także: Karta Revolut postrachem wielu bankowców! Historia, oferta oraz udogodnienia banku i karty Revolut

Wraz z uzyskaniem europejskiej licencji bankowej, postępującymi pracami nad platformą do bezprowizyjnego inwestowania w akcje i finalną fazą przygotowań do wejścia na pięć nowych rynków poza Europą, jesteśmy coraz bliżej tego by stać się Amazonem w bankowości. Wizja jest prosta: jedna aplikacja, dzi.. Czytaj
Karta Revolut postrachem wielu bankowców! Historia, oferta oraz udogodnienia banku i karty Revolut


Dariusz Dziduch

Project Manager FXMAG, prowadzący program satyryczno-edukacyjny "O kryptowalutach". Nietuzinkowy promotor technologii blockchain oraz walut cyfrowych. Zainteresowania rynkowe łączy z wiedzą z zakresu psychologii inwestowania.

Przejdź do artykułów autora
Zamknij

Koszyk