logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo
star Bookmark: Tag Tag Tag Tag Tag
Poland

Duże zmiany w logowaniu. Jak to wygląda w głównych bankach

MP Konta bankowe

Adobe Stock

Od 14 wrzenia wchodzi w ycie unijna dyrektywa PSD2 dotyczca patnoci, ktra przynosi nie tylko otwarcie bankowoci na podmioty trzecie, ale te spore zmiany w logowaniu.

Co zmienia PSD2? Przede wszystkim banki i inni dostawcy usug patniczych bd mieli obowizek stosowania tzw. silnego uwierzytelniania (SCA). Wprowadzi to sporo zmian w logowaniu czy autoryzacji transakcji. Ankietowane przez nas banki informuj, co si u nich zmieni.

Dodatkowe potwierdzenie w bankowoci internetowej

Silne uwierzytelnienie oznacza potwierdzenie tosamoci klienta przez zastosowanie co najmniej dwch elementw nalecych do kategorii: wiedza (co, co wie wycznie uytkownik, np. haso, PIN), posiadanie (co, co ma tylko uytkownik, np. telefon) i cechy (co, co charakteryzuje wycznie uytkownika, odcisk palca, skan oka lub twarzy). Musz by niezalene od siebie w tym sensie, e naruszenie jednego z nich nie osabia wiarygodnoci pozostaych.

Teraz podajemy login oraz haso i o ile to drugie jest znane tylko uytkownikowi, o tyle login zazwyczaj nie jest chroniony i moe by zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest wic speniony drugi z wymaganych co najmniej dwch warunkw SCA. Dlatego banki bd musiay doda kolejne zabezpieczenie i bd stosoway rne sposoby. Ponadto metody autoryzacji dla transakcji elektronicznych powinny czy transakcj z okrelon kwot i odbiorc, np. przez podanie w SMS informacji o kwocie operacji i ostatnich cyfrach rachunku odbiorcy.

PKO Bank Polski informuje, e wprowadza dwuetapowe uwierzytelnienie, ktre wzmocni bezpieczestwo logowania do serwisu. Klienci mog korzysta z autoryzacji mobilnej w aplikacji IKO i funkcji dwuetapowego logowania do systemu bankowoci elektronicznej iPKO i Inteligo. Po jej wczeniu kadorazowo podczas logowania do bankowoci elektronicznej oprcz podania standardowo hasa do iPKO/Inteligo klient zatwierdza logowanie take w aplikacji mobilnej.

W przypadku uzyskania dostpu do informacji o rachunku przez logowanie do bankowoci internetowej i mobilnej Pekao bdzie wymaga nie rzadziej ni co 90 dni podania kodu SMS lub wygenerowanego przez aplikacj PeoPay. Klient bdzie musia podawa kod rwnie w przypadku wejcia w histori operacji starsz ni 90 dni lub wykonujc transakcj patnicz. Podczas logowania w aplikacji mobilnej PeoPay klient zostanie poproszony o podanie PIN nawet w razie ustawionego logowania biometri. Do transakcji patniczych zastosowanie bdzie miao wiele wycze z silnej autoryzacji, np. przelewy midzy wasnymi rachunkami lub przelewy do zdefiniowanych odbiorcw mwi ukasz Nowicki, kierownik zespou w Biurze Bankowoci Omnikanaowej w Pekao.

Take przy korzystaniu z usug oferowanych przez dostawcw usug patniczych (TPP) wymagane bdzie silne uwierzytelnienie klienta. Kadorazowo w przypadku zainicjowania patnoci, uzyskania informacji o rachunku i przy pierwszym dostpie do informacji oraz nie rzadziej ni co 90 dni w przypadku zgody wielokrotnej na dostp do historii rachunku. Pekao zdecydowa o wycofaniu autoryzacji niezgodnych z zasadami SCA (m.in. karta kodw jednorazowych i token) i pozostawieniu metod autoryzacji opartych na kodach SMS oraz wiadomociach push generowanych przez aplikacj PeoPay.

Zaufane urzdzenie pozwoli unikn dodatkowej autoryzacji

Take w Santander Banku Polska od poowy wrzenia zmieni si sposb logowania do usug zdalnych. Wymagane bdzie silne uwierzytelnienie w bankowoci internetowej, czyli klienci, ktrzy dotychczas logowali si, podajc login i haso, bd kadorazowo proszeni o autentykacj dodatkowym sposobem: kodem SMS, tokenem lub mobilnym podpisem. Dla wygody klientw wprowadzamy take nowe rozwizanie logowanie si urzdzeniem zaufanym (tzw. zaufanym komputerem). Klient bdzie mia moliwo dodania swojego komputera, tabletu lub smartfona jako zaufanego komputera.

Przy logowaniu z takiego urzdzenia nie bdzie koniecznoci uwierzytelnienia innym dodatkowym sposobem, czyli klient bdzie si logowa jak dotychczas: jedynie z uyciem loginu i hasa wyjania Szymon Staczak odpowiedzialny w Santanderze za PSD2. W aplikacji mobilnej klient, ktry jeszcze nie doda smartfona lub tabletu jako urzdzenia zaufanego, bdzie proszony o zaufanie urzdzenia i podczas pierwszego logowania zostanie poproszony o dodatkow autentykacj za pomoc kodu SMS, tokenu lub mobilnego podpisu. mBank informuje, e w jego przypadku sposb logowania do aplikacji mobilnej nie zmieni si. W internecie ze wzgldu na wymogi SCA bank poprosi klienta o potwierdzenie logowania kodem z SMS albo mobiln autoryzacj. Take tu jest sposb na to, aby nie musie za kadym razem potwierdza logowania SMS lub mobiln autoryzacj naley doda swj komputer (telefon, tablet) do zaufanych urzdze.

ING Bank lski wyjania, e w trakcie logowania do bankowoci internetowej Moje ING klient moe zosta poproszony o wpisanie kodu autoryzacyjnego z SMS. Logowanie moe przebiega na dwa sposoby: login i haso maskowane (pi wybranych znakw) albo login, haso maskowane (pi wybranych znakw) i kod SMS. Z kolei logowanie do aplikacji mobilnej moe mie trzy formy: tylko PIN do aplikacji, tylko identyfikator biometryczny (odcisk palca lub face ID) albo poczenie obu, czyli identyfikator biometryczny i PIN do aplikacji.

W ING Banku lskim za kadym razem, gdy klient bdzie si logowa lub zleca dyspozycje w aplikacji, system bezpieczestwa przeanalizuje sytuacj i dobierze odpowiedni sposb autoryzacji. Oceni te, czy dodatkowa autoryzacja jest potrzebna. Nie bdzie koniecznoci potwierdzania kadego logowania dwuskadnikowo, SMS bdzie wymagany przy niektrych logowaniach. Nigdy nie uywalimy autoryzacji mobilnej przy logowaniu i nadal nie bdziemy. Nie uywalimy te listy hase jednorazowych do autoryzacji i nadal nie bdziemy mwi Ewa Szersze z ING BSK.

Zmiany dotyczce loginw

W Aliorze klienci poza identyfikatorem i hasem bd podawali kod SMS lub potwierdzali logowanie przy pomocy aplikacji mobilnej (tzw. logowanie dwuskadnikowe). Jeli klient doda swoje urzdzenie do zaufanych, wystarczy, e podczas logowania wpisze swj identyfikator i haso. List zaufanych urzdze mona bdzie zarzdza za porednictwem bankowoci internetowej.Klienci Aliora otrzymaj moliwo skorzystania zpowiadomie PUSH w aplikacji mobilnej do autoryzowania operacji zlecanych w bankowoci internetowej. Powiadomienia zatwierdzane bd przy pomocy kodu PIN, odcisku palca lub Touch ID. Wczenie autoryzacji mobilnej bdzie moliwe w bankowoci internetowej oraz podczas aktywacji aplikacji mobilnej.

W Credit Agricole osoby korzystajce z e-banku, co jaki czas podczas logowania bd proszone o wpisanie kodu autoryzacyjnego wysanego SMS-em (kod trzeba bdzie wpisa oprcz loginu i hasa). Osoby korzystajce z aplikacji mobilnej mog zosta poproszone o wpisanie dodatkowo PIN-u mobilnego (tego samego, ktrym zatwierdza si wykonanie przelewu). Dotychczasowy identyfikator (login), zostanie przeksztacony w alias, ktry bdzie mona samodzielnie zmienia. Wprowadzony te bdzie nowy identyfikator sucy m.in. do logowania mona go znale w skrzynce wiadomoci po zalogowaniu si do e-banku. Nowy identyfikator numeryczny oraz alias mog by uywane zamiennie.

Krtsza sesja, dodatkowa autoryzacja przy pobieraniu historii

Dostosowujc si do nowych wymogw sporo bankw skrci take czas trwania tzw. sesji, czyli czasu po zalogowaniu. Jeli uytkownik nie bdzie wykonywa adnej czynnoci w bankowoci internetowej lub aplikacji mobilnej, zostanie automatycznie wylogowany po 5 minutach. Tak bdzie m.in. w Aliorze czy Credit Agricole (w niektrych bankach takie zasady mogy funkcjonowa ju wczeniej).

Niektre banki w serwisie internetowym i mobilnym bdzie wymaga dodatkowej autoryzacji rwnie przy pobieraniu informacji starszych ni 90dni. Zrobi tak np. Credit Agricole: wywietlajc histori lub wycig, ktry obejmuje dane sprzed 90dni, klient bdzie musia wpisa haso SMS, klucz, lub PIN mobilny w zalenoci od tego z jakiej metody korzysta.

Dodatkowy PIN przy patnoci zblieniowej o wartoci 2 z?

Same transakcje, ju po zalogowaniu do bankowoci mobilnej czy internetowej, w zdecydowanej wikszoci ju teraz autoryzowane s zgodnie z nowymi wymogami SCA za pomoc jednorazowego hasa czy autoryzacji mobilnej. mBank podkrela, e nic nie zmienia w autoryzacji poza tym, co oczywiste: nie bdzie moliwe korzystanie z listy hase jednorazowych TAN. Poza tym nieco czciej poprosimy klienta o kod PIN przy transakcjach zblieniowych mwi Kinga Wojciechowska-Rulka z mBanku. Na ten element zwraca te uwag Santander. W przypadku patnoci zblieniowych kartami patniczymi klient moe zosta poproszony o podanie PIN nawet przy transakcjach, ktrych kwota jest mniejsza ni 50 z wyjania Staczak.

Takiego dziaania naley si spodziewa we wszystkich bankach, bo nowe przepisy powoduj, e niektre transakcje mog wymaga zatwierdzenia kodem PIN, nawet jeli si zdarzy, e klient dokona zakupw tylko za 2 z. Przepisy wymaga bd autoryzacji, gdy czna kwota poprzednich transakcji z ostatnich dni bez PIN przekroczy limit, ktry wynosi bdzie maksymalnie 150 euro (ok. 650 z), ale poszczeglne banki bd mogy ustawi go niej, np. na 20 czy 50 euro. Limit bdzie si kasowa, gdy klient wykona transakcj z autoryzacj kodem PIN, czyli na kwot ponad 50 z. Tych transakcji jest cakiem sporo i klienci robi je czsto, wic prawdopodobnie nie bdzie a tak duo przypadkw, gdy kwota bdzie bardzo niska (par z), ale uzbiera si ju ta kumulatywna kwota i konieczne bdzie zatwierdzanie PIN.

Uwaga na przestpcw podszywajcych si pod banki

Jedn z waniejszych zmian jest wprowadzenie tzw. silnego uwierzytelnienia przy korzystaniu z dostpu do rachunku on-line. Uznano, e stosowane dzi zabezpieczenia np. podanie loginu i hasa to za mao. Std przepisy przewiduj wprowadzenie dodatkowych zabezpiecze, np. dodatkow autoryzacj kodem SMS czy aplikacj mobiln. Do tego tworzy si wiele nowych moliwoci potwierdzenia transakcji zwizanych z rozwojem technologii np. dodatkowe potwierdzenie odciskiem palca, skan oka czy twarzy mwi Izabela Dbrowska-Antoniak, dyrektor Wydziau Klienta Rynku Bankowo-Kapitaowego w biurze Rzecznika Finansowego.

Zmiany mog dotyczy zarwno samego logowania do bankowoci internetowej, jaki i wykonywania poszczeglnych transakcji, take transakcji zblieniowych. Banki wysyaj do klientw informacje dotyczce tych zmian. To moe by okazja dla przestpcw, ktrzy podszywajc si banki mog przykadowo da od klientw podania danych potrzebnych do logowania na specjalnie stworzonych stronach internetowych przypominajcych serwisy bankowe.

Naley zachowa ostrono i pod adnym pozorem np. nie odpowiada na maile z takim daniem. Szczeglnie jeli jestemy w nich proszeni o zalogowanie si do naszego konta przy pomocy linku zamieszczonego w przesanym mailu przestrzega Dbrowska-Antoniak. Podobne ostrzeenie w tym zakresie wydaa kilka dni temu rwnieKomisja Nadzoru Finansowego.

Przestpca jako odbiorca zaufany

Eksperci Rzecznika Finansowego zwracaj te uwag, e nowe przepisy pozwalaj na zwolnienie z silnego uwierzytelnienia niektrych rodzajw transakcji. Chodzi tu na przykad o przelewy wewntrz konta np. z konta oszczdnociowego na rachunek oszczdnociowo rozliczeniowy. Wyczona z tego wymogu jest te procedura definiowania odbiorcy zaufanego.Analiza skarg klientw dotyczcych nieautoryzowanych transakcjipokazaa, e przydaoby si dodatkowe zabezpieczenie transakcji przeprowadzonych w ramach rachunku bankowego.

Mielimy przypadki w ktrych przestpcy, ktrzy ju dostali si do panelu klienta w bankowoci elektronicznej definiowali swj rachunek jako odbiorcy zaufanego. Nastpnie transferowali rodki z ROR, konta oszczdnociowego, wykorzystywali limity w kartach, a nawetzacigali tzw. poyczki na klik, czyli wedug uproszczonej procedury. Efekt by taki, e poszkodowany klient nie tylko traci pienidze ktre posiada, ale te mia do spacenia dug opisuje Izabela Dbrowska-Antoniak.

Jej zdaniem po wdroeniu zasad silnego uwierzytelnienia przejcie kontroli nad kontem bdzie rzeczywicie trudniejsze. Jednak po sforsowaniu zabezpiecze, przestpcy bd mieli nadal swobod dziaania w ramach konta. Dlatego dobrze by byo, eby silne uwierzytelnienie byo stosowane rwnie przy wspominanych transakcjach.

Cz klientw z pewnoci bdzie wolaa, eby ich pienidze byy bardziej bezpieczne, nawet kosztem tego, e transakcja bdzie trwaa troch duej. Bank powinien by raczej bezpieczny, a nie szybki zaznacza Izabela Dbrowska-Antoniak.

Szybki zwrot ukradzionych pienidzy

Wspominane przepisy dyrektywy i ustawy zaostrzyy ju wczeniej bo w czerwcu ubiegego roku zasady odpowiedzialnoci bankw w sytuacji gdy przestpcom uda si sforsowa zabezpieczenia. Zgodnie z nimi bank musi zwrci kwoty wytransferowane w ramach nieautoryzowanej przez klienta transakcji zgodnie zasad D+1, co oznacza, e banki w wikszoci przypadkw powinny zwraca rodki nastpnego dnia roboczego po zgoszeniu nieautoryzowanej transakcji. Wyjtkiem jest sytuacja, w ktrej bank bdzie mia uzasadnione i naleycie udokumentowane podejrzenie prby oszustwa ze strony klienta i poinformuje o tym organy cigania wyjania Izabela Dbrowska-Antoniak.

Tylko jeli w pniejszym postpowaniu wyjdzie na jaw, e klient celowo oszuka bank lub do transakcji doszo na skutek jego racego niedbalstwa, bank moe zada od niego zwrotu tych rodkw. W praktyce zapewne bdzie musia ich dochodzi w sdzie i udowadnia swoje twierdzenia. Uwaam, e to waciwa kolejno, bo dzi bank jest troch sdzi we wasnejsprawie mwi Dbrowska-Antoniak.

WIDEO KOMENTARZ

All rights and copyright belongs to author:
Themes
ICO