Banki zaostrzą przepisy. Poproszą o PIN i wyślą SMS

14 września wchodzą w życie przepisy rozporządzenia delegowanego Komisji Europejskiej, dotyczące regulacyjnych standardów technicznych (tzw. RTS) m.in. w sprawie tzw. silnego uwierzytelnienia klienta. Wszystko po to, zwiększyć bezpieczeństwo korzystania z usług płatniczych oferowanych elektronicznie i tym samym ograniczyć oszustwa.

Ponadto, nowe wymagania mają zabezpieczyć klientów tzw. otwartej bankowości (ang. open-banking). Unijna dyrektywa PSD2 przewiduje, że za zgodą klienta banki mają zapewnić dostęp do jego rachunków płatniczych licencjonowanym, zewnętrznym podmiotom, czyli innym bankom, twórcom programów i aplikacji finansowych, serwisom płatniczym – określanym jako TPP (third party providers).

Nowe, tzw. silne uwierzytelnienie klienta polega na minimum dwuelementowym potwierdzaniu tożsamości. Pierwszy etap to np. kod PIN, hasło lub inny element, który jest znany tylko klientowi banku. Drugi etap pomaga zweryfikować tożsamość klienta. "Chodzi np. o jego telefon z kartą SIM, na który można przysłać SMS z kodem" - tłumaczył Wojciech Pantkowski ze Związku Banków Polskich. 

Trzeci element, to tzw. "cecha klienta", czyli np. odcisk palca czy tęczówka oka lub układ żył. "Uwierzytelnianie poprzez cechę klienta obecnie stosowane jest przy mobilnych rozwiązaniach, np. skan źrenicy oka lub odcisku palca" - wskazał ekspert.

Podkreślił, że silne, dwuelementowe uwierzytelnianie jest już standardowo stosowane przy autoryzacji przelewów internetowych: najczęściej chodzi o kod przysyłany SMS-em lub PIN w aplikacji mobilnej, który musimy podać przy zleceniu przelewu. Po zmianach podobnie będzie już przy logowaniu na konto.

Dodatkowo, nowe przepisy wprowadzają wyłączenia z konieczności uwierzytelnienia przy płatnościach, np. kartą w sklepie przy zakupach poniżej limitów (ilościowych lub wartościowych) albo przy niskich kwotach w internecie.

"Do tej pory mogliśmy opłacić kartą małe kwoty wiele razy. Od połowy września zostanie wprowadzony limit albo liczby transakcji albo ich łącznej wartości. Oznacza to, że będziemy poproszeni o wprowadzenie PIN albo po pięciu transakcjach, albo gdy ich łączna wartość przekroczy określoną przez wydawcę karty sumę. Prawo unijne wprowadza tutaj limit 150 euro, ale polskie banki skorzystają z możliwości ustawienia go na niższym poziomie" - zaznaczył Pantkowski.

Licznik będzie się zerował po każdej transakcji z użyciem PIN, także tych, gdzie kwota jednorazowej transakcji przekracza 50 zł, analogicznie jak ma to miejsce także dzisiaj.

Podobnie będzie przy niskokwotowych transakcjach w internecie. W przypadku elektronicznych płatności w internecie kwota pojedynczej transakcji nie może przekroczyć 30 euro, a licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 euro, zaś licznik liczby następujących po sobie transakcji jest analogiczny jak w płatnościach zbliżeniowych, czyli pięciu.

Dodatkowymi zabezpieczeniami zostaną obudowane płatności kartami kredytowymi i debetowymi.

Według Pantkowskiego, większość banków już wdrożyła odpowiednie procedury albo jest w trakcie zmian, informowania klientów o nowych procedurach.