Dyrektywa PSD 2 wprowadziła wymóg silnego uwierzytelnienia – SCA (Strong Customer Authentication), które polega na weryfikacji tożsamości klienta składającej się z co najmniej dwóch, niezależnych od siebie etapów, zapewniających ochronę poufności danych podczas wykonywania operacji związanych z płatnościami elektronicznymi. Zgodnie z dyrektywą silne uwierzytelnienie wymagane jest, gdy klient:
- uzyskuje dostęp do swojego rachunku w bankowości elektronicznej (logowanie);
- inicjuje elektroniczną transakcję płatniczą (transakcja kartą, przelew);
- przeprowadza czynność za pomocą kanału zdalnego (płatność przez internet), która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
Zastosowana weryfikacja musi obejmować co najmniej dwa elementy, z dwóch różnych kategorii:
Wiedza
(coś, co wie wyłącznie użytkownik)
Posiadanie
(coś, co posiada wyłącznie użytkownik)
Cechy klienta
(coś, czym jest użytkownik)
Do kategorii wiedzy, którą posiada wyłącznie klient zalicza się przede wszystkim: hasła do logowania w bankowości internetowej, PIN do aplikacji mobilnej, PIN do karty płatniczej, kod BLIK, hasło do bankowości telefonicznej. Sam login do bankowości internetowej nadawany przez bank nie spełnia wymogu wiedzy, ponieważ nie jest znany wyłącznie klientowi banku, często znajdując się w dokumentacji przy zawieraniu umowy. W jego posiadaniu mogą być inne osoby, pracownicy banku. Dlatego też banki musiały zrezygnować z możliwości logowania do ich systemów wyłącznie loginem i hasłem (dodatkowo pochodzące z tej samej kategorii).
W kategorii posiadanie znajdują się przedmioty, w których posiadaniu jest klient: fizyczna karta płatnicza, zweryfikowane urządzenie np. komputer, aplikacja mobilna połączona z konkretnym urządzeniem (smartfon), numer telefonu przypisany do kodów autoryzacyjnych SMS.
W przypadku cech klienta jest to unikalna właściwość dla konkretnego klienta, na ogół są to cechy biometryczne jak odcisk palca (Touch ID) lub rozpoznawanie twarzy (Face ID) w aplikacji mobilnej lub rzadziej używana tęczówka oka.
Należy zwrócić uwagę, że o silnym uwierzytelnieniu mówimy wtedy, gdy osoba do tego niepowołana (przestępca) uzyska nawet dostęp do jednego z zastosowanych elementów, ale w wyniku tego nie dojdzie do pogorszenia pewności pozostałych elementów weryfikacji.
Z silnym uwierzytelnieniem mamy najczęściej do czynienia przy logowaniu do bankowości internetowej (lub mobilnej), gdzie wymagane jest oprócz podania hasła dodatkowa weryfikacja, przy dokonywaniu płatności kartą w terminalach płatniczych oraz w internecie.
Silnego uwierzytelnienia nie wymagają transakcje z tytułu płatności cyklicznych (opłaty subskrypcyjne lub abonamentowe, także o zmiennej wartości) lub dotyczące tzw. odbiorców lub urządzeń zaufanych. Warunkiem jest jedynie użycie silnego uwierzytelnienia przy uruchomieniu usługi lub dodaniu do zaufanych.
Wymóg silnego uwierzytelnienia w bankowości internetowej i mobilnej
Do 14 września 2019 roku, do zalogowania w bankowości internetowej wystarczyło podać login i hasło. Obecnie klienci muszą przejść dodatkową weryfikację, która w zależności od banku może polegać na wpisaniu na stronie banku otrzymanego kodu SMS na podany w banku numer telefonu lub zatwierdzeniu operacji logowania w aplikacji mobilnej banku zainstalowanej na smartfonie wykorzystując mobilny PIN lub biometrię.
Przy korzystaniu z bankowości internetowej i mobilnej najczęściej mamy do czynienia z uwierzytelnieniem w kategoriach:
- posiadanie – komputer lub telefon z aplikacją mobilną banku zweryfikowane jako urządzenia zaufane, numer telefonu przypisany do kodów autoryzacyjnych SMS;
- wiedza – login i hasło, PIN mobilny w bankowości mobilnej oraz jako drugi element zatwierdzania operacji w bankowości internetowej;
- cecha klienta (w przypadku płatności mobilnej) – odcisk palca lub rozpoznawanie twarzy przy bankowości mobilnej oraz jako drugi element zatwierdzania operacji w bankowości internetowej (tzw. autoryzacja mobilna).
W celu zapewnienia większego bezpieczeństwa banki znacznie skróciły czas trwania sesji bankowości internetowej lub mobilnej. Standardem jest obecnie 5 minut. W przypadku braku aktywności po upływie 5 minut zostaniesz automatycznie wylogowany.
Podwójna weryfikacja logowania lub transakcji wykonywanych z konta w bankowości elektronicznej może być dla niektórych osób znacznym utrudnieniem. Dosyć dużym ułatwieniem dla klientów jest możliwość ustawienia tzw. urządzenia zaufanego lub zaufanych odbiorców. W przypadku zapisania takich ustawień, oczywiście przy użyciu silnego uwierzytelnienia, przy kolejnych transakcjach nie będzie konieczności podwójnej weryfikacji.
Wiele banków wdraża systemy biometryczne bazujące na zachowaniu klienta (w ramach kategorii cech klienta). Rozwiązanie to, nazywane „device fingerprint”, umożliwia właśnie identyfikację urządzenia klienta na podstawie najczęściej systemu operacyjnego lub wersji przeglądarki. Każda zmiana urządzenia, z którego się logujesz, a nawet usunięcie plików cookies dezaktywuje takie zaufane urządzenie lub przeglądarkę. Kolejna próba zalogowania na tym samym urządzeniu wymusi użycie drugiego elementu silnego uwierzytelnienia i ewentualne ponowne dodanie urządzenia lub przeglądarki jako zaufanych.
Kolejny sposób identyfikacji klienta za pomocą „device fingerprint” opiera się na zbieraniu i analizie informacji dotyczących zachowania klienta korzystającego z konkretnego urządzenia m.in. w jaki sposób klient korzysta z klawiatury (np. w jakim tempie wpisuje znaki) czy w jakim zakresie porusza myszką komputerową. Na tej podstawie system rozpoznając zapamiętane zachowania decyduje czy wymagana będzie dodatkowa weryfikacja w ramach silnego uwierzytelnienia.
Nie wszystkie banki umożliwiają stosowanie w pełnym zakresie rozwiązań upraszczających sposób logowania do bankowości elektronicznej. Należy zwrócić uwagę, że każda instytucja finansowa może stosować ostrzejsze wymogi standardów bezpieczeństwa. Niektóre banki wymagają by transakcje do zaufanego odbiorcy potwierdzać jeśli ostatni raz płatność była dokonywana ponad 3 miesiące temu. Dodatkowym ograniczeniem może być liczba i kwota takich transakcji, powyżej której dodatkowa weryfikacja będzie każdorazowo wymagana. Podobnie wygląda sytuacja z zaufanymi urządzeniami, gdzie niektóre banki umożliwiają dodanie takiego urządzenia maksymalnie na 90 dni. Po tym czasie ważność takiego ustawienia trzeba będzie potwierdzić na kolejne 90 dni.
Transakcje zbliżeniowe kartami płatniczymi w sklepach
Dyrektywa PSD2 nałożyła na banki konieczność wprowadzenia obowiązku silnego uwierzytelniania, czyli potwierdzania większej liczby transakcji kartami płatniczymi. Wprowadzone zmiany dotyczą:
- Pojedynczych transakcji powyżej 100 złotych;
- Liczby kolejnych transakcji bez potwierdzania, jeśli przekracza 5;
- Wartości kolejnych transakcji bez potwierdzania, jeśli przekracza równowartość 150 Euro.
W praktyce oznacza to, że każda kolejna szósta transakcja zbliżeniowa nieprzekraczająca 100 złotych wymaga autoryzacji. Polskie banki ustaliły limit kwotowy transakcji na niższym poziomie od określonego w dyrektywie. W przypadku, gdy wykonasz transakcję, którą musiałeś potwierdzić licznik transakcji jest zerowany i działa od początku.
Płacąc zbliżeniowo w sklepie za przykładowe zakupy 28,50 złotych nie powinieneś być zaskoczony, że musisz podać PIN by zaakceptować transakcję.
W związku z tym, że w niektórych branżach potwierdzanie transakcji na niewielkie kwoty mogłoby spowodować tworzenie się kolejek, wprowadzono pewne wyjątki. Przykładowo nie będzie konieczne potwierdzenie płatności związanych z transportem w przypadku: zakupu biletu w biletomacie, opłacenia parkowania w parkometrze lub na bramkach na autostradach. Dotyczy to urządzeń samoobsługowych z odpowiednim kodem MCC.
Przy transakcjach zbliżeniowych kartami płatniczymi w sklepach najczęściej mamy do czynienia z uwierzytelnieniem w kategoriach:
- posiadanie – karta płatnicza lub telefon z aplikacją z podłączoną karta wirtualną do płatności mobilnych;
- wiedza – PIN;
- cecha klienta (w przypadku płatności mobilnej) – odcisk palca lub rozpoznawanie twarzy.
Z praktycznego punktu widzenia korzystania z kart płatniczych po wdrożeniu dyrektywy PSD2, mogę stwierdzić, że liczba transakcji potwierdzanych PIN-em w moim przypadku nie zwiększyła się drastycznie. Na ogół wśród pięciu ostatnich transakcji kartą znajdzie się jedna powyżej 100 złotych. Ze względu na limit kwotowy jeszcze nigdy nie zdarzyło mi się go przekroczyć i potwierdzać transakcji. Przez jakiś czas, przy zmianie maksymalnej kwoty bez potwierdzania z 50 zł na 100 zł, w wielu miejscach terminale płatnicze nie były przystosowane i wymagały podania PIN przy transakcjach powyżej 50 złotych. Są pewnie jeszcze takie miejsca, gdzie terminale płatnicze nie zostały przeprogramowane.
Transakcje kartami płatniczymi lub BLIKIEM w internecie
W przypadku transakcji w internecie uwierzytelnienie następuje w dwóch wymienionych poniżej elementach z różnych kategorii:
- posiadanie – karta płatnicza, komputer z dostępem do bankowości internetowej lub telefon z aplikacją mobilną banku, także z uruchomioną usługą BLIK;
- wiedza – (płatność kartą) kod SMS w usłudze 3D Secure, hasło do logowania w bankowości internetowej, kod BLIK;
- cecha klienta – odcisk palca lub rozpoznawanie twarzy.
Dyrektywa PSD2 dla transakcji internetowych obowiązek silnego uwierzytelniania określa przy następujących limitach:
- Pojedyncza transakcja powyżej 30 Euro;
- Liczba kolejnych transakcji bez potwierdzania przekracza 5;
- Wartość kolejnych transakcji bez potwierdzania przekracza równowartość 100 Euro.
Przy transakcjach internetowych, jeśli dostawca usług płatniczych nie stosuje silnego uwierzytelnienia, nie odpowiadasz za nieautoryzowane transakcje płatnicze wykonane z twojego konta.
Organizacje płatnicze VISA i Mastercard wprowadziły bezpłatną usługę 3D Secure do autoryzacji płatności dokonywanych kartą płatniczą w internecie w postaci kodu SMS.
Silnego uwierzytelnienia nie będą wymagały płatności wykonywane z tzw. zaufanego urządzenia. Taką możliwość wprowadził m.in. BLIK umożliwiając dodanie sklepu lub przeglądarki do zaufanych co umożliwi wykonywanie kolejnych transakcji bez podawania kodu BLIK (usługa dostępna w wybranych bankach).