Bankowość elektroniczna - nowy sposób logowania (dyrektywa PSD2)

Wygoda użytkownika na boczny tor

Ze względów bezpieczeństwa jedną z głównych zmian najbardziej widocznych dla użytkownika, którą wdrożyły banki, jest dwuskładnikowa weryfikacja już przy logowaniu się do konta w bankowości elektronicznej. Do tej pory w tym miejscu zwykle wystarczyło wprowadzenie indywidualnego loginu i hasła, a obecnie konieczny jest trzeci zewnętrzny składnik (np. kod, który przyszedł SMS-em czy identyfikator biometryczny). Wdrożenie tego typu zabezpieczeń było już używane, ale zwykle jedynie przy wykonywaniu przelewu online, kiedy system bankowy wymagał dodatkowego potwierdzenia. Obecnie jednak taką konieczność wdrożono przy każdym logowaniu do rachunku bankowego, co jest uciążliwe.

Co jeszcze przyniesie dyrektywa PSD2?

Poza wprowadzonymi już przez banki rozbudowanymi modelami logowania, nowością jest otwarcie szerszych możliwości wykorzystywania bankowości elektronicznej w życiu klienta. Jak stanowi dyrektywa, bank na wniosek klienta i za jego zgodą powinien umożliwić dostęp do informacji z należących do klienta rachunków płatniczych certyfikowanym podmiotom, np. twórcom programów i aplikacji finansowych czy księgowych. W praktyce chodzi o to, by klient banku mógł zintegrować używane przez siebie systemy informatyczne, np. system księgowości online ze swoim bankiem w celu automatycznej wymiany informacji, aby na bieżąco następował przepływ danych między jednym a drugim systemem bez konieczności ciągłego przelogowywania się. Dzięki takiemu rozwiązaniu klient banku nie musiałby już wprowadzać np. ręcznie rozliczeń płatności w swoim systemie księgowym. Informacje te byłyby zaciągane automatycznie i łączone z odpowiednią fakturą. Dodatkowo na bieżąco można byłoby widzieć saldo bankowe, co przydaje się przy planowaniu zapłaty wydatków, czyli faktur z określonym terminem płatności.

Zabezpieczenia techniczne

Podwyższony poziom zabezpieczeń, jakich wymaga od banków dyrektywa PSD2, jest oparty głównie na tzw. silnym uwierzytelnieniu. Ma ono sprawdzić tożsamość osoby będącej właścicielem/użytkownikiem rachunku bankowego dwustopniowo, czyli nie może ograniczać się do wprowadzenia tylko loginu i hasła. Potrzebny jest dodatkowy zewnętrzny składnik. Wiele narzędzi innych niż bankowe dużo wcześniej udostępniało tzw. dwuetapowe logowanie – poza standardowym loginem i hasłem wymagające wpisania kodu, który przychodził np. SMS-em. Z pomocą udręczonym wpisywaniem co chwila kolejnych kodów klientom przyjdzie być może w niektórych przypadkach możliwość dodania tzw. urządzeń zaufanych. Wówczas rzadziej będzie pojawiała się konieczność podawania drugiego składnika, jeśli wykonywać będziemy czynności bankowe na tym samym sprzęcie.

Instytucje finansowe same decydują, jakie zabezpieczenia i modele dwuskładnikowe wprowadzić. Dyrektywa bowiem nie określa wprost konkretnych rozwiązań.

Uwaga na oszustwa!

Niestety podczas zmian w przepisach pojawiają się i oszustwa. Jak wskazują eksperci od ochrony danych osobowych, nauczeni falą oszustw, które obserwowali podczas wdrożenia w Polsce RODO, należy szczególną uwagę w tym najbliższym okresie zwrócić na podchwytliwe maile, telefony czy SMS-y łudząco podobne do tych, jakie wysyła bank, z fałszywymi linkami do zmiany haseł czy wyłudzające dane o osobie czy firmie.

Ostrzeżenie KNF i Ministerstwa Finansów

Potencjalnie możliwe wzmożenie oszustw bankowych wskazywane jest m.in. przez Komisję Nadzoru Finansowego (KNF), która publikuje na swoich stronach komunikat o treści:

„Urząd KNF zwraca uwagę na konieczność zachowania szczególnej ostrożności oraz apeluje do klientów instytucji finansowych o postępowanie zgodne z ustalonymi przez te instytucje standardami w zakresie komunikacji. Uzasadnione podejrzenia powinny wzbudzić wszelkiego rodzaju wiadomości mailowe, SMS oraz próby kontaktu telefonicznego powołujące się na wejście w życie nowych rozwiązań, gdzie klient proszony jest o przekazanie informacji zawierających dane wrażliwe, w szczególności:

• dane logowania do bankowości elektronicznej;
• kody autoryzacyjne i kody PIN;
• dane osobowe;

lub informowany jest o zablokowanym koncie albo proszony jest o:

• kliknięcie w przesłany mailem lub SMSem link internetowy;
• zmianę hasła lub innych danych do logowania za pomocą przesłanego linku internetowego;
• otworzenie podejrzanego załącznika, uruchomienie lub instalację przesłanej aplikacji;
• wykonanie podejrzanej płatności lub przelewu internetowego.

W przypadku jakichkolwiek wątpliwości zalecamy bezpośredni kontakt z właściwym dostawcą usług płatniczych. Jednocześnie zachęcamy do zaktualizowania posiadanej wiedzy w zakresie bezpiecznego korzystania z usług finansowych poprzez odwiedzenie stron internetowych instytucji finansowych, na których zamieszczone są szczegółowe informacje i ostrzeżenia w zakresie bezpiecznego korzystania z ich usług”.

POLECAMY: Prowadź automatyczną ewidencję przejazdów i oszczędź nawet 5000 zł

Również i Ministerstwo Finansów zwraca uwagę na próby wyłudzenia poufnych danych, przypominając:

„W związku z tymi działaniami należy pamiętać o standardowych zasadach komunikacji instytucji finansowych z klientami. Każde niestandardowe działania, takie jak wiadomości mailowe, SMS i próby kontaktu telefonicznego, powołujące się na wejście w życie nowych rozwiązań, w których klient jest proszony o podanie np. danych do logowania do banku, PIN-ów do karty płatniczej czy danych osobowych, powinny wzbudzać uzasadnione podejrzenia klientów”.

Wdrożenie dyrektywy PSD2 zaczęto od widocznych dla każdego użytkownika bankowości elektronicznej zmian w zakresie logowania do konta. Jednak należy pamiętać, że głównym celem zmian jest rozszerzenie możliwości integrowania i zestawiania informacji bankowych z innymi systemami informatycznymi i co ważne, bank musi je umożliwić na wniosek swojego klienta. Dlatego też w kolejnych okresach stopniowo powinny pojawiać się kolejne nowe rozwiązania w tym zakresie.

Ewa Szpytko-Waszczyszyn – ekspert wFirma.pl