facebook adres e-mail telefon

2FA – Banki wprowadzają logowania 2FA, wycofują “zdrapki”, aktualizują aplikacje i co jeszcze?

Największe polskie banki podkręcają zasady bezpieczeństwa. Klienci będą mogli logować się na swoje konta przez 2FA, a PIN możemy być zmuszeni podawać nawet przy niskokwotowych transakcjach zbliżeniowych. Wyjaśniamy powody tych zmian i robimy krótki przegląd praktyk poszczególnych banków związanych z dyrektywą PSD2.

Nasi Czytelnicy i uczestnicy naszych szkoleń wielokrotnie zadawali nam pewne pytania o bankowość. Przykładowo…

  • …dlaczego banki nie stosują 2FA przy logowaniu do serwisu?26
  • …dlaczego złodzieje mogą dość długo i bezkarnie płacić kartami zbliżeniowymi bez podawania PIN-u?

Niepokoiły was również inne usługi finansowe. Słusznie pytaliście dlaczego niektóre z nich śmią prosić o login i hasło do banku. Inni pytali dlaczego banki nie udostępniają odpowiednich API dla takich usług.

Teraz na te pytania jest jedna odpowiedź.

2FA - Banki wprowadzają logowania 2FA

Fotka z pl.depositphotos.com

Nadchodzi PSD2 i RTS

Banki muszą się mieścić w pewnych ramach prawnych. Niektóre zasady bezpieczeństwa wynikają z prawa, inne z wyboru. Te ramy w Polsce wyznaczała Ustawa o usługach płatniczych, a na poziomie Unii Europejskiej dyrektywa 2007/64/WE, bardziej znana jako Payment Services Directive albo PSD.

Zapewne już słyszeliście, że od 14 września banki będą musiały zacząć się stosować do nowej wersji tej dyrektywy, czyli PSD2 (2015/2366). Ten akt prawny kompleksowo reguluje świadczenie usług płatniczych, a zatem określa takie rzeczy jak wymogi stawiane podmiotom rynkowym, wymogi informacyjne stawiane usługom, prawa i obowiązki klientów i dostawców, zasady wykonywania transakcji, procedury skarg itd. Dodajmy, że polska Ustawa o usługach płatniczych również została znowelizowana aby uwzględnić wymagana PSD2.

Ważnym, choć znacznie mniej znanym dodatkiem do tej dyrektywy jest Rozporządzenie delegowane komisji 2018/389 dotyczące tzw. silnego uwierzytelniania i standardów komunikacji. Najczęściej określa się je skrótem RTS. Gwarantujemy wam, że lektura tego rozporządzenia będzie dla was o wiele ciekawsza niż lektura dyrektywy, o ile w ogóle chcecie czytać jakieś unijne dokumenty.

2FA - Trzy kluczowe sprawy

Gdybyśmy mieli wskazać najważniejsze naszym zdaniem zmiany wynikające z PSD2, wymienilibyśmy trzy mające znaczenie dla bezpieczeństwa.

1. Silne uwierzytelnianie klienta

Rozporządzenie RTS zobowiązuje dostawców usług płatniczych do częstszego stosowania uwierzytelniania dwuskładnikowego (w rozporządzeniu określonego jako “silne uwierzytelnianie”). Rozporządzenie dzieli elementy uwierzytelniania na trzy kategorie: wiedza (czyli np. login i hasło), posiadanie (czyli np. kod z urządzenia, które klient posiada) oraz cechy klienta (biometria). Trzeba będzie użyć dwóch elementów.

Banki stosujące “karty zdrapki” już doszły do wniosku, że nie spełniają one norm dyrektywy i znowelizowanej polskiej ustawy.

Nie wszystkie transakcje będą objęte obowiązkiem silnego uwierzytelniania. Nadal będziecie mogli zapłacić kartą zbliżeniową bez podawania PIN-u, choć będziecie do tego zmuszeni gdy np. wykonacie zbyt wiele transakcji bez żadnego silnego uwierzytelniania pomiędzy nimi, albo przekroczycie pewien licznik kwotowy.

2. Stosowanie API

W założeniach PSD2 ma umożliwić rozwój różnego rodzaju usług finansowych, które pobierają pewne dane z rachunku klienta. Dostawcami tych usług będą tzw. TPP (third party providers). Oferowane usługi mają obejmować m.in.

  • usługi dostępu do informacji o rachunku, pozwalające użytkownikowi usługi płatniczej w dowolnej chwili na wgląd w stan swoich finansów;
  • usługi inicjowania płatności, pozwalające konsumentowi dokonać zapłaty za zakupy w internecie przelewem, jednocześnie dając sprzedawcom gwarancję, że płatność została zainicjowana.

Powtarzamy, że niedopuszczalne byłoby tworzenie usług, które wymagają od klienta podawania loginu i hasła do banku (choć takie usługi powstawały i nawet powoływały się na PSD2). Rozporządzenie RTS wymaga, by dostawcy usług płatniczych prowadzący rachunek płatniczy udostępniali co najmniej jeden interfejs spełniający wymogi określone w art. 30 rozporządzenia RTS.

3. Analizowanie ryzyka transakcji wyłączonych spod obowiązku silnego uwierzytelniania.

Wspomnieliśmy już, że silne uwierzytelnianie nie będzie konieczne zawsze i wszędzie, jednak zrezygnowanie z niego będzie wymagało m.in. oszacowania wskaźnika oszustw dla transakcji danego rodzaju. Sposób obliczania tego wskaźnika określono w art. 19 rozporządzenia RTS.

Całkowity wskaźnik oszustw dla każdego rodzaju transakcji oblicza się jako całkowitą wartość nieautoryzowanych lub nielegalnych transakcji zdalnych – niezależnie od tego, czy środki odzyskano, czy też nie – podzieloną przez całkowitą wartość wszystkich transakcji zdalnych dla tego samego rodzaju transakcji – niezależnie od tego, czy uwierzytelniono je poprzez zastosowanie silnego uwierzytelniania klienta, czy przeprowadzono je w ramach któregokolwiek z wyłączeń, o których mowa w art. 13–18 – w ujęciu kwartalnym w trybie kroczącym (90 dni).

Wskaźniki oszustw będą na bieżąco monitorowane, a jeśli będą przekroczone przez dwa kolejne kwartały to  trzeba będzie zawiadomić o tym odpowiednie organy i wprowadzić działania naprawcze.

Obecnie RTS przewiduje wyłączenia silnego uwierzytelniania dla:

  • usług uzyskiwania informacji o rachunku;
  • płatności zbliżeniowych w punktach sprzedaży (pod warunkiem nieprzekroczenia kwoty 50 EUR oraz kwoty 150 EUR od czasu ostatniego silnego uwierzytelniania lub gdy liczba takich transakcji nie przekroczyła 5 od ostatniego silnego uwierzytelniania – zob. art. 11 RTS);
  • płatności w automatach za przejazd lub postój;
  • transakcji do zaufanych odbiorców (ale uwaga – zmiana listy zaufanych musi wymagać silnego uwierzytelniania);
  • transakcji cyklicznych;
  • transakcji niskokwotowych (tj. gdy kwota nie przekracza 30 EUR oraz łączna liczba transakcji od ostatniego silnego uwierzytelniania nie przekroczyła 100 euro lub nie było więcej niż 5 transakcji od ostatniego uwierzytelniania silnego);
  • w ramach bezpiecznych płatności korporacyjnych tj. wobec osób prawnych inicjujących elektroniczne transakcje płatnicze za pośrednictwem przeznaczonych do tego procesów lub protokołów, które udostępnia się wyłącznie płatnikom niebędącym konsumentami.

Co się zmieni dla zwykłego Kowalskiego?

Powiedzmy wprost, że PSD2 skłoniła banki do tego, aby wzmocnić procedury bezpieczeństwa wymagane od konsumentów, albo przynajmniej dać im możliwość wzmocnienia ich (logowanie 2FA w niektórych bankach będzie tylko opcją). Niektóre banki komunikowały te zmiany w ostatnich dniach czy tygodniach. Dokonaliśmy ich krótkiego przeglądu i już na wstępie widzimy jedno – banki w bardzo różny sposób podchodzą do wymogów dyrektywy.

Najczęściej zaobserwowane przez nas zmiany to:

  1. udostępnienie klientom dwuskładnikowego uwierzytelniania (2FA) przy logowaniu do serwisów (obowiązkowo lub jako opcja),
  2. wycofywanie z użycia kart “zdrapek” z kodami jednorazowymi,
  3. wdrażanie autoryzacji mobilnych lub aplikacji do tego celu,
  4. dodatkowe potwierdzanie transakcji mobilnych kodem jednorazowym lub dodatkowe potwierdzanie transakcji zbliżeniowych PIN-em,
  5. skracanie sesji w bankowości internetowej.

Ponadto:

  • Banki muszą skrócić czas odpowiedzi na reklamację (z 30 do 14-15 dni).
  • Banki powinny wziąć na siebie większą odpowiedzialnosć za nieautoryzowane transakcje (piszemy “powinny” bo obecnie się od tego migają)

To było tak ogólnie, a teraz przejdźmy do zmian, jakie w ostatnich dniach zakomunikowały konkretne banki.

PKO BP 2FA

  1. Będzie dwuetapowe logowanie z mobilną autoryzacją w IKO. Ta usługa była dostępna już wcześniej.
  2. Jeżeli zechcesz zobaczyć historię swojego konta starszą niż 90 dni, zostaniesz poproszony o potwierdzenie operacji narzędziem autoryzacji. W aplikacji IKO historię konta starszą niż 90 dni zobaczysz tylko w aplikacji w trybie aktywnym.
  3. Czasami bank poprosi o potwierdzenie PIN-em płatności zbliżeniowych, nawet dla kwot poniżej 50 zł.
  4. Będzie maskowanie haseł jednorazowych z narzędzi autoryzacji.
  5. Czas sesji w serwisie iPKO zostanie skrócony z 10 do 5 minut.

PEKAO SA 2FA

  1. Karty kodów jednorazowych zostaną wycofane. Będzie PekaoToken i token sprzętowy, jako metody autoryzacji.
  2. Bank proponuje przejście na bezpłatną autoryzację dzięki aplikacji mobilnej PeoPay albo kody SMS (płatne w wysokości 20 groszy za każdy SMS).
  3. Bank wprowadzi PekaoID. W założeniach to usługa jest “cyfrową tożsamością” działająca w oparciu o usługę mojeID świadczoną przez KIR (Krajową Izbę Rozliczeniową S.A.).

Santander 2FA

  1. Po wpisaniu loginu i hasła bank poprosi o dodatkową autoryzację. Może to być kod SMS, token lub podpis mobilny.
  2. Można będzie dodać swój komputer jako urządzenie zaufane. Wówczas nie będzie trzeba dodatkowo autoryzować każdego logowania.
  3. Bank będzie wymagał korzystania z zaufanego urządzenia mobilnego do obsługiwania aplikacji mobilnej. Konieczna będzie też aktualizacja aplikacji do najnowszej wersji.

mBank 2FA

  1. Bank poprosi o  dodatkowe potwierdzenie logowania hasłem SMS lub mobilną autoryzacją.
  2. Pojawi się aplikacja mBank Token, która będzie działać tak samo jak mobilna autoryzacja.
  3. Będzie można dodać swój komputer (telefon, tablet) do urządzeń zaufanych, aby szybciej się logować na swoje konto bez dodatkowej autoryzacji.
  4. Bank może wymagać np. kodu PIN do ostatnio zainstalowanej aplikacji mobilnej, lub hasła do serwisu transakcyjnego oraz wybranych cyfr z numeru karty płatniczej.
  5. Wycofane będą hasła jednorazowe gdyż nie spełniają one warunków dyrektywy PSD2. Bank zachęca do stosowania autoryzacji mobilnej lub haseł SMS. Zwróci opłatę listę haseł, której nie zdążyłeś wykorzystać.
  6. mBank może prosić o potwierdzenie również tych na kwotę poniżej 50 zł.
  7. Dla klientów Private Banking wycofane będą hasła i odezwy.

ING Bank Śląski 2FA

  1. W trakcie logowania do bankowości internetowej możesz być proszony o kod z SMS-a.
  2. Logowanie do aplikacji Moje ING mobile może przebiegać na 3 sposoby (tylko PIN, tylko identyfikator biometryczny albo PIN + identyfikator biometryczny).
  3. Przy zlecaniu przelewu w aplikacji również możesz być proszony o kod z wiadomości SMS.

Eurobank 2FA

  1. Eurobank wprowadzi konieczność użycia dodatkowej metody autoryzacji. Oprócz identyfikatora i hasła bank będzie wymagał podania hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji,
  2. Nastąpi ograniczenie usług dostępnych za pośrednictwem Automatycznego Serwisu Telefonicznego (IVR). Wycofana zostanie opcja odblokowania dostępu do Kanału Bankowości Internetowej, usługa uzyskania informacji o dostępnych środkach na koncie oraz opcja zmiany Telekodu,
  3. Nastąpi wycofanie możliwości zdalnego odblokowania dostępu do Bankowości Internetowej oraz usunięcie opcji przypomnienia identyfikatora i resetu hasła dla posiadaczy haseł SMS.
  4. Nastąpi zmiana sposobu aktywacji aplikacji eurobank mobile 2.0 polegająca na konieczności podania hasła z serwisu eurobank online zamiast numeru PESEL oraz wycofanie możliwości aktywacji aplikacji eurobank mobile 1.0 i aktywacji tokena GSM.
  5. Sesja w serwisie eurobank online oraz w aplikacjach mobilnych będzie skrócona do 5 minut
  6. Wprowadzone będą ostrzeżenia przed zablokowaniem dostępu do usług bankowości elektronicznej.

Tworząc powyższe zestawienie opieraliśmy się na zmianach komunikowanych oficjalnymi kanałami. Banki mają czas do 14 września na wdrożenie PSD2, zatem niektóre z nich mogą ogłosić zmiany po opublikowaniu tego tekstu. Chętnie go uzupełnimy.

Developers, developers, developers, developers…

Wspomnieliśmy już o obowiązku udostępnienia API. W związku z tym różne banki udostępniły swoje środowiska dla deweloperów, a niektóre nawet uruchomiły bankowe hackatony. Poniżej lista adresów, pod którymi znajdziecie informacje więcej informacji.

  • PKO BP – developers.pkobp.pl/pl
  • PEKAO SA – developer.pekao.com.pl/sandbox
  • ING Bank Śląski – devportal.ing.pl
  • Santander – developer.santander.pl
  • mBank – developer.api.mbank.pl
  • BGŻ BNP Paribas – www.openbankingbnpparibas.pl
  • Citi Handlowy –sandbox.developerhub.citi.com
  • Millenim – openapi.bankmillennium.pl
  • Getin Noble Bank – www.getinbank.pl/getinapi
  • Alior Bank –developer.aliorbank.pl
  • Idea Bank – apiportal.cloud.ideabank.pl
  • Credit Agricole – apiportal.credit-agricole.pl
  • Nest Bank –psd2api.nestbank.pl
  • BOŚ –api.bosbank.pl
  • Bank Pocztowy SA – developer.pocztowy.pl

Niektóre banki mają ambicje stać się dostawcami innowacyjnych usług. Przykładowo Alior Bank na początku sierpnia ogłosił, że posiada zgodę KNF na działanie jako TPP.

Prawie jak RODO

Mielibyśmy ochotę napisać, że PSD2 to takie “RODO usług płatności”. Mówimy o bardzo ważnym unijnym akcie prawnym, które zmienił zasady wymyślone w roku 2007 na takie, które bardziej pasują do drugiej dekady XXI wieku. W czasach gdy powstawała pierwsza dyrektywa PSD nie było przecież płatności mobilnych czy powszechnych kart zbliżeniowych. E-bankowość też nie była tak powszechna. Porównywanie RODO i PSD2 byłoby o tyle uzasadnione, że oba akty prawne były elementem starań UE o stworzenie nowoczesnego unijnego prawa dla usług cyfrowych.

Na szczęście PSD2 nie wywołała takiej paniki jak RODO. Zapewne dlatego, że nie objęła tak wielu przedsiębiorców. Już wcześniej obserwowaliśmy jak banki przygotowują się na pełne wdrożenie dyrektywy. Teraz, na ostatniej prostej te zmiany stały się szczególnie widoczne.

Źródło: niebezpiecznik.pl

Poprzedni artykuł: Skaner twarzy iPhone’a oszukany za pomocą taśmy i okularów 

Masz pytania? Napisz do nas!

Wyślij wiadomość