Dyrektywa PSD2 a zmiany w logowaniu do banków. Co trzeba wiedzieć?


Do 14 września 2019 roku banki miały swobodę w ustalaniu zasad uwierzytelnienia klienta podczas logowania do bankowości lub wykonywania transakcji. Jednak po upływie tego terminu instytucje płatnicze zostały zobowiązane do wprowadzenia zmian, które reguluje unijna dyrektywa PSD2. Co to za dokument? W jaki sposób wpłynie na klientów?


Spis treści:

Dyrektywa PSD2 co to jest?

Na początku warto wyjaśnić, czym jest źródło zmian. PSD2, czyli Payment Services Directive, to dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego. Ma na celu przede wszystkim:

  • zwiększyć bezpieczeństwo finansów klientów korzystających z usług płatniczych, co oznacza wprowadzenie zmian w uwierzytelnianiu,
  • ujednolicić rynek płatności w krajach Unii Europejskiej,
  • umożliwić klientom korzystanie z otwartej bankowości.

Pełny tekst dyrektywa PSD2 pdf można znaleźć na stronie internetowej Dziennika Urzędowego Unii Europejskiej.

Działania, które muszą podjąć banki komercyjne, banki spółdzielcze oraz SKOK-i, aby sprostać wymogom unijnym, zostały wprowadzone do polskiego systemu prawnego przez nowelizację ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych (Dz. U. 2011 Nr 199 poz. 1175).

Z pewnością osoby, które w ostatnich dniach logowały się na swoje konto bankowe lub wykonywały transakcję kartą lub BLIK-iem, mogły zauważyć pewne zmiany. O czym mowa?

PSD2 kiedy wchodzi?

Jak już zostało wspomniane, PSD2 to dyrektywa unijna, która ma na celu ujednolicenie rynku płatniczego w UE. Dlatego też każdy bank komercyjny, bank spółdzielczy i SKOK w Polsce został zobowiązany do wprowadzenia zmian w terminie do 14 września 2019 roku. W tym dniu instytucje płatnicze muszą wprowadzić silne uwierzytelnianie użytkownika, którego szczegóły określa ustawa o usługach płatniczych PSD2 (Dz. U. 2011 Nr 199 poz. 117).

ing bank konto

PSD2 w Polsce – silne uwierzytelnianie klienta. Na czym to polega?

Według artykułu 97 PSD 2 dostawcy usług płatniczych muszą zapewnić swoim klientom bezpieczeństwo przez wprowadzenie silnego uwierzytelniania. Dyrektywa zakłada objęcie tym obowiązkiem następujące działania: logowanie do banku w trybie online, podejmowanie elektronicznych transakcji płatniczych oraz czynności za pomocą kanału zdalnego, które mogą wiązać się z ryzykiem oszustwa. Ponadto podkreśla się, aby wprowadzone zmiany nie utrudniały użytkownikom korzystania z bankowości, Dzięki temu klienci zyskują dodatkową ochronę przed oszustami, nie tracąc przy tym możliwości szybkiego korzystania z usług banku. 

Zgodnie z zapisami w ustawie o usługach (Dz. U. 2011 Nr 199 poz. 1175) silne uwierzytelnianie chroni klienta i jego poufne dane przed oszustami przez zastosowanie co najmniej dwóch elementów zabezpieczających, które należą do poniższych kategorii:

  • wiedza o czymś, o czym wie wyłącznie użytkownik, na przykład hasło do logowania,
  • posiadanie czegoś, co posiada wyłącznie użytkownik, przykładowo kod wysłany pod numer telefonu klienta lub sam telefon komórkowy dodany jako urządzenie zaufane,
  • cechy charakterystyczne użytkownika, na przykład odcisk palca. 

 

Dla klientów korzystających z płatności przez internet to żadna nowość, ponieważ silne uwierzytelnianie jest ich nieodłącznym elementem. Zazwyczaj w pierwszej kolejności należy wpisać dane z karty płatniczej, a następnie potwierdzić te informacje jednorazowym kodem. Tak więc, zostało zastosowane coś, o czym wie oraz posiada wyłącznie użytkownik.

Logowanie do banków a PSD2

W przypadku elektronicznych transakcji płatniczych zmieni się niewiele, ponieważ dwuskładnikowa autoryzacja jest już standardem. Jednak jak dyrektywa PSD2 wpłynie na logowanie do banków? Na początku warto zaznaczyć, że  szczegółowe zasady mogą się różnić w zależności od instytucji płatniczej. Część z nich umożliwi wprowadzenie do systemu “zaufanych urządzeń”, autoryzację przez aplikację mobilną czy dynamiczne kody SMS. Szczegółowe informacje na temat zmian można znaleźć na stronach internetowych banków lub w poniższej tabeli. Warto odpowiedzieć również na jedno z najważniejszych pytań: czy silne uwierzytelnianie będzie obowiązywało podczas każdego logowania do banku? Okazuje się, że nie.

Większość banków wymaga silnego uwierzytelnienia w każdej z następujących sytuacji:

  • podczas pierwszego logowania,
  • gdy ostatnie logowanie miało miejsce ponad 90 dni wstecz,
  • kiedy chcemy otrzymać dostęp do wrażliwych informacji, czyli danych osobowych, adresów.

 

Jednak wiele zależy od bank, na przykład Pekao logowanie wymaga od swoich klientów silnego uwierzytelnienia nawet w przypadku sprawdzenia salda konta za okres powyżej 90 dni wstecz czy pobierania starszych wyciągów bankowych. Warto również zaznaczyć, że część dawnych metod autoryzacji została wycofana, na przykład karta kodów jednorazowych czy tokeny. Jak wygląda logowanie do banku w konkretnych instytucjach?

santander

PKO BP logowanie

PKO BP to bank, który stara się na bieżąco wprowadzać najnowsze technologie do dyspozycji swoich klientów. Wielu klientów już wcześniej korzystało z możliwości autoryzacji za pomocą aplikacji mobilnej IKO. Aktualnie klienci mogą wybrać składniki uwierzytelnienia pomiędzy: kodem SMS czy też autoryzacją mobilną. W przypadku aplikacji IKO niezbędny jest mPIN. Warto zaznaczyć, że PKO BP logowanie wymaga każdorazowego uwierzytelnienia dwuskładnikowego. 

Bank spółdzielczy logowanie

W przypadku banków spółdzielczych logowanie odbywa się standardowo. Najpierw należy podać login i hasło. Następnie na podany w banku numer telefonu przyjdzie kod SMS, który klient musi wpisać w odpowiednim miejscu. Warto również zaznaczyć, że w tym przypadku silne uwierzytelnienie nie obowiązuje przy każdorazowym logowaniu do systemu.

 

Zmiany w logowaniu do banków

Bank Uwierzytelnianie Jak często?
Kod SMS lub autoryzacja mobilna Każdorazowo lub cyklicznie w przypadku logowania z zaufanej przeglądarki
  Kod SMS lub hasło do certyfikatu autoryzacji Każdorazowo
Kod SMS lub autoryzacja mobilna Każdorazowo
credit agricole Kod SMS Cyklicznie
Kod SMS lub autoryzacja mobilna Każdorazowo lub cyklicznie w przypadku logowania z zaufanych urządzeń
Kod SMS Cyklicznie
Kod SMS lub autoryzacja mobilna Każdorazowo
Kod SMS lub autoryzacja mobilna Cyklicznie
millennium Kod SMS lub autoryzacja mobilna Cyklicznie
login, hasło i awatar Kod SMS potrzebny, aby uzyskać dostęp do wybranych informacji i usług
Kod SMS lub PeoPay co 90 dni lub częściej
Kod SMS lub autoryzacja mobilna Każdorazowo
santander bank polska Kod SMS lub podpis mobilny Każdorazowo lub co jakiś czas z urządzenia zaufanego
Kod SMS lub autoryzacja mobilna Każdorazowo

 

Jakie korzyści niesie ze sobą dyrektywa PSD2?

Nie można zapomnieć również o innych korzyściach wprowadzonych dzięki PSD 2. Dzięki nowym regulacjom zmniejszył się czas na rozpatrzenie reklamacji klienta, który aktualnie wynosi 15 dni roboczych. Ponadto w przypadku odpowiedzialność za nieautoryzowane transakcje obejmuje nie 150 euro – jak do tej pory – ale 50 euro. Dodatkowo zmieniają się zasady pokrycia kosztów przelewów zagranicznych realizowanych między krajami z Europejskiego Obszaru Gospodarczego. Część z nich należy do zleceniodawcy, a część do odbiorcy. 

Dyrektywa PSD2 a nowe usługi TPP

Dyrektywa PSD2 umożliwia również wprowadzenie nowych podmiotów, które za zgodą klienta będą świadczyć dodatkowe usługi takie jak:

  • AIS, czyli dostarczanie informacji dotyczących rachunku płatniczego posiadacza konta lub kredytobiorcy w innej instytucji, 
  • PIS oznacza inicjowanie zlecenia płatniczego przez dostawcę na wniosek właściciela konta, kredytobiorcy lub użytkownika karty lub bankowości elektronicznej z rachunku prowadzonego przez inną instytucję, 
  • CAF, czyli możliwość sprawdzenia, czy na koncie znajduje się wystarczająca kwota do realizacji płatności kartą.

Warto również wspomnieć o open banking, czyli otwartej bankowości, która umożliwia dostęp do kont klientów podmiotom, takim jak: serwisy płatnicze, fintechy lub inne instytucje bankowe.

Dyrektywa PSD2 a zmiany w logowaniu do banków. Co trzeba wiedzieć?
4.5 (90%) 2 votes