14 września 2019 r. zaczną obowiązywać nowe przepisy dotyczące usług płatniczych, implementujące zalecenia unijnej dyrektywy PSD2. Klientów banków czekają zmiany w obsłudze kont i płatności - proces logowania do bankowości elektronicznej będzie bezpieczniejszy, ale w niektórych przypadkach: czasochłonniejszy.
Dotychczas każdy bank mógł samodzielnie decydować o metodzie, jaką jego klienci logują się do serwisów internetowych i mobilnych oraz w jaki sposób autoryzują dokonywane tam operacje. Wchodzące niebawem w życie przepisy ujednolicą sposób obsługi kont przez internet we wszystkich instytucjach.
Zmiany podyktowane są koniecznością dostosowania polskiego prawa bankowego do zaleceń unijnej dyrektywy PSD2, która wprowadza obowiązek stosowania tzw. silnego uwierzytelniania w e-bankowości.
Na czym polega silne uwierzytelnienie?
Zasada silnego uwierzytelnienia wybranych operacji bankowych polega na zastosowaniu co najmniej dwóch niepowiązanych za sobą metod autoryzacji:
- znanej informacji (np. login, hasło)
- posiadanego narzędzia (np. smartfon)
- danych biometrycznych (np. zdjęcie twarzy, skan siatkówki oka, odcisk palca, ton głosu)
Silne uwierzytelnianie stosowane jest obecnie przy płatnościach kartą w internecie. Potwierdzając transakcję, wpisujemy dane z karty (jej numer, datę ważności, kod CVC2/CVV2) i najczęściej przepisujemy hasło SMS wysłane na komórkę.
Podobny mechanizm autoryzacyjny będzie od 14 września stosowany podczas m.in.: logowania do bankowości elektronicznej i płacenia za zakupy.
Wyjątek 1: transakcje zbliżeniowe
Silne uwierzytelnienie nie będzie stosowane przy płatnościach zbliżeniowych kartą, do momentu przekroczenia określonych limitów ilościowych lub wartościowych transakcji (liczniki transakcji).
Oznacza to, że po wykonaniu w danym dniu kilku płatności kartą (niezależnie od ich wartości) lub wydaniu ustalonej kwoty transakcja, która przekroczyła któryś z tych limitów będzie wykonana dopiero po zatwierdzeniu jej poprzez użycie silnego uwierzytelnienia.
Standardowy limit kwotowy to 150 euro na dzień (zgodnie z rozporządzeniem), jednak banki mogą zmniejszać te limity wedle wewnętrznych ustaleń.
Standardowy limit dzienny liczby transakcji to 5 płatności.
Wyjątek 2: biletomaty i parkometry
Obowiązkiem stosowania silnego uwierzytelniania nie zostaną objęte płatności dokonywane w terminalach samoobsługowych, służących do regulowania opłat transportowych.
Mowa o: biletomatach, parkometrach i bramkach autostradowych.
Wyjątek 3: niskokwotowe płatności kartami online
Silne uwierzytelnianie nie będzie musiało być wymagane, jeżeli kwota pojedynczej transakcji karta online nie przekroczy równowartości 30 euro, o ile suma dokonanych w danym dniu płatności nie przekroczy 100 euro i jednocześnie liczba następujących po sobie transakcji nie przekroczy 5 płatności.
Wyjątkiem zostaną objęte również płatności cykliczne (np. czynsz za mieszkanie, rachunki za prąd, abonamenty za dostęp do serwisów VoD) oraz transakcje realizowane w "ulubionych" sklepach.
Wyjątek 4: aktywne korzystanie z e-bankowości
Od 14 września podwójnie uwierzytelniać się będziemy musieli również podczas logowania na swoje konto przez internet, w tym aplikację mobilną. Ale nie za każdym razem. Mechanizm będzie stosowany tylko:
- przy pierwszym logowaniu,
- ostatnio zalogowaliśmy się w bankowości ponad 90 dni temu,
- chcemy uzyskać dostęp do danych wrażliwych (np. naszych danych osobowych, adresowych), które mogłyby zostać wykorzystane podczas prób oszustwa.