Ważne zmiany w logowaniu do banków. Kiedy będzie potrzebny telefon?

2019-09-16 14:41:06

Od soboty 14 września br. klientów wszystkich banków obowiązuje wymóg silnego uwierzytelniania podczas obsługi kont online. Sprawdziliśmy, jak PSD2 wpłynęło na sposób logowania do serwisów internetowych poszczególnych banków: kiedy proces będzie wydłużony, a kiedy będzie można się logować na starych zasadach.

14 września 2019 roku upłynął termin wdrożenia przez banki działające w Polsce zaleceń dotyczących usług płatniczych, wydanych w postaci unijnej dyrektywy PSD2 (Payment Services Directive 2 - Dyrektywa Parlamentu Europejskiego i Rady UE 2015/2366 z dnia 25 listopada 2015 r.).

Konsekwencją implementacji PSD2 stała się m.in. zmiana standardów technicznych w zakresie silnego uwierzytelniania klienta podczas dokonywana przez niego wybranych operacji bankowych w elektronicznych kanałach obsługi:

  • inicjowania płatności,

  • sprawdzania salda konta,

  • dostępu do informacji o rachunku.

Celem zmian nakładanych przez PSD2 było ograniczenie ryzyka oszustw związanych z transakcjami elektronicznymi, w tym kradzieży pieniędzy z rachunków deponentów podczas wykonywania przez nich przelewów w bankowości internetowej i mobilnej.

Sposobem na zmniejszenie zagrożeń związanych z obsługą rachunków na odległość stało się silne uwierzytelnienie, które polega na stosowaniu do autoryzacji operacji bankowych co najmniej dwóch elementów z różnych kategorii:

  • kategoria „wiedza” (czyli informacje, posiadane przez klienta, np. hasło internetowe, PIN)

  • kategoria „posiadanie” (czyli coś należące wyłącznie do klienta, np. otrzymany na telefon kod SMS, powiadomienie PUSH, karta SIM, data ważności lub kod CVC2/CVV2 karty płatniczej)

  • kategoria „cechy klienta” (czyli cechy biometryczne klienta, np. odcisk palca, twarz, głos)

Do zmian musiały się dostosować wszystkie banki komercyjne, banki spółdzielcze i SKOK-i.

Zwiększenie wymogów w stosunku do obowiązujących procedur uwierzytelniających ma zagwarantować konsumentom i przedsiębiorcom maksymalny poziom bezpieczeństwa płatności elektronicznych.

Większość banków nowy, rozszerzony sposób autoryzacji będzie stosować nie tylko na etapie zlecania przez klienta przelewu czy sprawdzenia przez niego historii wykonanych transakcji, ale już podczas logowania na konto.

Nie zawsze jednak silne uwierzytelnienie będzie konieczne przy każdorazowej próbie uzyskania dostępu do rachunku. W wielu bankach dodatkowa metoda autoryzacji będzie stosowana tylko co jakiś czas lub tylko w przypadkach, gdy od ostatniego logowania minęło więcej niż 90 dni.

Niektóre banki umożliwiają logowanie na starych zasadach po wskazaniu danego urządzenia jako zaufanego, czego można dokonać nawet już na etapie logowania do serwisu transakcyjnego.

Sprawdziliśmy, jak często banki będą wymagać od klientów dwustopniowego uwierzytelnienia podczas logowania do bankowości internetowej oraz jakie metody autoryzacji poza standardowymi (login, hasło, obrazek bezpieczeństwa) będą do tego stosowane.

Zasady silnego uwierzytelniania podczas logowania do bankowości internetowej

Bank

Dodatkowy sposób autoryzacji

Jak często będzie wymagane silne uwierzytelnienie?

Alior Bank

kod SMS LUB
autoryzacja mobilna

każdorazowo LUB
co jakiś czas - w przypadku logowania przez przeglądarkę dodaną jako zaufaną w bankowości internetowej

Bank Pocztowy

kod SMS LUB
hasło do certyfikatu do autoryzacji w bankowości

każdorazowo

BNP Paribas

kod SMS LUB
autoryzacja mobilna

co jakiś czas

BOŚ

kod SMS LUB
autoryzacja mobilna (BOŚtoken mobilny)

każdorazowo

Citi Handlowy

kod SMS LUB
autoryzacja mobilna (Citi Mobile Token)

co 90 dni

Credit Agricole

kod SMS

co jakiś czas

eurobank

kod SMS LUB
token GSM LUB
autoryzacja mobilna

każdorazowo

Getin Bank

kod SMS LUB
autoryzacja mobilna

każdorazowo LUB
co jakiś czas w przypadku logowania z urządzeń dodanych jako zaufane

Idea Bank

kod SMS

każdorazowo LUB
bez silnego uwierzytelniania w przypadku urządzeń ustanowionych jako powiązane

ING Bank Śląski

kod SMS

co jakiś czas

Inteligo

autoryzacja mobilna LUB
kod SMS LUB
karta kodów jednorazowych

każdorazowo

mBank

kod SMS LUB
autoryzacja mobilna

każdorazowo LUB
rzadziej po zdefiniowaniu komputera jako urządzenie zaufane

Millennium

kod SMS LUB
autoryzacja mobilna

co jakiś czas

Nest Bank

brak - sposób logowania pozostaje bez zmian (potrzebne jedynie: login, hasło i awatar)

silne uwierzytelnianie - kod SMS - będzie stosowane dopiero przy próbie dostępu do wybranych zakładek

Pekao

kod SMS LUB
PeoPay

nie rzadziej niż co 90 dni

PKO BP

kod SMS LUB
autoryzacja mobilna LUB
karta kodów jednorazowych

każdorazowo

Santander Bank Polska

smsKOD LUB
token lub
mobilny podpis

każdorazowo LUB
rzadziej po zdefiniowaniu komputera jako urządzenie zaufane

T-Mobile Usługi Bankowe

kod SMS LUB
autoryzacja mobilna

każdorazowo

Toyota Bank

autoryzacja mobilna

każdorazowo

Źródło: Opracowanie własne na podstawie danych opublikowanych w serwisach internetowych banków

Uwaga! Zestawienie uwzględnia tylko sposób logowania do bankowości internetowej. W przypadku bankowości mobilnej mogą obowiązywać procedury inne niż wymienione w powyższej tabeli.

Emilia Kasińska

Słownik finansowy
Kalkulatory

Szukasz kredytu gotówkowego? Chcesz zaoszczędzić? A może nowa inwestycja się kroi? Z nami wszystko przekalkulujesz!

Sprawdzam