16.09.2019: od soboty trudniejsze logowanie, autoryzowanie PIN nawet drobnych kwot zbliżeniowo kartą. Co w bankach zmieniło się jeszcze

AIPZaktualizowano 
Od soboty 14 września będziemy inaczej się logować i autoryzować transakcje. Lucyna Nenow / Polska Press
Czy faktycznie 14 września czeka nas rewolucja? Z pewnością od soboty 14 września będziemy inaczej się logować i autoryzować transakcje, zwłaszcza w przypadku banków, które dopiero teraz rezygnują z tzw. zdrapek, czyli kart z kodami jednorazowymi, na rzecz np. aplikacji mobilnych.

Niemniej jednak, choć od 14 września faktycznie banki muszą „otworzyć” prowadzone przez siebie rachunki i udostępnić podmiotom trzecim dostęp do nich za pośrednictwem tzw. API, to w Polsce zapewne jeszcze trochę na to poczekamy. Wynika to z faktu, iż formalnie jeszcze żaden dostawca inny niż bank nie uzyskał odpowiedniej licencji. Tym samym krajowe FinTechy nie są w stanie rozpocząć świadczenia usług opartych o PSD2.

Od 14 września 2019 r. dostawcy usług płatniczych w całej Unii Europejskiej, w tym banki, muszą wdrożyć nowe wymogi prawne wynikające z tzw. Dyrektywy PSD2, czyli drugiej dyrektywy dotyczącej świadczenia usług płatniczych. O nowych przepisach głośno jest już od jakiegoś czasu. Dla klientów bankowości elektronicznej mogą to być z pozoru niewielkie zmiany – niemniej jednak długoterminowo możemy spodziewać się nie tylko wzrostu poziomu bezpieczeństwa płatności internetowych, ale również nowych usług finansowych.

Co tak naprawdę zmienia PSD2?

Druga dyrektywa o usługach płatniczych wprowadza dwie kluczowe zmiany dla rynku płatności. Pierwsza z nich to tzw. silne uwierzytelnianie. Dotyczy ono przede wszystkim sposobu autoryzowania płatności i logowania się do bankowości online. Druga zmiana to wprowadzenie dwóch nowych usług płatniczych, w ramach których bank lub dostawca usług płatniczych może uzyskać dostęp do rachunku bankowego prowadzonego przez inny bank.

Silne uwierzytelnianie – czyli logowanie po nowemu

Silne uwierzytelnianie wymaga od banku, aby autoryzując użytkownika wymagał użycia co najmniej dwóch z trzech kategorii danych uwierzytelniających. Do tej pory, aby zalogować się do bankowości elektronicznej, najczęściej podawaliśmy login, np. numer klienta i hasło. Od 14 września będziemy musieli podać przynajmniej jeszcze jedną dodatkową informację uwierzytelniającą – z innej kategorii danych.
PSD2, a w zasadzie przepisy wykonawcze do Dyrektywy, tzw. RTS, wskazują, że należy posłużyć się dwoma różnymi kategoriami danych uwierzytelniających. Te kategorie to: coś co tylko użytkownik wie, coś co tylko użytkownik ma oraz coś czym tylko użytkownik niejako jest. W praktyce ostatnia kategoria to tzw. biometria, czyli odcisk palca lub wizerunek twarzy, głos. Hasło to pierwsza z tych kategorii, dlatego bank musi dodać jeszcze jedno pytanie, np. o kod SMS czy potwierdzenie w aplikacji – wyjaśnia Tomasz Klecor, prawnik i partner zarządzający w kancelarii Legal Geek, specjalizującej się w obsłudze sektora finansowego.
W ramach kanałów internetowych większość podmiotów finansowych zdecydowała się na łączenie właśnie kryterium wiedzy (haseł, kodów PIN) z kryterium posiadania (czyli kodów generowanych w aplikacji czy przekazywanych na zaufane urządzenie). Dodatkowo w aplikacjach mobilnych możemy spodziewać się kryteriów biometrycznych. Może się więc okazać, że logowanie do banku będzie trudniejsze niż dotychczas.
- Musimy pamiętać, że silne uwierzytelnianie będzie wymagane nie tylko przy logowaniu się do banku, ale również przy zlecaniu transakcji czy dodawaniu tzw. zaufanych odbiorców. Niemniej w tym obszarze jesteśmy raczej przyzwyczajeni, że sam login i hasło nie wystarczą, aby zlecić przelew – wyjaśnia Tomasz Klecor, partner zarządzający w kancelarii Legal Geek.

Zbliżeniowo częściej z PINem

Silne uwierzytelnianie klienta to nie tylko płatności w Internecie. Ponieważ nowe wymogi odnoszą się do wszystkich kanałów płatności narażonych na nadużycia, objęły również płatności kartą w terminalach i innych punktach. Co prawda płatności niskokwotowe i zbliżeniowe nadal będą mogły być realizowane w sposób uproszczony, tj. bez podania kodu PIN, ale tylko w ograniczonym zakresie.
Zgodnie z nową regulacją zasadą będzie wymuszenie silnego uwierzytelniania po przekroczeniu określonej liczby lub kwoty transakcji kartowych. W przypadku płatności zbliżeniowych bank nie musi wymagać silnego uwierzytelniania poniżej kwoty 50 euro, pod warunkiem, że klient nie wykonał więcej niż 5 transakcji lub nie przekroczył 150 euro od ostatniego zastosowania silnego uwierzytelniania.
- Stosowanie tzw. koszyków, czyli wolumenów transakcji, po których przekroczeniu bank musi wymusić silne uwierzytelnianie, ma chronić klientów, którzy utracili swoje karty, np. zgubili je lub zostały one skradzione. W praktyce chroni jednak wydawcę karty, gdyż Dyrektywa PSD2 rozszerzyła jego odpowiedzialność – precyzuje Tomasz Klecor.

Mniejsza odpowiedzialność klienta, bank zwróci więcej

Dyrektywa PSD2 doprowadziła również do zmniejszenia kwoty odpowiedzialności klienta, któremu skradziono kartę lub który kartę zgubił. Do tej pory klienta obciążały nieautoryzowane transakcje do kwoty 150 euro. Jeśli więc skradziono nam kartę i ktoś dokonał nią zakupów, bank zwracał nam niejako kwotę skradzioną pomniejszoną o 150 euro. Oczywiście istniały pewne wyjątki od tej zasady – nie odpowiadaliśmy np. za transakcje dokonane po zgłoszeniu do banku utraty karty. PSD2 zmniejsza tę kwotę do 50 euro. Dodatkowo bank odpowiada za wszystkie transakcje, które powinny być dokonane z zastosowaniem silnego uwierzytelniania, a nie były.
Jest to dobra wiadomość dla klientów banków, zwłaszcza tych, którym zdarza się gubić portfele z kartami. Taka strata będzie teraz dla nich znacznie mniej kosztowna.

Uwaga na wiadomości z banku!

Wprowadzenie nowych zabezpieczeń to również dobry powód dla oszustów, aby rozpocząć wyłudzanie danych do logowania. Wykorzystują oni fakt, że klienci otrzymują więcej wiadomości od swoich dostawców i wysyłają im odpowiednio spreparowane linki do fałszywych stron internetowych, do złudzenia przypominających strony banków. Klient podaje tam swoje dane dostępowe do banku, a czasem wręcz może być poproszony o podanie kodu SMS i zupełnie nieświadomie opróżnia w ten sposób swoje konto.
Przed tzw. phishingiem, czyli podszywaniem się np. pod nasze banki ostrzega m.in. Komisja Nadzoru Finansowego. Kiedy dostajemy wiadomość od kogoś, kto podaje się za nasz bank – powinniśmy dokładnie zweryfikować jej pochodzenie. Wprowadzenie nowych zabezpieczeń raczej nie będzie wymagać od nas klikania w linki w mailach – radzą prawnicy z Legal Geek.

Czy będzie łatwiej o raty?

Na rynku e-commerce coraz bardziej powszechne stają się płatności odroczone. Pojawiają się kolejne firmy oferujące raty na zakupy w sklepach internetowych. Nowe, wprowadzone dyrektywą PSD2 usługi m.in. ułatwią dokonywanie oceny zdolności kredytowej w oparciu o historię rachunku bankowego. Już teraz takimi usługami mocno zainteresowały się firmy pożyczkowe. Dzięki dostępowi do rachunku osoby wnioskującej o raty pożyczkodawca może ustalić, ile faktycznie zarabia i na co wydaje pieniądze klient. Taka ocena zdolności jest znacznie bardziej wiarygodna od oceny opartej wyłącznie na deklaracjach składanych wraz z wnioskiem o raty. Wbrew pozorom może być dzięki temu łatwiej o pożyczkę, bo nawet jeśli ktoś zarabia mniej, ale racjonalnie zarządza wydatkami, to taki scoring kredytowy może wypaść pozytywnie.

Łatwiejsze zarządzanie wieloma kontami

Usługi wprowadzone Dyrektywą PSD2 pozwalają m.in. na dostęp przez podmiot zewnętrzny do historii naszego rachunku bankowego, ale również na inicjowanie z niego płatności. Dzięki temu w ramach jednej bankowości elektronicznej niebawem możemy mieć zintegrowane konta z kilku banków. Z pewnością ułatwi to życie nie tylko konsumentom, lecz także firmom. Dostęp do rachunku z pewnością będzie wykorzystywany również przez dostawców aplikacji do prowadzenia księgowości. Dzięki niemu w programie do fakturowania będziemy mogli od razu zobaczyć, czy dana faktura została już opłacona.
Nowe rodzaje płatności online
Kolejną nowością wynikającą z PSD2 jest możliwość inicjowania płatności z rachunku bankowego prowadzonego przez inny podmiot, przykładowo operator bramki płatniczej w sklepie internetowym może automatycznie dostać się na nasze konto i na nasze żądanie przelać pieniądze bezpośrednio na rachunek sklepu. Środki trafią do sklepu z pominięciem rachunku bankowego pośrednika. Dodatkowo – ze względu na fakt, iż każdy bank musi udostępnić mechanizm dostępu do prowadzonych przez siebie rachunków – możliwość sprawnego zlecania płatności obejmie wszystkich użytkowników e‑commerce, którzy posiadają rachunki bankowe.
- Co istotne, w trakcie całego procesu pośrednik inicjujący transakcję nie ma dostępu do naszych danych dostępowych do bankowości elektronicznej. Nie ma więc ryzyka, że dane zostaną przez niego zapisane i np. wykorzystane w przyszłości – precyzuje Tomasz Klecor.

Dostęp do rachunków tylko dla firm z licencją

Oczywiście otwieranie rachunków bankowych dla innych podmiotów nie ma charakteru absolutnego. Głównym wymogiem, jaki trzeba spełnić jest posiadanie odpowiedniej licencji, wydanej przez organ zajmujący się nadzorowaniem rynku finansowego w danym państwie członkowskim. W Polsce za wydawanie odpowiednich zezwoleń czy wpisy do rejestru dostawców odpowiada Komisja Nadzoru Finansowego. W tej chwili krajowe spółki mają dwie możliwości – albo świadczyć wyłącznie usługi dostępu do informacji z rachunku bankowego, co jest rozwiązaniem prostszym, albo starać się o zezwolenie obejmujące obie usługi wprowadzone przez PSD2. Ta druga opcja jest jednak zdecydowanie bardziej czasochłonna i kosztowna.

Zakaz handlu w niedziele 2019 jest dużo bardziej restrykcyjny niż zakaz handlu w niedziele 2018. Duże zakupy, za wyjątkiem kwietnia i grudnia, w tym roku możemy robić tylko w jedną niedzielę każdego miesiąca. Która niedziela września jest niedzielą handlową, gdzie zakupy można będzie zrobić w najbliższą niedzielę? Po prostu kliknij w ten tekst a dowiesz się wszystkiego.

Widzimy bardzo duże zainteresowanie możliwością świadczenia usług dostępu do historii rachunków bankowych. Pytają o to zarówno firmy w związane w jakiś sposób z sektorem finansowym, np. instytucje pożyczkowe, jak i podmioty, które z FinTechem wcześniej niewiele miały wspólnego, np. software house’y czy dostawcy oprogramowania do prowadzenia księgowości online – mówi Tomasz Klecor, który w kancelarii Legal Geek odpowiada m.in. za prowadzenie postępowań licencyjnych.
Licencja jest konieczna, aby uzyskać dostęp do tzw. API. Cały mechanizm dostępu do rachunków skonstruowany jest tak, że podmiot, który licencji nie posiada, nie ma technicznej możliwości zrealizowania usługi opartej o dostęp do rachunku. Co więcej, aby móc dostać się do naszego konta, taki dostawca będzie potrzebował naszej wyraźnej zgody. Tym samym nie powinniśmy się obawiać, że nagle np. instytucje pożyczkowe zaczną odpytywać losowo dowolne rachunki bankowe w celu sprawdzenia, czy przypadkiem nie zaproponować nam pożyczki.
- Przepisy są tutaj bardzo konkretne. Dostać się do czyjegoś rachunku będzie można tylko po uzyskaniu zgody. Naruszenie tego obowiązku może skutkować nawet pozbawieniem licencji – wyjaśnia Tomasz Klecor.

Aby uzyskać dostęp do rachunku użytkownika, nie wystarczy sama jego zgoda – przede wszystkim niezbędna jest odpowiednia licencja. W Polsce jeszcze żaden FinTech takiej nie uzyskał. Przyczyn z pewnością jest kilka, jednak w głównej mierze jest to spore opóźnienie we wprowadzeniu odpowiednich przepisów. Stąd też dostawcy z Wielkiej Brytanii czy Litwy, gdzie takie licencje są wydawane już od dawna, będą mieli pewną przewagę konkurencyjną nad dostawcami polskimi. Niektóre podmioty wręcz zrezygnowały z ubiegania się z licencji w Polsce na rzecz licencji litewskich – wyjaśnia Tomasz Klecor.

polecane: Afera Amber Gold - liczby, które szokują

Wideo

Materiał oryginalny: 16.09.2019: od soboty trudniejsze logowanie, autoryzowanie PIN nawet drobnych kwot zbliżeniowo kartą. Co w bankach zmieniło się jeszcze - Strefa Biznesu

Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych”i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Komentarze 1

Ta strona jest chroniona przez reCAPTCHA i obowiązują na niej polityka prywatności oraz warunki korzystania z usługi firmy Google. Dodając komentarz, akceptujesz regulamin oraz Politykę Prywatności.

Podaj powód zgłoszenia

S
Sia

Cytuję tytuł: "16.09.2019: od soboty trudniejsze logowanie, autoryzowanie PIN nawet drobnych kwot zbliżeniowo kartą. Co w bankach zmieniło się jeszcze". Co za grafoman to napisał? Ręce opadają.

Dodaj ogłoszenie

Wykryliśmy, że nadal blokujesz reklamy...

To dzięki reklamom możemy dostarczyć dla Ciebie wartościowe informacje. Jeśli cenisz naszą pracę, prosimy, odblokuj reklamy na naszej stronie.

Dziękujemy za Twoje wsparcie!

Jasne, chcę odblokować
Przycisk nie działa ?
1.
W prawym górnym rogu przegladarki znajdź i kliknij ikonkę AdBlock. Z otwartego menu wybierz opcję "Wstrzymaj blokowanie na stronach w tej domenie".
krok 1
2.
Pojawi się okienko AdBlock. Przesuń suwak maksymalnie w prawą stronę, a nastepnie kliknij "Wyklucz".
krok 2
3.
Gotowe! Zielona ikonka informuje, że reklamy na stronie zostały odblokowane.
krok 3