14 września wchodzi w życie część przepisów dyrektywy PSD II. Chodzi m.in. o tzw. silne uwierzytelnienie. To zasada mówiąca o tym, że niektóre operacje wykonywane przez użytkowników rachunków płatniczych (w tym bankowych) muszą być zatwierdzane za pomocą przynajmniej dwóch różnych sposobów. Tak dzieje się już dziś np. przy zlecaniu przelewów internetowych: najpierw musicie zalogować się na konto podając swoje hasło a następnie autoryzować przelew np. hasłem jednorazowym z SMS-a.
Od połowy września podobna procedura będzie stosowana już podczas logowania się na rachunek bankowy. Zgodnie z przepisami PSD II i aktów towarzyszących dyrektywie silne uwierzytelnienie będzie wymagane np. za każdym razem, gdy klient będzie zyskiwał dostęp do historii rachunku starszej niż 90 dni. Na szczęście hasła jednorazowe będą mogły być zastąpione np. mobilną autoryzacją albo biometrią. Natomiast większość banków wycofa przestarzałe, papierowe karty kodów jednorazowych.
Euro Bank
A jak to będzie wyglądać w poszczególnych instytucjach? Przeprowadziłem krótką ankietę w działających na polskim rynku bankach. Odpowiedzi udzieliło kilka z nich. I tak Euro Bank będzie stosował silne uwierzytelnienie przy każdym logowaniu na rachunek. Klient będzie mógł jednak wybrać, czy będzie to hasło jednorazowe z SMS-a, mobilna autoryzacja w aplikacji czy token GSM.
Getin
W przypadku Getinu klienci do silnego uwierzytelnienia przy każdym logowaniu będą mogli stosować hasło jednorazowe wysyłane SMS-em lub mobilną autoryzację w aplikacji. Wycofana zostanie natomiast możliwość autoryzacji przy pomocy tokenu na karcie płatniczej z wyświetlaczem (Getin jest zdaje się jedynym bankiem na rynku, które takie rozwiązanie oferuje). Biuro prasowe instytucji podało jednocześnie, że trwają prace nad wdrożeniem możliwości silnego uwierzytelniania logowania bez konieczności wprowadzania dodatkowych danych. Więcej na ten temat tutaj.
ING Bank Śląski
Bank Śląski podaje, że od 14 września w trakcie logowania do Mojego ING może wymagać podania oprócz wybranych znaków hasła także kodu z SMS. Ale procedurę tę będzie stosować tylko podczas wybranych logowań. Bank nie będzie stosował w trakcie logowania na rachunek autoryzacji mobilnej. Instytucja nie oferuje w procesie potwierdzania operacji papierowych list haseł jednorazowych.
mBank
Z informacji biura prasowego mBanku wynika, że instytucja będzie wymagać silnego uwierzytelnienia każdego logowania na rachunek wykonywanego na komputerze innym niż zaufany. Do listy zaufanych będzie można dodawać urządzenia za pośrednictwem serwisu transakcyjnego. Logowanie do systemu będzie można potwierdzać albo hasłem jednorazowym z SMS-a albo mobilną autoryzacją w aplikacji na smartfony.
Pekao
Bank zdecydował się wycofać z użytku uznane za niezgodne z zasadami silnego uwierzytelnienia hasła z papierowej listy kodów oraz tokeny. Będzie stosował hasła jednorazowe wysyłane za pośrednictwem SMS-ów oraz mobilną autoryzację w apce PeoPay. W przypadku logowania do bankowości internetowej bank będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni.
PKO
Z kolei z informacji biura prasowego PKO wynika, że bank uznaje karty kodów jednorazowych za zgodne z zasadami silnego uwierzytelnienia. W jego przypadku bowiem klient stosuje hasło losowe z listy, wskazane przez system. Dodatkowe potwierdzenie takim hasłem albo hasłem z SMS-a czy mobilną autoryzacją będzie wymagane przy wybranych logowaniach na rachunek.
Pozostałe instytucje, do których wysłałem prośbę o informację na temat zmian sposobu logowania na rachunki po 14 września albo jeszcze nie wiedziały, jak taki proces będzie wyglądał albo nie zdecydowały się udzielić mi informacji na ten temat. Warto w tym miejscu przypomnieć, że te same przepisy, które decydują o zmianie sposobu logowania na konta internetowe wymuszają stosowanie kodów PIN przy niektórych płatnościach kartą nawet gdy jest to transakcja na mniej niż 50 zł.
