Dzisiaj weszły w życie przepisy PSD II określające zasady tzw. silnego uwierzytelnienia. Zgodnie z nimi już samo zalogowanie na konto internetowe może wymagać podania nie tylko hasła, ale i dodatkowego zabezpieczenia, np. poprzez wprowadzenie kodu jednorazowego z SMS-a. Jak banki poradziły sobie z wdrożeniem nowych regulacji? Sprawdziłem w instytucjach, w których mam rachunki.

Alior i T-Mobile Usługi Bankowe

To instytucje, w których napotkałem problem przy logowaniu. Ich systemy poprosiły o podanie loginu i hasła, a następnie automatycznie wyświetliły informację, że logowanie nie jest możliwe, po czym po chwili otrzymałem SMS z kodem, którym powinienem autoryzować proces. Niestety, nie zostało wygenerowane okno do wpisania kodu. Sytuacja powtarzała się kilkukrotnie. Natomiast bez problemu udało mi się zalogować do systemu Aliora przeznaczonego do obsługi rachunków firmowych.

Przeczytajcie także: • Żaden polski fintech nie dostał zgody na dostęp do rachunków

Co ciekawe w marketach App Store i Google Play pojawiła się aktualizacja aplikacji mobilnej Aliora. Wśród wprowadzonych tam nowości znalazła się zapowiadana przez bank kilka dni temu mobilna autoryzacja. Po aktywacji nowej usługi logowanie do serwisu internetowego udało mi się zatwierdzić właśnie za jej pomocą. System zaproponował mi także zapamiętanie przeglądarki, dzięki czemu w przyszłości ma nie być konieczne potwierdzanie operacji w smartfonie. Najnowsza wersja aplikacji Aliora zawiera parę innych zmian, m.in. funkcję umożliwiającą automatyczne połączenie się z konsultantem banku.

BNP Paribas

Tu logowanie na rachunek zarówno za pomocą starego jak i nowego systemu transakcyjnego oraz za pomocą systemu byłego Raiffeisen Polbanku odbywa się w podobny sposób. Po podaniu loginu i hasła system prosi o przepisanie kodu jednorazowego z SMS-a. Na razie nie ma możliwości autoryzowania logowania za pomocą aplikacji mobilnej czy też zapamiętania przeglądarki, by w przyszłości logowanie było łatwiejsze. Przedstawiciele banku swego czasu deklarowali, że takie rozwiązanie pojawi się w nowym serwisie. Najwyraźniej jednak nie zostało jeszcze wdrożone.

Credit Agricole

Mam wrażenie, że w tym banku logowanie odbywa się dziś tak samo jak wczoraj. W trakcie tego procesu nie byłem proszony o dodatkową autoryzację. Autoryzacja kodem jednorazowym nie była potrzebna także podczas przeglądania historii rachunku z okresu dłuższego niż 90 dni, czego z formalnego punktu widzenia wymaga rozporządzenie wykonawcze do PSD II.

Euro Bank

Tu logowanie udało się przeprowadzić bez problemów. Z tym że musiałem je zatwierdzić za pomocą mobilnej autoryzacji. System niestety nie zaproponował mi zapamiętania mojej przeglądarki. Stąd potwierdzenie za pomocą smartfona wymagane jest za każdym razem, gdy loguję się na rachunek. Ponadto w marketach systemów operacyjnych na urządzenia mobilne znalazłem aktualizacje obu aplikacji mobilnych Euro Banku: starej i nowej. Aktualizacja pierwszej z nich przynosi wyłączenie możliwości aktywacji apki. W przypadku aplikacji drugiej generacji nastąpiła zmiana tego procesu. Wymagane jest podanie m.in. hasła alfanumerycznego, wysyłanego w SMS-ie i danych uwierzytelniających do serwisu internetowego.

Getin

Podczas logowania na rachunek w Getinie system poprosił mnie o podanie kodu jednorazowego z SMS-a. Następnie zaproponował mi dodanie przeglądarki do zaufanych. Dzięki temu przy kolejnych logowaniach nie muszę zatwierdzać operacji dodatkowym narzędziem autoryzacyjnym.

ING

W ING, podobnie jak w Credit Agricole, logowanie przebiega tak jak dotychczas. To znaczy na rachunek dostałem się po podaniu loginu i hasła. Nie byłem proszony ani o kod z SMS-a ani o potwierdzenie operacji w aplikacji mobilnej. System bez dodatkowych zabezpieczeń umożliwił mi także wgląd w historię transakcji dłuższą niż 90 dni.

mBank

Po podaniu loginu i hasła na konto w mBanku system zaproponował mi dodanie przeglądarki do zaufanych, dzięki czemu w przyszłości nie będę musiał dodatkowo autoryzować logowania. Wybrałem tę opcję, a następnie zatwierdziłem za pomocą mobilnej autoryzacji. Kolejne logowanie odbyło się już bez konieczności dodatkowego potwierdzania. Co ciekawe jednak system poprosił mnie o ponowne podanie hasła i loginu, gdy zmieniłem profil z prywatnego na firmowy.

Przeczytajcie także: • Zagraniczne fintechy w natarciu na polski rynek

Ponadto w marketach App Store i Google Play możecie znaleźć nową aplikację występującą pod nazwą mBank Token. To oprogramowanie kierowane m.in. do osób, które nie korzystają ze standardowej aplikacji instytucji. mBank Token ma bardzo ograniczoną funkcjonalność – pozwala jedynie na potwierdzanie logowania do serwisu internetowego oraz zlecanych tam operacji. mBank Token może być też wykorzystany przez użytkowników standardowej aplikacji, którzy chcieliby zatwierdzać operacje internetowe na kilku różnych urządzeniach.

PKO BP

Logowanie do systemu internetowego przebiegło tak jak dotychczas, a więc nie musiałem autoryzować go dodatkowo ani kodem z SMS-a ani mobilną autoryzacją. Wymóg taki pojawił się dopiero, gdy chciałem poznać historię transakcji starszą niż 90 dni. Wówczas zostałem poproszony o potwierdzenie tożsamości za pomocą kodu jednorazowego z SMS-a.

Santander

W tym banku podczas logowania zostałem poproszony o potwierdzenie za pomocą mobilnego podpisu (tak w apce Santandera nazywa się mobilna autoryzacja). Niestety, system nie pozwala na zapamiętanie przeglądarki, stąd silne uwierzytelnienie wymaga dodatkowego potwierdzania tożsamości za każdym razem, gdy próbuję się dostać na rachunek w Santanderze.

Tymczasem już w najbliższy wtorek odbędzie się kolejne wydarzenie z cyklu Cashless Breakfast dotyczące właśnie otwartej bankowości wprowadzanej przez dyrektywę PSD II. Przedstawiciele instytucji finansowych zapewne podzielą się swoimi doświadczeniami z pierwszych dni po wdrożeniu silnego uwierzytelnienia. Swój udział jako prelegenci potwierdzili już: Małgorzata Domagała i Tomasz Owczarek z Mastercarda, Krzysztof Grzeszczuk z Aliora, Krzysztof Korus z kancelarii DLK Legal, Michał Pierzgalski z KIR-u, Emil Radziszewski z KNF i Maciej Stępień z Braintri. Partnerami merytorycznymi wydarzenia są: Mastercard a także Alior, Braintri, KIR i Nest Bank.