Osiem spośród osiemnastu ankietowanych przez cashless.pl banków nie wdrożyło jeszcze nowych wymogów w zakresie silnego uwierzytelniania klienta przy transakcji kartowej w internecie
31 grudnia zacznie obowiązywać wymóg silnego uwierzytelniania klientów (strong customer authentication, SCA) przy niektórych płatnościach kartą w internecie. Według nowych zasad wybrane transakcje będą musiały być potwierdzane dwoma spośród trzech czynników uwierzytelniających. Do potwierdzenia może posłużyć wiedza (coś, co wie wyłącznie użytkownik karty), posiadanie (coś, co tylko on posiada) lub cecha klienta (coś, czym użytkownik jest, czyli np. biometria jego twarzy lub odcisk palca). Funkcji jednego z takich czynników nie będą mogły natomiast pełnić dane podane na karcie.
Choć nowe przepisy wejdą w życie już za niespełna dwa tygodnie, to jeszcze nie wszystkie banki wprowadziły odpowiednie procedury w zakresie SCA. Z wdrożeniem zwleka aż osiem spośród osiemnastu zapytanych przeze mnie banków: Citi, Credit Agricole, Getin, Idea, Millennium, Nest, PKO, Santander, a w BPS trwa okres przejściowy – odpowiednie narzędzia zostały już oddane do dyspozycji klientów, natomiast korzystanie z nich nie jest jeszcze obowiązkowe. Nowe procedury obowiązują już natomiast klientów Aliora, BNP Paribas, BOŚ Banku, ING, mBanku, Pekao, Pocztowego, SGB i Toyota Banku.
Klientom, którzy korzystają z aplikacji mobilnych, prawie wszystkie banki zdecydowały się zaproponować potwierdzanie transakcji właśnie w apce. To naturalny krok, ponieważ taki rodzaj uwierzytelniania łączy w sobie dwa czynniki autoryzujące: sprzętowy (konkretny smartfon jako urządzenie należące do klienta) oraz oparty na wiedzy (PIN do aplikacji) lub oparty na cesze klienta (jeśli ten loguje się za pomocą biometrii twarzy lub odcisku palca).
Jedynie Idea Bank i BPS nie zdecydowały się przygotować prostego systemu potwierdzania transakcji w aplikacji. W informacji przesłanej przez Ideę czytam: "Niezależnie od tego czy klient jest użytkownikiem bankowości mobilnej, czy nie, sposób autoryzacji jest jednakowy i wymaga zalogowania się do bankowości internetowej Idea Cloud i potwierdzenia tam wykonywanej transakcji kartowej". A z kolei BPS od wszystkich klientów będzie wymagał podania hasła SMS i specjalnego PIN-u do transakcji internetowych wykonywanych kartą.
Natomiast inne dwa banki zdecydowały się postawić tylko na uwierzytelnianie w aplikacji i nie planują w ogóle przygotować alternatywnej metody autoryzacji transakcji dla mniej mobilnych klientów. Mowa o Toyota Banku i BOŚ Banku. W przypadku Toyoty decyzja motywowana jest tym, że każdy klient już teraz akceptuje na smartfonie wszystkie operacje płatnicze wymagające potwierdzenia: – W Toyota Bank nie oferujemy typowej, znanej z innych banków aplikacji mobilnej. Nasze narzędzie spełnia funkcję mobilnej autoryzacji i zastąpiło wykorzystywany wcześniej token sprzętowy. Każdy klient korzystający z naszych usług, posiada aplikację mobilną – jest ona wymaganym narzędziem do logowania i potwierdzania transakcji w bankowości elektronicznej – tłumaczy Bartosz Suchecki, kierownik Wydziału Rozwoju Produktów Bankowych w Toyota Bank.
Do apek będą się musieli przekonać również klienci BOŚ Banku, bo jak deklaruje instytucja: "Po upływie okresu przejściowego użytkownicy kart, którzy nie będą posiadali aplikacji mobilnej/BOŚtokena, nie będą mogli zrealizować transakcji przez internet".
Inne banki okazały się bardziej wyrozumiałe dla klientów niekorzystających z aplikacji mobilnych i przygotowały procedury pozwalające również im płacić kartą w internecie z zachowaniem nowych standardów. Część z nich będzie w takiej sytuacji prosić klienta o zalogowanie się do bankowości internetowej i podanie kodu z SMS-a. Tak swoje transakcje już teraz mogą potwierdzać np. klienci ING czy Pocztowego, a wkrótce również klienci Millennium (bank planuje wprowadzenie nowych zasad w drugiej połowie grudnia).
Z kolei w innych bankach drugim czynnikiem uwierzytelniającym obok kodu SMS będzie podanie PIN-u. W niektórych instytucjach będzie to po prostu PIN do karty, inne nadadzą specjalne ePIN-y do transakcji internetowych. Tego rodzaju zabezpieczeń powinni się spodziewać klienci Aliora, BPS, Credit Agricole, PKO czy Santandera. Przy czym ten ostatni pracuje jeszcze nad alternatywną metodą autoryzacji: poprzez podanie kodu SMS oraz numeru identyfikacyjnego klienta i hasła do bankowości. Nest będzie wymagał od swoich klientów podania kodu SMS oraz hasła internetowego, a z kolei BNP Paribas i SGB poprosi przy transakcji o odpowiedź na dodatkowe pytanie zabezpieczające.
W tabeli poniżej znajdziecie zestawienie metod autoryzacji, które wprowadziły lub planują wprowadzić poszczególne banki.
Przy okazji warto wspomnieć, że nowa regulacja wymaga przygotowania nie tylko od banków. Do końca roku również przedsiębiorcy działający w e-commerce muszą zadbać o to, by system płatności w ich sklepach internetowych był dostosowany do wymagań SCA, bo inaczej ich klienci mogą mieć problemy z dokonywaniem u nich zakupów. Visa radzi, by możliwie szybko skontaktowali się z firmą, która obsługuje płatności w ich sklepach, i poprosili o zastosowanie technologii zgodniej z nowymi wymogami. Organizacja przygotowała też infografikę z poradami dla sklepów internetowych.
