PSD2. Zmiany w logowaniu do banku i w płatnościach kartą [PKO, Santander, mBank, Pekao, ING, BNP Paribas, Alior, Millennium]

14 września 2019 roku wchodzi w życie rozporządzenie Komisji Europejskiej dotyczące standardów technicznych dotyczących między innymi silnego uwierzytelnienia klienta.

To oznacza spore zmiany dla każdego klienta banku, który korzysta z bankowości internetowej, płatności w internecie oraz płatności kartą w sklepie czy online.

Rozporządzenie, które wchodzi w życie, wprowadza konieczność stosowania procedur silnego uwierzytelnienia. To oznacza co najmniej dwuelementowe potwierdzenie tożsamości.

Jak to będzie działało w praktyce?

Potwierdzanie tożsamości będzie oparte na trzech kategoriach.

• Kategoria „wiedza” - to kod (na przykład PIN), hasło lub inny element, który jest znany tylko klientowi - posiadaczowi danego instrumentu płatniczego lub bankowości internetowej,
• Kategoria „posiadanie” - to element, który klient ma w posiadaniu (np. karta plastikowa, telefon z kartą SIM) i który może zostać użyty w trakcie dokonywania płatności lub korzystania z bankowości internetowej,
• Kategoria „cecha klienta” - to specyficzna dla danego klienta cecha, którą dysponuje tylko on i która go wyróżnia. Może to być na przykład biometria, np. odcisk palca czy skan tęczówki oka.

Stosowanie procedur silnego uwierzytelnienia będzie przy dokonywaniu płatności w terminalach płatniczych w sklepach (POS), płatnościach za zakupy w internecie (e-commerce, m-commerce) oraz logowaniu i korzystaniu z bankowości internetowej czy mobilnej.

W praktyce oznacza to, że do zalogowania do bankowości internetowej od 14 września 2019 nie wystarczy tylko login i hasło. Konieczne będzie na przykład wpisanie kodu SMS, który klient otrzyma na komórkę.

Każdy bank do czasu wprowadzenia zmian poinformuje o nich klientów.

Zmieni się także płacenie kartą w sklepach, w szczególności dotyczy to transakcji zbliżeniowych.

W Polsce można obecnie płacić zbliżeniowo bez podawania kodu PIN za zakupy do 50 złotych (rozporządzenie określa górną granicę takich płatności na poziomie 50 euro).

14 września wprowadzony zostanie tzw. licznik transakcji. Może on być albo ilościowy, albo wartościowy

.

• Polskie banki zdecydowały, że co piąta transakcja zbliżeniowa będzie musiała być potwierdzona kodem PIN.
• Licznik wartościowy określa że po przekroczeniu kwoty określonej przez wydawcę karty musi być podany kod PIN. Wprowadzane prawo określa kwotę takiego limitu na 150 euro, ale może to być kwota niższa. Polskie banki skorzystają z tej możliwości i będą ustawiać go niżej.

W przypadku dokonywania elektronicznych płatności za zakupy w internecie:

• kwota pojedynczej transakcji nie może przekroczyć 30 euro,
• licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 euro,
• licznik ilościowy liczby następujących po sobie transakcji jest analogiczny jak w płatnościach zbliżeniowych i wynosi 5.

W tym obszarze wyjątkiem od powyższych reguł jest możliwość ujęcia danego sprzedawcy na liście tzw. zaufanych klientów.

Istotnym wyłączeniem spod rygorów silnego uwierzytelnienia jest dokonywanie transakcji w terminalach samoobsługowych służących do regulowania opłat za transport np. biletomaty czy autostrady lub postój.

Często w takich urządzeniach nie ma możliwości użycia kodu PIN stąd niemożliwe lub bardzo utrudnione byłoby zrealizowanie silnego uwierzytelnienia.

Główna przesłanka wprowadzenia silnego uwierzytelniania to bezpieczeństwo dokonywania elektronicznych transakcji płatniczych. Należy uważnie przeczytać korespondencję jaka została wysłana od dostawców usług płatniczych (banków) bo w niej można odnaleźć miedzy innymi jaki rodzaj i wysokość limitów dany dostawca będzie stosował od 14 września, po przekroczeniu których wymagane będzie silne uwierzytelnienie według zasad opisanych powyżej.