14 września klienci banków, osoby płacące kartami w sklepach stacjonarnych i internetowych obudzą się w całkiem nowej rzeczywistości. Od tego dnia instytucje finansowe muszą działać zgodnie z unijną dyrektywą o usługach płatniczych (PSD2). Inaczej niż dotychczas logować się będziemy do bankowości elektronicznej, inaczej płacić za zakupy, a banki stracą monopol na świadczone do tej pory usługi. Co warto wiedzieć o PSD2, żeby przez zmiany przejść suchą stopą?
Po co to wszystko? Dla naszego bezpieczeństwa i dlatego, że unijne prawo (nowe przepisy obowiązywać będą w całej Unii Europejskiej) próbuje dogonić technologiczną rewolucję w świecie finansów. Zmiany odczują na własnej skórze wszyscy, którzy korzystają z bankowości internetowej lub mobilnej lub płacą kartami w sklepach internetowych i stacjonarnych.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Co nas czeka po 14 września – oto trzy najważniejsze zmiany: nowy sposób logowania się do bankowości elektronicznej, nowe bezpieczniki podczas zakupów w sklepach stacjonarnych i internetowych oraz nowa kategoria usług.
Logowanie do banku po nowemu
Login i hasło do bankowości internetowej oraz PIN do bankowości mobilnej po 14 września już nie wystarczą. Instytucje finansowe muszą stosować co najmniej dwuetapowy proces logowania do tych systemów. Czyli oprócz wspomnianych elementów dojdzie jeszcze jeden. Jaki? To zależy od banku.
W przypadku bankowości internetowej najpopularniejsze będą kody SMS. Klient po wpisaniu loginu i hasła (jak dotychczas) będzie musiał jeszcze wpisać jednorazowy kod, który bank wyśle SMS-em. Z punktu widzenia bezpieczeństwa, nie jest to najszczęśliwsze rozwiązania, bo stosunkowo łatwo jest przejąć kontrolę nad telefonem i przychodzącym SMS-em. Ale trzeba pamiętać, że nie wszyscy klienci mają telefony, które pozwalają na inne metody dodatkowej autoryzacji.
Jej przykładem jest mobilna autoryzacja, która pojawi się (lub już się pojawiła) w kilku bankach. Klient logując się np. na laptopie (generalnie chodzi o wchodzenie do banku przez przeglądarkę, a nie specjalną aplikację), będzie musiał potwierdzić logowanie w systemie bankowości mobilnej.
Przeczytaj też: Login i hasło już nie wystarczą. Za kilka miesięcy będziemy musieli nauczyć się innego sposobu wchodzenia do banku
Kilka banków zaoferuje podobne rozwiązanie, ale nie w ramach bankowości mobilnej, a za pośrednictwem dodatkowej aplikacji. Tę metodę można porównać do tokenów sprzętowych, tyle tylko, że rolę tokena pełnić będzie smartfon. Dodatkowe uwierzytelnienie na smartfonie będzie też możliwe metodami biometrycznymi, czyli np. odciskiem palca lub skanem twarzy.
Kilka banków zdradziło, że nie zawsze będzie wymagało dodatkowego uwierzytelnienia. Będzie on przebiegać w tle. W tym przypadku banki mogą wykorzystywać tzw. biometrię behawioralną, która analizuje nasze zachowania, np. sposób pisania na klawiaturze czy poruszania myszką. System, mając próbkę tego typu zachowania klienta (z każdym kolejnym logowaniem system coraz lepiej rozpoznaje daną osobę), jest w stanie ocenić, czy do systemu loguje się uprawniona osoba.
Klienci mogą też uwierzytelnić się tzw. wężykiem, czyli metodą znaną z procesu odblokowywania telefonów – trzeba najpierw wybrać wzór wężyka, a następnie przy logowaniu „narysować” go w smartfonie.
Jako dodatkową metodę uwierzytelnienia znalazłem też awatary, obrazki czy symbole. Tak już jest np. w Nest Banku. Klient wybiera symbol spośród kilkunastu dostępnych, np. świeczka, ptak, rolki, kubek. Podczas logowania trzeba wskazać właściwy symbol.
Jak logować się będziemy do bankowości mobilnej? Dziś z reguły musimy podać PIN do aplikacji mobilnej albo zalogować się odciskiem palca lub skanem twarzy. I tak zostanie po 14 września. Jedyna zmiana – klienci będą musieli dodać urządzenie, na którym się logują (czyli konkretny smartfon lub tablet) do listy tzw. urządzeń zaufanych.
Jak po 14 września będziemy logować się do poszczególnych banków? Opisałem wszystkie zmiany w tym poradniku.
Co szósta transakcja z PIN-em, nawet mała
Dyrektywa PSD2 narzuca stosowanie dodatkowych zabezpieczeń nie tylko podczas logowania się do systemu bankowości internetowej lub mobilnej. Podobnie będzie również podczas codziennych zakupów, za które płacimy kartami debetowymi lub kredytowymi czy płatniczymi aplikacjami.
Jeśli chodzi o sklepy stacjonarne i zakupy powyżej 50 zł, nic się nie zmieni, bo w ich przypadku zawsze musimy podawać czterocyfrowy kod PIN. Zdążyliśmy się przyzwyczaić do tego, że transakcje poniżej tej kwoty nie wymagają podawania PIN-u (w niedalekiej przyszłości limit transakcji „bezpinowych” zwiększy się do 100 zł). I tu największa zmiana – banki będą zobowiązane do stosowania tzw. silnego uwierzytelnienia klienta przy co szóstej transakcji lub jeśli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro (ok. 600 zł).
Potwierdzenie PIN-em szóstej transakcji spowoduje, że licznik się wyzeruje i kolejne pięć transakcji (do 50 zł) będzie można wykonywać bez PIN-u. Licznik wyzeruje też każda transakcja o wartości powyżej 50 zł.
Załóżmy, że płacimy pięć razy z rzędu za zakupy do 50 zł. Wówczas szósta (do 50 zł) musi być potwierdzona PIN-em. Jeśli zrobimy np. dwie transakcje do 50 zł, a trzecia przekroczy ten próg (będzie trzeba podać PIN), to wszystko zacznie się od początku, czyli znowu będziemy mogli wykonać pięć transakcji bez PIN-u.
Przeczytaj też: Visa i Lotto testują nowy sposób wypłacania nagród. Ale to dopiero początek usługi, która może mocno zamieszać w naszych portfelach
Przeczytaj też: Początek roku szkolnego to dobry powód, żeby założyć nastolatkowi konto osobiste. W którym banku i z jakimi bonusami? Sprawdzam!
To wymóg PSD2, ale poszczególne banki mogą wprowadzić bardziej restrykcyjne zasady i częściej żądać PIN-u przy niskokwotowych transakcjach. Mogą też wymagać wpisania PIN-u nie czekając, aż wartość kolejnych transakcji skumuluje się do 150 euro.
Warto pamiętać, że te same zasady dotyczyć będą, gdy płacimy „substytutami” kart, czyli np. BLIK, Google Pay. Nic natomiast się nie zmieni przy płaceniu Apple Pay, ponieważ wszystkie płatności są identyfikowane biometrycznie, a zatem dodatkowe uwierzytelnianie nie jest potrzebne.
Będą jednak wyjątki. Zasada „szósta płatność lub 150 euro potwierdzone PIN-em” nie obejmą transakcji w samoobsługowych biletomatach (np. w komunikacji miejskiej), parkomatach oraz samoobsługowych bramkach na autostradach.
Czytaj też: Dziwne automaty? „Płaci się tylko zbliżając kartę”. Czy to bezpieczne?
Kupujesz w internecie? Przygotuj się na zmiany
Co się zmieni podczas zakupów online? Ten proces będzie podobny do nowego – a więc dwustopniowego – logowania się do bankowości elektronicznej. Silne uwierzytelnienie klienta polega na weryfikacji co najmniej dwóch elementów należących do trzech kategorii: „wiedzy” (co wie posiadacz karty, np. hasło zdefiniowane przez klienta), „posiadania” (co ma posiadacz karty, np. telefon, na którym znajduje się aplikacja bankowa) oraz „cech klienta” (jakiś element biometryczny, np. odcisk palca).
W praktyce klient będzie musiał wprowadzić dane swojej karty płatniczej i kliknąć przycisk „zapłać”, a w następnym kroku będzie musiał się „silnie” uwierzytelnić. Otrzyma np. powiadomienie push z aplikacji bankowości mobilnej i będzie musiał wprowadzić swój osobisty kod PIN (do bankowości mobilnej) albo potwierdzić swoją tożsamość odciskiem palca.
Ale i w przypadku płatności online przewidziano wyjątki, a więc zakupy, które nie będą wymagały silnego uwierzytelnienia. Chodzi np. o transakcje do 50 zł, płatności cyklicznych (np. abonament za usługi cyfrowe, opłaty za rachunki), zakupy w sklepach, które użytkownicy oznaczą jako zaufane.
Przeczytaj też: Premier obiecuje: za cztery lata najniższa pensja wyniesie… 4000 zł. Cieszyć się? Wyśmiać? Co tak naprawdę stoi za takimi obietnicami?
Przeczytaj też: Klient 4.0, czyli jak XXI wiek i era technologii zmienia nasze decyzje zakupowe? I jak firmy mogą to wykorzystać, by nas zachwycić?
Fintechy wejdą do banków, banki do banków
Dyrektywa PSD2 odbierze bankom monopol na świadczenie niektórych usług. Banki – na poziomie technologicznym – będą musiały współpracować z zewnętrznymi dostawcami usług, w skrócie TPP (ang. Third Party Providers), o ile oczywiście te spełnią określone wymogi bezpieczeństwa.
TPP będą mogły mieć dostęp do danych na rachunku klienta, inicjować transakcję, np. przelew z rachunku lub sprawdzać dostępność środków na rachunku. Podkreślam, że choć banki nie będą mogły odmówić współpracy z TPP, to na dostęp do danych klient będzie musiał wyrazić zgodę.
Przykładem usługi realizowanej przez TPP, może być integracja w jednym miejscu informacji o wszystkich rachunkach danego klienta. Nie będzie trzeba logować się do wszystkich banków. W jednym miejscu sprawdzimy stan wszystkich kont i zlecimy np. przelew.
Jak to może wyglądać w praktyce, pokazał niedawno Nest Bank. Już dziś z poziomu bankowości elektronicznej pozwala podejrzeć klientowi jego „globalne” finanse. Ale na razie jest to jeszcze proces częściowo ręczny, bo klient musi ściągnąć z banków historię rachunków i wgrać ją do systemu Nest Banku. Jeśli bank miałby licencję TPP, wówczas ten sam proces będzie mógł zaoferować klientom (jeszcze raz podkreślam: tylko za ich zgodą) w sposób w pełni zautomatyzowany. Banki bowiem również mogą pełnić rolę TPP.
„PSD 2 i idąca z nią otwarta bankowość niosą ogromne zmiany w rozumieniu korzystania z konta bankowego. Za sprawą usług AIS, czyli Account Information Services, klient zyska możliwość agregowania swoich danych finansowych z różnych kont bankowych w jednym miejscu. Ponadto za pośrednictwem usługi PIS – Payment Initiation Services – klienci będą mogli zlecać przelewy z innych kont bankowych. To absolutnie nowe doświadczenie”
– mówi Małgorzata Adamczyk, dyrektor zarządzający obszarem rozwoju i sprzedaży w kanałach cyfrowych Nest Banku. Podkreśla, że dyrektywa PSD2 umożliwi zarządzanie wszystkimi kontami bankowymi za pomocą jednej aplikacji. Jednak będzie to wymagało przygotowania technologicznego – w szczególności udostępnienia przez wszystkie banki działającego API, które umożliwi agregację danych w jednym miejscu.
Błyskawiczna reklamacja, zwrot pieniędzy niezwłocznie
Do istotnych zmian, jakie niesie ze sobą dyrektywa PSD2, dopisałbym jeszcze reklamacje oraz odpowiedzialność za nieautoryzowane transakcje. Dyrektywa wskazuje, że instytucja finansowa, np. bank, musi odpowiedzieć na reklamację w ciągu 15 dni, wcześniej było to 30 dni.
Zgodnie z nią, to banki w dużej mierze muszą ponosić ryzyko transakcji, których nie autoryzowaliśmy, czyli nie wyraziliśmy na nie zgody. Bank musi zwrócić klientowi środki nieautoryzowanej transakcji niezwłocznie. Termin dość ogólny, ale dyrektywa precyzuje, że co do zasady powinien to być następny dzień roboczy. Czyli najpierw zwrot pieniędzy, a dopiero potem dociekanie, kto ponosi winę za nieautoryzowaną transakcję. Dyrektywa ogranicza też finansową odpowiedzialność klienta za nieautoryzowane transakcje – z równowartości 150 euro do 50 euro.
Czytaj również: Złodzieje ogołocili twoje konto? Bank musi ci zwrócić pieniądze następnego dnia
—————————————————————————————————————————————————
Niniejszy artykuł jest częścią cyklu edukacyjnego „Otwarty bank”, którego Partnerem jest Nest Bank. W cyklu „Otwarty Bank” prezentujemy poradniki dotyczące zmian, które nas czekają w bankowaniu pod rządami unijnej dyrektywy PSD2 – niezależnie od banku, w którym macie konto.
Źródło: Pixabay.com
