By zapłacić kartą w sklepie internetowym, nie wystarczy już wpisanie w bramce płatniczej danych z karty, a więc imienia i nazwiska, numeru karty, daty ważności i tzw. kodu CVV. Żeby dać transakcji zielone światło, bank zażąda co najmniej dwóch metod uwierzytelnienia klienta. Banki stawiają na potwierdzenie mobilne. Co oferują tym, którzy z bankowości mobilnej nie korzystają?
Ostatniego dnia 2020 r. wchodzi w życie część unijnych przepisów dotyczących usług płatniczych. Mam na myśli dyrektywę PSD2, która obowiązuje już od września ubiegłego roku. W dużej mierze dotyczy ona bezpieczeństwa transakcji bezgotówkowych.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
W ciągu ostatnich kilkunastu miesięcy wpływ tej dyrektywy mogliście odczuć na własnej skórze. Na przykład wtedy, gdy płaciliście kartą w sklepie. Zasada jest taka, że płatności do 50 zł, a mniej więcej od połowy roku – do 100 zł – nie wymagają podania kodu PIN karty. Mogło się jednak tak zdarzyć, że terminal płatniczy – mimo że wartość transakcji nie przekraczała tego limitu – wymusił podanie PIN-u.
To właśnie przykład takich zmian. Co piąta bowiem „bezpinowa” transakcja powinna zakończyć się wpisaniem kodu. To dla naszego bezpieczeństwa. Nawet jeśli ktoś ukradnie nam kartę, złodziej uszczupli nasze konto o maksymalnie 400 zł (cztery transakcje bezpinowe po 100 zł). Za piątym razem musiałby podać PIN.
Inaczej też logujemy się do bankowości elektronicznej. Może się zdarzyć, że oprócz podania loginu i hasło, trzeba podać np. kod przesłany SMS-em. Albo do bankowości internetowej wchodzimy tylko z loginem i hasłem, ale poszczególne operacje, np. przelewy czy zmiana limitu wydatków, wymaga podania kodu jednorazowego lub potwierdzenia czynności w bankowości mobilnej.
Przeczytaj też: Płacenie za zakupy w internecie bez PIN-ów, kodów i haseł? Zamiast tego smartfon w dłoni i odcisk palca lub skan twarzy. Idzie rewolucja!
Płatności w internecie coraz bezpieczniejsze
Dyrektywa PSD2 przewiduje podniesienie poprzeczki bezpieczeństwa również w przypadku płacenia kartami w internecie, ale wejście tych przepisów przesunięto z września 2019 r. na koniec grudnia 2020 r. W praktyce po nowemu płacić będziemy od nowego roku. Unijne przepisy wprowadzają tzw. silne uwierzytelnienie klienta (SCA, co jest skrótem z języka angielskiego: strong customer authentication), czyli procedurę umożliwiającą weryfikację tożsamości posiadacza karty.
Co ważne, jeśli dostawcy usług płatniczych nie wdrożą silnego uwierzytelnienia, to oni odpowiadać będą za nieautoryzowane transakcje, chyba że klient działał umyślnie.
Jeszcze kilka lat temu płacenie w sklepach internetowych wymagało podania przez klienta danych z karty, a więc imienia i nazwiska, numeru karty, daty ważności i znajdującego się na rewersie karty trzycyfrowego kodu zabezpieczającego, tzw. CVV. Znajomość tych danych z reguły wystarczyła, by zrobić zakupy w internecie. A jeśli te dane wpadły w niepowołane ręce, mogło robić się nieciekawie. Większość banków już od pewnego czasu stosuje dodatkowe zabezpieczenia, np. system 3D Secure. Klient – oprócz podania danych widniejącej na karcie – musi podać jeszcze jednorazowy kod przesłany przez bank w wiadomości SMS.
Niedoskonałość płatniczych rozwiązań w internecie, wykorzystał też BLIK. W tym przypadku każda płatność internetowa wymaga podania jednorazowego kodu BLIK (sześć cyfr), a poza tym trzeba ją zatwierdzić hasłem czy PIN-em do bankowości mobilnej.
Przeczytaj też: Płacenie palcem już jest. A kiedy zapłacimy okiem i głosem? To wciąż futurystyka czy całkiem bliska przyszłość?
Wiedza, posiadanie lub cechy klienta
Co zmieni dyrektywa PSD2? W praktyce, podczas zakupów internetowych, za które płacić będziemy kartą, bank autoryzujący transakcję będzie musiał wykorzystać co najmniej dwie z trzech kategorii uwierzytelniania klienta. Pierwsza kategoria to „wiedza”, czyli coś, co zna tylko użytkownik. Może to być PIN, hasło wielorazowe, tajne pytanie, np. o nazwisko panieńskie matki, albo np. określony wzór na ekranie smartfona, tzw. wężyk.
Druga kategoria to „posiadanie”, a więc coś, co tylko użytkownik posiada, a więc np. smartfon z kartą SIM przypisaną do numeru telefonu użytkownika lub odpowiednia aplikacja w smartfonie. Ale żeby to zadziałało w kontekście wymogów dyrektywy PSD2, urządzenie, czyli telefon, komputer czy tablet, za pośrednictwem którego dokonujemy zakupów internetowych, musi być w systemie banku dodane jako tzw. urządzenie zaufane.
Trzecia kategoria to „cecha użytkownika”, a więc coś, czym użytkownik jest. I w tym miejscu otwiera się pole do popisu m.in. dla biometrii. Klient może dodatkowo się uwierzytelnić odciskiem palca, skanem siatkówki oka, obrazem twarzy, biometrią głosową. Dopuszczalną metodą jest też tzw. biometria behawioralna, czyli np. sposób pisania na klawiaturze komputera.
Podsumowując: żeby sfinalizować transakcję kartową w internecie, oprócz podania danych karty, będziemy musieli dodatkowo wpisać np. kod SMS lub zatwierdzić płatność w aplikacji mobilnej podając PIN (na takiej zasadzie, na jakiej zatwierdzamy przelewy), albo wykorzystać którąś z metod biometrycznych, a więc też potrzebny będzie smartfon.
Transakcje internetowe z użyciem kart wydłużą więc nieco cały proces, ale nagrodą za to ma być zwiększenie bezpieczeństwa naszych internetowych zakupów. Ale jak to zwykle bywa, od reguły są wyjątki, które były wynikiem kompromisu między regulatorem a dostawcami usług płatniczych. I tak, z silnego uwierzytelnienia zwolnione mogą być transakcje niskokwotowe, albo powtarzalne, czyli np. płatności za serwisy subskrypcyjne czy za przejazdy taksówkami.
Tyle teoria. Na koniec przygotowałem poradnik na temat tego, w jaki sposób silne uwierzytelnienie od 1 stycznia stosować będą (lub już stosują) poszczególne banki. Niestety, ze względu na okres świąteczno-noworoczny, nie wszystkie banki wyrobiły się z odpowiedzią. Wraz ze spływaniem kolejnych odpowiedzi, artykuł będę aktualizował.
PKO BP
Obecnie w ramach ochrony 3D-Secure klienci PKO Banku Polskiego podczas zakupów w sklepach internetowych mogą zostać poproszeni o potwierdzenie płatności kartą Visa lub Mastercard przez zalogowanie się do serwisu iPKO i autoryzację wybranym narzędziem, np. kodem z karty kodów lub przez podanie otrzymanego z banku kodu SMS.
W najbliższym czasie bank wprowadzi rozwiązanie, które pozwoli na silne uwierzytelnienie transakcji kartowych mobilną autoryzacją w aplikacji IKO. Będzie ona włączona domyślnie dla posiadaczy aplikacji. Już teraz mogą oni wybrać mobilną autoryzację jako swoje narzędzie autoryzacji (w serwisie iPKO i aplikacji IKO) i potwierdzać w ten sposób przelewy, co pozwoli im zaznajomić się z tym procesem.
Dla klientów, którzy jeszcze nie korzystają z aplikacji mobilnej, bank przygotował alternatywną metodę autoryzacji – kodem SMS i PIN-em do karty.
„Głównym zamysłem tego rozwiązania było maksymalne uproszczenie płatności przez przeniesienie czynności, którą klienci znają ze sklepów stacjonarnych, do sklepów internetowych – wpisywanie PINu w szyfrowanym oknie 3D-Secure ma być odpowiednikiem podawania go w terminalu płatniczym. Aby potwierdzać płatności kodem SMS i PIN-em do karty, wystarczy mieć podany w danych banku aktualny numer telefonu komórkowego, na niego będzie wysyłany SMS z kodem autoryzacyjnym”
Getin Noble Bank
Najpierw procedura dla klientów, którzy korzystają z bankowości mobilnej. Po zainicjowaniu transakcji e-commerce z wykorzystaniem karty płatniczej na ekranie urządzenia zostanie wyświetlony komunikat o konieczności potwierdzenia transakcji na urządzeniu mobilnym. Uwierzytelnienie będzie polegało na zalogowaniu się do bankowości mobilnej przypisanej do konkretnego użytkownika. Żeby zalogować się do bankowości mobilnej, klient musi podać PIN lub użyć tzw. wężyka.
Alternatywnie bank planuje zaproponować użytkownikowi zalogowanie przy użyciu tzw. metody TouchID lub FaceID, czyli metodami biometrycznymi. Transakcję potwierdza się na ekranie urządzenia mobilnego.
W przypadku klientów korzystających tylko z bankowości internetowej, po zainicjowaniu transakcji e-commerce z wykorzystaniem karty nastąpi przekierowanie do bankowości internetowej Getin Banku. Uwierzytelnianie będzie polegało na zalogowaniu do bankowości internetowej, z wykorzystaniem loginu oraz hasła. Po zalogowaniu zostaną wyświetlone szczegółowe informacje dot. transakcji (kwota, odbiorca, ostatnie cyfry karty płatniczej, nazwa sprzedawcy) oraz podaniu przez klienta jednorazowego hasła SMS wysłanego na zarejestrowany w banku numer telefonu.
ING Bank
Dla klientów ING Banku silne uwierzytelnienie nie musi być zaskoczeniem. Bank już we wrześniu 2020 r. wprowadził nowy sposób potwierdzania płatności kartami w internecie, który spełnia wymogi SCA wynikające z dyrektywy PSD2.
Zgodnie z nim, klienci posiadający aplikację mobilną Moje ING mogą szybko i łatwo potwierdzać takie płatności bezpośrednio w tej aplikacji. Klienci, którzy nie mają aplikacji mobilnej bądź w danym momencie nie mogą z niej skorzystać, np. są w podróży zagranicznej i nie mają dostępu do internetu w swoim telefonie, mogą autoryzować płatność poprzez zalogowanie się do bankowości internetowej Moje ING i potwierdzenie jednorazowym kodem SMS.
Bank Millennium
Rekomendowanym przez Bank Millennium sposobem potwierdzania transakcji jest autoryzacja mobilna. Klienci którzy nie korzystają z aplikacji, potwierdzając transakcje zostaną przekierowani do logowania do bankowości internetowej, gdzie zautoryzują operację.
Santander Bank
Klientów, którzy korzystają z aplikacji Santander mobile i mobilnej autoryzacji, podczas niektórych płatności, oprócz danych karty, system poprosi o wpisanie w aplikacji mobilnej PIN-u do mobilnej autoryzacji.
Jeśli klient nie korzysta z mobilnej autoryzacji, podczas niektórych płatności, oprócz danych karty, system poprosi o kod 3D Secure wysłany w wiadomości SMS i PIN do karty.
Natomiast klientów, którzy korzystają z usług bankowości elektronicznej (Santander online, Mini Firma, Moja Firma plus), ale nie korzystają z mobilnej autoryzacji, podczas płatności, oprócz danych karty, system poprosi o: NIK (czyli login) i hasło – to samo, które podaje się podczas logowania do Santander Internet oraz kod 3D Secure wysłany SMS-em.
Credit Agricole
Klienci Credit Agricole internetowe transakcje kartami już teraz zatwierdzają kodem 3D-Secure, a więc kodem wysłanym SMS-em. Dlatego ważne jest, by bank miał w systemie nasz aktualny numer telefonu.
Natomiast w przygotowaniu są inne rozwiązania. Pierwszy wykorzystywać będzie aplikację mobilną. W tym wariancie transakcja będzie zatwierdzana PIN-em mobilnym lub biometrią urządzenia (czyli wspomniana wcześniej biometria behawioralna) lub face ID (biometria twarzy). Autoryzacja mobilna będzie wymagała aktywacji przez klienta. Co z klientami, którzy nie włączą autoryzacji mobilnej? Podczas płatności kartą w internecie system poprosi ich, obok kodu 3D-Secure, o dodatkowe zatwierdzenie transakcji PIN-em do karty.
Nest Bank
Do 25 stycznia 2021 r. klienci Nest Banku będą autoryzowali transakcje według obecnych zasad. Po 25 stycznia klienci korzystający z bankowości mobilnej będą autoryzowali transakcje kartami poprzez dodanie urządzenia do zaufanych oraz hasło mobilne. Natomiast osoby, które nie posiadają bankowości mobilnej, będą wykorzystywać do tego celu hasło internetowe oraz kod przesłany SMS-em.
mBank
W mBanku nic się nie zmieni, ponieważ procedury już jakiś czas temu dostosowane są do wymogów SCA. Klienci, którzy korzystają z aplikacji mobilnej, autoryzują transakcje kartami w internecie za pośrednictwem mobilnej autoryzacji, czyli tak, jak np. przelewy. Klienci, którzy nie mają aplikacji, potwierdzają transakcje kodem z SMS (3D Secure).
Bank BOŚ
Bank na zmiany przygotowany jest już od połowy listopada. Płatności kartowe w internecie mogą być realizowane z wykorzystaniem autoryzacji mobilnej dostępnej w aplikacji mobilnej lub BOŚtoken (BOŚtoken to aplikacja instalowana na urządzeniu mobilnym, np. smartfonie, umożliwiająca logowanie oraz autoryzację operacji w systemach BOŚBank24 oraz iBOSS24). Korzystając ze sklepu internetowego użytkownik karty płatniczej może korzystać z potwierdzania operacji przy pomocy powiadomień push w aplikacji mobilnej lub BOŚtoken.
Użytkownicy posiadający aplikację mobilną, przy płatnościach kartą w sieci widzą stronę ze szczegółami transakcji i są proszeni o jej potwierdzenie w aplikacji mobilnej lub BOŚtoken. Jeżeli wszystko się zgadza, logują się do aplikacji mobilnej na swoim telefonie i potwierdzają płatność.
W okresie przejściowym klienci mają możliwość korzystania również z dotychczasowej metody uwierzytelniania, czyli kodu wysłanego SMS-em na numer telefonu wskazany w banku.
BNP Paribas
Klienci korzystający z aplikacji mobilnej uwierzytelniają się przy wykorzystaniu autoryzacji mobilnej z użyciem indywidualnego, poufnego numeru do autoryzacji transakcji (kod PIN do aplikacji mobilnej) lub identyfikatora biometrycznego, np. odcisku palca czy wizerunku twarzy. Natomiast klienci, którzy nie korzystają z aplikacji mobilnej, uwierzytelniają się poprzez wpisanie kodu przesyłanego w postaci wiadomości SMS na wskazany przez posiadacza karty płatniczej numer telefonu komórkowego i dodatkowego pytania zabezpieczającego.
Źródło zdjęcia: Pixabay
