1 grudnia 2020

Bank chciał klientów namówić do rewolucji w płaceniu, ale… klienci zrobili mu konttrewolucję. I bank nagle się wycofał. Komu przeszkadza mobilna autoryzacja?

Bank chciał klientów namówić do rewolucji w płaceniu, ale… klienci zrobili mu konttrewolucję. I bank nagle się wycofał. Komu przeszkadza mobilna autoryzacja?

Citibank niespodziewanie wycofał się z rewolucji, którą miał zafundować klientom z początkiem grudnia. Aby zapłacić za zakupy internetowe kartą Citibanku – wbrew wcześniejszym zapowiedziom – nie będzie trzeba mieć bankowej aplikacji mobilnej. Po raz kolejny okazało się, że bankowa chęć do innowacji i zwiększenia bezpieczeństwa klientów poległa w starciu z konserwatyzmem tych ostatnich i przyzwyczajeniem do starych metod

Jakiś czas temu opisywałem na „Subiektywnie o finansach” pomysł Toyota Banku, który postanowił być w awangardzie nowoczesności i „zmusić” klientów do posiadania bankowej aplikacji mobilnej. Wraz z wprowadzeniem dyrektywy PSD2 bank wycofał możliwość logowania się do konta i potwierdzania transakcji za pomocą SMS-ów autoryzacyjnych – można to było robić tylko poprzez aplikację na smartfonie.

Zobacz również:

Choć intencje Toyota Banku były szczytne – chodziło o zwiększenie bezpieczeństwa klientów, bo potwierdzanie operacji za pomocą czegoś, co mam w ręku, ogranicza ryzyko wyprowadzenia pieniędzy z konta przez złodzieja – na bank wylały się kubły pomyj. Toyota Bank jednak nie ustąpił i do SMS-ów autoryzacyjnych nie wrócił. Ale to mały bank, który od początku był bankiem niemal 100-procentowo digitalnym, więc większość jego klientów była już co najmniej w połowie drogi do innowacji.

Czytaj też: Banki w pośpiechu likwidują karty-zdrapki, ale przy okazji również… tokeny sprzętowe. Co się stało, że ta – chyba dość bezpieczna – forma autoryzacji jest w likwidacji?

Rewolucja Citibanku i konttrewolucja jego klientów

Kilka dni temu o rewolucji na nieco mniejszą skalę poinformował klientów Citibank. Od 1 grudnia miały zostać częściowo wyłączone SMS-y autoryzacyjne przy zatwierdzaniu części zakupów internetowych. W nowym modelu transakcje w sklepach online miałyby być potwierdzane za pomocą aplikacji mobilnej.

Miałoby to wyglądać w taki sposób, że po wybraniu płatności kartą Citibanku w e-sklepie, na smartfonie klienta z zainstalowaną aplikacją mobilną Citi pojawiałoby się powiadomienie push, po którego kliknięciu trzeba byłoby podać na smartfonie token PIN (czyli rodzaj hasła do aplikacji mobilnej).

Zastąpienie SMS-ów autoryzacyjnych PIN-em wpisywanym na telefonie to nie jest zły pomysł, bo SMS-y autoryzacyjne złodzieje mogą przejąć i podać w sklepie internetowym w imieniu klienta. A żeby wpisać PIN na smartfonie klienta nie tylko trzeba go znać, ale i mieć w rąsi samo urządzenie. Dla większości internetowych złodziei to mission impossible.

Citibank nie podał, które zakupy w internecie będą wymagały obowiązkowo autoryzacji mobilnej, a które nie, co oznaczało, że aby mieć pewność, iż zakupy kartą Citi nie zostaną odrzucone, po 1 grudnia lepiej mieć aktywną aplikację mobilną CitiMobile, żeby w razie czego móc „przyjąć pusha”, zamiast tradycyjnej autoryzacji SMS-em.

Ambitny plan Citibanku był więc taki, żeby jeszcze przed szczytem zakupów internetowych – oraz szczytem aktywności złodziei internetowych – dać klientowi do ręki bezpieczniejszy sposób kupowania. Ale coś poszło nie tak, bo – jak właśnie przeczytałem w najnowszej korespondencji z bankiem…

„W związku z zapytaniami dotyczącymi planowanej zmiany sposobu autoryzacji dla części transakcji internetowych kartą, która miała nastąpić 1 grudnia, postanowiliśmy przesunąć datę wdrożenia nowego wymogu autoryzacji transakcji”

Dlaczego klienci nie „kupili” mobilnej autoryzacji zakupów internetowych?

Wygląda na to, że to, co w Citibanku nazywają „zapytaniami dotyczącymi planowanej zmiany” było regularną falą sprzeciwu klientów, którzy nie mieli zamiaru nic na smartfonach instalować albo po mają kartę Citibanku, ale nie mają smartfona.

Być może próba skłonienia klientów do używania autoryzacji mobilnej w e-sklepach była zbyt gwałtowna? Dla kogoś, kto z bankowością mobilną nie miał nigdy do czynienia, przeskok nie jest czynnością trywialną. A Citibank jej dodatkowo nie ułatwił.

Trzeba bowiem ściągnąć aplikację, aktywować ją, a potem jeszcze osobno aktywować autoryzację mobilną transakcji (w sekcji „Profil i ustawienia” trzeba wybrać opcję „Alerty i powiadomienia” i włączyć tę opcję). A poza tym jeszcze sprawdzić, czy w ustawieniach telefonu nie ma blokady powiadomień push. I jeszcze przy kolejnym logowaniu do aplikacji CitiMobile pokaże się zgoda na stosowanie autoryzacji mobilnej.

Brzmi dość skomplikowanie, prawda? Może nie ma się co dziwić, że ludzie postawili weto? Na miejscu Citibanku wybrałbym raczej metodę marchewki, niż kija i zachęcał klientów do przeskakiwania na autoryzację mobilną jakimiś bonusami, a nie groźbą tego, że w okresie przedświątecznym mogą nie zrobić zakupów internetowych z kartą Citi w ręku.

To kolejna nauczka dla banków, które chcą zmieniać klientom metody autoryzacji na bezpieczniejsze. Jeśli nie chcecie stać się ofiarą fali hejtu, drodzy bankowcy, to musicie znaleźć dobry pomysł na przestawienie klientów na nowe tory. Albo dać tym klientom dużo czasu, żeby przestawili się sami. Przyzwyczajenie do prostych, choć niespecjalnie bezpiecznych SMS-ów jest w Narodzie duże.

————————–

POSŁUCHAJ PODCASTU „FINANSOWE SENSACJE TYGODNIA”

W najnowszym odcinku podcastu „Finansowe sensacje tygodnia” rozmawiamy z Bolesławem Witkowskim z platformy goodie – ekspertem od wyciskania – o tym, jak wycisnąć ostatnie soki z Black Friday. Niektórzy obstawiają rabaty przy kasach, inni – kody rabatowe w internecie. Jeszcze inni szykują się na zakupy z kartami płatniczymi, w których znajduje się możliwość zwrotu części pieniędzy za zakupy. Jeszcze inni zakładają konta w platformach cashbackowych. Co się bardziej opłaci? Jak zmaksymalizować zyski?  Podcast do odsłuchania tutaj

————————–

źródło zdjęcia tytułowego: hitesh choudhary/Pexels

Subscribe
Powiadom o
52 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Maxxx
11 miesięcy temu

Aplikacja mobilna Citi plasuje sie na szczycie najgorszych bankowych apek ever. Nie dzalają w niej przyciski nawigacji androida (ma wlasne na górnym pasku !!!). Nie da się apki zamknąć (trzeba ją wywalać menagerem aplikacji). Aby zalogować się odciskiem palca należy najpierw wybrać opcje zaloguj na środku ekranu aby następnie przenieść palec n czytnik. Permanetne błędy z powodu nie zamknietej sesji (bo z apki trzeba się ręcznie wylogowac wchodząc gdzies w menu) i wiele innych kwiatków. I się dziwić że nikt nie chce jej do autoryzacji 🙂

adam
11 miesięcy temu
Reply to  Maciej Samcik

Najbliższy dział IT Citi banku jest w Warszawie, byłem kiedyś na rozmowie o pracę nawet.
A aplikacja – koszmar. I serwis internetowy nie lepszy. Mnie najbardziej brakuje opcji analizy historii, albo chociaż eksportu do Excela, żeby analizować własnymi siłami.

Jjjj
5 miesięcy temu
Reply to  adam

O serwisie citi mam od zawsze raczej kiepskie zdanie, ale eksport do Excela czy tam CSV to mają od wielu, wielu lat. Przynajmniej dla kart. Ale skoro mają dla karty, to pewnie i dla konta. Tylko jak to w citi czasem ciężko tam coś znaleźć.

Zzz
11 miesięcy temu
Reply to  Maxxx

Przypomniałeś mi czego w niej najbardziej nienawidziłem. Właśnie braku obsługi przycisków androida. Można powiedzieć – nikt to nie używaj systemowego estrcsz problem rozwiązany. Wcale tak nie Jerzy suka nawyku jest większa jak w każdej innej aplikacji tondsisla to ci palecnsam leci w te przyciski ciągle…

Arnold
11 miesięcy temu
Reply to  Zzz

A po polsku?

Dźwiedziu
11 miesięcy temu

Moja historia jest taka, że Citi ubzdurało sobie, że na moim telefonie nie będzie się dało używać ich aplikacji i jednocześnie odebrało mi potwierdzenia SMS przed tą datą (akurat w zeszłym tygodniu robiłem zakup ich kartą). Tak więc też napisałem wiadomość, dlaczego to nie działa, nie wiedząc wtedy o wycofaniu się.

Pamiętajmy też, że aplikacja na telefonie to więcej możliwości zbierania danych użytkownika telefonu (podziękujmy też Googlowi, który poukrywał uprawnienia aplikacji przed użytkownikami i ogólnie przerabia system na przyjazny dla reklamodawców, nie użytkowników). Zgoda? Wyrażona przez używanie aplikacji.

anonymous
11 miesięcy temu
Reply to  Maciej Samcik

Panie Macieju, pyta się pan jakby pierwszy raz w życiu słyszał o goolge i ich praktykach. W androidzie to standard że uprawnienia są nadane arbitralnie a jak komuś uda się je wykopać i zablokować to aplikacje przestają działać.

Paweł Jarczyk
11 miesięcy temu
Reply to  Maciej Samcik

Nie poukrywał. Nie ma racji poprzednik. Wszystko na Wierzchu

ChrońPrywatnośćSwoją
11 miesięcy temu

Nie chcę instalować aplikacji inwigilatora od banku. Proszę spojrzeć na długą listę uprawnień, jakich wymaga dowolna aplikacja bankowa. Nie będzie też działała na telefonach rootowanych i pozbawionych usług Google/AppStore/sklep Huawei. SMS też nie jest idealny, bo operator telekomunikacyjny, a przez to wszelkie służby specjalne o 3-literowych symbolach ustalą lokalizację, ale bank nie ma dostępu do dużej ilości dodatkowych danych. Profilowanie klientów działa wtedy, gdy otrzymuje dane. Uproduktowianie to tylko jeden z niewielu sposobów szerokiego wykorzystywania tych danych. Dodam, że któryś z urzędów skarbowych zażądał od jednego z banków adresów IP, z których logowali się wybrani klienci, bo mają prawo… do… Czytaj więcej »

BdB
11 miesięcy temu

Jakie konkretnie uprawnienia aplikacji masz na myśli? Każda działa bez zgody na lokalizację czy dostęp do galerii lub kontaktów.

dizzy
11 miesięcy temu
Reply to  BdB

Akurat każda apka z obsługą blika i przelewów na telefon ma dostęp do kontaktów z założenia.
Prawdopodobnie po zablokowaniu tego dostępu będą nadal działać (z pominięciem tej funkcjonalności) ale czy każda to już temat do sprawdzenia.

Last edited 11 miesięcy temu by dizzy
BdB
11 miesięcy temu
Reply to  dizzy

Nie „ma dostęp” tylko chce mieć dostęp. Pyta o to i można odmówić co nie wpływa na działanie apki.

Statler
11 miesięcy temu

Aplikacja banku z której korzystam w moim smarftonie ma zablokowane wszystkie uprawnienia i działa bez problemów. Więc nie popadajmy w paranoję…
A przed profilowaniem i tak nie uciekniesz, chyba że przestaniesz płacić kartą.

anonymous
11 miesięcy temu
Reply to  Statler

W jaki sposób aplikacja działa skoro zablokowałeś jej wszystkie uprawnienia?

BdB
11 miesięcy temu

Cała ta „kontrrewolucja” klientów to może być zgłoszenie dużej liczby problemów podczas aktywacji ich bardzo, ale to bardzo niedopracowanej aplikacji.

Jakub
11 miesięcy temu

Panie Maćku, nie ma czegoś takiego jak „token PIN”. Nie ulegamy firmom które chcą nowoczesnym słownictwem przekonać nas, że to, co oferują jest super nowoczesne i tylko u nich. PIN to zwykły numer, a token to fizyczny obiekt. Citibank stosuje po prostu hasło składające się z cyfr.

Jakub
11 miesięcy temu
Reply to  Maciej Samcik

Nazywanie smartfona tokenem ma sens, bo faktycznie jest to fizyczne urządzenie do potwierdzania. Nazywanie kodu PIN tokenem – nie ma sensu, a tak jest nazwany w tym artykule. Poza tym chyba każdy bank który ma autoryzację mobilną wymagania uwierzytelnienia się do aplikacji mobilnej przed potwierdzeniem transakcji. W mBanku robię to odciskiem palca, w Nest banku PINem przy potwierdzeniu transakcji itp. Citi po prostu wdrożyło mobilną autoryzację która większości banków już ma, a robi z tego przełom technologiczny. Nie róbmy z tych artykułów tuby propagandowej a ludziom wody z mózgu, bo potem nie potrafią myśleć sami za siebie i łykają wszystko… Czytaj więcej »

Last edited 11 miesięcy temu by Jakub
BdB
11 miesięcy temu
Reply to  Jakub

Token to nie tylko fizyczny obiekt, może być również bytem wirtualnym, byle jednorazowym.

gosc
11 miesięcy temu

Na cashess.pl jest informacja o 6 bankach, które zmieniły sposób autoryzacji transakcji dokonywanych kartami online. Tylko BOŚ nie przygotował alternatywnej metody autoryzacji dla użytkowników kart, którzy nie korzystają z aplikacji mobilnej. Przypuszczam, że wielu klientów Citibanku korzysta tylko z karty kredytowej, więc nie widzą oni potrzeby aby korzystać z aplikacji mobilnej. Większą motywację to korzystania z aplikacji mobilnej mają klienci, którzy posiadają również rachunek bieżący. Ta sytuacja świadczy o braku komunikacji banku z klientami. Citibank nie zapytał ich jak oceniają nowe rozwiązanie. Alior Bank – aplikacja mobilna – klienci, którzy nie posiadają albo nie korzystają z aplikacji mobilnej banku mogą… Czytaj więcej »

Zzz
11 miesięcy temu

Nie wiem czy się coś w Citi zmieniło, ale jak byłem dewnkwte temu ich klientem to mieli najgorsza aplikacje bankowa jaka kiedykolwiek widziałem. Może to była kalka amerykańskiej, nie wiem, ale wyglądała jak z epoki kamienia łupanego. Do tego była zawodna – jedna z aktualizacji w ogóle uziemiła możliwość logowania do niej (trzeba było reinstalować). Rozumiem niechęć do aplikacji w porównaniu do SMS. Mnie Millennium też zmusiło do aplikacji ale jeszcze tego używam bi jest niezawodna. Problemy z taką autoryzacja; – konieczność połączenia z internetem (i posiadania takiej opcji w planie tsryfoeyem czy prepaid) – konieczność posiadania aktualnej aplikacji –… Czytaj więcej »

Błażej
11 miesięcy temu
Reply to  Maciej Samcik

Ja mam taki problem, że pominąwszy kiepskie wykonanie aplikacji, nie działa ona wcale na urządzeniach z root. Ja bez root nie umiem żyć ,:). Jak zostanę z autoryzacją przez aplikację, to nie będę mógł potwierdzić żadnej transakcji.

Paweł Jarczyk
11 miesięcy temu
Reply to  Maciej Samcik

P. Macieju, root to nie zaden problem. Jeśli ktoś umie zrobić roota tzw systemless np magisk to jest on ukyty przez innymi aplikacjami. Więc każda bankowa działa, jedynie Google pay może nie, choć i to da się zrobić z rootem (tzw safetynety) ale wymaga większej wiedzy.
Mam kolejne telefony z rootem, zawsze mi działały aplikacje bankowe Pekao, City, mBank oraz revolut i Google pay.

gosc
11 miesięcy temu
Reply to  Zzz

Z powodu wad autoryzacji mobilnej wiele banków oferuje alternatywne sposoby potwierdzania transakcji kartami np.:
– logowanie do bankowości internetowej,
– sms + ePIN,
– sms + odpowiedź na pytanie weryfikacyjne.

Neko
11 miesięcy temu

Nie wiem czy dostaliście warunki pracy aplikacji. Ma ona być cały czas aktywna w tle. Ponieważ jest to zmodyfikowana przeglądarka z uruchomioną lokalizacją itd. (ubicie jej powoduje że, push nie działa) trzeba ją dodawać do aplikacji uprzywilejowanych inaczej system sam ją wyłącza gdyż drenuje baterię. Dodatkowo na części smartfonów po prostu nie działa push ponieważ apka uznaje że, telefon ma zdjęte zabezpieczenia nawet gdy tak nie jest. To od strony Androida. Istnieje też duża liczba klientów którzy korzystają z telefonów starego typu (bez Androida lub ios) a są to często klienci strategiczni. Ciężko będzie to Citi ugryźć.

Paweł Jarczyk
11 miesięcy temu
Reply to  Maciej Samcik

Tak, bo aplikacja chce wyświetlać powiadomienia nad innymi aplikacjami co nie lubi się z Google oay

Grzywa
11 miesięcy temu

Tej aplikacji nie da sie pobrac ze strony banku. A majac Inna lokalizaje niz Polska, nie da sie Jen zainstalowac ze sklepu Google.

Hubert
11 miesięcy temu

Sam pracownik banku powiedział mi żeby nie używać apki, tylko logować się przez stronę, bo tak jest dużo lepiej, poza tym token nadałem, a potem miałem o niego zapytanie po ok. pół roku i po prostu po takim czasie zapomniałem co ja tam wpisałem…

Emeryt
11 miesięcy temu

„Komu przeszkadza mobilna autoryzacja?”

Mnie. I wszystkim emerytom którzy nie posiadają smartfona bo telefon do rozmów im wystarcza.
Chyba, że Citi chce ich wykluczyć z szeregów swojej klienteli.

Maxxx
11 miesięcy temu

Nie mogę się powstrzymać i jeszcze raz rzucę kamieniem w Citkową apke.
Kwoty do spłaty i kwota minimalna karty kredytowej wyswietlana w apce jest rózna od kwot serwise www.
Napisałem reklamacje z zapytaniem która jest własciwa – odpowiedz że obydwie kwoty sa prawidłowe bo system je inaczej liczy … jeszcze zbieram szczękę z podłogi

Pibloq
11 miesięcy temu
Reply to  Maxxx

Ta aplikacja od zawsze była gniotem. Najlepsze byly momenty szumnych zapowiedzi, że wprowadzają zupelnie nową wersję aplikacji. Instalujesz, z nadzieją, że wszystkie problemy rozwiązane, i… Po 5 minutach już żałujesz, że dokonales zamiany. Stara była toporna, ale nowa w ogóle nie działa 🙂 stracilem cierpliwość, przesiadlem się z kredytowką na inny bank. Nie pomógł bonus za cofniecie wypowiedzenia karty, cóż zrobić, kiedy aplikacja nie nadaje się do użytku. Kazdy bank ma w swojej ofercie kredytowki z min.50 dniowym okresem bezodsetkowym, bezpłatną jeśli jest aktywnie używana. O przewadze jednej nad drugą decyduje właśnie obsluga klienta (oddzial, infolinia) czy wlasnie sprawnie działająca… Czytaj więcej »

Nie
11 miesięcy temu

Autor nie jest zbyt inteligentny, nie każdy ma możliwość używania aplikacji, starsi tego nie ogarną. Konserwatywny to jesteś ty z klapkami na oczach

anonymous
11 miesięcy temu

citi jeszcze niedawno za założenie konta czy tam karty rozdawał smartfony. Widocznie nawalili bo powinni na tych smartfonach preinstalować aplikację i od razu skonfigurować ją do działania.Czyli klasyczny przykład złego zarządzania.

Don Q.
11 miesięcy temu
Reply to  anonymous

To prawda; mnie w tych promocjach rozbawiło, że te telefony długo były pozbawione funkcji NFC (wymaganej do płatności zbliżeniowych), nawet gdy już oferowali płatności zbliżeniowe Google Pay… Te płatności zresztą też promowali, np. dając 2 bilety do kina za dwie transakcje zbliżeniowe; czyli z jednej strony rozdawali nagrody za zbliżeniowe płacenie Google Pay, a z drugiej za wyrobienie karty dawali smartfony nie umożliwiające takiego płacenia…
Smartfony z przeinstalowaną swoją apką oferuje BNP Paribas, ale nie za darmo, w sprzedaży ratalnej.

Janko
11 miesięcy temu

zapomniał Pan o najważniejszej przyczynie wycofania się banku – mnóstwo osób ma karty kredytowe z „dawnych” czasów gdy rozdawali je na lewo i prawo – nawetz bardzo dużymi limitami – o koncie lepiej było zapomnieć bo prowizjami zwalali z nóg – i teraz jedyny zarobek na tych karciarzach ma bank gdy są transakcje – gdy nie da sie ich potwierdzić to zarobku nie ma – a do samej karty nikt apki nie będzie instalował

Kac
11 miesięcy temu

Problem w dużej mierze wynika z faktu, ze aplikacja mówiła Citi jest katastrofalnie technologicznie zacofana i fatalna w użytkowaniu…

MMCC
11 miesięcy temu

Ale nic dziwnego. Kiedyś uruchomiłem ich token w aplikacji jak to wprowadzali. Nic nie szło zrobić, używam tokenów w innych bankach i tam to działa a w Citi rozwiązanie jak dla mnie jest zbyt skompikowane.

Klient
11 miesięcy temu

Aplikacja Citibanku to dno w najczystszej postaci, zatem nie ma co się dziwić, że klienci nie chcą z niej korzystać.
Nie słychać żeby np. mBank miał problemy z namówieniem klientów do korzystania z apki, dlaczego? 🙂

Tomtom
11 miesięcy temu

Jestem klientem citi ale nie mieszkam w Polsce. W moim regionie sklepu Apple nie ma w ogóle tej aplikacji, wiec jeśli wprowadzą zapowiadaną funkcjonalność to będzie to równoznaczne z pozbawieniem mnie możliwości dokonania transakcji.. Będzie ciekawie i oczywiście będę się kłócił..

Janusz
10 miesięcy temu

Dorzucę ogólne spostrzeżenie. Możliwości techniczne, lub ich brak… Wydaje sie to nieprawdopodobne ale w PL nie mamy wszędzie internetu, działającego bez problemowo. Z SMSami jest lepiej. Miałem okazję mieć dwa negatywne przykłady. Jeden „obcy” – w jednym z marketów, Pan chciał zapłacić używając aplikacji. „Blaszana puszka” jaką zwykle jest market, skutecznie izolował internet… przepuścił ok. 7 klientów zanim złapał, jakikolwiek sygnał żeby aplikacja się uruchomiła. Później odpuścił zakupy… Drugi przykład to osobisty – mój bank z definicji załączył wszystkim autoryzację w aplikacji. Pracuję w takim miejscu / w takim otoczeniu, ze jak chciałem wykonać pilny przelew (użyłem komputera stacjonarnego) to… Czytaj więcej »

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!