12 września 2019

Zmiany w logowaniu i płaceniu za zakupy. Nowe usługi bankowe, błyskawiczne reklamacje i niższa odpowiedzialność za fraudy. Wchodzi w życie PSD2. Co musisz wiedzieć?

14 września klienci banków, osoby płacące kartami w sklepach stacjonarnych i internetowych obudzą się w całkiem nowej rzeczywistości. Od tego dnia instytucje finansowe muszą działać zgodnie z unijną dyrektywą o usługach płatniczych (PSD2). Inaczej niż dotychczas logować się będziemy do bankowości elektronicznej, inaczej płacić za zakupy, a banki stracą monopol na świadczone do tej pory usługi. Co warto wiedzieć o PSD2, żeby przez zmiany przejść suchą stopą?

Po co to wszystko? Dla naszego bezpieczeństwa i dlatego, że unijne prawo (nowe przepisy obowiązywać będą w całej Unii Europejskiej) próbuje dogonić technologiczną rewolucję w świecie finansów. Zmiany odczują na własnej skórze wszyscy, którzy korzystają z bankowości internetowej lub mobilnej lub płacą kartami w sklepach internetowych i stacjonarnych.

Co nas czeka po 14 września – oto trzy najważniejsze zmiany: nowy sposób logowania się do bankowości elektronicznej, nowe bezpieczniki podczas zakupów w sklepach stacjonarnych i internetowych oraz nowa kategoria usług.

Logowanie do banku po nowemu

Login i hasło do bankowości internetowej oraz PIN do bankowości mobilnej po 14 września już nie wystarczą. Instytucje finansowe muszą stosować co najmniej dwuetapowy proces logowania do tych systemów. Czyli oprócz wspomnianych elementów dojdzie jeszcze jeden. Jaki? To zależy od banku.

W przypadku bankowości internetowej najpopularniejsze będą kody SMS. Klient po wpisaniu loginu i hasła (jak dotychczas) będzie musiał jeszcze wpisać jednorazowy kod, który bank wyśle SMS-em. Z punktu widzenia bezpieczeństwa, nie jest to najszczęśliwsze rozwiązania, bo stosunkowo łatwo jest przejąć kontrolę nad telefonem i przychodzącym SMS-em. Ale trzeba pamiętać, że nie wszyscy klienci mają telefony, które pozwalają na inne metody dodatkowej autoryzacji.

Jej przykładem jest mobilna autoryzacja, która pojawi się (lub już się pojawiła) w kilku bankach. Klient logując się np. na laptopie (generalnie chodzi o wchodzenie do banku przez przeglądarkę, a nie specjalną aplikację), będzie musiał potwierdzić logowanie w systemie bankowości mobilnej.

Przeczytaj też: Login i hasło już nie wystarczą. Za kilka miesięcy będziemy musieli nauczyć się innego sposobu wchodzenia do banku

Przeczytaj też: Zakup biletów, płacenie rachunków, zamawianie jedzenia. Wszystko to znajdziesz w… aplikacji mobilnej od banku. Jeden login do wszystkiego i automatyczna płatność. Jest moc?

Kilka banków zaoferuje podobne rozwiązanie, ale nie w ramach bankowości mobilnej, a za pośrednictwem dodatkowej aplikacji. Tę metodę można porównać do tokenów sprzętowych, tyle tylko, że rolę tokena pełnić będzie smartfon. Dodatkowe uwierzytelnienie na smartfonie będzie też możliwe metodami biometrycznymi, czyli np. odciskiem palca lub skanem twarzy.

Kilka banków zdradziło, że nie zawsze będzie wymagało dodatkowego uwierzytelnienia. Będzie on przebiegać w tle. W tym przypadku banki mogą wykorzystywać tzw. biometrię behawioralną, która analizuje nasze zachowania, np. sposób pisania na klawiaturze czy poruszania myszką. System, mając próbkę tego typu zachowania klienta (z każdym kolejnym logowaniem system coraz lepiej rozpoznaje daną osobę), jest w stanie ocenić, czy do systemu loguje się uprawniona osoba.

Klienci mogą też uwierzytelnić się tzw. wężykiem, czyli metodą znaną z procesu odblokowywania telefonów – trzeba najpierw wybrać wzór wężyka, a następnie przy logowaniu „narysować” go w smartfonie.

Jako dodatkową metodę uwierzytelnienia znalazłem też awatary, obrazki czy symbole. Tak już jest np. w Nest Banku. Klient wybiera symbol spośród kilkunastu dostępnych, np. świeczka, ptak, rolki, kubek. Podczas logowania trzeba wskazać właściwy symbol.

Jak logować się będziemy do bankowości mobilnej? Dziś z reguły musimy podać PIN do aplikacji mobilnej albo zalogować się odciskiem palca lub skanem twarzy. I tak zostanie po 14 września. Jedyna zmiana – klienci będą musieli dodać urządzenie, na którym się logują (czyli konkretny smartfon lub tablet) do listy tzw. urządzeń zaufanych.

Jak po 14 września będziemy logować się do poszczególnych banków? Opisałem wszystkie zmiany w tym poradniku.

Co szósta transakcja z PIN-em, nawet mała

Dyrektywa PSD2 narzuca stosowanie dodatkowych zabezpieczeń nie tylko podczas logowania się do systemu bankowości internetowej lub mobilnej. Podobnie będzie również podczas codziennych zakupów, za które płacimy kartami debetowymi lub kredytowymi czy płatniczymi aplikacjami.

Jeśli chodzi o sklepy stacjonarne i zakupy powyżej 50 zł, nic się nie zmieni, bo w ich przypadku zawsze musimy podawać czterocyfrowy kod PIN. Zdążyliśmy się przyzwyczaić do tego, że transakcje poniżej tej kwoty nie wymagają podawania PIN-u (w niedalekiej przyszłości limit transakcji „bezpinowych” zwiększy się do 100 zł). I tu największa zmiana – banki będą zobowiązane do stosowania tzw. silnego uwierzytelnienia klienta przy co szóstej transakcji lub jeśli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro (ok. 600 zł).

Potwierdzenie PIN-em szóstej transakcji spowoduje, że licznik się wyzeruje i kolejne pięć transakcji (do 50 zł) będzie można wykonywać bez PIN-u. Licznik wyzeruje też każda transakcja o wartości powyżej 50 zł.

Załóżmy, że płacimy pięć razy z rzędu za zakupy do 50 zł. Wówczas szósta (do 50 zł) musi być potwierdzona PIN-em. Jeśli zrobimy np. dwie transakcje do 50 zł, a trzecia przekroczy ten próg (będzie trzeba podać PIN), to wszystko zacznie się od początku, czyli znowu będziemy mogli wykonać pięć transakcji bez PIN-u.

Przeczytaj też: Visa i Lotto testują nowy sposób wypłacania nagród. Ale to dopiero początek usługi, która może mocno zamieszać w naszych portfelach

Przeczytaj też: Początek roku szkolnego to dobry powód, żeby założyć nastolatkowi konto osobiste. W którym banku i z jakimi bonusami? Sprawdzam!

To wymóg PSD2, ale poszczególne banki mogą wprowadzić bardziej restrykcyjne zasady i częściej żądać PIN-u przy niskokwotowych transakcjach. Mogą też wymagać wpisania PIN-u nie czekając, aż wartość kolejnych transakcji skumuluje się do 150 euro.

Warto pamiętać, że te same zasady dotyczyć będą, gdy płacimy „substytutami” kart, czyli np. BLIK, Google Pay. Nic natomiast się nie zmieni przy płaceniu Apple Pay, ponieważ wszystkie płatności są identyfikowane biometrycznie, a zatem dodatkowe uwierzytelnianie nie jest potrzebne.

Będą jednak wyjątki. Zasada „szósta płatność lub 150 euro potwierdzone PIN-em” nie obejmą transakcji w samoobsługowych biletomatach (np. w komunikacji miejskiej), parkomatach oraz samoobsługowych bramkach na autostradach.

Czytaj też: Dziwne automaty? „Płaci się tylko zbliżając kartę”. Czy to bezpieczne? 

Kupujesz w internecie? Przygotuj się na zmiany

Co się zmieni podczas zakupów online? Ten proces będzie podobny do nowego – a więc dwustopniowego – logowania się do bankowości elektronicznej. Silne uwierzytelnienie klienta polega na weryfikacji co najmniej dwóch elementów należących do trzech kategorii: „wiedzy” (co wie posiadacz karty, np. hasło zdefiniowane przez klienta), „posiadania” (co ma posiadacz karty, np. telefon, na którym znajduje się aplikacja bankowa) oraz „cech klienta” (jakiś element biometryczny, np. odcisk palca).

W praktyce klient będzie musiał wprowadzić dane swojej karty płatniczej i kliknąć przycisk „zapłać”, a w następnym kroku będzie musiał się „silnie” uwierzytelnić. Otrzyma np. powiadomienie push z aplikacji bankowości mobilnej i będzie musiał wprowadzić swój osobisty kod PIN (do bankowości mobilnej) albo potwierdzić swoją tożsamość odciskiem palca.

Ale i w przypadku płatności online przewidziano wyjątki, a więc zakupy, które nie będą wymagały silnego uwierzytelnienia. Chodzi np. o transakcje do 50 zł, płatności cyklicznych (np. abonament za usługi cyfrowe, opłaty za rachunki), zakupy w sklepach, które użytkownicy oznaczą jako zaufane.

Przeczytaj też: Premier obiecuje: za cztery lata najniższa pensja wyniesie… 4000 zł. Cieszyć się? Wyśmiać? Co tak naprawdę stoi za takimi obietnicami?

Przeczytaj też: Klient 4.0, czyli jak XXI wiek i era technologii zmienia nasze decyzje zakupowe? I jak firmy mogą to wykorzystać, by nas zachwycić?

Fintechy wejdą do banków, banki do banków

Dyrektywa PSD2 odbierze bankom monopol na świadczenie niektórych usług. Banki – na poziomie technologicznym – będą musiały współpracować z zewnętrznymi dostawcami usług, w skrócie TPP (ang. Third Party Providers), o ile oczywiście te spełnią określone wymogi bezpieczeństwa.

TPP będą mogły mieć dostęp do danych na rachunku klienta, inicjować transakcję, np. przelew z rachunku lub sprawdzać dostępność środków na rachunku. Podkreślam, że choć banki nie będą mogły odmówić współpracy z TPP, to na dostęp do danych klient będzie musiał wyrazić zgodę.

Przykładem usługi realizowanej przez TPP, może być integracja w jednym miejscu informacji o wszystkich rachunkach danego klienta. Nie będzie trzeba logować się do wszystkich banków. W jednym miejscu sprawdzimy stan wszystkich kont i zlecimy np. przelew.

Jak to może wyglądać w praktyce, pokazał niedawno Nest Bank. Już dziś z poziomu bankowości elektronicznej pozwala podejrzeć klientowi jego „globalne” finanse. Ale na razie jest to jeszcze proces częściowo ręczny, bo klient musi ściągnąć z banków historię rachunków i wgrać ją do systemu Nest Banku. Jeśli bank miałby licencję TPP, wówczas ten sam proces będzie mógł zaoferować klientom (jeszcze raz podkreślam: tylko za ich zgodą) w sposób w pełni zautomatyzowany. Banki bowiem również mogą pełnić rolę TPP.

„PSD 2 i idąca z nią otwarta bankowość niosą ogromne zmiany w rozumieniu korzystania z konta bankowego. Za sprawą usług AIS, czyli Account Information Services, klient zyska możliwość agregowania swoich danych finansowych z różnych kont bankowych w jednym miejscu. Ponadto za pośrednictwem usługi PIS – Payment Initiation Services – klienci będą mogli zlecać przelewy z innych kont bankowych. To absolutnie nowe doświadczenie”

– mówi Małgorzata Adamczyk, dyrektor zarządzający obszarem rozwoju i sprzedaży w kanałach cyfrowych Nest Banku. Podkreśla, że dyrektywa PSD2 umożliwi zarządzanie wszystkimi kontami bankowymi za pomocą jednej aplikacji. Jednak będzie to wymagało przygotowania technologicznego – w szczególności udostępnienia przez wszystkie banki działającego API, które umożliwi agregację danych w jednym miejscu.

Błyskawiczna reklamacja, zwrot pieniędzy niezwłocznie

Do istotnych zmian, jakie niesie ze sobą dyrektywa PSD2, dopisałbym jeszcze reklamacje oraz odpowiedzialność za nieautoryzowane transakcje. Dyrektywa wskazuje, że instytucja finansowa, np. bank, musi odpowiedzieć na reklamację w ciągu 15 dni, wcześniej było to 30 dni.

Zgodnie z nią, to banki w dużej mierze muszą ponosić ryzyko transakcji, których nie autoryzowaliśmy, czyli nie wyraziliśmy na nie zgody. Bank musi zwrócić klientowi środki nieautoryzowanej transakcji niezwłocznie. Termin dość ogólny, ale dyrektywa precyzuje, że co do zasady powinien to być następny dzień roboczy. Czyli najpierw zwrot pieniędzy, a dopiero potem dociekanie, kto ponosi winę za nieautoryzowaną transakcję. Dyrektywa ogranicza też finansową odpowiedzialność klienta za nieautoryzowane transakcje – z równowartości 150 euro do 50 euro.

Czytaj również: Złodzieje ogołocili twoje konto? Bank musi ci zwrócić pieniądze następnego dnia

—————————————————————————————————————————————————

Niniejszy artykuł jest częścią cyklu edukacyjnego „Otwarty bank”, którego Partnerem jest Nest Bank. W cyklu „Otwarty Bank” prezentujemy poradniki dotyczące zmian, które nas czekają w bankowaniu pod rządami unijnej dyrektywy PSD2 – niezależnie od banku, w którym macie konto.

Źródło: Pixabay.com

13
Dodaj komentarz

avatar
8 Comment threads
5 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
11 Comment authors
promocje bankoweIrekmirekMaciej Samcikktoś Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Jaca
Gość
Jaca

kontomierz od kilku lat pozwala zobaczyć zagregowane dane/operacje ze wszystkich dodanych kont automatycznie. Świetna sprawa aby zarządzać budżetem domowym. Przy kontomierzu, funkcjonalność nest banku to nieporozumienie.

Michał
Gość
Michał

Tylko oni to robią w nieautoryzowany sposób zwykłym screen scrapingiem, a tu będzie ogólny standard.

zen
Gość
zen

„Bank musi zwrócić klientowi środki nieautoryzowanej transakcji niezwłocznie (…) powinien to być następny dzień roboczy”

Już to widzę oczyma wyobraźni, jak po tuzinie ponagleń i skarg do RF, KNF itp. bank odpowie, że z przyczyn proceduralnych, z wielkim smutkiem i żalem musi rozpatrzyć złożony „wniosek o możliwość ubiegania się o złożenie reklamacji” nie w pełni pozytywnie. Przy okazji drobnym druczkiem zaleci wizytę w sądach pięciu instancji, więc przy pomyślnych wiatrach za 5 lat Szanowny Klient będzie mógł legalnie złożyć reklamację, która i tak zostanie zlekceważona. Wszystko zgodnie z prawem.

Michał
Gość
Michał

Niezwłocznie to nie znaczy od razu.

anonymous
Gość
anonymous

Mam nadzieje że do zaznaczenia będzie opcja „nie wyrażam zgody na szpiegowanie behawioralne”.

Anonim
Gość
Anonim

jak to jest realizowane to dodawanie do zaufanych? Cookies? W mbanku dodałem i już mi nie ślą SMSów, ale na tym samym kompie logowała się moja żona do swojego konta i nie można dodać do zaufanych – za każdym razem musi podać SMSa :-/

Dario
Gość
Dario

Klienci, warto doprecyzować już nieliczni klienci detaliczni banku DNB napewno nie obudzili się w nowej rzeczywistości 😉 Dziś 14sty a w tej instytucji wszystko jest mega toporne nawet dostosowanie do zmian w przepisach, w DNB nadal logujesz się po staremu identyfikatorem i hasłem. Jako jedyny bank nie informował klientów o nadchodzących zmianach, nic dziwnego skoro zmian tych nie wprowadził.

ktoś
Gość
ktoś

Sugerowałbym dowiedzieć się jak to wygląda w niektórych bankach. W mBanku przykładowo po dodaniu urządzenia do zaufanych, urządzenia nie da się usunąć, więc w przypadku kradzieży, całe PSD2 nic nie znaczy. W mBanku nie da się przejrzeć dodanych zaufanych urządzeń ani ich usunąć, co jest sporym problemem w przypadku utraty dostępu do urządzenia, np. sprzedaży albo kradzieży.

Maciej Samcik
Admin

Tak, też to zauważyłem, pytam bank czy to nie jest bezsens

Irek
Gość

To sami jest w Idea Banku. Na mczacie uzyskałem informację, że to nie błąd, tylko po prostu takiej funkcjonalności nie mają. Strach dodawać laptopa do urządzeń zaufanych. Może warto się problemowi dokładniej przyjrzeć.

mirek
Gość
mirek

Panie Macieju niestety inst. finansowe nie wysyłają sms potrzebnych do logowania (millennium- czekam już 5 minut i brak), bądź wysyłają je po 10 minutach wszystkie na raz (rkantor). Proszę o stestowane i krytykę.

Maciej Samcik
Admin

To masakra

promocje bankowe
Gość

Jeśli chodzi o logowanie, to wg mnie w PKO nie zmieniło się nic, w Millennium też niewiele, tylko raz chcieli hasło. Natomiast banki już ostrzegają o próbach wyłudzeń „na PSD2” https://bankomaniacy.pl/oszustwo-na-psd2/

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss