27 marca 2019

Login i hasło już nie wystarczą. Za kilka miesięcy będziemy musieli nauczyć się innego sposobu wchodzenia do banku

Login i hasło już nie wystarczą. Za kilka miesięcy będziemy musieli nauczyć się innego sposobu wchodzenia do banku

We wrześniu wszystkie banki będą musiały wdrożyć zapisy unijnej dyrektywy o usługach płatniczych (PSD2). Nie jest przesadą stwierdzenie, że będzie to rewolucja w sposobie korzystania z bankowych (i nie tylko) usług. W bankowości elektronicznej pojawi się oferta zewnętrznych firm, a klienci inaczej niż dziś będą logować się do bankowych systemów i potwierdzać transakcje. Czy jest się czego bać?

W technologicznym świecie ciągłe zmiany są zjawiskiem naturalnym. Instytucje finansowe co chwilę proponują klientom nowinki, które mają dać większą wygodę korzystania z usług i zwiększyć bezpieczeństwo. Zamiast np. potwierdzania transakcji kodem SMS, zachęcają do bezpieczniejszej autoryzacji przez bankowość mobilną.

Zobacz również:

Ale zmiany, które niesie ze sobą unijna dyrektywa PSD2, dla banków i ich klientów nie będą już kwestią wyboru a przymusu. Całą tę rewolucję określa się mianem „otwarta bankowość”.

Przeczytaj też: Klienci Nest Banku od dziś testują zbliżającą się bankową rewolucję. Ale klientów innych banków też to nie ominie. PSD2 już tu jest!

Przeczytaj też: Zakup biletów, płacenie rachunków, zamawianie jedzenia. Wszystko to znajdziesz w… aplikacji mobilnej od banku. Jeden login do wszystkiego i automatyczna płatność. Jest moc?

Rewolucja otwartej bankowości

Jednym z filarów tej rewolucji jest obowiązek otwarcia się banków na tzw. podmioty trzecie. To oczywiście żadna nowość. Od lat banki współpracują np. z firmami technologicznymi, ale do tej pory miały dowolność z kim i w jakim zakresie chcą rozwijać biznes.

To się zmieni, bo nie będzie już swobody. Każda firma, która spełni wymogi m.in. dotyczące bezpieczeństwa będzie mogła wpiąć się do systemów banku i świadczyć usługi jego klientom.

Żeby to zobrazować, często używam przykładu gniazdka i wtyczki. Bank instaluje szereg gniazdek. Określa specyfikację, czyli jakie wymagania technologiczne, prawne, regulacyjne (firma musi być nadzorowana przez KNF) czy dotyczące stosowanych zabezpieczeń musi spełnić firma, by wpiąć się do banku. Jeśli je spełni, otrzyma certyfikat, czyli przysłowiową wtyczkę.

Przeczytaj też: Mały przedsiębiorca w banku. Co może mieć za darmo? Czego najbardziej potrzebuje? Co dają mu banki? I co zmieni unijna dyrektywa?

Przeczytaj też: Kredyt dla małej firmy „z ulicy” w kwadrans i całkiem online. To już się dzieje. Teraz stawką w grze jest… strzyżenie. Technologie pomogą?

Daniel Majewski, ekspert Deloitte, otwartą bankowość porównuje do praktyk stosowanych np. przez Facebooka, który udostępnia swoje interfejsy w ten sposób, by inne podmioty mogły korzystać z danych z tego portalu. Na podobnej zasadzie będą musiały działać banki.

Zewnętrzna firma z certyfikatem będzie mogła m.in. uzyskać informację o rachunku płatniczym klienta, inicjować płatność z jego rachunku czy potwierdzić dostępność środków na jego rachunku. W marcu wszystkie banki powinny udostępnić środowiska testowe po to, by zainteresowane firmy mogły testować swoje usługi. O udostępnieniu środowiska testowego poinformowały niedawno m.in. BOŚ Bank, Bank Millennium i mBank, który swój interfejs nazwał „piaskownicą”. Jako pierwszy – jeszcze pod koniec ubiegłego roku – środowisko testowe uruchomił Nest Bank.

Jakie to mogą być firmy, przekonamy się we wrześniu. Ale można sobie wyobrazić, że do bankowych systemów będą chciały podłączyć się firmy oferujące np. integrację w jednym miejscu wszystkich rachunków klienta z różnych banków, albo organizacje płatnicze oferujące zarządzanie wszystkimi kartami klienta, albo pośrednicy w sprzedaży biletów komunikacyjnych (nie będzie potrzeby zasilania portmonetek, źródłem pieniądza będzie konto osobiste lub rachunek karty kredytowej) czy firmy, które już dziś oferują alternatywne metody przesyłania pieniędzy. W tej grupie są też banki, bo choć do ich systemów podłączać się będą zewnętrzne firmy, to one też mogą „wejść w buty” podmiotu trzeciego.

Przeczytaj też: „Piątka Kaczyńskiego” to pewny jak w banku wzrost zadłużenia Polski i… szansa na spory przelew z OFE, z „prowizją” dla rządu?

Przeczytaj też: Dylemat pracodawcy: jak wybrać dla swoich pracowników przyzwoite PPK? Poradnik dla tych, którym nie jest wszystko jedno!

Otwarta bankowość, czyli szanse i zagrożenia

Ale czy klienci mają powody, by bać się tego elementu rewolucji? Na razie większość podchodzi z dystansem i nieufnością. Tylko bowiem co czwarty Polak jest skłonny udostępnić informacje firmie innej niż bank – wynika z badania przeprowadzonego przez firmę doradczą Deloitte. Zaledwie 14% zgodziłoby się przekazać dane bankowe globalnej firmie technologicznej takiej jak Google czy Facebook.

Małgorzata Adamczyk, szefowa departamentu bankowości elektronicznej w Nest Banku, uspokaja – każda firma, która będzie świadczyć usługi z wykorzystaniem danych bankowych, najpierw będzie musiała uzyskać zgodę klienta. To fundamentalny warunek. Ale obaw związanych z dyrektywą PSD2 nie brakuje też po stronie bankowców.

„Podmioty, które będą pytały o rachunki płatnicze klientów, nie będą miały z nami często żadnych relacji – zgodnie z przepisami dyrektywy PSD2 nie muszą ich mieć. Wystarczy, że będą posiadały certyfikat i zgodę klienta, wówczas nie możemy jako bank odmówić dostępu do danych. I to jest na pewno rewolucja”

– mówi Adamczyk. Do tej pory każdy bank skrupulatnie weryfikował każdy podmiot, który z nim współpracował i w ramach takiej współpracy miał dostęp do danych klientów. Ten świat już się poniekąd kończy, wkrótce banki stracą taką możliwość. Małgorzata Adamczyk dodaje:

„Odmowa dostępu do danych może nastąpić wyłącznie, gdy bank ma twarde, udokumentowane dowody na to, że w procesie pozyskania danych przez dany podmiot może dojść do przestępstwa. Trudno obecnie przesądzać z czym to się będzie wiązało w praktyce. Kolejnym zagrożeniem jest fakt, że unijna dyrektywa – u swoich podstaw niosąca bardzo wartościową ideę, która pozytywnie powinna zmienić dzisiejszą rzeczywistość – pozwala w wielu miejscach na dowolność interpretacji standardów. Niestety dowolność i standard wzajemnie się wykluczają”

Z loginem i hasłem nie wejdziesz do banku

O ile świadczenie usług przez podmioty trzecie z poziomu bankowości internetowej będzie wymagało naszej zgody, to do innych zmian będziemy musieli się dostosować. Chodzi o tzw. silne uwierzytelnienie użytkownika przy logowaniu się do bankowości internetowej czy mobilnej albo do aplikacji „podmiotów trzecich”. Zgodnie z definicją silne uwierzytelnienie polega na zastosowaniu co najmniej dwóch elementów z trzech następujących kategorii:

  • wiedza, czyli coś, o czym wie wyłącznie klient
  • posiadanie, czyli coś, co posiada tylko klient
  • cechy klienta, czyli coś, czym klient jest

Powyższe elementy muszą być od siebie niezależne, czyli naruszenie jednego z nich nie może osłabiać wiarygodności pozostałych elementów. Dziś w wielu przypadkach wystarczy podać login i hasło do bankowości internetowej czy mobilnej, ale część banków od jakiegoś czasu stosuje już rozwiązania zgodne z definicją silnego uwierzytelnienia.

Chodzi np. o użycie indywidualnego numeru identyfikacyjnego i hasła danego klienta do bankowości elektronicznej (dane do logowania) połączone z użyciem kodu jednorazowego  (np. kodu SMS, kodu z tokena). Mamy wówczas do czynienia z uwierzytelnianiem wykorzystującym czynnik wiedzy (czyli dane do logowania klienta) i czynnik posiadania (kod jednorazowy).

Przeczytaj też: A może by płacić za taksówki jak za Netfliksa? Popularna aplikacja do zamawiania przejazdów wprowadzi „subskrypcję taksówkową”

Przeczytaj też: Oto nasz subiektywny ranking kont osobistych! Nietypowy, bo wybieramy… najlepsze konto w domu i w podróży. Który ROR rządzi wszędzie?

Innym sposobem dodatkowego zabezpieczenia może być też coraz popularniejsza biometria, która spełnia czynnik cechy klienta. Np. mBank testuje właśnie system biometryczny polegający na tym, że system w trakcie sesji w bankowości elektronicznej uczy się w jaki sposób klient pisze na klawiaturze czy porusza myszką.

Dzięki temu system będzie w stanie ocenić, czy do bankowości elektronicznej zalogowała się powołana do tego osoba. Jeśli wykryje jakąś anomalię, bank będzie mógł zareagować w odpowiedni sposób. Co prawda klient musi wyrazić zgodę na to, by system zbierał informacje o jego zachowaniu, ale jeśli już się na to zgodzi, dodatkowe uwierzytelnienie dokonywać się będzie w sposób dla klienta niewidzialny.

Silne uwierzytelnienie w trzech sytuacjach

Zgodnie z dyrektywą PSD2 dostawcy usług płatniczych (czyli firmy zewnętrzne, które podłączą się do bankowych systemów) powinni wymagać silnego uwierzytelnienia klienta przynajmniej przy uzyskiwaniu dostępu do rachunku online (np. przez kanały bankowości internetowej lub mobilnej), inicjowaniu elektronicznej transakcji płatniczej oraz przy przeprowadzaniu za pomocą kanału zdalnego czynności, która może wiązać się z ryzykiem oszustwa lub innych nadużyć. Czy te rozwiązania wzmocnią bezpieczeństwo korzystania z usług finansowych po wdrożeniu dyrektywy PSD2?

„Łańcuch jest tak mocny jak jego najsłabsze ogniwo. Dyrektywa narzuca na dostawców usług płatniczych silne uwierzytelnianie klienta oraz wiele obowiązków z tym związanych. Każdy dodatkowy element zabezpieczenia podwyższa poziom bezpieczeństwa – to jest jasne. Nie można jednak zapomnieć, że dyrektywa PSD2 daje pełną władzę klientowi w zakresie tego komu i kiedy oraz z jakiego tytułu udzieli zgody na dostęp do jego rachunków w banku. Bank nie może bez twardych, udokumentowanych dowodów odmówić dostępu do tych danych podmiotom, które wylegitymują się zgodą klienta”

– mówi Małgorzata Adamczyk. Przekonuje, że dzięki dyrektywie klienci dostaną łatwiejszy dostęp do wielu usług. Ale piłka jest teraz po stronie banków, dostawców usług płatniczych i regulatorów – muszą edukować klientów tak, by rzeczywiście i świadomie korzystali z dobrodziejstw, jakie niesie ze sobą dyrektywa PSD2. Czasu zostało niewiele – początek rewolucji już za niespełna pół roku.

—————————————————————————————————————————————————

Niniejszy artykuł jest drugą częścią nowego cyklu edukacyjnego „Otwarty bank”, którego Partnerem jest Nest Bank. Co kilka tygodni będziemy Wam prezentowali poradniki dotyczące zmian, które nas czekają w bankowaniu pod rządami unijnej dyrektywy PSD2 – niezależnie od banku, w którym macie konto. Już wiadomo, że nowości będzie sporo i że będą dotyczyły praktycznie wszystkich, więc chcemy, żebyście byli z tą rewolucją na bieżąco. Już wiadomo, że Nest Bank będzie jednym z jej liderów, co powinno ucieszyć jego klientów – obecnych i przyszłych

 

Źródło zdjęcia: Pixabay.com

Subscribe
Powiadom o
10 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
gosc
2 lat temu

Moim zdaniem fakt, ze banki wprowadzają silne uwierzytelnienie dopiero zmuszone unijną dyrektywą bardzo źle o nich świadczy. Rok temu dla wyrobienia sobie opinii o zabezpieczeniach stosowanych w polskich bankach sprawdzałem mechanizmy logowania i autoryzacji stosowane w Szwajcarii i krajach anglojęzycznych. W Szwajcarii wszystkie banki już w momencie logowania wymagały identyfikatora, hasła oraz hasła jednorazowego (sms, token, aplikacja). Ciekawostka – w jednym z banków po naduszeniu przycisku logowanie zobaczyłem ostrzeżenie, że mój Windows i/lub przeglądarka nie są zaktualizowane i, że bank nie gwarantuje bezpiecznego korzystania z bankowości internetowej (prawdziwa troska o klienta). Bardzo spodobał mi się token sprzętowy typu challenge-respond używany… Czytaj więcej »

Jerzy
2 lat temu

Ja tam nie dam zgody żadnym podmiotom by buszowały po moim koncie.

Marcin
2 lat temu

Te potrójne uwierzytelnianie to zawracanie pupy. Juz teraz denerwuje mnie „wyliczanka”, gdzie muszę wpisywać tylko wybrane znaki z mojego hasła.
Czy przy zewnętrznych firmach, które będą mogły same sobie pobierać pieniądze występuje chargeback jak przy płatnościach kartą?
Poza tym coraz mniej mamy wolnego rynku, a coraz wiekszy wpływ na nasze życie i nasze biznesy mają eurokraci z Brukseli.

natalia
2 lat temu
Reply to  Marcin

Żadna firma zewnętrzna sama nie może pobrać pieniędzy czy nawet odpytać o saldo na koncie, dopóki Ty nie upoważnisz tej firmy do tego: dyrektywa PSD2 daje pełną władzę klientowi w zakresie tego komu i kiedy oraz z jakiego tytułu udzieli zgody na dostęp do jego rachunków w banku

2 lat temu

Wydaje się, że dyrektywa może być dobra. Bardzo dobry tekst 🙂

Michał
2 lat temu

zgody dają tylko jelenie. Już teraz jest wiele dokuczliwych rzeczy… i jeśli mam dostawać wypłatę na konto, to niech bank da mi za darmo telefon który będzie miał dostęp do odbierania sms. Ja telefonu nie muszę mieć i będę składał reklamację, że bank uniemożliwia mi korzystanie z ROR.

Don Q.
2 lat temu
Reply to  Michał

„Ja telefonu nie muszę mieć” — nie musisz, nie musisz też korzystać z bankowości internetowej; co więcej, teraz każdy bank ma obowiązek zaoferowania Ci bezpłatnego Podstawowego Rachunku Płatniczego, a do niego co najmniej 5 bezpłatnych przelewów zlecanych w oddziale banku.

Adam
1 rok temu

Problemem nie jest dyrektywa tzw. eurościema. Wierzysz, iż tu chodzi o bezpieczeństwo to twoja sprawa. Ja nie ufam możliwościom pozyskiwania danych i udzielanie możliwości ich wykorzystania przez podmioty inne niż bank! Prawda jest taka, iż ta eurodyrektywa służy handlowi danymi pod płaszczykiem niby ochrony danych osobowych. To znaczy, sprzedasz swoją osobowość np. kablówce za darmo – bo co to np. dać tobie pakiet dodatkowych kanałów kodowanych – ich prawie nic nie kosztuje, a ty myślisz iż to super oferta! A potem dowodzik kolekcjonerski i jazda nie ma rzeczy niemożliwych! Zresztą strach pomyśleć co można zrobić mając takie dane „klientów”!

stclaus
1 rok temu

Większość banków jak czytam planuje wykorzystać hasła SMS lub aplikację aby wypełnić wymagania PSD2. A co jak klient nie będzie miał smartfona? albo skrajnie w ogóle telefonu? Takich osób nie jest wcale tak mało –> przykład to niedawna historia klientki PKO BP opisana tutaj (https://subiektywnieofinansach.pl/chcesz-wyplacic-pieniadze-w-oddziale-przy-kasie-w-pko-bp-dowod-osobisty-moze-ci-juz-nie-wystarczyc-klienci-pytaja-o-co-tu-chodzi/ ) na portalu.

Rafał
1 rok temu
Reply to  stclaus

@stclaus: Być może takim osobom zostanie po prostu wyłączona bankowość internetowa i zostaną one zmuszone do dokonywania wszelkich operacji na swoim koncie w placówce banku.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!