Citi Handlowy podjął drugą próbę likwidacji usługi SMS-ów autoryzacyjnych jako sposobu zatwierdzania transakcji w internecie. Kto nie ma aplikacji mobilnej CitiMobile jest skazany na kilkuetapową weryfikację z udziałem danych do logowania do bankowości internetowej Citi Online. I – co jeszcze bardziej kontrowersyjne – do klikania podesłanych przez bank linków. „Czy to bezpieczne?” – dopytują klienci
Pamiętacie jak kilka miesięcy temu Citi Handlowy zaskoczył klientów wiadomością o likwidacji SMS-ów jako formy potwierdzania zakupów internetowych? Zrobił się rumor, a wściekli klienci zaczęli awanturować się na infolinii twierdząc, że bank zmusza ich do posiadania aplikacji mobilnej.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Jakkolwiek jej ściągnięcie ze sklepu mobilnego nie boli, a sparowanie z kontem bankowym nie nastręcza trudności, to spore grono Polaków wciąż uważa posiadanie aplikacji mobilnej banku za dopust Boży. Aplikacja zajmuje miejsce w pamięci smartfona, naraża na niepokój w przypadku zgubienia lub kradzieży tego telefonu, a poza tym może śledzić, inwigilować i wysyłać powiadomienia push. A nie wszyscy to lubią.
PSD2 wraca do Citi Handlowego. Nowe zasady autoryzowania transakcji internetowych
Bank po kilku dniach wycofał się z kontrowersyjnej zmiany, która przecież miała dotyczyć tylko niektórych transakcji internetowych (bank nie powiedział jednak, których konkretnie, więc „zagrożenie” było poważne i całościowe), lecz nie odpuścił. Dyrektywa PSD2 zobowiązuje bankowców do silnego uwierzytelniania klientów robiących zakupy przez internet. A w Citi wzięli ją sobie bardzo do serca (w odróżnieniu od niektórych innych banków działających w Polsce).
Od kilku dni – a dokładniej od 16 czerwca – znów dla większości (o ile nie dla wszystkich) transakcji wyłączona jest możliwość autoryzowania zakupów internetowych wyłącznie SMS-em autoryzacyjnym.
„Informujemy, że dotychczasowa metoda autoryzacji kodem SMS będzie stopniowo wycofywana dla płatności kartą w sklepach internetowych. Kody SMS zostaną całkowicie wycofane do 30.06.2021 r. Zmiana wynika z dostosowania do europejskiej Dyrektywy PSD2”
– napisał do klientów bank. Znów bardziej „opłaca się” mieć w Citi Handlowym aplikację mobilną CitiMobile, bo stała się ona domyślnym sposobem potwierdzania zakupów internetowych. Po wybraniu karty Citi jako sposobu zapłaty aplikacja się „odzywa” i prosi o potwierdzenie w smartfonie chęci zapłacenia. Trzeba w tym momencie wpisać Citi Mobile Token PIN (o ile mnie pamięć nie myli, jest to kod logowania do aplikacji mobilnej).
To bezpieczne, bo ewentualny złodziej danych karty nie będzie w stanie ich użyć, nie posiadając naszego telefonu z aplikacją mobilną (i to odblokowanego). Tym razem jednak bank nie zostawił „na lodzie” tych klientów, którzy do aplikacji mobilnej nie pałają przesadną sympatią. Jest i drugi sposób zatwierdzania transakcji internetowych. Mogą go używać ci klienci Citi, którzy wolą żyć bez apki CitiMobile.
Autoryzacja internetowa dla tych, którzy nie mają aplikacji CitiMobile. To boli
Jak to wygląda? Rzecz nazywa się Autoryzacja Internetowa i nie jest niestety tak banalnie prosta jak SMS autoryzacyjny, który bank wysyła na telefon i każe wpisać na ekranie komputera (tutaj przewodnik krok po kroku, który udostępnia klientom bank).
Będzie potrzebny bowiem komplet danych do logowania do serwisu bankowości elektronicznej Citibank Online. Podczas wykonywania transakcji kartą w internecie klient otrzymuje SMS z linkiem do strony uwierzytelniającej. Musi kliknąć w ten link, a na podstawionej stronie wprowadza dane logowania do banku. W link można kliknąć tylko raz – próba jego ponownego użycia jest niemożliwa.
Po potwierdzeniu, że klient zna dane logowania do swojego konta internetowego w Citi, na ekranie smartfona pojawia się pole do wpisania jednorazowego kodu, który przybywa w kolejnej wiadomości SMS. Trzeba wpisać ostatnie sześć cyfr z tego kodu i kliknąć „autoryzuj”, a potem system przerzuca delikwenta na stronę sklepu internetowego, gdzie trzeba jeszcze kliknąć „zakończ transakcję”.
Generalnie więc bank zrobił klientom trochę pod górkę. Próba zatwierdzenia transakcji internetowej bez posiadania aplikacji mobilnej może przypominać teraz drogę przez mękę. Nie zdziwię się, jeśli klienci nieposiadający apki CitiMobile, będą teraz chcieli przerzucić się na płatność BLIKiem.
Niektórzy czytelnicy pytają mnie: po jaką cholerę bank wyrzucił na śmietnik SMS-y autoryzacyjne, skoro w tym nowym sposobie też trzeba podać kod z SMS-a? Niby racja, ale tym razem ten kod jest „wzbogacony” o konieczność podania danych logowania. Złodziej musiałby mieć dane karty, dane logowania jego właściciela na konto bankowe (czyli do Citibank Online) oraz smartfona, żeby kliknąć z niego w podany link.
To trudniejsze zadanie niż przejęcie „w locie” SMS-a wysłanego przez bank (co jest możliwe, gdy wcześniej uda się zainstalować na smartfonie ofiary specjalne oprogramowanie – oczywiście też zdalnie, pod płaszczykiem jakiejś lewej „aktualizacji”, też wysłanej SMS-em).
Użytkownicy mają jednak wątpliwości związane nie tylko z faktem, że jeśli nie ma się aplikacji CitiMobile, to płatność staje się wielostopniową mordęgą. Pojawiają się też pytania o to, czy bank przypadkiem nie promuje złych nawyków.
Klikanie w link, czyli bezpieczeństwo budowane przez złe nawyki?
Klikanie w przesłane z zewnątrz linki to nie jest zbyt bezpieczna rzecz w świecie, w którym nigdy nie możemy mieć pewności, kto nam tego linka wysłał. Czy to przyjaciel czy wróg, złodziej, internetowy przestępca. A tutaj właśnie trzeba kliknąć w przysłany link. Jaką mamy pewność, że kiedyś podobnego linka (z wirusem) nie prześle nam złodziej podszywający się pod Citi Handlowy, pod pozorem jakiejś płatności, dopłaty, konkursu czy czego tam jeszcze?
I to już jest zarzut poważniejszy. Rzeczywiście, zasady higieny w internecie stanowią, żeby nic nie klikać i nie podawać żadnych danych na podstawionych przez kogoś stronach. A Citi Handlowy o to właśnie prosi. Niby jest więc bezpieczniej i lepiej, ale z drugiej strony – nie wiadomo, czy kiedyś za to klikanie linków nie zapłacimy najwyższej w świecie finansów ceny – wyczyszczenia konta.
Kiedyś nosiliśmy przy sobie tokeny sprzętowe i one w zasadzie rozwiązywały problem podwójnego uwierzytelniania. Ale to nie było ultrawygodne rozwiązanie ani nie było tanie. Ani tak do końca bezpieczne, bo tokeny nie miały dużych wyświetlaczy, na których można pokazać szczegóły transakcji.
Teraz tokenami są smartfony, ale z kolei technologia SMS-owa przestała być bezpieczna. I jesteśmy w kropce. Z jednej strony wydaje się, że aplikacja mobilna banku to dziś nie jest żaden potwór i każdy mógłby dzięki niej bezpiecznie zatwierdzać transakcje. Z drugiej strony nie każdy chce mieć aplikację mobilną banku w smartfonie i banki muszą wymyślać jakieś obejścia. A niektóre obejścia rozwiązują problem autoryzacji, lecz tworzą nowe, w postaci złych nawyków użytkowników.
