8 stycznia 2021

„Silne uwierzytelnianie” konsumenta, czyli SCA już tu jest. Co zmieniło się w kupowaniu w sieci i jak przygotować się do e-zakupów po nowemu?

„Silne uwierzytelnianie” konsumenta, czyli SCA już tu jest. Co zmieniło się w kupowaniu w sieci i jak przygotować się do e-zakupów po nowemu?

Od początku 2021 r. zakupy internetowe trochę się zmieniły. Banki mają obowiązek stosowania SCA, czyli „silnego uwierzytelniania” konsumenta, który chce zapłacić w e-sklepie. To może być argument, by zaprzyjaźnić się z aplikacją mobilną swojego banku. Wtedy zakupy będą nie tylko wygodniejsze, ale i  jeszcze bardziej bezpieczne

Większość z nas przynajmniej od czasu do czasu kupuje coś w internecie, a dla niektórych czytelników „Subiektywnie o finansach” – wiem, bo mi o tym piszecie w mejlach – e-sklepy stały się wręcz głównym miejscem zaopatrzenia. Jeśli jesteście fanami zakupów internetowych, to być może zauważyliście, że nieco zmieniła się procedura płacenia za takie zakupy.

Zobacz również:

Banki, które obsługują nasze płatności internetowe mają obowiązek od początku 2021 r. stosować tzw. silne uwierzytelnianie (Strong Customer Authentication – SCA), czyli upewniać się, że tym, kto płaci za zakupy jest właściciel np. karty płatniczej, która została przedstawiona jako źródło płatności. Nie zaś ktoś, kto tylko poznał przypadkiem jej dane.

Kupujesz w internecie? Bank zweryfikuje twoją tożsamość

Co to w praktyce oznacza? W każdym europejskim sklepie internetowym obowiązuje teraz zasada, iż bank dodatkowo kontaktuje się z nami, by potwierdzić, że rzeczywiście chcemy dokonać danego zakupu. W jaki sposób? Najczęściej za pomocą smartfona, którego numer zarejestrowaliśmy w banku przy zakładaniu konta. Na ten smartfon po zleceniu przez nas zakupu internetowego przyjdzie kod, który trzeba podać przy zakupie.

Bank może się też z nami umówić w taki sposób, że istnieje jakieś dodatkowe hasło lub PIN do transakcji internetowych, który musimy podać (bank zakłada, że znamy je tylko my, więc potwierdza ono naszą tożsamość).

Trzeci sposób to weryfikacja biometryczna. Jeśli ściągnęliśmy aplikację mobilną naszego banku na smartfona oraz sparowaliśmy ją z kontem bankowym, to bank poprosi nas o potwierdzenie w aplikacji chęci zawarcia danej transakcji. Najczęściej odbywa się to poprzez odcisk palca, ale są już smartfony, które weryfikują posiadacza na podstawie twarzy. Są testowane systemy biometrii głosowej, ale na razie jeszcze nie są używane do potwierdzania transakcji.

Krótko pisząc: zanim kupimy coś w sklepie, mamy obowiązek potwierdzić swoją tożsamość – i chęć zawarcia transakcji – poprzez udowodnienie bankowi, że mamy w ręku smartfona, którego numer został zarejestrowany przez nas w banku, że mamy w ręku smartfona z aplikacją mobilną sparowaną z naszym kontem lub też, że znamy dodatkowe hasło dla danego typu transakcji.

Czytaj też artykuł w blogu Visa poświęcony temu tematowi: Zakupy w sklepie internetowym? Czas na nowe zasady płacenia

Czytaj też: Popularna usługa do bezpiecznego płacenia w sieci ma swoją wygodniejszą formę. 3D Secure jest już mobilne!

Czytaj też: Będzie płacenie w internecie na jeden klik? Visa Checkout poinformowała użytkowników o pewnej nowości

To ważne! Sprawdź czy bank ma twoje aktualne dane kontaktowe

W dużej części sklepów internetowych – oraz w większości banków – takie dodatkowe uwierzytelnianie już obowiązuje od jakiegoś czasu. Teraz stało się po prostu obowiązkiem, a nie dobrą wolą banku.

Skąd pomysł na silne uwierzytelnianie? Cóż, jeśli jestem klientem jakiegoś sklepu i dla własnej wygody „przypiąłem” kartę płatniczą jako źródło płatności w tym sklepie, to przed ewentualnym złodziejem broni mnie login i hasło do mojego konta w tym sklepie. Po wprowadzeniu SCA nikt nie będzie mógł zrobić zakupów na moje konto, nawet jeśli jakimś cudem pozna login i hasło do e-sklepu.

Jest więc jeszcze bezpieczniej – przy zakupach trzeba się dodatkowo „wylegitymować”. Co zrobić przed swoimi pierwszymi zakupami w 2021 r.? Radzę sprawdzić czy bank ma twoje aktualne dane kontaktowe, bo niechybnie będzie chciał – przy okazji zakupów internetowych – skontaktować się z Tobą, najprawdopodobniej za pomocą smartfona lub aplikacji mobilnej albo ewentualnie e-maila. Jeśli zostawiłeś/zostawiłaś w banku nieaktualne dane – będzie problem z silnym uwierzytelnieniem oraz z zakupami.

Czas zaprzyjaźnić się z aplikacją mobilną swojego banku?

To może jest dobra okoliczność do tego, żeby zapoznać się bliżej z aplikacją mobilną swojego banku. Albo żeby po prostu zacząć z niej korzystać.

Owszem, wielu z nas nie ma potrzeby używania banku w smartfonie. Niektórzy uważają, że to nierozsądne, bo finanse są zbyt poważną sprawą, żeby załatwiać interesy przez smartfona. I że w razie zagubienia smartfona mogą stracić wszystkie pieniądze.

Czytaj też: Płatności cyfrowe, czyli rewolucja na zakupach. Już tak płacimy za taksówki, serwisy z filmami czy przejazdy autostradą. Co będzie dalej?

Czytaj też: Płacenie palcem już jest. A kiedy zapłacimy okiem i głosem? To wciąż futurystyka czy całkiem bliska przyszłość?

Czytaj też: Jak płacić w internecie w czasach pandemii? Nadchodzi nowość łącząca bezpieczeństwo i wygodę. Karta płatnicza zyska nowy blask

To ostatnie jest akurat mitem – większość nowych smartfonów można po ich zgubieniu zdalnie „wyczyścić”, zaś niepowołanej osobie dostać się do bankowej aplikacji nie byłoby łatwo – musiałaby poznać dwa hasła (do telefonu i do aplikacji) bądź przebrnąć (co już wygląda całkiem nieprawdopodobnie) przez biometryczną identyfikację – też dwa razy (na poziomie odblokowania smartfona i logowania do aplikacji mobilnej banku). A nawet gdyby jakimś cudem komuś udało się przebrnąć przez zasieki – dopuszczalne przez bank limity operacji zlecanych przez aplikację mobilną są niskie.

Nawet jeśli nie masz w planach instalowania w swoim smartfonie aplikacji mobilnej banku, to być może kwestia wygodnych i bezpiecznych zakupów internetowych będzie dla Ciebie argumentem. Nie ma bowiem lepszej formy finalizowania płatności internetowej, jak odcisk palca złożony w czytniku smartfonowym.

Ten patent sprawia, że nawet w erze SCA zakupy internetowe są jednocześnie megawygodne i ultrabezpieczne: loguję się do sklepu, wypełniam wirtualny koszyk, wskazuję przypiętą do konta w e-sklepie kartę (lub korzystam z tego, że sklep udostępnia płatność kartą przypiętą np. do elektronicznego „skarbca” oferowanego przez organizację płatniczą) i potwierdzam transakcję odciskiem palca. Czy można łatwiej?

Są już w Polsce banki, które podjęły próbę wprowadzenia aplikacji mobilnej jako obowiązkowej i jedynej formy potwierdzania tożsamości klienta przy zakupach internetowych. W przypadku jednego z tych banków klienci się jednak zbuntowali i bank musiał się wycofać z tego rozwiązania. Jak widać, wciąż nie jest tak, że wszyscy klienci są gotowi iść z duchem postępu.

Kiedy bank nie musi weryfikować twojej tożsamości?

Z silnego uwierzytelniania wyłączone są niektóre transakcje – np. te niskokwotowe. Limit został określony na 30 euro, co oznacza, że za zakupy poniżej ok. 130-140 zł nie musimy płacić z wykorzystaniem silnego uwierzytelnienia (choć oczywiście każdy bank może ustalić niższy limit zwalniający z dodatkowej autentykacji klienta).

Nie będziemy też proszeni o dodatkową weryfikację tożsamości w przypadku transakcji cyklicznych. Jeśli np. przypięliśmy kartę płatniczą do serwisu VOD i co miesiąc z naszej karty schodzi np. 35 zł abonamentu, to nie będziemy musieli co miesiąc dodatkowo zatwierdzać tego przelewu.

Sklepy internetowe przed ważną decyzją w sprawie SCA

Właściciele sklepów też powinni zwrócić uwagę na to, żeby nie strzelić sobie w stopę. Co prawda wprowadzenie silnego uwierzytelniania nie jest ich problemem – wszystko załatwiają firmy pośredniczące w płatnościach z pomocą organizacji płatniczych takich jak np. Visa – ale każdy właściciel e-sklepu powinien poinformować firmę, która pomaga mu rozliczać płatności za zakupy klientów, że chce korzystać z silnego uwierzytelniania.

Chodzi o to, że niektóre sklepy sprzedają wyłącznie tanie rzeczy i one mogą nie chcieć, żeby włączać im procedurę SCA. Ich klienci nie będą wtedy dodatkowo weryfikowani (ale, z drugiej strony, większa będzie też ich odpowiedzialność w przypadku jakichś oszukańczych transakcji).

Każdy e-sklep musi się sam zatroszczyć o to, by pośrednik w płatnościach włączył lub nie włączał mu silnego uwierzytelniania. Warto pamiętać, że nad tym wszystkim jest dążenie do zapewnienia możliwie jak największego bezpieczeństwa płacenia w sieci.

Czytaj też artykuł w blogu Visa poświęcony temu tematowi: Masz sklep internetowy? Bądź gotowy do SCA

Zobacz też wideo poświęcone zakupom w internecie oraz płaceniu smartfonem:

—————————

Artykuł powstał w ramach cyklu „O wygodnym płaceniu – niezbędnik nowoczesnego konsumenta. Partnerem merytorycznym tego cyklu jest organizacja płatnicza

zdjęcie tytułowe: Rupixen/Unsplash

Subscribe
Powiadom o
7 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Krzysiek
1 miesiąc temu

Dzisiaj płaciłem kartą z CA za przesyłkę kurierska. Podałem jej nr i kod CCV, i transakcja przebiegła bez żadnego potwierdzenia. Wcześniej zawsze dostawałem kod smsem. Czyżby bank nie zrozumiał?

BdB
1 miesiąc temu
Reply to  Krzysiek

Powyżej 30EUR?

someone
1 miesiąc temu

Banki i organizacje kartowe powinny wymusić jeszcze integracje zgodną z SCA czy 3D secure. Zdarza się bowiem że płacę w sklepie o kiepskiej reputacji a po wspomnianych zabezpieczeniach nie ma śladu! Nie mogę tez zweryfikować czy integracja jest zrobiona poprawnie. Podobnie przy płatnościach cyklicznych czy opcjach „zapamiętaj kartę” (tu pozdrawiamy Allegro) moim zdaniem użytkownik powinien ręcznie zgodzić się na pominięcie dodatkowych zabezpieczeń przy kolejnych opłatach. A nie tak jak obecnie – karta zapamiętana system płaci bez opamiętania. Alternatywą mogła by być, również za wyraźną zgodą płatnika, decyzja bazująca na reputacji sklepu. Revolut zbiera opinie o miejscu gdzie płace. Taka opinia… Czytaj więcej »

BdB
1 miesiąc temu

Heh ja za to dziś płaciłem w AppStore za aplikację. Jako pierwszą formę płatności mam Apple Pay i… żadną kartą nie przechodziło (w innych sklepach działało, a we własnym Apple nie). Jako drugą metodę mam kartę mBanku i tam pięknie pierwszy raz zobaczyłem okienko z 3DSecure (autoryzacja w apce mBanku).

BdB
1 miesiąc temu

Weryfikacja biometryczna – trzeba ludziom przypominać, że to nie jest biometryczna weryfikacja tożsamości, a jedynie potwierdzenie tożsamości osoby znającej równocześnie kod PIN aplikacji i kod blokady telefonu. Czyli nie daje nic ponad PIN aplikacji.

BdB
1 miesiąc temu

Dlaczego w tytule mowa jest o konsumentach? Przecież te wymogi dotyczą wszystkich kart.

Radek
1 miesiąc temu

musiałaby poznać dwa hasła (do telefonu i do aplikacji)”

czytając różne opracowania dowiemy się, że dla większości użytkowników będzie to jedno, wspólne hasło. Nie ma co się nabijać z niechęci użytkowników do bankowych aplikacji mobilnych, bo okazuje się, że ci „zacofani” konsumenci mają rację trzymając się od nich z daleka.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu