Zmiany, które od 14 września zafundują klientom banki, dla niektórych mogą być terapią szokową. W związku z koniecznością tzw. silnej weryfikacji klientów logujących się do bankowości elektronicznej klienci Toyota Banku zostali poinformowani, że będą musieli obowiązkowo stać się posiadaczami jego aplikacji mobilnej. Tak, to nie pomyłka. Obowiązkowo. Inaczej za miesiąc stracą dostęp do swoich pieniędzy
O tym, że szykuje się spore zamieszanie jeśli chodzi o logowanie się do banków i potwierdzanie transakcji kartowych pisaliśmy już na „Subiektywnie…” kilka razy. Chodzi o część zapisów unijnej dyrektywy PSD2, która zobowiązuje banki do pilniejszej weryfikacji klientów. Od 14 września ma być ona dwuskładnikowa, żeby bank miał pewność, że żaden złodziej się nie podszywa pod klienta.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Po 14 września logowanie do banku po nowemu. Co to oznacza?
Co to oznacza w praktyce? Ano to, że przy logowaniu bankowi nie wystarczy już, że klient poda login i hasło. Bank będzie też żądał autoryzacji dostępu za pomocą kodu SMS-owego albo poprzez bankową aplikację mobilną (tzw. mobilna autoryzacja – wchodzisz do banku przez smartfona i klikasz „tak, zgadzam się na tę transakcję”.
Banki opracowują też specjalne aplikacje na smartfony, które będą działały tak, jak kiedyś tokeny (czyli te małe, czarne urządzenia, z których przepisywało się wyświetlane na małym ekranie hasło). Taką opcję przygotowuje dla swoich klientów m.in. mBank. Nota bene dodatkowa autoryzacja – czyli konieczność podania kodu PIN – będzie też obowiązywała przy niektórych transakcjach zbliżeniowych kartą (nawet poniżej 50 zł).
Pisałem też, że w myśl PSD2 banki nie powinny jako drugiego elementu identyfikacji klienta dopuszczać SMS-ów autoryzacyjnych, czyli najpopularniejszej metody, wykorzystywanej dziś przez miliony Polaków do potwierdzania przelewów. Bo specjaliści od cyberprzestępczości dowodzą, że SMS-y autoryzacyjne można łatwo przejąć (złodzieje nie od dziś kradną w ten sposób pieniądze). A więc ich walor „ochronny” nie jest stuprocentowy.
Jeśli bank chciałby być w pełni zgodny z PSD2, to powinien żądać przy logowaniu loginu, hasła i jakiejś metody związanej ze smartfonem – autoryzacji przez aplikację mobilną banku bądź przez specjalną aplikację służącą tylko do autoryzacji. Wtedy klient musi coś wiedzieć i coś mieć (smartfona, odcisk palca).
Większość polskich banków jest w panice, bo bankowych aplikacji mobilnych używa góra 10% Polaków (duża część nie chce nosić „wszystkich pieniędzy” w smartfonie, bo uważa to za niebezpieczne), a specjalnych aplikacji do autoryzowania banki nie zdążyły wdrożyć. Z konieczności – i z duszą na ramieniu – zostają na razie przy SMS-ach autoryzacyjnych jako „drugim czynniku”.
PSD2 na ostro, czyli logowanie przez aplikację
Są jednak banki, które kulom – i klientom – się nie kłaniają, zamiarzając zastosować wytyczne PSD2 bez żadnego przymykania oka, czy hamletyzowania. Tak zdecydował niewielki Toyota Bank, który wyróżnia się na rynku głównie dobrą ofertą oszczędnościową oraz programem zniżek na paliwo dla kierowców. Zaalarmowali mnie czytelnicy. Pierwszy sygnał brzmiał tak:
„Witam, Toyota Bank poinformował mnie, że od połowy sierpnia udostępni nową aplikację mobilną, a od 14 września będzie to jedyna forma logowania do konta. To nie żart – aby obsługiwać konto przez komputer trzeba kupić iPhone’a za 1400 zł lub więcej lub smarfona z Androidem. W innym wypadku od 14 września brak dostępu do konta! Nie ma SMS-ów, nie ma tokenów sprzętowych. Brak jakiejkolwiek alternatywy w zakresie autoryzacji. Czy wolno żądać od klientów kupienia drogiego smartfona, żeby mieli dostęp do swoich własnych pieniędzy?”
W tej samej sprawie napisał do mnie także drugi czytelnik.
„Chcę przedstawić Panu problem klientów Toyota Banku, który od 14 września 2019 r. wymaga od klientów zakupu smartfona (tak smartfona, nie telefonu komórkowego), wprowadzając obowiązek logowania za pośrednictwem aplikacji mobilnej (w miejsce tokena sprzętowego). Rozumiem wymogi dorektywy PSD2 (choć trzeba pamiętać, że są banki, które pozostawiły karty zdrapki lub tokeny sprzętowe, ale wszystkie inne banki oferują logowanie i autoryzację transakcji przy użyciu SMS-ów. Wtedy do logowania (i do autoryzacji transakcji) wystarczy zwykły telefon, a nie drogi smartfon”
Czytelnik słusznie zauważa, że banki w Niemczech, które zrezygnowały z SMS-ów ze względów bezpieczeństwa, wprowadziły alternatywę dla aplikacji – można kupić za 15-30 euro token sprzętowy.
„Jak z nowymi rozwiązaniami mają poradzić sobie osoby starsze, niepełnosprawne, niedysponujące smartfonem, a dla których bank internetowy, gdzie wszystko można załatwić zdalnie, był idealny? Czy naprawdę bank może wymagać od klienta zakupu smartfona (patrząc na wymogi systemu operacyjnego – niestarszego niż 2 lata), aby klient miał wiedzę o stanie swojego konta? Ten Bank nie ma oddziałów do obsługi w klasycznej formie. Na przystosowanie się do zmian klient ma miesiąc, gdyż aplikacja mobilna – zapowiadana na maj – uruchamiana jest dopiero obecnie”
Poza argumentami podnoszonymi przez czytelnika jest jeszcze ten, że nie każdy musi uważać za rozsądne instalowanie w smartfonie aplikacji mobilnej swojego banku. Niektórzy się obawiają, że wtedy bank będzie ich śledził, molestował reklamami, że w przypadku zgubienia telefonu ktoś dostanie się do konta i ukradnie wszystkie pieniądze… Większość z nas ma w smartfonach mnóstwo aplikacji, niekoniecznie chcemy w tym samym smartfonie trzymać bank.
Warto przeczytać też: Pamiętacie kradzieże pieniędzy z naszych kont bankowych „na duplikat karty SIM”? Są dwie wiadomości: dobra i zła
Toyota Bank: „Przecież macie aż miesiąc, żeby się przyzwyczaić”
Niestety, w Toyota Banku smartfon nowej generacji z zainstalowaną na nim aplikacją mobilną już za miesiąc będzie obowiązkowym „pakietem”, by w ogóle sprawdzić stan konta, nie mówiąc już o robieniu przelewów. Czy nie jest to lekka przesada? Dlaczego bank nie przygotował jakiejś alternatywy? Dlaczego rezygnuje z tokenów sprzętowych, których używa jeszcze część klientów?
„Aplikacja mobilna zastępuje token sprzętowy i od 14 września będzie jedyną udostępnioną przez bank metodą autentykacji i potwierdzania operacji zgodnej z wymaganym przez PSD2 standardem SCA. Aplikacja jest dostępna na systemy iOS w wersji 9 i nowszych oraz Android w wersji 6 i nowszych. Nie zmuszamy nikogo do zakupu telefonu konkretnej marki. Aplikacja jest napisana na oba wiodące systemy operacyjne urządzeń mobilnych. Staramy się przeprowadzić klientów przez te zmiany bezboleśnie i z dużym komfortem – stąd okres przejściowy od 19 sierpnia (debiut aplikacji mobilnej) do 14 września na zmianę metody autoryzacji ze starego tokena na autoryzację mobilną”
– tłumaczy Dominika Cepek z Toyota Banku. Wygląda więc na to, że już pozamiatane. Toyota Bank nie jest instytucją obsługującą wiele milionów klientów i nie zamierza inwestować w szeroką paletę metod autoryzacji. Najwyraźniej szefostwo banku założyło, że skoro jest to bank internetowy, to każdy klient ma smartfona i że z radością lub z przymusu pokocha aplikację mobilną banku jako jedyny, bezalternatywny sposób wchodzenia na swoje konto. A straty, jeśli będą, to niewielkie.
Czy w Toyota Banku się nie przeliczą? Małe instytucje finansowe mają coraz bardziej pod górkę, bo dotyczą ich te same wymogi, co gigantów, a w odróżnieniu od nich nie mają możliwości przerzucenia kosztów z tego wynikających na miliony klientów. Sądzę więc, że przypadków przykręcanie klientom śruby przez małe, specjalistyczne banki będzie więcej. Pytanie tylko, czy sprawa logowania do banku powinna być polem testowania cierpliwości posiadaczy oszczędności, o których Toyota Bank z takim trudem – nie mając kilkusetmilionowych budżetów marketingowych – walczy.
zdjęcia tytułowe: Fajka/Wykop, Didgeman/Pixabay