23 października 2019

Unijna dyrektywa PSD2 miała zwiększyć nasze bezpieczeństwo. Ale… chyba coś poszło nie tak. „Absurd. Pogorszyli zamiast poprawić”

Od 14 września inaczej logujemy się do bankowości elektronicznej, dodatkowo musimy autoryzować transakcje internetowe, a płacąc w sklepie co jakiś czas musimy podać PIN karty, nawet przy płatnościach do 50 zł. To efekt wejścia w życie unijnej dyrektywy o usługach płatniczych PSD2. Wszystko po to, żeby korzystanie z usług finansowych było bezpieczniejsze. Ale wraz z PSD2 zawiało też absurdami, a z poprawą bezpieczeństwa można polemizować

O zmianach, jakie wprowadza dyrektywa PSD2, sporo mogliście przeczytać na „Subiektywnie o finansach”. Tych, którzy nie są na bieżąco, zachęcam do lektury naszych wcześniejszych tekstów:

Obiecywano nam, że z PSD2 będzie bezpieczniej, ale nie, że będzie wygodniej. Każdy bezpiecznik wszczepiony w system bankowy sprawia, że np. logowanie się do bankowości elektronicznej zajmuje więcej czasu. Ale niektórych wprowadzonych zmian trudno nie nazwać absurdalnymi.

Tak jest np. z tzw. urządzeniem zaufanym. Może nim być smartfon, laptop czy „pecet”, czyli urządzenie za pośrednictwem którego logujemy się do banku. Dodając urządzenie do zaufanych, możemy uniknąć konieczności dodatkowej autoryzacji.

Zaufane urządzenie nie do usunięcia

Tak jest np. w mBanku. Żeby zalogować się do bankowości internetowej, poza wpisaniem loginu i hasła, trzeba dodatkowo potwierdzić logowanie przez aplikację mobilną (tzw. mobilna autoryzacja) lub przez kod SMS. Jeśli jednak dodamy urządzenie, z którego się logujemu, do zaufanych, nie trzeba potwierdzać w ten sposób każdego logowania. I tu zaczynają się schody. Nasz czytelnik donosi:

„Po dodaniu urządzenia do zaufanych, urządzenia nie da się usunąć, więc w przypadku kradzieży całe PSD2 nic nie znaczy. W mBanku nie da się przejrzeć dodanych zaufanych urządzeń ani ich usunąć, co jest sporym problemem w przypadku utraty dostępu do urządzenia, np. sprzedaży albo kradzieży”

mBank przyznaje, że tak jest, czyli że nie widać listy dodanych urządzeń i nie można nimi zarządzać. Bank obiecuje, że ten problem zostanie usunięty w ciągu najbliższego miesiąca. Klienci będą mogli korzystać z funkcji do zarządzania zaufanymi urządzeniami. mBank tłumaczy, że problem wynika z tego, iż do 14 września musiał zdążyć z kluczowymi zmianami, na resztę nie starczyło po prostu czasu. W tym miejscu przypomnę tylko złośliwie , że na przygotowanie się i wdrożenie zmian w związku z PSD2 banki miały naprawdę mnóstwo czasu.

Przeczytaj też: Spłaciłeś kredyt przed terminem? Masz prawo do zwrotu części prowizji. Jak to zrobić i ile masz na to czasu? Wyjaśniam!

Przeczytaj też: Empik Premium, czyli opłacasz subskrypcję i masz 15% zniżki oraz darmową dostawę. Czy to się opłaca? Sprawdzam!

Po 14 września kto pierwszy, ten lepszy

O ile w pierwszej sprawie mBank obiecuje zmiany, w drugiej, z którą zgłosił się czytelnik, rozkłada ręce. Chodzi o logowanie się do bankowości elektronicznej z tego samego urządzenia przez kilka osób.

„Moja żona też ma konto w mBanku i nie może logować się bez dodatkowej autoryzacji… chyba że z innej przeglądarki albo innego urządzenia. Bo ja pierwszy powiązałem konto z komputerem i w ten sposób zablokowałem jej taką możliwość. To nie żart. Brawo mBank! Tego nie przewidzieli”

mBank tłumaczy, że to nie jego widzimisię:

„Działamy zgodnie z wytycznymi EBA [unijny nadzorca bankowy – red.] i KNF. Zgodnie z nimi, z jednego urządzenia pod jednym adresem IP i jednej przeglądarki może korzystać jedna osoba – czyli jedna osoba może to urządzenie w danej przeglądarce dodać do zaufanych. To nie jest przeoczenie, ale wynik dostosowania się do wymogów regulacyjnych”

– usłyszałem w biurze prasowym mBanku. Jeśli więc do tej pory korzystaliście w domu z tego samego komputera do logowania się do banku, po 14 września obowiązuje zasada: kto pierwszy, ten lepszy 😉

Przeczytaj też: Klienci Banku Pocztowego dopieszczeni: wejdą do EnveloBanku, awizo dostaną SMS-em, a po list polecony nie będą musieli iść na pocztę

Przeczytaj też: Nie tylko klienci Idea Banku stracili pieniądze w aferze GetBacku. Poszkodowani przez Citi Handlowy też mają za złe. Dlaczego UOKiK nie daje im wsparcia?

Miało być bezpieczniej, ale czytelnik ma wątpliwości

W sprawie zmian wprowadzonych przez PSD2 napisał do mnie pan Krzysztof, klient Santander Banku. W jego ocenie, dyrektywa i rozwiązania wprowadzone przez bank paradoskalnie obniżyły poziom bezpieczeństwa.

„Chciałem zwrócić uwagę na pewna rzecz związaną z dyrektywą PSD2, która miała prowadzić do zwiększenia bezpieczeństwa środków zgromadzonych na naszych rachunkach poprzez m.in. podwójną autoryzację. Otóż implementacja dyrektywy w niektórych bankach spowodowała de facto obniżenie tego bezpieczeństwa dla pewnej grupy klientów, tzn. tych, którzy chcą zatwierdzać przelewy i logowanie bezpieczniejszym sposobem niż SMS, czyli aplikacją mobilną”

Przed dyrektywą było tak: pan Krzysztof logował się do bankowości elektronicznej z poziomu telefonu, dodał urządzenie do zaufanych po to, żeby wykonać kolejny krok, czyli włączyć mobilny podpis (zatwierdzanie przelewu w aplikacji mobilnej), następnie włączył zatwierdzanie logowania do bankowości internetowej mobilnym podpisem. Dzięki temu  zatwierdzanie logowania mobilnym podpisem działało zarówno na stronie internetowej banku, jak i w jego aplikacji mobilnej.

Ale obecnie, czyli po wejściu w życie dyrektywy PSD2, pan Krzysztof zauważył, że zatwierdzanie logowania do bankowości internetowej za pomocą mobilnego podpisu działa już tylko na stronie www, ale nie w aplikacji mobilnej.

„System ustawiony jest tak, że dodanie urządzenia mobilnego do zaufanych powoduje zniesienie wymogu podwójnej autoryzacji przy logowaniu, nie ma opcji wymuszenia takiego zachowania”

Przeczytaj też: W oddziale, przez kuriera, przelewem weryfikacyjnym, przez wideoczat, na selfie… Jak najlepiej założyć konto w banku? Sprawdzam!

Przeczytaj też: Rok po wejściu w życie RODO pytamy banki: „co wiecie na nasz temat?”. Nie takich odpowiedzi się spodziewaliśmy

Uwaga na phishing…

Zmiany w bankach to wymarzony moment dla oszustów do tego, by próbować przejąć kontrolę nad naszymi pieniędzmi. Uaktywniają się np. podczas fuzji banków, podsuwając klientom np. fałszywe strony internetowe banków. Takie socjotechniczne działania mają na celu wyciągnięcie od nas np. danych do logowania (oszuści podając się z bank przekonują, że to konieczne, bo w innym wypadku stracimy dostęp do rachunku). W tym kontekście zmiany wprowadzane przez PSD2 to idealny czas na łowy. Dlatego trzeba się mieć na baczności.

„Związana z wdrażaniem nowych rozwiązań konieczność wzmożonych kontaktów ze strony dostawców usług płatniczych ze swoimi klientami może zostać wykorzystana przez przestępców do prób wyłudzenia poufnych informacji, w tym poprzez przeprowadzanie ataków phishingowych, a w konsekwencji do kradzieży tożsamości lub kradzieży środków finansowych”

– ostrzega Komisja Nadzoru Finansowego. Urzędnicy apelują, by klienci postępowali zgodnie z ustalonymi np. przez banku standardami komunikacji. Podejrzenia powinny wzbudzić e-maile, SMS-y oraz próby kontaktu telefonicznego powołujące się na wejście w życie nowych rozwiązań, gdzie klient proszony jest o przekazanie informacji zawierających dane wrażliwe, m.in. dane logowania do bankowości elektronicznej, kody autoryzacyjne i kody PIN czy dane osobowe.

Z dystansem trzeba podchodzić do informacji o konieczności zmiany hasła lub innych danych do logowania za pomocą przesłanego linku internetowego, a podejrzane załączniki najlepiej od razu usuwać.

Z kolei FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa Związku Banków Polskich podało właśnie, że po 14 września w sieci pojawiły się fałszywe stron internetowe. Serwis zaufanatrzeciastrona.pl pokazał podrobione strony m.in. operatora płatności PayU, Santandera, Aliora i Getin Banku. Dlatego zanim podamy login i hasło, koniecznie trzeba sprawdzić, czy faktycznie jesteśmy na stronie internetowej banku. Wystarczy spojrzeć na pasek adresu i upewnić się, czy jest to adres należący do banku.

Przeczytaj też: Bank nie przyznał kredytu? Wkrótce będzie musiał szczegółowo wyjaśnić powód takiej decyzji. Będzie uczciwiej? Niekoniecznie

Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

…i wysokie rachunki za telefon!

Z kolei Związek Banków Polskich ostrzega też przed kosztami, które mogą się pojawić podczas logowania się do banku za granicą. Jedną z dodatkowych metod logowania w niektórych bankach jest mobilna autoryzacja, a więc w smartfonie trzeba włączyć transfer danych. W krajach Unii Europejskiej koszty nie powinny być wysokie, ale korzystając z internetu w krajach spoza Unii, można popłynąć finansowo. Co prawda transfer danych związany z potwierdzeniem logowania do bankowości internetowej poprzez aplikację nie jest duży, ale włączając transferu danych przez sieć komórkową ryzykujemy tym, że w tle inne aplikacje pobierać będą uaktualnienia.

Dlatego wyjeżdżając za granicę do krajów spoza UE, warto sprawdzić jakie dodatkowe sposoby uwierzytelnienia są wymagane przez bank od 14 września i wybrać taką, która nie wymaga włączenia transferu danych. Może to być np. kod SMS.

22
Dodaj komentarz

avatar
10 Comment threads
12 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
14 Comment authors
darotMichałLukeWitekAnna Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Tomasz
Gość
Tomasz

Czyli to nie dyrektywa jest zła, tylko implementacje banków? Strasznie onetowy tytuł…

gosc
Gość
gosc

Osobom interesującym się bezpieczeństwem polecam raport RF, CERT, KNF i prokuratury. Te raporty świetnie się uzupełniają bo każdy analizuje inny aspekt kradzieży z internetowych kont. Nieautoryzowane transakcje płatnicze – analiza Rzecznika Finansowego 2019 https://rf.gov.pl/sprawy-biezace/Nieautoryzowane_transakcje_platnicze_____analiza_Rzecznika_Finansowego__23018 POLECAM: str 19 – Z akt Rzecznika Finansowego (zawiera przykłady oszustw) Krajobraz bezpieczeństwa polskiego Internetu w 2018 roku. Raport roczny z działalności CERT Polska https://www.cert.pl/publikacje/ POLECAM: 38 – 55 analiza złośliwego oprogramowania, np. Anubis na smartfony z modułem RAT (Remote Access Trojan) 59 Fałszywe strony pośredników płatności 71 Technika duplikowania kart SIM 111 Phishing Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa związane z bankowością elektroniczną, (raport… Czytaj więcej »

obatel
Gość
obatel

po prostu kolejna nikomu niepotrzebna rzecz, która kosztuje mnóstwo roboczogodzin – zarówno usługodawców jak i usługobiorców…
tak samo z ostrzeżeniem o ciasteczkach…
brawo EU…
bezpieczeństwa nie podnosi się wprowadzając kolejne zakazy i nakazy, ale przez edukację. a jak któryś oporny, to niech płaci za swoje błędy sam

mKlient
Gość
mKlient

„mBank tłumaczy, że problem wynika z tego, iż do 14 września musiał zdążyć z kluczowymi zmianami, na resztę nie starczyło po prostu czasu. ” Tłumaczenie mBanku zupełnie mnie nie przekonuje. 14 września klienci mieli wiele rożnych problemów z logowaniem, które dokładnie opisał Niebezpiecznik: Problemy klientów mBanku po wejściu PSD 2 https://niebezpiecznik.pl/post/problemy-klientow-mbanku-po-wejsciu-psd-2/ Nawet kluczowe zmiany nie zostały wprowadzone solidnie. Ja przez przeszło tydzień wogóle nie mogłem się zalogować. Do teraz przy różnych operacjach w serwisie transakcyjnym wyskakują mi komunikaty o błędach. Do tego: – mBank wprowadził w maju zmiany dotyczące prezentacji historii operacji, – mBank na 28 pazdziernika planuje premiere nowego… Czytaj więcej »

Michał
Gość
Michał

Historię zmienili przedwczoraj wieczorem, a nie w maju. Reszta pełna zgoda.

mKlient
Gość
mKlient

07.05.2019
mBank wprowadza zmiany do serwisu transakcyjnego. Pojawi się m.in. nowy sposób prezentacji historii operacji
https://www.cashless.pl/5772-mBank-serwis-transakcyjny-zmiana-historii-operacji

Michał
Gość
Michał

U mnie oraz trojga moich znajomych zmiany w historii wprowadzili 21.10 wieczorem.

Witek
Gość
Witek

Bo to kolejna zmiana

Luke
Gość
Luke

W maju zapowiedzieli, od października wprowadzają zmiany po kolei u różnych klientów.

mKlient
Gość
mKlient

W każdym razie wygląda na to, że w okresie przygotowywania PSD2 realizowane były dwa inne projekty. U mnie nowa historia była dostępna już wiosną i nie działała do końca poprawnie, wdrożenie PSD2 14.09 spowodowało, że wielu klientów miało problemy z logowaniem i specjaliści z Niebezpiecznik.pl od razu wytknęli im błędy przy wdrożeniu. Te błędy nie zostały jeszcze usunięte a oni zapowiadają na 28.10 premierę nowego pulpitu. Wydaje mi się, że dział dział marketingu w mBanku ma więcej do powiedzenia niż dział bezpieczeństwa. Dział marketingu zapomina, że lepszą reklamą jest brak problemów z logowaniem i brak artykułów o kradzieżach z kont… Czytaj więcej »

Michał
Gość
Michał

Co ma piernik do wiatraka? Różne projekty, różni ludzie. Wstrzymywać jeden projekt, bo drugi wcale z nim nie kolidujący jest ważniejszy? Bezsens.

mKlient
Gość
mKlient

Myślisz, że przy obecnej sytuacji na rynku pracy mają aż tylu informatyków aby tymi 3 rzeczami zajmowali się zupełnie różni ludzie? Jeśli nawet, to to oznacza, że zespól od PSD2 dostał za mało ludzi bo zupełnie poległ.
Są banki, w których wszystko poszło bardzo sprawnie – nie było żadnych problemów.

Michał
Gość
Michał

Już ponad 10 lat temu skrzynki mailowe potrafiły być zabezpieczone drugim składnikiem (wtedy SMS), a logowanie z nietypowych lokalizacji (np. inny kraj lub dostawca internetu) wymuszały przejście dodatkowej weryfikacji. Banki wprowadzają coś podobnego dopiero po wielu latach, bo je do tego zmuszono. Sami widzimy z jakim zaangażowaniem i starannością to robią.

Marcin
Gość
Marcin

Chciałem dodać że mBank ma o wiele większy problem z tymi zaufanymi urządzeniami bo w moim przypadku loguje sie do mBanku z tego samego komputera zawsze ale mBank tego nie rozpoznaje za każdym razem i już mam 9 zaufanych urządzeń dodanych do mBank tylko że to ten sam komputer cały czas ☹️

Porażka na całego

Waldek
Gość
Waldek

Może masz zmienne IP?

Michał
Gość
Michał

Zaufana jest przeglądarka, a nie łącze. Prawdopodobnie przeglądarka ma ustawione czyszczenie cookie lub czyści je np. antywirus.

Juliusz
Gość
Juliusz

Nie mam niestety możliwości sptawdzenia tego osobiście ale co do kilku osób próbujących dodać do zaufanych urządzeń ten sam tandem komputer+przeglądarka rozwiązaniem powinno być korzystanie z odrębnych profili użytkowników.
W Firefoxie chodzi o konta usługi Sync, dla Chrome w prawym górnym rogu jest ikona awatara.
Mam nadzieję że pomoże. Szkoda że mBank w odpowiedzi nie usciślił tego. Bo to że z takim tandemem można powiązać dowolna liczbę kont Gmail, nie oznacza że banki mogą stosować takie uproszczone rozwiązanie.

Olek
Gość
Olek

„Zgodnie z nimi, z jednego urządzenia pod jednym adresem IP i jednej przeglądarki może korzystać jedna osoba” – pytanie co to znaczy „jedna przeglądarka”? Jeśli każdy użytkownik ma własne konto w Windows, to teoretycznie Chrome odpalany z konta A powinna być traktowana jako niezależna od Chroma z konta B. Czyżby małżonkowie byli leniwi i mieli po prostu jedno wspólne konto w systemi (co gorsza, pewnie administracyjne)?

Anna
Gość
Anna

Małżonkowie miewają – tak…tak…- różne konta ale z tym samym hasłem i/lub loginem, taka symbioza.

Olek
Gość
Olek

Jeśli jest ten sam login, to nie są to różne konta 🙂 a jeśli dwa różne loginy, nawet z tym samym hasłem, to są to dwa osobne „profile” przeglądarki, i powinny być widziane przez bank jako takie. Jeśli nie są, to informatycy mBanku skopali sprawę 🙂

Anna
Gość
Anna

Co do zaufanych urządzeń, to mnie do rozpuku rozśmieszył a potem bbb…aaa…rdzo rozeźlił „Facebook”.Tu wprawdzie widzę zaufaną maszyne i mogę ją kliknąć albo nie, jeśli mi się tak (nie)podoba ALE tak czy siak m u s z e wpisywać kody ,które potrafią iść -to rekord – 5 minut a potem i tak przychodzi komunikat na maila, że zauważono nieuprawnione logowanie w miejscu, z którego się właśnie człek loguje.Na szczęście dzięki temu, co w zdaniu 1szym można cały 2poziomowy sposób wysłać tam, gdzie mu najlepiej: w Kosmos 😉 Taki kwiatek 🙂

darot
Gość
darot

Witam
w ing od 14.09 nie dostalem ani razu smsa gdy logowalem sie do banku poprzez strone www, tylko tak sie loguje

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss