31 grudnia 2020

Robisz zakupy w internecie? Od nowego roku czekają cię ważne zmiany w zatwierdzaniu transakcji! Ma być bezpieczniej, ale czy nie będzie trudniej?

Robisz zakupy w internecie? Od nowego roku czekają cię ważne zmiany w zatwierdzaniu transakcji! Ma być bezpieczniej, ale czy nie będzie trudniej?

By zapłacić kartą w sklepie internetowym, nie wystarczy już wpisanie w bramce płatniczej danych z karty, a więc imienia i nazwiska, numeru karty, daty ważności i tzw. kodu CVV. Żeby dać transakcji zielone światło, bank zażąda co najmniej dwóch metod uwierzytelnienia klienta. Banki stawiają na potwierdzenie mobilne. Co oferują tym, którzy z bankowości mobilnej nie korzystają?

Ostatniego dnia 2020 r. wchodzi w życie część unijnych przepisów dotyczących usług płatniczych. Mam na myśli dyrektywę PSD2, która obowiązuje już od września ubiegłego roku. W dużej mierze dotyczy ona bezpieczeństwa transakcji bezgotówkowych.

Zobacz również:

W ciągu ostatnich kilkunastu miesięcy wpływ tej dyrektywy mogliście odczuć na własnej skórze. Na przykład wtedy, gdy płaciliście kartą w sklepie. Zasada jest taka, że płatności do 50 zł, a mniej więcej od połowy roku – do 100 zł – nie wymagają podania kodu PIN karty. Mogło się jednak tak zdarzyć, że terminal płatniczy – mimo że wartość transakcji nie przekraczała tego limitu – wymusił podanie PIN-u.

To właśnie przykład takich zmian. Co piąta bowiem „bezpinowa” transakcja powinna zakończyć się wpisaniem kodu. To dla naszego bezpieczeństwa. Nawet jeśli ktoś ukradnie nam kartę, złodziej uszczupli nasze konto o maksymalnie 400 zł (cztery transakcje bezpinowe po 100 zł). Za piątym razem musiałby podać PIN.

Inaczej też logujemy się do bankowości elektronicznej. Może się zdarzyć, że oprócz podania loginu i hasło, trzeba podać np. kod przesłany SMS-em. Albo do bankowości internetowej wchodzimy tylko z loginem i hasłem, ale poszczególne operacje, np. przelewy czy zmiana limitu wydatków, wymaga podania kodu jednorazowego lub potwierdzenia czynności w bankowości mobilnej.

Przeczytaj też: Płacenie za zakupy w internecie bez PIN-ów, kodów i haseł? Zamiast tego smartfon w dłoni i odcisk palca lub skan twarzy. Idzie rewolucja!

Przeczytaj też: Zmiany w logowaniu i płaceniu za zakupy. Nowe usługi bankowe, błyskawiczne reklamacje i niższa odpowiedzialność za fraudy. Wchodzi w życie PSD2. Co musisz wiedzieć?

Płatności w internecie coraz bezpieczniejsze

Dyrektywa PSD2 przewiduje podniesienie poprzeczki bezpieczeństwa również w przypadku płacenia kartami w internecie, ale wejście tych przepisów przesunięto z września 2019 r. na koniec grudnia 2020 r. W praktyce po nowemu płacić będziemy od nowego roku. Unijne przepisy wprowadzają tzw. silne uwierzytelnienie klienta (SCA, co jest skrótem z języka angielskiego: strong customer authentication), czyli procedurę umożliwiającą weryfikację tożsamości posiadacza karty.

Co ważne, jeśli dostawcy usług płatniczych nie wdrożą silnego uwierzytelnienia, to oni odpowiadać będą za nieautoryzowane transakcje, chyba że klient działał umyślnie.

Jeszcze kilka lat temu płacenie w sklepach internetowych wymagało podania przez klienta danych z karty, a więc imienia i nazwiska, numeru karty, daty ważności i znajdującego się na rewersie karty trzycyfrowego kodu zabezpieczającego, tzw. CVV. Znajomość tych danych z reguły wystarczyła, by zrobić zakupy w internecie. A jeśli te dane wpadły w niepowołane ręce, mogło robić się nieciekawie. Większość banków już od pewnego czasu stosuje dodatkowe zabezpieczenia, np. system 3D Secure. Klient – oprócz podania danych widniejącej na karcie – musi podać jeszcze jednorazowy kod przesłany przez bank w wiadomości SMS.

Niedoskonałość płatniczych rozwiązań w internecie, wykorzystał też BLIK. W tym przypadku każda płatność internetowa wymaga podania jednorazowego kodu BLIK (sześć cyfr), a poza tym trzeba ją zatwierdzić hasłem czy PIN-em do bankowości mobilnej.

Przeczytaj też: Płacenie palcem już jest. A kiedy zapłacimy okiem i głosem? To wciąż futurystyka czy całkiem bliska przyszłość?

Przeczytaj też: Czy analiza sposobu pisania na klawiaturze może zastąpić login i hasło do banku? Kilka milionów Polaków sprawdzi działanie biometrii behawioralnej

Wiedza, posiadanie lub cechy klienta

Co zmieni dyrektywa PSD2? W praktyce, podczas zakupów internetowych, za które płacić będziemy kartą, bank autoryzujący transakcję będzie musiał wykorzystać co najmniej dwie z trzech kategorii uwierzytelniania klienta. Pierwsza kategoria to „wiedza”, czyli coś, co zna tylko użytkownik. Może to być PIN, hasło wielorazowe, tajne pytanie, np. o nazwisko panieńskie matki, albo np. określony wzór na ekranie smartfona, tzw. wężyk.

Druga kategoria to „posiadanie”, a więc coś, co tylko użytkownik posiada, a więc np. smartfon z kartą SIM przypisaną do numeru telefonu użytkownika lub odpowiednia aplikacja w smartfonie. Ale żeby to zadziałało w kontekście wymogów dyrektywy PSD2, urządzenie, czyli telefon, komputer czy tablet, za pośrednictwem którego dokonujemy zakupów internetowych, musi być w systemie banku dodane jako tzw. urządzenie zaufane.

Trzecia kategoria to „cecha użytkownika”, a więc coś, czym użytkownik jest. I w tym miejscu otwiera się pole do popisu m.in. dla biometrii. Klient może dodatkowo się uwierzytelnić odciskiem palca, skanem siatkówki oka, obrazem twarzy, biometrią głosową. Dopuszczalną metodą jest też tzw. biometria behawioralna, czyli np. sposób pisania na klawiaturze komputera.

Podsumowując: żeby sfinalizować transakcję kartową w internecie, oprócz podania danych karty, będziemy musieli dodatkowo wpisać np. kod SMS lub zatwierdzić płatność w aplikacji mobilnej podając PIN (na takiej zasadzie, na jakiej zatwierdzamy przelewy), albo wykorzystać którąś z metod biometrycznych, a więc też potrzebny będzie smartfon.

Przeczytaj też: Bank kojarzony z darmowością podnosi opłaty. To symboliczny koniec ery kont za zero. I czas na to, by oferty banków prezentować w nowy sposób. Oto ranking inny niż wszystkie

Przeczytaj też: Robisz zakupy, podchodzisz do kasy, płacisz kartą i… zaciągasz kredyt ratalny prosto z terminala. To najnowszy pomysł Mastercarda. Ale czy jest tani i bezpieczny?

Transakcje internetowe z użyciem kart wydłużą więc nieco cały proces, ale nagrodą za to ma być zwiększenie bezpieczeństwa naszych internetowych zakupów. Ale jak to zwykle bywa, od reguły są wyjątki, które były wynikiem kompromisu między regulatorem a dostawcami usług płatniczych. I tak, z silnego uwierzytelnienia zwolnione mogą być transakcje niskokwotowe, albo powtarzalne, czyli np. płatności za serwisy subskrypcyjne czy za przejazdy taksówkami.

Tyle teoria. Na koniec przygotowałem poradnik na temat tego, w jaki sposób silne uwierzytelnienie od 1 stycznia stosować będą (lub już stosują) poszczególne banki. Niestety, ze względu na okres świąteczno-noworoczny, nie wszystkie banki wyrobiły się z odpowiedzią. Wraz ze spływaniem kolejnych odpowiedzi, artykuł będę aktualizował.

PKO BP

Obecnie w ramach ochrony 3D-Secure klienci PKO Banku Polskiego podczas zakupów w sklepach internetowych mogą zostać poproszeni o potwierdzenie płatności kartą Visa lub Mastercard przez zalogowanie się do serwisu iPKO i autoryzację wybranym narzędziem, np. kodem z karty kodów lub przez podanie otrzymanego z banku kodu SMS.

W najbliższym czasie bank wprowadzi rozwiązanie, które pozwoli na silne uwierzytelnienie transakcji kartowych mobilną autoryzacją w aplikacji IKO. Będzie ona włączona domyślnie dla posiadaczy aplikacji. Już teraz mogą oni wybrać mobilną autoryzację jako swoje narzędzie autoryzacji (w serwisie iPKO i aplikacji IKO) i potwierdzać w ten sposób przelewy, co pozwoli im zaznajomić się z tym procesem.

Dla klientów, którzy jeszcze nie korzystają z aplikacji mobilnej, bank przygotował alternatywną metodę autoryzacji – kodem SMS i PIN-em do karty.

„Głównym zamysłem tego rozwiązania było maksymalne uproszczenie płatności przez przeniesienie czynności, którą klienci znają ze sklepów stacjonarnych, do sklepów internetowych – wpisywanie PINu w szyfrowanym oknie 3D-Secure ma być odpowiednikiem podawania go w terminalu płatniczym. Aby potwierdzać płatności kodem SMS i PIN-em do karty, wystarczy mieć podany w danych banku aktualny numer telefonu komórkowego, na niego będzie wysyłany SMS z kodem autoryzacyjnym”

Getin Noble Bank

Najpierw procedura dla klientów, którzy korzystają z bankowości mobilnej. Po zainicjowaniu transakcji e-commerce z wykorzystaniem karty płatniczej na ekranie urządzenia zostanie wyświetlony komunikat o konieczności potwierdzenia transakcji na urządzeniu mobilnym. Uwierzytelnienie będzie polegało na zalogowaniu się do bankowości mobilnej przypisanej do konkretnego użytkownika. Żeby zalogować się do bankowości mobilnej, klient musi podać PIN lub użyć tzw. wężyka.

Alternatywnie bank planuje zaproponować użytkownikowi zalogowanie przy użyciu tzw. metody TouchID lub FaceID, czyli metodami biometrycznymi. Transakcję potwierdza się na ekranie urządzenia mobilnego.

W przypadku klientów korzystających tylko z bankowości internetowej, po zainicjowaniu transakcji e-commerce z wykorzystaniem karty nastąpi przekierowanie do bankowości internetowej Getin Banku. Uwierzytelnianie będzie polegało na zalogowaniu do bankowości internetowej, z wykorzystaniem loginu oraz hasła. Po zalogowaniu zostaną wyświetlone szczegółowe informacje dot. transakcji (kwota, odbiorca, ostatnie cyfry karty płatniczej, nazwa sprzedawcy) oraz podaniu przez klienta jednorazowego hasła SMS wysłanego na zarejestrowany w banku numer telefonu.

ING Bank

Dla klientów ING Banku silne uwierzytelnienie nie musi być zaskoczeniem. Bank już we wrześniu 2020 r. wprowadził nowy sposób potwierdzania płatności kartami w internecie, który spełnia wymogi SCA wynikające z dyrektywy PSD2.

Zgodnie z nim, klienci posiadający aplikację mobilną Moje ING mogą szybko i łatwo potwierdzać takie płatności bezpośrednio w tej aplikacji. Klienci, którzy nie mają aplikacji mobilnej bądź w danym momencie nie mogą z niej skorzystać, np. są w podróży zagranicznej i nie mają dostępu do internetu w swoim telefonie, mogą autoryzować płatność poprzez zalogowanie się do bankowości internetowej Moje ING i potwierdzenie jednorazowym kodem SMS.

Bank Millennium

Rekomendowanym przez Bank Millennium sposobem potwierdzania transakcji jest autoryzacja mobilna. Klienci którzy nie korzystają z aplikacji, potwierdzając transakcje zostaną przekierowani do logowania do bankowości internetowej, gdzie zautoryzują operację.

Santander Bank

Klientów, którzy  korzystają z aplikacji Santander mobile i mobilnej autoryzacji, podczas niektórych płatności, oprócz danych karty, system poprosi o wpisanie w aplikacji mobilnej PIN-u do mobilnej autoryzacji.

Jeśli klient nie korzysta z mobilnej autoryzacji, podczas niektórych płatności, oprócz danych karty, system poprosi o kod 3D Secure wysłany w wiadomości SMS i PIN do karty.

Natomiast klientów, którzy korzystają z usług bankowości elektronicznej (Santander online, Mini Firma, Moja Firma plus), ale nie korzystają z mobilnej autoryzacji, podczas płatności, oprócz danych karty, system poprosi o: NIK (czyli login) i hasło – to samo, które podaje się podczas logowania do Santander Internet oraz kod 3D Secure wysłany SMS-em.

Credit Agricole

Klienci Credit Agricole internetowe transakcje kartami już teraz zatwierdzają kodem 3D-Secure, a więc kodem wysłanym SMS-em. Dlatego ważne jest, by bank miał w systemie nasz aktualny numer telefonu.

Natomiast w przygotowaniu są inne rozwiązania. Pierwszy wykorzystywać będzie aplikację mobilną. W tym wariancie transakcja będzie zatwierdzana PIN-em mobilnym lub biometrią urządzenia (czyli wspomniana wcześniej biometria behawioralna) lub face ID (biometria twarzy). Autoryzacja mobilna będzie wymagała aktywacji przez klienta. Co z klientami, którzy nie włączą autoryzacji mobilnej? Podczas płatności kartą w internecie system poprosi ich, obok kodu 3D-Secure, o dodatkowe zatwierdzenie transakcji PIN-em do karty.

Nest Bank

Do 25 stycznia 2021 r. klienci Nest Banku będą autoryzowali transakcje według obecnych zasad. Po 25 stycznia klienci korzystający z bankowości mobilnej będą autoryzowali transakcje kartami poprzez dodanie urządzenia do zaufanych oraz hasło mobilne. Natomiast osoby, które nie posiadają bankowości mobilnej, będą wykorzystywać do tego celu hasło internetowe oraz kod przesłany SMS-em.

mBank

W mBanku nic się nie zmieni, ponieważ procedury już jakiś czas temu dostosowane są do wymogów SCA. Klienci, którzy korzystają z aplikacji mobilnej, autoryzują transakcje kartami w internecie za pośrednictwem mobilnej autoryzacji, czyli tak, jak np. przelewy. Klienci, którzy nie mają aplikacji, potwierdzają transakcje kodem z SMS (3D Secure).

Bank BOŚ

Bank na zmiany przygotowany jest już od połowy listopada. Płatności kartowe w internecie mogą być realizowane z wykorzystaniem autoryzacji mobilnej dostępnej w aplikacji mobilnej lub BOŚtoken (BOŚtoken to aplikacja instalowana na urządzeniu mobilnym, np. smartfonie, umożliwiająca logowanie oraz autoryzację operacji w systemach BOŚBank24 oraz iBOSS24). Korzystając ze sklepu internetowego użytkownik karty płatniczej może korzystać z potwierdzania operacji przy pomocy powiadomień push w aplikacji mobilnej lub BOŚtoken.

Użytkownicy posiadający aplikację mobilną, przy płatnościach kartą w sieci widzą stronę ze szczegółami transakcji i są proszeni o jej potwierdzenie w aplikacji mobilnej lub BOŚtoken. Jeżeli wszystko się zgadza, logują się do aplikacji mobilnej na swoim telefonie i potwierdzają płatność.

W okresie przejściowym klienci mają możliwość korzystania również z dotychczasowej metody uwierzytelniania, czyli kodu wysłanego SMS-em na numer telefonu wskazany w banku.

BNP Paribas

Klienci korzystający z aplikacji mobilnej uwierzytelniają się przy wykorzystaniu autoryzacji mobilnej z użyciem indywidualnego, poufnego numeru do autoryzacji transakcji (kod PIN do aplikacji mobilnej) lub identyfikatora biometrycznego, np. odcisku palca czy wizerunku twarzy. Natomiast klienci, którzy nie korzystają z aplikacji mobilnej, uwierzytelniają się poprzez wpisanie kodu przesyłanego w postaci wiadomości SMS na wskazany przez posiadacza karty płatniczej numer telefonu komórkowego i dodatkowego pytania zabezpieczającego.

Źródło zdjęcia: Pixabay

Subscribe
Powiadom o
24 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Stef
10 miesięcy temu

Panie Macieju. Bank ING, strona PKP intercity, płatność kartą visa przez eservice nie obsługuje ani kodów sms, ani zatwierdzania w aplikacji. Bank twierdzi, że tak ma być. Ciekawe ile jeszcze takich luk jest internecie.

BdB
10 miesięcy temu
Reply to  Stef

Nie wiem czy to luka, czy heurystyczna ocena ryzyka (ING ma taki mechanizm od ponad 10 lat). Ryzyko na stronie PKP IC jest niższe niż na innych (bilet ważny tylko z dokumentem, zwroty tylko na kartę użytą do płatności).

Stef
10 miesięcy temu
Reply to  BdB

Masz częściowo rację ale mogę kupić 10 szt biletów po 150 zł na 1 przejazd np Krk-Waw, podaję dowolne dane 1 osoby i zabieram 9 znajomych.

BdB
10 miesięcy temu
Reply to  Stef

A to już zgłoś bankowi, że algorytm jest niedopracowany.

BdB
10 miesięcy temu

Tyle egzotycznych banków, a gdzie Alior i też jego kantor?

Janusz
10 miesięcy temu

Wszystko pięnie o ile działa internet.Mogę robić zakupy z komputera stacjonarnego, a niestety mieć brak internetu mobilnego…

BdB
10 miesięcy temu
Reply to  Janusz

Podłącz się do WiFi.

Tony_Montana
10 miesięcy temu

IDEA PRZEJETA PRZEZ PEKAO!!!

Admin
10 miesięcy temu
Reply to  Tony_Montana

Już grzejemy silniki, żeby Wam o tym opowiedzieć 😉

Jan
10 miesięcy temu

I tak to się robi w tym kraju, w nowy rok, po cichu
https://www.money.pl/banki/pekao-przejmuje-idea-bank-6592165921164064a.html

Admin
10 miesięcy temu
Reply to  Jan

Nie po cichu 😉

Jan
10 miesięcy temu
Reply to  Maciej Samcik

Po cichu. Jak po nowym roku zapytam 10 znajomych czy o tym słyszeli to będzie dobrze jak jeden powie, że coś tam słyszał.

Admin
10 miesięcy temu
Reply to  Jan

No, jak ktoś właśnie się przygotowuje do imprezy sylwestrowej, to pewnie nie słyszał 😉

gosc
10 miesięcy temu

„Ma być bezpieczniej, ale czy nie będzie trudniej?”
Prawie wszyscy mieli nadzieję, że PSD2 wprowadzając SCA dla kont bankowych we wrześniu 2019 przyczyni się do poprawy bezpieczeństwa. Niestety liczba i wartość nieautoryzowanych przelewów w pierwszym półroczu 2020 roku była większa niż w pierwszym półroczu 2019 roku. SCA ani trochę nie poprawiło statystyk. Czy wprowadzenie SCA było chybionym pomysłem?
W związku z powyższym wątpię czy SCA dla transakcji online zawieranych kartami podniesie ich bezpieczeństwo.
Co do wygody to czy zatwierdzenie transakcji w aplikacji mobilnej jest trudniejsze niż przepisanie kodu 3D Secure wysłanego smsem?

BdB
10 miesięcy temu
Reply to  gosc

To jest dziwne, bo SCA utrudnia też logowanie z nieautoryzowanej przeglądarki. Socjotechnika jak widać jest silniejsza.

Jarek
10 miesięcy temu

To k może jeszcze by coś kupić w necie trzeba będzie podskoczyć umówioną liczbę razy i tyleż zakładkach uszami? Bezpieczeństwa to nie zmienia w żaden sposób ale życie utrudnia bardzo skutecznie. Widać, że leśne dziadki to ustalały.

Sławomir
10 miesięcy temu

Hmm… A nie prościej dokonując zakupów poprzez internet płacić za pomocą BLIK-a? Obecnie to najszybszy, a co ważniejsze najbezpieczniejszy sposób płatności internetowych. Proszę mnie poprawić, jeśli się mylę.

Admin
10 miesięcy temu
Reply to  Sławomir

Tak, BLIK jest w sieci bardzo fajny, ale karty go dogonią, wprowadzając płatność na jeden klik. No i takie np. Allegro Pay jest jeszcze prostsze, niż BLIK…

bLd
10 miesięcy temu
Reply to  Sławomir

BLIK nie ma chargebacka.

Marcin
10 miesięcy temu

Właśnie wykupiłem dostęp do iCloud Apple podając tylko nr karty i CCV.

Admin
10 miesięcy temu
Reply to  Marcin

Bo to transakcja poniżej progu wartości, od której wchodzi SCA

gosc
10 miesięcy temu
Reply to  Maciej Samcik

Nie wiedziałem, że został ustalony jakiś próg?

Admin
10 miesięcy temu
Reply to  gosc

Jest taki próg, piszemy o nim w tekście

blad201
10 miesięcy temu

Piszecie, że Getin Bank „planuje zaproponować użytkownikowi zalogowanie przy użyciu tzw. metody TouchID lub FaceID, czyli metodami biometrycznymi” a oni to mają już od dobrych kilku miesięcy – od dawna loguję się odciskiem palca.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!