Wprowadzamy zmiany w logowaniu do Mojego ING. Dowiedz się więcej o PSD2.

Być może już słyszeliście, że ING Bank Śląski zmienia sposób logowania do bankowości internetowej, mobilnej i potwierdzania zleceń. Przypominając w dużym skrócie, wprowadzone zostaną następujące zmiany:

1. W trakcie logowania do bankowości internetowej możesz być proszony o kod autoryzacyjny z SMS-a.
2. Logowanie do aplikacji Moje ING mobile może przebiegać na 3 sposoby (tylko PIN, tylko identyfikator biometryczny albo PIN + identyfikator biometryczny).
3. Przy zlecaniu przelewu w aplikacji również możesz być poproszony o kod PIN

Jeśli uważnie śledzicie media to wiecie również, że inne banki też wprowadzają zmiany. Świadomy klient (czyli Ty!) będzie chciał znać powody tego zamieszania.

Czym jest PSD2?

Usługi płatnicze są uregulowane prawem zarówno na poziomie prawa krajowego jak i na poziomie Unii Europejskiej. W Polsce odpowiada za to Ustawa o usługach płatniczych z 2011 roku (potem wielokrotnie zmieniana).

W Unii Europejskiej długo obowiązywała dyrektywa określana jako Payment Services Directive, czyli właśnie PSD. Było to prawo z 2007 roku, a od tego czasu wiele się zmieniło w płatnościach, bankowości i kwestiach bezpieczeństwa. Już w roku 2015 władze UE uchwaliły nową wersję dyrektywy i to jest właśnie PSD2, czyli  Payment Services Directive 2.

PSD2 i bezpieczeństwo

Odnowiona dyrektywa ma pomagać w rozwiązaniu wszystkich nowych problemów jakie pojawiały się w świecie e-finansów w latach 2007-2015. Na pierwszym miejscu jest bezpieczeństwo. Dostrzeżono, że przestępcy są ciągle skuteczni, a czasem wręcz coraz lepsi w wykradaniu lub wyłudzaniu loginów i haseł. Pojawiły się nowe usługi a wraz z nimi nowe formy oszustw. Zauważcie, że w roku 2007 nie było czegoś takiego jak płatności mobilne, a dzisiaj mamy zarówno BLIK-a jak i… niestety… oszustwa na BLIK-a. W tym miejscu przypominam, abyście nigdy nie udostępniali kodu BLIK innej osobie.

Co jeszcze się zmieniło od roku 2007? Przecież właśnie wtedy zaprezentowano iPhone’a pierwszej generacji. 12 lat temu ludzie nie używali masowo smartfonów, a już szczególnie nie używali ich do bankowości. Dziś niemal każdy z nas ma w kieszeni smartfona a w nim aplikację. Nic dziwnego, że zaistniała potrzeba prawnego uregulowania tej kwestii.

A co z płatnościami zbliżeniowymi? Na polskim rynku pojawiły się one dopiero po roku 2008, ale dopiero około roku 2012 stały się na tyle powszechne, aby rozpocząć poważną dyskusję o ich bezpieczeństwie.

PSD2 także dla innowacji

Choć bezpieczeństwo jest ważne to pamiętajcie, że dyrektywa PSD2 nie tylko tego dotyczy.  Jest to kompleksowy zbiór zasad określający jak świadczyć usługi płatnicze, kto może to robić, jakie są prawa i obowiązki konsumentów itd.

Dyrektywa została przygotowana nie tylko z myślą o dniu dzisiejszym, ale także z myślą o innowacyjnych usługach finansowych, które mogą być wprowadzane w przyszłości. Być może już spotkaliście się z terminem „FinTech”, które oznacza wszelkie innowacje w technologiach zwiazanych z finansami. Gdybyśmy mieli określić te usługi dokładniej to moglibyśmy mówić np. o „usługach dostępu do informacji o rachunku”, czyli takich, które pozwalają użytkownikowi na głębszy wgląd w swoje finanse. Drugą grupę nowatorskich usług będą stanowiły „usługi inicjowania płatności”. Pozwolą one np. wcześniej wysłać towar kupiony w sieci dzięki temu, że sprzedawca dostanie gwarancję, iż przelew z zapłatą za towar został zainicjowany. Tego typu usługi nie muszą być świadczone przez bank. Będą je dostarczać tzw. TPP (third party providers). Ci usługodawcy nie będą operować naszymi pieniędzmi, ale będą mogli mieć dostęp do pewnych informacji o naszym rachunku (za naszą zgodą oczywiście).

Ta innowacyjna strona PSD2 była nawet powodem pewnej krytyki pod adresem dyrektywy, ale to nie dyrektywie powinno się oberwać. W roku 2017 na łamach Niebezpiecznika ostrzegaliśmy przed pewną firmą, która dostarczała innowacyjną usługę finansową, ale w czasie rejestracji prosiła o podanie loginu i hasła do banku na swojej stronie(!!!). Niestety trzeba powiedzieć, że ta firma zachęcała swoich klientów do łamania podstawowej zasady bezpieczeństwa! Gdy spytaliśmy firmę dlaczego to robi, ta powołała się - o zgrozo - na wdrażanie PSD2. 

Warto wyjaśnić, że istnieje sposób na korzystanie z innowacyjnych usług finansowych bez ujawniania swojego loginu i hasła. Tym sposobem jest tzw. API, czyli odpowiedni sposób komunikacji między programami i bazami danych. Nie chcę was zamęczać tłumaczeniem jak takie API działa, ale bank ING już w roku 2017 zorganizował hackathon dla programistów, którego celem było znalezienie najlepszych ulepszeń e-finansów z użyciem takiego API. To był dość istotny krok w stronę wdrażania innowacji wykorzystujących potencjał PSD2.

Silne uwierzytelnianie

Istotnym uzupełnieniem PSD2 jest rozporządzenie dotyczące standardów technicznych (Regulatory Technical Standards, czyli RTS). To właśnie ono definiuje warunki, jakie muszą spełnić standardy komunikacji stosowane w nowych usługach. To samo rozporządzenie określa zasady tzw. silnego uwierzytelniania klienta. Obecnie większość banków identyfikuje klienta na podstawie loginu i hasła, czyli na podstawie jednego elementu, który znajduje się “w głowie” klienta.

PSD2 i RTS podnoszą poprzeczkę. Wymagają zastosowania takiego uwierzytelniania, które opiera się na dwóch składnikach, przy czym każdy składnik może być...

• tym, co klient wie (np. klient może znać login i hasło)
• tym, co klient posiada (np. posiada telefon, więc może nim potwierdzić operację)
• tym, co jest cechą klienta (np. odcisk palca).

Rozporządzenie RTS dość dokładnie określa sytuację, w których banki i inne instytucje muszą stosować silne uwierzytelnianie lub mogą od tego odstąpić. Przykładowo przy niskokwotowych transakcjach zbliżeniowych będzie można się obejść bez silnego uwierzytelniania, ale też nie zawsze. Istotne będzie np. czy odnotowano określoną liczbę transakcji od czasu ostatniej dyspozycji uwierzytelnionej w sposób “silny”.

Samo logowanie oparte na dwóch składnikach jest koncepcją od dawna znaną na rynku bezpieczeństwa. Banki w istocie ją stosowały i dlatego np. zlecone operacje wymagały nie tylko zalogowania się do serwisu, ale też potwierdzenia kodem z SMS-a lub w inny sposób. Właściwie PSD2 nie wprowadza wielkiej nowości, ale bardziej rygorystycznie określa kiedy i jak te dwa składniki będą wymagane.

Bezpieczeństwo 2.0

Nie chodzi o to, że wcześniej nie było bezpiecznie. Dotychczasowe praktyki czołowych banków (w tym ING) pozwalały skutecznie zabezpieczać konta bankowe o ile klienci sami nie popełnili błędów np. podając loginy i hasła na sfałszowanej stronie, albo nieostrożnie instalując aplikację będącą bankowym trojanem. Pamiętajcie więc, że nawet najlepsza dyrektywa o płatnościach nie zwalnia was z odpowiedzialności za bezpieczeństwo waszych pieniędzy. Silne uwierzytelnianie jest fajne, owszem. Pomyślcie jednak, że wykonanie przelewu od dawna wymaga dwóch składników, a jednak oszuści znajdowali sposoby na wyłudzanie zarówno haseł jak i kodów jednorazowych. Takie ryzyko nadal będzie istniało, podobnie jak istnieć będą bankowe trojany, podejrzane aplikacje i inne internetowe niebezpieczeństwa.

Musicie też pamiętać, że banki i organizacje kartowe stale szukają kompromisu pomiędzy wygodą a bezpieczeństwem. Pojawiły się głosy, że derektywa PSD2 może nadmiernie skomplikować procesy płatnicze i tym samym zniechęcić ludzi do pewnych rodzajów płatności. Nie zawsze będziecie zadowoleni, jeśli płatność zbliżeniowa zostanie “zakłócona” nagłą potrzebą podania PIN-u. Przyznajcie też szczerze, że nie zawsze byliście szczęśliwi, kiedy przy płatności kartą musieliście podać kod jednorazowy (3D-Secure).

Mówi się, że dyrektywa PSD2 “wchodzi w życie”, ale to nieprawda. Ta dyrektywa już weszła w życie, a do 14 września ma nastąpić jej pełne wdrożenie. Tak naprawdę banki szykowały się na nią już wcześniej. My jako klienci też byliśmy do niej stopniowo wdrażani, tylko nie zawsze mieliśmy tego świadomość.

Bezpieczeństwo nie jest towarem. Nie możemy go sobie kupić 10 kg, żeby nam starczyło na dwa lata. Bezpieczeństwo to proces, ciągły i dynamiczny. Właśnie wszyscy dotarliśmy do kolejnego etapu tego procesu w branży finansowej.