Zmiany w sposobie logowania do banków. Oto, co nowego będzie w Twoim banku

Od 14 września banki będą musiały dostosować się do zasad z unijnej dyrektywy PSD2. Jedną z ważniejszych zmian może być bardziej skomplikowany niż dotychczas sposób logowania do systemu bankowości internetowej. Oto, co i jak zmieni się w konkretnych bankach.

Jeśli za około dwa tygodnie przy logowaniu do systemu e-bankowości swojego banku zostaniesz niespodziewanie poproszony nie tylko o login i hasło (jak zwykle), ale także np. o wpisaniu kodu otrzymanego SMS-em - nie stresuj się, że coś tu nie gra, że nigdy tak nie było. Będzie to związane z wdrożeniem przez banki reguł z unijnej dyrektywy PSD2.

Najpóźniej od 14 września przy logowaniu do bankowości internetowej banki będą musiały stosować tzw. silne uwierzytelnienie (choć nie zawsze, o czym dalej). Oznacza to, że klient będzie musiał potwierdzić swoją tożsamość przy zastosowaniu dwóch z trzech elementów:

  • wiedza - coś, co tylko ten klient wie, np. hasło, PIN

  • posiadanie - coś, co tylko ten klient ma, np. telefon z kartą SIM, karta płatnicza

  • cecha klienta - coś, co tylko tego klienta charakteryzuje, tj. cechy biometryczne jak np. odcisk palca

Silne uwierzytelnienie w praktyce

Co w praktyce będzie to oznaczało dla użytkowników bankowości internetowej? Czasem nieco dłuższy proces logowania. Dziś bowiem standardowo logujemy się za pomocą loginu i hasła, czyli wyłącznie jednego sposobu uwierzytelnienia ("wiedza"). Banki dołożą więc drugi - ten związany z "posiadaniem" telefonu. Aby dostać się do serwisu e-bankowości, poza loginem i hasłem trzeba będzie zwykle podać kod otrzymany SMS-em albo potwierdzić logowanie przy pomocy mobilnej autoryzacji w aplikacji mobilnej banku.

Reguły logowania będą więc analogiczne do tych, jakie dziś stosujemy np. realizując przelew czy wpisując czyjś numer konta do odbiorców zdefiniowanych. Takie operacje również potwierdzamy kodem SMS czy poprzez autoryzację mobilną. 

Zmiana jest oczywiście związana z poprawą bezpieczeństwa. Dyrektywa unijna nie wymusza stosowania silnego uwierzytelnienia przy każdym logowaniu, więc niektóre banki nie będą wymagały podania dodatkowego kodu SMS czy autoryzacji mobilnej za każdym razem. W takim przypadku silne uwierzytelnienie będzie jednak konieczne przynajmniej raz na 90 dni. 

W pojedynczych bankach mogą nastąpić też jakieś zmiany z sposobie logowania do aplikacji mobilnej. Tutaj jednak nowości nie będą powszechne.

Poniżej tłumaczymy, co konkretnie zmieni się w największych bankach w Polsce.

UWAGA! Pokazujemy najważniejsze zmiany na podstawie naszych zapytań do banków. Jednak lektura tego artykułu nie zastąpi uważnego zapoznania się z korespondencją z Twojego banku. Banki albo już przygotowały dla klientów "kompendia" wiedzy o nowościach, albo udostępnią je wkrótce. Wiele z nich już dziś prowadzi "zmasowaną" akcję informacyjną (np. e-maile, wiadomości z systemie bankowości internetowej i mobilnej, informacje na stronie), aby jak najwięcej klientów było świadomych nadchodzących zmian.

Pekao

Bank Pekao informuje, że silne uwierzytelnienie podczas logowania (SMS albo autoryzacja mobilna) będzie wymagane nie rzadziej niż raz na 90 dni. Bank dodaje, że pracuje nad wdrożeniem rozwiązania Device Finger Printing (tzw. "odcisk palca przeglądarki"), by zminimalizować konieczność używania dodatkowego uwierzytelnienia podczas logowania.

Logowanie do aplikacji mobilnej zmieni się tylko w przypadku, gdy klient loguje się biometrycznie i wymagane jest silne uwierzytelnienie. W tej sytuacji, podczas logowania w aplikacji mobilnej PeoPay, klient oprócz logowania biometrycznego zostanie poproszony o podanie kodu PIN.

mBank

mBank będzie stosował kody SMS oraz mobilną autoryzację - standardowo przy każdym logowaniu. Mobilna autoryzacja będzie możliwa oczywiście z poziomu aplikacji banku, ale zostanie także udostępniona klientom aplikacja mBank Token. Co jednak istotne, będzie ona umożliwiała wyłącznie mobilną autoryzację (nie będzie miała innych funkcjonalności aplikacji mobilnej mBanku). 

Klienci mBanku będą mogli uniknąć silnego uwierzytelnienia przy każdym logowaniu. W tym celu konieczne będzie dodanie (w systemie bankowości internetowej) komputera do urządzeń "zaufanych". Wówczas mBank będzie prosił o dodatkowe uwierzytelnienie (kodem SMS albo mobilną autoryzacją) tylko co jakiś czas - przynajmniej co 90 dni.

Ważne! Od 14 września nie będzie można w mBanku korzystać już z listy haseł jednorazowych.

Więcej o zmianach w mBanku przeczytasz w tym artykule oraz na stronie mBanku.

PKO BP i Inteligo

PKO Bank Polski informuje, że sposób logowania do serwisu internetowego nie zmieni się. Od 14 września będą stosowane te metody i narzędzia autoryzacyjne, które są stosowane obecnie, np. potwierdzenie logowania w aplikacji mobilnej IKO. "W późniejszym czasie podczas logowania do serwisów bankowości może pojawić się prośba o kod z narzędzia autoryzacyjnego" - donosi bank. Dodaje, że trwają prace nad wdrożeniem rozwiązania pozwalającego dodanie urządzenia do "zaufanych" tak, aby logowanie było krótsze.

PKO BP informuje też, że poprosi o dodatkową autoryzację klienta, który będzie chciał zobaczyć historię swojego konta starszą niż 90 dni.

Więcej o zmianach w PKO BP można przeczytać na dedykowanej stronie banku.

Santander Bank

Jak informuje Santander Bank (dawny BZ WBK), będzie on prosił przy logowaniu o dodatkową autoryzację za pomocą smsKodów, tokena albo mobilnego podpisu (autoryzacja mobilna). Będzie możliwe jednak zdefiniowanie urządzenia jako zaufanego, dzięki czemu silne uwierzytelnienie będzie potrzebne tylko raz na jakiś czas.

W przypadku aplikacji mobilnej Bank będzie wymagał zaufania urządzenia, by z niej korzystać. Logowanie za pomocą smsKodu/tokenu/mobilnego podpisu nie będzie wymagane (tylko opcjonalne dla klienta)

- dodaje bank.

BNP Paribas

Jak informuje bank BNP Paribas, przy logowaniu do bankowości internetowej będzie on stosował kody SMS jako metodę dodatkowego uwierzytelnienia. Klienci będą mogli dodać komputer do zaufanych urządzeń, dzięki czemu logowanie nie będzie wymagało wprowadzania numeru identyfikacyjnego (loginu).

Alior Bank i T-Mobile Usługi Bankowe

Alior Bank planuje wprowadzić silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać za pośrednictwem systemu bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną.

Więcej o zmianach w Alior Banku w tym artykule oraz na stronie internetowej banku.

Bank Millennium

Bank Millennium poinformował nas, że proces logowania zostanie oczywiście dostosowany do wymagań dyrektywy PSD2 - ale o szczegółach jeszcze nie informuje klientów.

Projektując zmiany staraliśmy się połączyć dostosowanie tych procesów do wymogów prawnych z wygodą i dostarczeniem najlepszego doświadczenia klientom. W celu uwierzytelnienia będziemy stosowali dotychczas wykorzystywane metody autoryzacji, czyli wiadomość SMS oraz Autoryzację Mobilną. O szczegółach zmian poinformujemy wkrótce. Staramy się, by zmiany były wprowadzone w sposób najmniej odczuwalny dla klientów

- czytamy w odpowiedzi na nasze pytania.

Eurobank (Euro Bank SA)

Każde logowanie do systemu bankowości internetowej eurobanku będzie wymagało podania hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji. Nie będzie możliwości "zaufania" przeglądarki albo urządzenia". Więcej o zmianach w eurobanku na stronie banku.

Warto pamiętać, że w związku z połączeniem eurobanku i Banku Millennium, klientom tego pierwszego banku od 11 listopada zostanie udostępniony system bankowości internetowej i aplikacja mobilna Banku Millennium.

Bank Pocztowy

W Banku Pocztowym logowanie przy logowaniu potrzebna będzie dodatkowa autoryzacja kodem SMS lub tzw. certyfikatem. Metodę klient wybierze samodzielnie. Bank nie przewiduje możliwości dodania danego urządzenia do "zaufanych", aby silne uwierzytelnienie było potrzebne rzadziej.

ING Bank Śląski

ING Bank Śląski dodatkowe potwierdzenie logowania oraz operacji wprowadził już 20 sierpnia. Nie za każdym razem, ale może poprosić klienta przy logowaniu do systemu bankowości internetowej o kod SMS.

Jeśli ktoś loguje się do aplikacji mobilnej odciskiem palca lub face ID - może zostać poproszony dodatkowo o autoryzację kodem PIN. 

Za każdym razem, gdy będziesz się logować lub zlecać dyspozycje w aplikacji, nasz system bezpieczeństwa błyskawicznie przeanalizuje sytuację i dobierze odpowiedni sposób autoryzacji. Oceni też, czy dodatkowa autoryzacja jest potrzebna

- tłumaczy bank kwestię tego, kiedy silne uwierzytelnienie jest konieczne.

Credit Agricole

Jak informuje Credit Agricole, w pierwszym etapie po autoryzacji logowania do bankowości internetowej bank będzie stosować głównie SMS-y. Pracuje jednak nad rozszerzeniem metod m.in. o autoryzację mobilną.

Jeśli chodzi o dodawanie przeglądarek do zaufanych - na razie nie idziemy w tym kierunku

- dodaje bank. 

Getin Bank

Klienci Getin Banku będą musieli potwierdzać logowanie do systemu bankowości internetowej kodem SMS lub autoryzacją mobilną. Jednak swoje urządzenie (np. komputer) będą mogli dodać do "urządzeń zarejestrowanych" - wówczas standardowo logowanie będzie się odbywało tak, jak dotychczas.

Nest Bank

Nest Bank informuje, że sam sposób logowania do bankowości internetowej nie ulegnie zmianie. Bank będzie nadal wymagał loginu, hasła i awatara nadanego przez użytkownika.

Jednak już po zalogowaniu do panelu klienta, przy próbie przejścia do niektórych elementów serwisu i historii starszej niż 90 dni, system będzie wymagał podania kodu SMS wysłanego na telefon klienta lub autoryzacji operacji w aplikacji mobilnej (jednorazowo w ramach danej sesji)

- tłumaczy bank.

Czytaj też: Przelew z innego konta niż to, na które się zalogowałeś. Takie rzeczy w bankach już za miesiąc

BOŚ Bank

Klienci detaliczni BOŚ Banku będą korzystać (do wyboru) z dwóch metod uwierzytelniania logowania - dotychczas dostępnej autoryzacji kodami SMS oraz wprowadzanej właśnie autoryzacji mobilnej. Klienci korporacyjni BOŚ Banku będą mogli korzystać z trzech metod uwierzytelnia: autoryzacji mobilnej, podpisu niekwalifikowanego oraz podpisu kwalifikowanego.

Bank nie planuje wprowadzania możliwości dodania urządzenia do "zaufanych", co skróciłoby proces logowania.

Citi Handlowy

Logowanie do systemu e-bankowości Citi Handlowego trzeba będzie potwierdzać kodem SMS-owym albo autoryzować mobilnie. Bank informuje, że pracuje nad rozwiązaniem, które pozwoli uwierzytelnić logowanie bez dodatkowych działań. 

Czytaj też: Płacisz kartą? Możesz być częściej proszony o PIN. Dużo zależy od Twojego banku. Znamy plany konkretnych banków

>>> Z jakiej przeglądarki korzystasz? Te mają duże szanse, aby zastąpić Google Chrome

Więcej o:
Komentarze (42)
Zmiany w sposobie logowania do banków. Oto, co nowego będzie w Twoim banku
Zaloguj się
  • bosmak

    Oceniono 16 razy 16

    Najważniejsza zasada- jak już zostaniesz poproszony o SMS, to go koniecznie przeczytaj. A jeżeli zdarzy się, że za chwilę zostaniesz poproszony o kolejny SMS, to go 3 razy przeczytaj i upewnij się, że robisz dokładnie to, co jest opisane w SMS.

  • druga_wieza

    Oceniono 5 razy 5

    Sprawa jest prosta:
    1. To nie zły bank, lub złośliwy prezes, to Unia.
    2. Unia nie wymyśliła niczego głupiego, to przemyślana sprawa. Znana i wdrażana od dawna.
    3. Chodzi o zabezpieczenie przed oszustami. Zabezpieczenie klienta, choć zwykle za jego błędy i tak płaci bank (ale nie zawsze). Natomiast zostać bez kasy gdzieś za granicą to słaba zabawa.
    4. Będzie bezpieczniej. Czasami trochę trudniej, dłużej, ale BEZPIECZNIEJ. Bo bezpieczeństwo KOSZTUJE. Niekoniecznie kosztem są pieniądze, czasami jest nim wygoda. No bo przecież bez logowania i haseł byłoby łatwiej i szybciej ;-)))
    5. Jest jeszcze jeden istotny aspekt, o którym nie chcą mówić głośno: nieuczciwi klienci udający ofiary ataku. Skimming? Ależ prościej jest samemu dać kartę do sklonowania, potem wyrobić sobie alibi i zażądać od banku zwrotu wypłaconych "przez hackera" pieniędzy! Nieprawdopodobne? Niestety, ale pisały o tym gazety, gdy policja aresztowała taką szajkę. To samo można zrobić z logowaniem do komputera. Ale już niedługo, bo samo hasło nie wystarczy, więc nie będzie mowy o złym hackerze. Chyba, że zły hacker ma twój telefon i twój odcisk palca.
    Pytanie, ile ofiar sklonowanej karty SIM, to żadne ofiary, tylko uczestnicy przekrętu? Oprócz sklonowania karty u teleoperatora trzeba znać hasła, itp. Najłatwiej je zdobyć od nieuczciwego właściciela.

  • bofhus

    Oceniono 5 razy 1

    W tym cyrku brakuje mi tylko jednego - odpowiedzialności banków za bezpieczeństwo SMS. Skoro wymuszają używanie SMSów, to powinny ponosić wszelką odpowiedzialność za nadużycia związane z odczytaniem SMSa przez przestępców, niezależnie od sposobu, w jaki się do niego dobrali. Także wtedy, gdy komórka zostanie ukradziona - nikt rozsądny nie nosi ze sobą wszędzie tokena / kodów jednorazowych, ale komórkę już owszem.

  • balajanek

    Oceniono 5 razy 1

    Martwi mnie to, bo jadę za granicę UE, co będzie jak zmienię kartę SIM lub roamingu nie będzie?

  • udet1124

    Oceniono 3 razy -1

    Jak złodziej na dowód kolekcjonerski wyrobi duplikat karty sim to leży każde logowanie.

  • truten.zenobi

    Oceniono 3 razy -1

    sądzac po tym co wprowadziło pekao zmiany ssprowadzają się li tylko na przerzuceniu kosztów i odpowiedzialności na klienta.

    powiem jeszcze tak że gro problemów z kradzieża tożsamości i wyłudzeniami wynika li tylko indolencji banków i wymiaru sprawiedliwości - łatwiej jest się skupić na okradaniu osby której dane zostały uzyte niż ścigac prawdziwych sprawców - w efekcie bezkarność rozuchwala i skala tego typu przestepstw rośnie.. w efekcie banki "uszczelniają sysetem" poprzez ograniczenie dochodzenia swoich praw przez przypadkowe osoby-ofiary ich roszczeń.
    bo przypomnę jeśli ktoś oszukał/zhakował/obszedł zabezpieczenia to tak naprawdę okradł bank.

  • ganro

    Oceniono 13 razy -1

    Wszystkie banki, które nie umożliwią dodania komputera do zaufanych mogą się pożegnać z moim kontem u nich.

  • brusiek11

    Oceniono 6 razy -4

    Ciekawy myk z tą "dyrektywą"
    Moja sąsiadkę, starowinkę ale byłą długoletnią pracowniczkę jednego z europejskich banków - bardzo to wszystko ubawiło... szczególnie ten zapowiadany "wzrost bezpieczeństwa i dbałość o interes klienta" - jej zawodowa intuicja widzi w tym wszystkim zapowiedź wprowadzenia odpłatności za wysyłanie klientowi sms-ów oraz cichy ale bardzo korzystny dla banków, pakt napędzania klientów sieciom komórkowym - wymuszanie posiadanie komórki.
    O ile klient nie popełnia podstawowych błędów - dotychczasowe indywidualne listy haseł oraz systemy z tokenem są i będą najbezpieczniejsze - wprowadzanie pomiędzy bank a klienta, trzeciego pośrednika /sieci komórkowe/ i uzasadnianie tego "wzrostem bezpieczeństwa' jest kolejnym bzdurnym pomysłem dla ciemnego ludu.

  • stenrw

    Oceniono 13 razy -7

    Zmiany sprowadzają się do ułatwienia życia złodziejom: jak złdzxieje na wkacjach zwiną torebkę z dokumentami, telefonem i kartami bankomatowymi, to zastrzeżnie konta będzie niemożliwe przez miesiąc - do wyrobienia nowego dowodu. Genialne!

Aby ocenić zaloguj się lub zarejestrujX