PIN nawet przy niektórych małych zakupach
Zmiana zajdzie m.in. w zakresie potwierdzania kodem PIN płatności zbliżeniowych kartą. Od 14 września dla niektórych z tych opiewających na kwotę niższą niż 50 zł i tak może pojawić się konieczność potwierdzenia jej PIN-em.
Ze względu na tzw. regulacyjne standardy techniczne, banki będą zobowiązane do stosowania silnej autentykacji klienta (tzw. SCA) co szóstej transakcji (piąta może być bez SCA) lub jeśli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro. 150 euro jest jednak kwotą maksymalną, wydawcy mogą ustalić swoją - może być równa lub niższa 150 euro. Każda transakcja z PIN „zeruje licznik” (zarówno w przypadku stosowanego kryterium liczby transakcji, jak i łącznej kwoty transakcji bez SCA). To od banku - wydawcy karty zależy, który z tych dwóch kryteriów będzie zastosowany
- tłumaczy dla next.gazeta.pl Maciej Kornatowski, dyrektor w dziale rozwoju nowego biznesu w polskim oddziale Mastercard Europe.
Będą zatem dwie możliwości. Pierwsza - że nasz bank zdecyduje się na "licznik" kwotowy i potwierdzenie płatności PIN-em będzie konieczne np. gdy bez PIN wydaliśmy z rzędu już np. 600 zł (albo inną kwotę ustaloną przez nasz bank, maksymalnie równowartość 150 euro). Co ciekawe, gdyby limit faktycznie wyniósł 150 euro, to praktycznie... nic się nie zmieni.
- Ze statystyk Mastercard wynika, że zanim drobne transakcje przekroczą limit kwotowy, klient statystycznie zrobi transakcję przekraczającą wartość 50 zł, która i tak wymaga podania kodu PIN - mówi Maciej Kornatowski. Ale Związek Banków Polskich informuje, że banki w Polsce będą "ustawiać" limit niżej niż na maksymalnym poziomie 150 euro.
Druga możliwość będzie taka, że bank zdecyduje się na "licznik" liczby transakcji. Wtedy bez PIN będzie można wykonać pięć transakcji z rzędu, szóstą trzeba będzie potwierdzić kodem i licznik zostanie "wyzerowany".
Licznik - czy to liczby transakcji czy kwotowy - będą "zerować" także transakcje na ponad 50 zł, które już dziś trzeba potwierdzać PIN-em.
Przykład: bank pana Kowalskiego stosuje licznik transakcji. Jeśli pan Kowalski dokona trzech płatności zbliżeniowych bez PIN z rzędu, każdą np. na 20 zł, a potem zapłaci tą kartą za duże zakupy 150 zł (a więc i tak będzie musiał tę płatność potwierdzić PIN-em), to jego licznik się "wyzeruje". Pan Kowalski znów będzie mógł dokonać pięć płatności do 50 zł bez PIN z rzędu.
Na marginesie - organizacje płatnicze i banki przymierzają się do podniesienia limitu płatności bez PIN z 50 zł do 100 zł. Visa i Mastercard mają już na to wymaganą zgodę Narodowego Banku Polskiego. Zmiany doczekamy się prawdopodobnie w pierwszej połowie 2020 r.
Czytaj więcej: DNB Bank daje nawet 800 zł klientom, którzy odejdą. Osoby z kredytami mają obawy
W biletomatach inaczej
W tym miejscu jeszcze jedno ważne zastrzeżenie: spod zasad dotyczących potwierdzania kodem PIN zostały wyjęte m.in. biletomaty i inne automaty samoobsługowe. Te bowiem czasem nie dają możliwości autoryzacji kodem PIN. Gdyby więc akurat wypadło, że użytkownik karty musiałby podać kod przy biletomacie, nie byłby w stanie tego zrobić.
Logowanie do bankowości też po nowemu
Nowe zasady potwierdzania płatności kodem PIN są związane z tzw. silnym uwierzytelnieniem. Będzie ono musiało być stosowane nie tylko w przypadku płatności kartą, ale także np. przy logowaniu do systemu bankowości internetowej albo przy płatnościach w internecie.
Silne uwierzytelnienie polega na tym, że klient musi potwierdzić swoją tożsamość wykorzystując (przynajmniej) dwie z trzech informacji: coś, co tylko on wie; coś, co tylko on ma i coś, co tylko jego charakteryzuje. Na przykładzie płatności zbliżeniowych: tym, co tylko klient ma, jest jego karta; tym, o czym tylko on wie, jest kod PIN.
silne uwierzytelnienie Elavon
Zasady silnego uwierzytelnienia będą też obowiązywać m.in. w przypadku logowania do systemu bankowości internetowej. Standardowo będzie się to odbywało w ten sposób, że oprócz loginu i hasła konieczne będzie także np. wpisanie jednorazowego kodu otrzymanego SMS-em czy tzw. mobilna autoryzacja (czyli potwierdzenie w aplikacji mobilnej banku logowania do systemu internetowego).
. źródło: mBank
Ale opcji stosowanych przez banki może być więcej. Np. mBank uruchomi także aplikację mBank Token, w której także będzie można dokonać mobilnej autoryzacji (to opcja dla osób, które nie chcą mieć pełnej aplikacji mobilnej banku), a w Banku Pocztowym będzie można stosować tzw. "hasło do certyfikatu". Certyfikat to plik zapisany na dysku komputera, służy do autoryzacji operacji.
Logowanie może być więc bardziej uciążliwe, choć jest w tym zasadach "furtka". Będzie można bowiem dodać dane urządzenie (komputer, smartfon) do "urządzeń zaufanych". Wówczas nadal będzie wystarczał do logowania login i hasło, tak jak dziś, choć banki zastrzegają, że raz na jakiś czas i tak będą weryfikowały klienta prosząc go o silną autoryzację.
. źródło: mBank
Czytaj więcej: Masz kredyt hipoteczny w złotych? Twoja rata może mocno wzrosnąć. Liczymy
Silne uwierzytelnienie także w płatnościach internetowych
Silne uwierzytelnienie od 14 września będzie konieczne także w przypadku płatności w internecie, w tym na smartfonach. Znów mamy stosowne limity - np. silne uwierzytelnienie będzie musiało nastąpić przy płatności za min. 30 euro, gdy łączna liczba płatności przekroczy 5 albo łączna kwota 100 euro. Będzie możliwość także "obejścia" limitów dodając dany komputer czy smartfon do zaufanych urządzeń.
Ale choć brzmi to skomplikowanie, nie ma się co szykować na rewolucję.
Przy płatnościach online dla części klientów nie zmieni się nic, ponieważ w wielu sklepach płatności są już uwierzytelniane przez wydawcę karty, np. za pomocą jednorazowego hasła otrzymywanego w wiadomości SMS lub w aplikacji bankowości mobilnej
- komentuje Maciej Kornatowski z polskiego oddziału Mastercard Europe.
Drzwi otwarte dla biometrii
Kornatowski zwraca jednak uwagę także na inną rzecz dotyczącą płatności i PSD2. Dyrektywa otwiera bowiem możliwości dla dodatkowych opcji uwierzytelniania.
Tak jest w przypadku autentykacji biometrycznej, która umożliwia konsumentom potwierdzenie tożsamości przez zwykłe dotknięcie palcem własnego telefonu czy zrobienie zdjęcia swojej twarzy. W ciągu najbliższych kilku lat biometria stanie się nowym standardem potwierdzania tożsamości, wypierając tym samym kody czy hasła. Biometria zapewnia jeszcze wyższy poziom bezpieczeństwa, dzięki czemu pomaga bankom i internetowym sprzedawcom spełnić wymagania nowych przepisów, związanych m.in. z silnym uwierzytelnieniem
- komentuje ekspert.
Niższy limit odpowiedzialności za kradzieże
Wśród innych zmian, które wprowadza PSD2, jest także ograniczenie odpowiedzialności klienta do 50 euro za nieautoryzowane transakcje (czyli np. gdy ktoś ukradnie mu kartę). Dotychczas limit 50 euro obowiązywał tylko w przypadku płatności zbliżeniowych, a dla pozostałych wynosił 150 euro.
PSD2, czyli po co to wszystko?
Wszystkie zmiany, które zaczną obowiązywać od 14 września br., wynikają z unijnej dyrektywy PSD2. Dzięki niej "bankowanie" ma być bezpieczniejsze.
Główną przesłanką wdrażanych rozwiązań jest zwiększenie bezpieczeństwa korzystania z usług płatniczych oferowanych drogą elektroniczną i tym samym ograniczenie możliwości wystąpienia oszustw związanych z tymi usługami
- tłumaczy Związek Banków Polskich.
Z drugiej strony, choć oczywiście klienci instytucji finansowych muszą być świadomi zmian, to te raczej nie będą dla nich szczególnie irytujące.
Owszem, raz na jakiś czas może okazać się, że przy płatności 3 zł za bułki nie wystarczy samo zbliżenie karty do terminala, ale konieczny będzie PIN. Nie będzie się to jednak zdarzało nagminnie. W TVN24BiŚ Wojciech Pantkowski ze Związku Banków Polskich szacował, że konieczność wpisywania PIN-u będzie o około 10 procent częstsza niż obecnie.
Również logowanie do bankowości internetowej może być dłuższe z powodu konieczności silnej autoryzacji, ale dodanie komputera do zaufanych urządzeń w zasadzie załatwi sprawę.
Druga strona PSD2
Dyrektywa, poza zmianami dotyczącymi szeroko pojętego bezpieczeństwa płatności, wprowadza też drugą zmianę - patrząc długoterminową chyba nawet znacznie ważniejszą niż silne uwierzytelnienie. Chodzi mianowicie o otwarcie systemów bankowych dla innych dostawców usług płatniczych, w tym np. fintechów. To tzw. "open banking", czyli "otwarta bankowość".
Bez obaw - nikt nie dostanie się do danych na temat naszego konta bankowego bez naszej wiedzy. Nowe reguły dały natomiast zielone światło, aby (po spełnieniu wymogów prawnych) jakaś firma, fintech, bank, instytucja płatnicza itd. - za zgodą klienta - mogła "pobierać" określone dane o jego koncie czy kartach kredytowych (np. informacja o dostępnym saldzie czy historia transakcji), a także inicjować płatności.
Zastosowań dla otwartej bankowości może być mnóstwo. Mogą powstawać np. agregatory kont danego klienta, podpowiadające określone decyzje finansowe, w tym np. podpowiadające jak zaoszczędzić, gdzie można coś taniej kupić, gdzie zapłacimy mniej np. za prąd itd. Wręcz z jednego miejsca będzie możliwe zlecanie przelewów z kont w różnych bankach. Rozwinąć mogą się systemy badania zdolności kredytowej, bo instytucje finansowe będą miały dużo większy wgląd w sytuację finansową klienta.
Open banking jeszcze mocniej może sprawić, że bankowe aplikacje mobilne będą bardzo szerokim "centrum dowodzenia" finansami klienta, bo może np. będzie można w nich kupować bilety na komunikację miejską, do kina, na pociąg itd.
