Jeśli za około dwa tygodnie przy logowaniu do systemu e-bankowości swojego banku zostaniesz niespodziewanie poproszony nie tylko o login i hasło (jak zwykle), ale także np. o wpisaniu kodu otrzymanego SMS-em - nie stresuj się, że coś tu nie gra, że nigdy tak nie było. Będzie to związane z wdrożeniem przez banki reguł z unijnej dyrektywy PSD2.
Najpóźniej od 14 września przy logowaniu do bankowości internetowej banki będą musiały stosować tzw. silne uwierzytelnienie (choć nie zawsze, o czym dalej). Oznacza to, że klient będzie musiał potwierdzić swoją tożsamość przy zastosowaniu dwóch z trzech elementów:
- wiedza - coś, co tylko ten klient wie, np. hasło, PIN
- posiadanie - coś, co tylko ten klient ma, np. telefon z kartą SIM, karta płatnicza
- cecha klienta - coś, co tylko tego klienta charakteryzuje, tj. cechy biometryczne jak np. odcisk palca
Silne uwierzytelnienie w praktyce
Co w praktyce będzie to oznaczało dla użytkowników bankowości internetowej? Czasem nieco dłuższy proces logowania. Dziś bowiem standardowo logujemy się za pomocą loginu i hasła, czyli wyłącznie jednego sposobu uwierzytelnienia ("wiedza"). Banki dołożą więc drugi - ten związany z "posiadaniem" telefonu. Aby dostać się do serwisu e-bankowości, poza loginem i hasłem trzeba będzie zwykle podać kod otrzymany SMS-em albo potwierdzić logowanie przy pomocy mobilnej autoryzacji w aplikacji mobilnej banku.
Reguły logowania będą więc analogiczne do tych, jakie dziś stosujemy np. realizując przelew czy wpisując czyjś numer konta do odbiorców zdefiniowanych. Takie operacje również potwierdzamy kodem SMS czy poprzez autoryzację mobilną.
Zmiana jest oczywiście związana z poprawą bezpieczeństwa. Dyrektywa unijna nie wymusza stosowania silnego uwierzytelnienia przy każdym logowaniu, więc niektóre banki nie będą wymagały podania dodatkowego kodu SMS czy autoryzacji mobilnej za każdym razem. W takim przypadku silne uwierzytelnienie będzie jednak konieczne przynajmniej raz na 90 dni.
W pojedynczych bankach mogą nastąpić też jakieś zmiany z sposobie logowania do aplikacji mobilnej. Tutaj jednak nowości nie będą powszechne.
Poniżej tłumaczymy, co konkretnie zmieni się w największych bankach w Polsce.
UWAGA! Pokazujemy najważniejsze zmiany na podstawie naszych zapytań do banków. Jednak lektura tego artykułu nie zastąpi uważnego zapoznania się z korespondencją z Twojego banku. Banki albo już przygotowały dla klientów "kompendia" wiedzy o nowościach, albo udostępnią je wkrótce. Wiele z nich już dziś prowadzi "zmasowaną" akcję informacyjną (np. e-maile, wiadomości z systemie bankowości internetowej i mobilnej, informacje na stronie), aby jak najwięcej klientów było świadomych nadchodzących zmian.
Pekao
Bank Pekao informuje, że silne uwierzytelnienie podczas logowania (SMS albo autoryzacja mobilna) będzie wymagane nie rzadziej niż raz na 90 dni. Bank dodaje, że pracuje nad wdrożeniem rozwiązania Device Finger Printing (tzw. "odcisk palca przeglądarki"), by zminimalizować konieczność używania dodatkowego uwierzytelnienia podczas logowania.
Logowanie do aplikacji mobilnej zmieni się tylko w przypadku, gdy klient loguje się biometrycznie i wymagane jest silne uwierzytelnienie. W tej sytuacji, podczas logowania w aplikacji mobilnej PeoPay, klient oprócz logowania biometrycznego zostanie poproszony o podanie kodu PIN.
mBank
mBank będzie stosował kody SMS oraz mobilną autoryzację - standardowo przy każdym logowaniu. Mobilna autoryzacja będzie możliwa oczywiście z poziomu aplikacji banku, ale zostanie także udostępniona klientom aplikacja mBank Token. Co jednak istotne, będzie ona umożliwiała wyłącznie mobilną autoryzację (nie będzie miała innych funkcjonalności aplikacji mobilnej mBanku).
Klienci mBanku będą mogli uniknąć silnego uwierzytelnienia przy każdym logowaniu. W tym celu konieczne będzie dodanie (w systemie bankowości internetowej) komputera do urządzeń "zaufanych". Wówczas mBank będzie prosił o dodatkowe uwierzytelnienie (kodem SMS albo mobilną autoryzacją) tylko co jakiś czas - przynajmniej co 90 dni.
Ważne! Od 14 września nie będzie można w mBanku korzystać już z listy haseł jednorazowych.
Więcej o zmianach w mBanku przeczytasz w tym artykule oraz na stronie mBanku.
PKO BP i Inteligo
PKO Bank Polski informuje, że sposób logowania do serwisu internetowego nie zmieni się. Od 14 września będą stosowane te metody i narzędzia autoryzacyjne, które są stosowane obecnie, np. potwierdzenie logowania w aplikacji mobilnej IKO. "W późniejszym czasie podczas logowania do serwisów bankowości może pojawić się prośba o kod z narzędzia autoryzacyjnego" - donosi bank. Dodaje, że trwają prace nad wdrożeniem rozwiązania pozwalającego dodanie urządzenia do "zaufanych" tak, aby logowanie było krótsze.
PKO BP informuje też, że poprosi o dodatkową autoryzację klienta, który będzie chciał zobaczyć historię swojego konta starszą niż 90 dni.
Więcej o zmianach w PKO BP można przeczytać na dedykowanej stronie banku.
Santander Bank
Jak informuje Santander Bank (dawny BZ WBK), będzie on prosił przy logowaniu o dodatkową autoryzację za pomocą smsKodów, tokena albo mobilnego podpisu (autoryzacja mobilna). Będzie możliwe jednak zdefiniowanie urządzenia jako zaufanego, dzięki czemu silne uwierzytelnienie będzie potrzebne tylko raz na jakiś czas.
W przypadku aplikacji mobilnej Bank będzie wymagał zaufania urządzenia, by z niej korzystać. Logowanie za pomocą smsKodu/tokenu/mobilnego podpisu nie będzie wymagane (tylko opcjonalne dla klienta)
- dodaje bank.
BNP Paribas
Jak informuje bank BNP Paribas, przy logowaniu do bankowości internetowej będzie on stosował kody SMS jako metodę dodatkowego uwierzytelnienia. Klienci będą mogli dodać komputer do zaufanych urządzeń, dzięki czemu logowanie nie będzie wymagało wprowadzania numeru identyfikacyjnego (loginu).
Alior Bank i T-Mobile Usługi Bankowe
Alior Bank planuje wprowadzić silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać za pośrednictwem systemu bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną.
Więcej o zmianach w Alior Banku w tym artykule oraz na stronie internetowej banku.
Bank Millennium
Bank Millennium poinformował nas, że proces logowania zostanie oczywiście dostosowany do wymagań dyrektywy PSD2 - ale o szczegółach jeszcze nie informuje klientów.
Projektując zmiany staraliśmy się połączyć dostosowanie tych procesów do wymogów prawnych z wygodą i dostarczeniem najlepszego doświadczenia klientom. W celu uwierzytelnienia będziemy stosowali dotychczas wykorzystywane metody autoryzacji, czyli wiadomość SMS oraz Autoryzację Mobilną. O szczegółach zmian poinformujemy wkrótce. Staramy się, by zmiany były wprowadzone w sposób najmniej odczuwalny dla klientów
- czytamy w odpowiedzi na nasze pytania.
Eurobank (Euro Bank SA)
Każde logowanie do systemu bankowości internetowej eurobanku będzie wymagało podania hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji. Nie będzie możliwości "zaufania" przeglądarki albo urządzenia". Więcej o zmianach w eurobanku na stronie banku.
Warto pamiętać, że w związku z połączeniem eurobanku i Banku Millennium, klientom tego pierwszego banku od 11 listopada zostanie udostępniony system bankowości internetowej i aplikacja mobilna Banku Millennium.
Bank Pocztowy
W Banku Pocztowym logowanie przy logowaniu potrzebna będzie dodatkowa autoryzacja kodem SMS lub tzw. certyfikatem. Metodę klient wybierze samodzielnie. Bank nie przewiduje możliwości dodania danego urządzenia do "zaufanych", aby silne uwierzytelnienie było potrzebne rzadziej.
ING Bank Śląski
ING Bank Śląski dodatkowe potwierdzenie logowania oraz operacji wprowadził już 20 sierpnia. Nie za każdym razem, ale może poprosić klienta przy logowaniu do systemu bankowości internetowej o kod SMS.
Jeśli ktoś loguje się do aplikacji mobilnej odciskiem palca lub face ID - może zostać poproszony dodatkowo o autoryzację kodem PIN.
Za każdym razem, gdy będziesz się logować lub zlecać dyspozycje w aplikacji, nasz system bezpieczeństwa błyskawicznie przeanalizuje sytuację i dobierze odpowiedni sposób autoryzacji. Oceni też, czy dodatkowa autoryzacja jest potrzebna
- tłumaczy bank kwestię tego, kiedy silne uwierzytelnienie jest konieczne.
Credit Agricole
Jak informuje Credit Agricole, w pierwszym etapie po autoryzacji logowania do bankowości internetowej bank będzie stosować głównie SMS-y. Pracuje jednak nad rozszerzeniem metod m.in. o autoryzację mobilną.
Jeśli chodzi o dodawanie przeglądarek do zaufanych - na razie nie idziemy w tym kierunku
- dodaje bank.
Getin Bank
Klienci Getin Banku będą musieli potwierdzać logowanie do systemu bankowości internetowej kodem SMS lub autoryzacją mobilną. Jednak swoje urządzenie (np. komputer) będą mogli dodać do "urządzeń zarejestrowanych" - wówczas standardowo logowanie będzie się odbywało tak, jak dotychczas.
Nest Bank
Nest Bank informuje, że sam sposób logowania do bankowości internetowej nie ulegnie zmianie. Bank będzie nadal wymagał loginu, hasła i awatara nadanego przez użytkownika.
Jednak już po zalogowaniu do panelu klienta, przy próbie przejścia do niektórych elementów serwisu i historii starszej niż 90 dni, system będzie wymagał podania kodu SMS wysłanego na telefon klienta lub autoryzacji operacji w aplikacji mobilnej (jednorazowo w ramach danej sesji)
- tłumaczy bank.
Czytaj też: Przelew z innego konta niż to, na które się zalogowałeś. Takie rzeczy w bankach już za miesiąc
BOŚ Bank
Klienci detaliczni BOŚ Banku będą korzystać (do wyboru) z dwóch metod uwierzytelniania logowania - dotychczas dostępnej autoryzacji kodami SMS oraz wprowadzanej właśnie autoryzacji mobilnej. Klienci korporacyjni BOŚ Banku będą mogli korzystać z trzech metod uwierzytelnia: autoryzacji mobilnej, podpisu niekwalifikowanego oraz podpisu kwalifikowanego.
Bank nie planuje wprowadzania możliwości dodania urządzenia do "zaufanych", co skróciłoby proces logowania.
Citi Handlowy
Logowanie do systemu e-bankowości Citi Handlowego trzeba będzie potwierdzać kodem SMS-owym albo autoryzować mobilnie. Bank informuje, że pracuje nad rozwiązaniem, które pozwoli uwierzytelnić logowanie bez dodatkowych działań.
>>> Z jakiej przeglądarki korzystasz? Te mają duże szanse, aby zastąpić Google Chrome
