14 września tego roku wchodzą w życie przepisy rozporządzenia delegowanego Komisji Europejskiej dotyczące regulacyjnych standardów technicznych (tzw. RTS) w sprawie m.in. tzw. silnego uwierzytelnienia klienta, by zwiększyć bezpieczeństwo korzystania z usług płatniczych oferowanych elektronicznie i tym samym ograniczyć możliwości wystąpienia oszustw związanych z tymi usługami.
Ponadto, nowe wymagania mają zabezpieczyć klientów tzw. otwartej bankowości (ang. open-banking). Unijna dyrektywa PSD2 przewiduje, że za zgodą klienta banki mają zapewnić dostęp do jego rachunków płatniczych licencjonowanym, zewnętrznym podmiotom, czyli innym bankom, twórcom programów i aplikacji finansowych, serwisom płatniczym – określanym jako TPP (third party providers).
Nowe, tzw. silne uwierzytelnienie klienta polega na minimum dwuelementowym potwierdzaniu tożsamości. Jak mówił PAP Wojciech Pantkowski, pierwszy etap to np. kod PIN, hasło lub inny element, który jest znany tylko klientowi banku. Drugi etap pomaga zweryfikować tożsamość klienta. Chodzi np. o jego telefon z kartą SIM, na który można przysłać sms z kodem - tłumaczył. Trzeci element, to tzw. "cecha klienta", czyli np. odcisk palca czy tęczówka oka lub układ żył.
Uwierzytelnianie poprzez "cechę klienta" obecnie stosowane jest przy mobilnych rozwiązaniach, np. skan źrenicy oka lub odcisku palca. Trwają także prace nad tzw. biometrią behawioralną, która do uwierzytelniania będzie wykorzystywać znajomość tego, w jaki sposób klient dokonuje transakcji. Ale to dopiero pieśń przyszłości. Jak na razie, elementy tej metody są wykorzystywane przy wykrywaniu oszustw i nieautoryzowanych transakcji, gdy np. ktoś robi transakcję w Polsce, a następnie w krótkim okresie na innym kontynencie - wskazał ekspert.
Podkreślił, że silne, dwuelementowe uwierzytelnianie jest już standardowo stosowane przy autoryzacji przelewów internetowych: najczęściej chodzi o kod przysyłany smsem lub PIN w aplikacji mobilnej, który musimy podać przy zleceniu przelewu. Po zmianach podobnie będzie już przy logowaniu na konto - mówił.
Dodatkowo nowe przepisy wprowadzają wyłączenia z konieczności uwierzytelnienia przy płatnościach, np. kartą w sklepie przy zakupach poniżej limitów (ilościowych lub wartościowych) albo przy niskich kwotach w internecie.
Do tej pory mogliśmy opłacić kartą małe kwoty wiele razy. Od połowy września zostanie wprowadzony limit albo liczby transakcji albo ich łącznej wartości. Oznacza to, że będziemy poproszeni o wprowadzenie PIN albo po pięciu transakcjach, albo gdy ich łączna wartość przekroczy określoną przez wydawcę karty sumę. Prawo unijne wprowadza tutaj limit 150 euro, ale polskie banki skorzystają z możliwości ustawienia go na niższym poziomie - mówił Pantkowski.
Jak dodał, licznik będzie się zerował po każdej transakcji z użyciem PIN, także tych, gdzie kwota jednorazowej transakcji przekracza 50 zł, analogicznie jak ma to miejsce także dzisiaj. Podobnie będzie przy niskokwotowych transakcjach w internecie. W przypadku elektronicznych płatności w internecie kwota pojedynczej transakcji nie może przekroczyć 30 euro, a licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 euro, zaś licznik liczby następujących po sobie transakcji jest analogiczny jak w płatnościach zbliżeniowych, czyli pięciu.
Dodatkowymi zabezpieczeniami zostaną obudowane płatności kartami kredytowymi i debetowymi.
Według Pantkowskiego większość banków już wdrożyła odpowiednie procedury albo jest w trakcie zmian, informowania klientów o nowych procedurach.
Dodał, iż nowe przepisy mają także przyczynić się do rozwoju tzw. otwartej bankowości. Jak wskazuje ZBP, w otwartej bankowości usługi oraz produkty mają wspólny mianownik – wszystkie są oparte na otwartych interfejsach programistycznych (ang. Open API – Application Programming Interface). W naszym przypadku jest to PolishAPI. Banki - za zgodą klientów - będą udostępniać określone informacje na temat prowadzonych rachunków płatniczych, co pozwoli zarówno samym bankom, jak i innym firmom tworzyć nowe produkty i usługi.
Nie oznacza to, że od połowy września będziemy mieć np. jeden "superlogin" do różnych banków. Pozwoli natomiast tymże bankom i innym firmom, które otrzymają licencję od Komisji Nadzoru Finansowego, agregować informacje z różnych banków. Dzięki temu np. w jednej aplikacji klienci będą mogli zaciągać informacje z kont w różnych bankach czy składać zlecenia przelewów - mówił ekspert.