鈥濨ank nie wymaga podania has艂a jednorazowego przy logowaniu鈥� 鈥� tak膮 informacj臋 widzimy dzi艣 w serwisach internetowych niekt贸rych bank贸w. W ten spos贸b ostrzegaj膮 one przed pr贸bami wy艂udzenia danych potrzebnych do dokonania transakcji. To jednak wkr贸tce mo偶e si臋 zmieni膰, a procedura logowania do serwisu stanie si臋 bardziej skomplikowana.
Europejski Urz膮d Nadzoru Bankowego (EBA) opublikowa艂 kilka dni temu projekt regulacyjnych standard贸w technicznych (RTS) towarzysz膮cych drugiej dyrektywie o us艂ugach p艂atniczych (PSD2). Dokument okre艣la m.in. zasady stosowania silnego uwierzytelnienia przy dost臋pie do rachunk贸w p艂atniczych i zlecaniu 辫艂补迟苍辞艣肠颈.
Z silnym uwierzytelnieniem spotykamy si臋 ju偶 dzi艣 jako klienci bank贸w 鈥� jest ono standardem np. w bankowo艣ci internetowej. Idea opiera si臋 na u偶yciu przez klienta co najmniej dw贸ch z trzech element贸w:
- Czego艣, co wiemy (np. numeru klienta, has艂a, numeru PESEL),
- Czego艣, co mamy (np. telefonu kom贸rkowego, tokena),
- Czego艣, czym jeste艣my (np. odcisk palca).
Zabezpieczenia powinny by膰 od siebie niezale偶ne. Naruszenie pierwszej linii ochrony (np. utrata has艂a) nie powinno wp艂ywa膰 na drugi poziom (np. posiadanie telefonu kom贸rkowego, na kt贸ry wysy艂ane s膮 has艂a SMS). Takie zasady obowi膮zuj膮 przy 辫艂补迟苍辞艣肠颈ach zlecanych w sieci. To efekt rekomendacji wydanej przez KNF i wcze艣niejszych zalece艅 Europejskiego Banku Centralnego.
Logowanie do banku z has艂em jednorazowym...
Uchwalona w zes锄艂ym roku znowelizowana dyrektywa o us艂ugach p艂atniczych (PSD2) przyniesie ze sob膮 rewolucyjne zmiany na rynku bankowym. Banki b臋d膮 musia艂y m.in. 鈥瀘tworzy膰 si臋鈥� na zewn臋trznych dostawc贸w. Takie podmioty b臋d膮 mog艂y, za zgod膮 klienta, pobiera膰 informacje o rachunku p艂atniczym (np. saldo), a tak偶e inicjowa膰 transakcje. Najpierw konieczne jest jednak ustalenie, na jakich zasadach b臋d膮 ze sob膮 rozmawia膰 w cyfrowym 艣rodowisku dotychczasowi gracze i podmioty z bran偶y fintech zainteresowane wykorzystaniem mo偶liwo艣ci stwarzanych przez PSD2.
Zadanie okre艣lenia fundament贸w nowego porz膮dku przypad艂o EBA. Urz膮d ten przygotowa艂 w艂a艣nie pierwszy szkic za艂o偶e艅 standard贸w technicznych dotycz膮cych bezpiecze艅stwa i zasad wymiany danych. Docelowo regulacje te zast膮pi膮 obecnie obowi膮zuj膮ce rekomendacje nadzoru. Zak艂ada si臋 w nich m.in., 偶e silnego uwierzytelnienia wymaga膰 b臋dzie dost臋p do informacji o rachunku p艂atniczym online. Oznacza艂oby to, 偶e opr贸cz standardowego loginu i has艂a do zalogowania si臋 w bankowo艣ci elektronicznej konieczne dodatkowo np. podanie jednorazowego has艂a.
... co najmniej raz w miesi膮cu
Na szcz臋艣cie regulacja przewiduje wyj膮tek od tej regu艂y. Dodatkowe zabezpieczenia nie b臋d膮 wymagane, je艣li nie s膮 wy艣wietlane 鈥瀢ra偶liwe dane p艂atnicze鈥�. Definicja tego poj臋cia jest niezbyt jasna i obejmuje 鈥瀌ane, 艂膮cznie ze spersonalizowanymi danymi uwierzytelniaj膮cymi, kt贸re mog膮 pos艂u偶y膰 do dokonania oszustwa鈥�. Nie w艂膮cza si臋 w nie nazwiska posiadacza i numeru rachunku. Wydaje si臋 zatem, 偶e dodatkowymi zabezpieczeniami powinny by膰 chronione tylko np. zak艂adki, w kt贸rych widnieje nasz numer telefonu i inne elementy profilu klienta.
Czy to oznacza, 偶e unikniemy wpisywania dodatkowych hase艂 przy logowaniu do banku? Niestety nie. Zgodnie z propozycj膮 EBA, konieczne b臋dzie u偶ycie silnego uwierzytelnienia:
- Przy pierwszym logowaniu si臋 na rachunek.
- Za ka偶dym razem, gdy od ostatniego u偶ycia silnego uwierzytelnienia min膮艂 miesi膮c.
Klient贸w bank贸w czeka wi臋c zmiana przyzwyczaje艅 鈥� co najmniej raz w miesi膮cu trzeba b臋dzie si臋gn膮膰 po token lub telefon. Nowe zasady wejd膮 w 偶ycie najwcze艣niej w pa藕dzierniku 2018 r. Przygotowane przez europejski nadz贸r propozycje czeka jednak jeszcze druga runda konsultacji.
