Rozwój technologii niesie za sobą mnóstwo korzyści, ale również wynikające z niego zagrożenia. By zwiększyć bezpieczeństwo korzystania z usług płatniczych oferowanych drogą elektroniczną oraz zminimalizować możliwość wystąpienia oszustw i nadużyć na tym polu, wprowadzono konieczność stosowania procedur silnego uwierzytelnienia.
Co to jest silne uwierzytelnienie?
Silne uwierzytelnienie – SCA (z ang. Strong Customer Authentication) oznacza sposób weryfikowania tożsamości klienta elektronicznych usług płatniczych podczas wykonywania poszczególnych operacji, który ma na celu zapewnienie maksymalnej ochrony poufności danych. Silne uwierzytelnienie polega na zastosowaniu dwuetapowego procesu weryfikacji tożsamości użytkownika, wykorzystując co najmniej dwie z trzech różnych kategorii:
- wiedza (coś, co wie wyłącznie użytkownik) – login i hasło do logowania w bankowości internetowej, PIN do aplikacji mobilnej, PIN do karty kredytowej/debetowej, kod BLIK, hasło do bankowości telefonicznej. Sam login do bankowości elektronicznej, nadany przez bank, nie spełnia wymogu „wiedza” z uwagi na to, że występuje np. w dokumentacji zawarcia umowy i może być znany choćby pracownikom banku.
- posiadanie (coś, co ma wyłącznie użytkownik) – przedmioty, w posiadaniu których jest użytkownik: fizyczna karta płatnicza, komputer lub telefon (ze sparowaną aplikacją mobilną banku), zweryfikowane jako urządzenie zaufane, numer telefonu przypisany do kodów autoryzacyjnych SMS, kody z wiadomości e-mail (wykorzystywane na infolinii)
- cecha klienta (coś, czym jest użytkownik) – oznacza unikalną właściwość dla konkretnego klienta, taką jak cechy biometryczne, odcisk palca (Touch ID) czy rozpoznawanie – skan twarzy (Face ID) lub tęczówki oka w aplikacji mobilnej
Możemy mówić o silnym uwierzytelnieniu wtedy, gdy niepowołana osoba, np. przestępca, uzyska dostęp do jednego z zastosowanych elementów kategorii, ale w następstwie tego nie osłabi wiarygodności innych elementów.
Kiedy wymagane jest silne uwierzytelnienie?
Zgodnie z wprowadzoną przez Komisję Europejską dyrektywą w sprawie usług płatniczych (PSD2) silne uwierzytelnienie wymagane jest, gdy klient:
- uzyskuje dostęp do swojego rachunku w bankowości internetowej lub mobilnej (logowanie);
- inicjuje elektroniczną transakcję płatniczą (transakcja kartą, przelew);
- przeprowadza czynność za pomocą kanału zdalnego (płatność przez internet);
- uruchomia nową usługę – transakcje z tytułu płatności cyklicznych (opłaty subskrypcyjne lub abonamentowe, również o zmiennej wartości) lub dotyczące tzw. odbiorców lub urządzeń zaufanych. Po zatwierdzeniu powyższych ustawień lub dodaniu do grupy zaufanych odbiorców, silne uwierzytelnienie nie jest wymagane przy kolejnych transakcjach.
Niektóre banki dodatkowo się zabezpieczają i nakazują, by transakcje do zaufanego odbiorcy potwierdzać w przypadku, gdy ostatnia płatność była dokonywana ponad 3 miesiące wcześniej. Uzupełniające obostrzenie stanowi również liczba i kwota transakcji, powyżej której dodatkowa weryfikacja będzie każdorazowo egzekwowana.
Przed wejściem w życie powyższej dyrektywy, do zalogowania się w bankowości elektronicznej klientom wystarczyły jedynie login i hasło. Obecnie użytkownicy przechodzą dodatkową weryfikację, która w zależności od banku może polegać na:
wpisaniu na stronie banku otrzymanego kodu SMS (wysłanego na podany przez klienta numer telefonu) lub zatwierdzeniu operacji logowania w aplikacji mobilnej banku zainstalowanej na smartfonie, wykorzystując mobilny PIN lub biometrię.
Silne uwierzytelnienie w Crédit Agricole
Możemy prosić o wprowadzenie dodatkowego hasła z SMS-a lub PIN-u podczas logowania do serwisów internetowego i mobilnego.
- w serwisie CA24 eBank – raz na 90 dni, po prawidłowym zalogowaniu identyfikatorem i hasłem poprosimy Cię o zatwierdzenie logowania dodatkowym hasłem z SMS-a, wysłanym na Twój numer telefonu lub zeskanowanie tokenem kodu Cronto lub dodatkową autoryzację z wykorzystaniem mobilnej autoryzacji
- w aplikacji CA24 Mobile – raz na 90 dni, po prawidłowym zalogowaniu biometrycznym lub hasłem mobilnym poprosimy Cię o dodatkowe potwierdzenie logowania za pomocą PIN-u mobilnego
- gdy będziesz przeglądać historię transakcji starszą niż 90 dni, możemy poprosić Cię o potwierdzenie tej operacji hasłem z SMS-a – w CA24 eBank, poprzez zeskanowanie tokenem kodu Cronto lub PIN-em mobilnym – w aplikacji CA24 Mobile
Zatwierdzanie operacji w bankowości internetowej, w płatnościach internetowych i z wykorzystaniem karty płatniczej:
- przelewy i inne operacje w bankowości internetowej klient może potwierdzać w aplikacji CA24 Mobile;
- podczas niektórych płatności kartą w internecie:
– jeśli klient ma aplikację CA24 Mobile, może potwierdzać operacje w aplikacji CA24 Mobile i PIN-u Mobilnego, zamiast wpisywać kod 3D-Secure z SMS-a;
– jeśli klient nie ma aplikacji CA24 Mobile, może potwierdzać operacje dwustopniowo: kodem 3D-Secure, który wysyłamy w SMS-ie, i do niektórych operacji dodatkowo kodem PIN do karty (tym samym, który jest podawany np. w bankomacie);
Dane te klienci podają na bezpiecznej stronie płatności. Należy zwrócić uwagę m.in.: na adres strony, logo Crédit Agricole, zabezpieczenia organizacji płatniczej Mastercard lub Visa i dane operacji.
Także klienci, którzy korzystają z autoryzacji transakcji w aplikacji mobilnej, mogą być poproszeni o autoryzację kodem 3D-Secure i PIN-em karty.
- podczas płatności zbliżeniowych kartą przy kwocie powyżej 100 zł w sklepach i punktach stacjonarnych zawsze wymagane jest podanie PIN-u na terminalu, podczas płatności kartą w punktach stacjonarnych, przy niektórych transakcjach do 100 zł, również może być wymagany PIN;
- podczas wpłacania gotówki we wpłatomacie z użyciem karty wymagane jest podanie kodu PIN karty.
Potwierdzenie płatności zbliżeniowych przez Google Pay – zamiast podania kodu PIN karty, niektóre transakcje wymagają odblokowania urządzenia.
Jakie są ustępstwa od wymogu silnego uwierzytelnienia?
Pierwszy wyjątek dotyczy płatności zbliżeniowych i daje możliwość płacenia w terminalach z funkcją zbliżeniową do 100 zł bez podania kodu PIN. Dodatkowym zabezpieczeniem w tej sytuacji jest spełnienie określonych warunków, po przekroczeniu których silne uwierzytelnienie będzie egzekwowane. Są to tzw. liczniki transakcji: ilościowy albo wartościowy. Licznik ilościowy wymusza silne uwierzytelnienie po pięciu następujących po sobie transakcjach zbliżeniowych (niezależnie od kwoty). Jednak po wykonaniu transakcji, którą trzeba było potwierdzić, licznik transakcji jest zerowany i działa od nowa. Licznik wartościowy nakłada na użytkownika obowiązek silnego uwierzytelnienia po przekroczeniu określonej przez wydawcę instrumentu płatniczego kwoty następujących po sobie transakcji zbliżeniowych. Określone są też warunki płatności elektronicznych za zakupy w internecie: kwota pojedynczej transakcji nie może przekroczyć 30 EUR, licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 EUR. Liczba następujących po sobie transakcji wynosi pięć. Wyjątek na tym polu stanowi figurowanie danego sprzedawcy na liście tzw. zaufanych sprzedawców. Umożliwia to zastosowanie wyższych limitów. Wiąże się to jednak z koniecznością poszerzonego zakresu monitorowania transakcji od takiego sprzedawcy.
Jednym z najważniejszych ustępstw od wymogu silnego uwierzytelnienia jest wykonywanie transakcji w terminalach samoobsługowych dedykowanych do pobierania opłat za transport. PIN nie jest wymagany przy opłatach za przejazd autostradą, za parkingi i za bilety komunikacji miejskiej. Silne uwierzytelnienie nie obowiązuje w przypadku płatności wykonywanych z urządzeń zaufanych. Tę opcję przyjął BLIK, stwarzając możliwość dodania sklepu czy przeglądarki do zaufanych i realizowania kolejnych transakcji bez podawania kodu BLIK – usługa ta jest udostępniana tylko przez niektóre banki.
Źródła:
https://www.credit-agricole.pl/psd2-w-credit-agricole
https://zbp.pl/aktualnosci/stanowiska-i-komentarze/Silne-uwierzytelnienie-Na-co-zwrocic-uwage
https://www.bankoweabc.pl/2020/11/15/wymog-silnego-uwierzytelnienia-psd2/