Banki szykują się na dyrektywę PSD2. Sprawdź, co się zmieni po 14 września
Od 14 września czekają nas zmiany w obszarze płatności internetowych oraz transakcji z użyciem kart płatniczych. Banki stopniowo wdrażają nowe zasady w związku z unijną dyrektywą PSD2. Sprawdziliśmy, co zmieni się w największych polskich bankach i jak będą o tym informowani klienci.
Dyrektywa PSD2 (Payment Services Directive 2) dotyczy usług płatniczych na rynku wewnętrznym. Dostosowuje ona prawo do zmian zachodzących na rynku płatności detalicznych (np. pojawienie się nowych rodzajów usług płatniczych, płatności za pośrednictwem urządzeń mobilnych).
PSD2 wpłynie na działalność banków, instytucji płatniczych, operatorów kart sklepowych czy paliwowych, niezależnych operatorów bankomatów czy innych dostawców usług płatniczych.
Co zmienia PSD2? Otwarta bankowość, bezpieczniejsze transakcje
Dzięki dyrektywie na rynku pojawi się nowa kategoria dostawców usług płatniczych, tzw. podmioty trzecie, nazwanych TPP (Third Party Providers). Podmioty te będą mogły świadczyć trzy rodzaje usług: AIS (account information service, czyli pobierania informacji o kontach bankowych klienta w jednym lub wielu bankach. Druga usługa to PIS (payment initiation service), czyli inicjowanie płatności, w ramach której podmiot trzeci zleci w imieniu klienta przelew na inne konto. Z kolei w ramach CAF (ang. Confirmation of the Availability of Funds) podmiot trzeci sprawdzi, czy klient ma odpowiednią sumę środków na koncie, by móc wykonać dany przelew.
Wykaz podmiotów TPP poda Komisja Nadzoru Finansowego.
Kolejna zmiana dotyczy bezpieczeństwa transakcji internetowych. Banki będą zobligowane do przeprowadzania procedury silnego uwierzytelnienia, po to by zapewnić poufność danych i zweryfikować tożsamość przeprowadzającego transakcję. To narzuca bankom zmiany w sposobach dokonywania przelewów.
Dyrektywa PSD2 rozszerzy rynek usług płatniczych o małych dostawców, działających na niewielką skalę. Takie podmioty będą mogły legalnie działać na rynku na podstawie wpisu do rejestru KNF, jednak z pewnymi ograniczeniami . Nie będą mogły przyjmować od klientów powyżej 2 tys. euro, prowadzić dzialaności poza Polską oraz świadczyć usług wymagających dostępu do rachunku.
Przepisy PSD2 ograniczają odpowiedzialność klientów za nieautoryzowane transakcje, czyli takie, które zostały wykonane bez jego zgody, np. za pośrednictwem karty debetowej czy urządzenia mobilnego. To dostawcy usług płatniczych (np. banki) będą za nie odpowiadać.Jeśli klient zgłosi nieautoryzowaną transakcję, bank będzie miał obowiązek bezzwłocznego zwrotu kwoty transakcji (które zostały wykonane bez zgody płatnika z użyciem, czy bez użycia instrumentu płatniczego).
Jak banki wdrażają PSD2? [lista]
PKO BP
W związku z PSD2 PKO Bank Polski przygotował w obszarze bankowości internetowej iPKO zmiany związane z bezpieczeństwem. Jest to dwuetapowe logowanie z mobilną autoryzacją IKO (z tego rozwiązania klienci PKO Banku Polskiego mogą korzystać już dzisiaj) oraz dodatkowe potwierdzenie narzędziem autoryzacji wglądu do historii transakcji starszej niż 90 dni – uruchomienie nastąpi we wrześniu.
Bank rozpoczął już akcję informacyjną dla klientów: za pośrednictwem poczty elektronicznej oraz komunikatów w ramach serwisów transakcyjnych oraz stron w serwisach PKO Banku Polskiego i Inteligo.
Pekao SA
Bank Pekao 14 sierpnia wycofał metody autoryzacji niezgodne z zasadami silnego uwierzytelnienia (m.in. karta kodów jednorazowych oraz token). Pozostawiono metody autoryzacji oparte o kody SMS oraz wiadomości push generowane przez aplikację PeoPay.
W przypadku uzyskania dostępu do informacji o rachunku (logowanie do bankowości elektronicznej), Bank Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. W przypadku konieczności silnego uwierzytelnienia podczas logowania przez PeoPay, klient zostanie poproszony o podanie PIN-u nawet w przypadku ustawionego logowania biometrią. Silną autoryzacją nie będą objęte , np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych obiorów.
Silne uwierzytelnienie klienta będzie wymagane także korzystaniu z usług oferowanych przez dostawców trzecich (TPP).
Pekao prowadzi kampanię informacyjną nt. wdrożenia PSD2. Klienci, którzy korzystają z wycofywanych metod autoryzacji, są systematycznie informowani o konieczności zmiany metody autoryzacji na zgodną z zasadami silnego uwierzytelnienia poprzez komunikaty w bankowości internetowej i w bankowości mobilnej, wiadomości SMS, IVR, wiadomości głosowe, a także przez pracowników oddziałów. Ponadto zmiany są komunikowane na głównej stronie banku.
Bank BNP Paribas
Bank nie podaje na razie szczegółowych informacji na temat wdrożenia PSD2. Mają zostać ogłoszone we wrześniu. Na potrzeby działań informacyjnych powstanie dedykowana strona internetowa.
Eurobank
Zmiany będą dotyczyły sposobu logowania do serwisu eurobank online. Klienci muszą przygotować się na konieczność użycia dodatkowej metody autoryzacji – oprócz identyfikatora i hasła, bank będzie wymagał podania hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji. Z aplikacji eurobank mobile 2.0 zostanie wycofana możliwość aktywacji aplikacji eurobank mobile 1.0 i aktywacji tokena GSM. Wymagane będzie hasło z serwisu eurobank online zamiast numeru PESEL.
Bank zaczął informować klientów o zmianach już w lipcu (mailing, listy tradycyjne). Komunikaty pojawiły się na stronie internetowej, klientom po zalogowaniu do bankowości internetowej wyświetlana jest plansza informacyjna. Eurobank planuje także wysyłkę SMS-ów z przypomnieniem o planowanych zmianach i odesłaniem do komunikatu.
ING Bank Śląski
Klienci ING mogą być proszeni o wpisanie kodu autoryzacyjnego z SMS-a przy logowaniu do Mojego ING. Obok tego, bank może poprosić klienta o wpisanie hasła maskowanego (5 wybranych znaków).
Logowanie do aplikacji mobilnej Moje ING mobile może przebiegać na 3 sposoby: przez wpisanie numeru PIN do aplikacji, za pomocą identyfikatora biometrycznego (odcisk palca lub face ID) bądź miks tych dwóch sposobów.
Za każdym razem, gdy użytkownik będzie się logować, nasz system bezpieczeństwa błyskawicznie przeanalizuje sytuację i oceni czy dodatkowa autoryzacja jest konieczna.
Nie będzie konieczności potwierdzania każdego logowania dwu-faktorowo, SMS będzie wymagany przy niektórych logowaniach.
- Nigdy dotąd nie używaliśmy autoryzacji mobilnej przy logowaniu i nadal nie będziemy. Nie używaliśmy też listy haseł jednorazowych do autoryzacji i nadal nie będziemy - przekazało nam biuro prasowe ING Banku Śląskiego.
Bank informuje swoich klientów o zmianach na stronie internetowej oraz w systemie Moje ING.
Bank Millennium
Podobnie jak w przypadku BNP Paribas, Millennium nie informuje o planach wdrożenia PSD2. Głównym kanałem komunikacji z klientami jest strona internetowa banku. Od lipca prowadzona jest wysyłka SMS-ów. Bank planuje szeroką kampanię informacyjną również za pośrednictwem swojej aplikacji, na infolinii oraz w oddziałach.
mBank
Klienci mBanku przy logowaniu do konta w internecie będą proszeni o dodatkowe uwierzytelnienie, w formie hasła SMS lub mobilnej autoryzacji. Bezpieczeństwo transakcji będzie można też potwierdzić przez zaufane urządzenia (tablet, telefon), które należy dodać w serwisie transakcyjnym. Nie zmieni się sposób logowania do aplikacji mobilnej. Transakcje mobilne będzie można zatwierdzać przez osobną aplikację mBank Token.
mBank wycofa po 14 września opcję autoryzacji transakcji za pomocą haseł jednorazowych. Wyłączona zostanie też tzw. lekka wersja serwisu mBanku.
Pierwsza fala komunikacji bezpośredniej (np. push, SMS) trafiła do klientów mBanku pod koniec lipca. Kolejną zaplanowano na początek września. Dodatkowo mBank będzie informować o zmainach w serwisie transakcyjnym oraz na stronach głównych.
Santander Bank Polska
Po wpisaniu loginu i hasła, Santander poprosi klienta o dodatkową autentykację. W Santander Internet, czyli bankowości internetowej dodatkowym uwierzytelnieniem (poza hasłem) będą standardowe już teraz narzędzia: token, kod SMS, mobilny Podpis oraz nowość: urządzenie zaufane (komputer/tablet/laptop/telefon). Od tej pory, jeśli klient będzie logował się korzystając z urządzenia zaufanego, nie będzie konieczności uwierzytelnienia innym dodatkowym faktorem (smsKod, token lub mobilny podpis)
W aplikacji mobilnej Santandera każdy klient, który dotychczas nie dodał smartfonu lub tabletu jako urządzenia zaufanego, będzie proszony o taką aktywność. W takiej sytuacji, podczas pierwszego logowania (przy zaufaniu urządzenia) poprosimy o dodatkową autentykację za pomocą smsKodu, tokenu lub mobilnego podpisu.
W przypadku płatności zbliżeniowych kartami płatniczymi klient może zostać poproszony o podanie PIN nawet przy transakcjach, których kwota jest mniejsza niż 50 zł.
Santander planuje również rozpocząć działalność jako TPP tak, żeby jego klienci mieli możliwość agregowania rachunków z innych banków. - Oznacza to, ze w usługach bankowości internetowej Santander Bank Polska będą mogli dodać swoje rachunki z innych banków. Będzie widoczne saldo i historia rachunku. Klienci będą też mogli z naszej bankowości inicjować płatności z rachunków w innych bankach – proces płatności będzie realizowany przez bank, w którym prowadzony jest rachunek - mówi portalowi Wirtualnemedia.pl Szymon Staśczak, odpowiedzialny za biznesowe wdrożenie PSDII w Santander Bank Polska.
Santander Bank Polska rozpocznie komunikację dla klientów o zmianach związanych z silnym uwierzytelnieniem od 19 sierpnia. Będzie ona prowadzona za pośrednictwem strony internetowej, w mobile, a także przez wiadomości SMS.
Dołącz do dyskusji: Banki szykują się na dyrektywę PSD2. Sprawdź, co się zmieni po 14 września