„Bank nie wymaga podania hasła jednorazowego przy logowaniu” – taką informację widzimy dziś w serwisach internetowych niektórych banków. W ten sposób ostrzegają one przed próbami wyłudzenia danych potrzebnych do dokonania transakcji. To jednak wkrótce może się zmienić, a procedura logowania do serwisu stanie się bardziej skomplikowana.
Europejski Urząd Nadzoru Bankowego (EBA) opublikował kilka dni temu projekt regulacyjnych standardów technicznych (RTS) towarzyszących drugiej dyrektywie o usługach płatniczych (PSD2). Dokument określa m.in. zasady stosowania silnego uwierzytelnienia przy dostępie do rachunków płatniczych i zlecaniu łٲԴś.
Z silnym uwierzytelnieniem spotykamy się już dziś jako klienci banków – jest ono standardem np. w bankowości internetowej. Idea opiera się na użyciu przez klienta co najmniej dwóch z trzech elementów:
- Czegoś, co wiemy (np. numeru klienta, hasła, numeru PESEL),
- Czegoś, co mamy (np. telefonu komórkowego, tokena),
- Czegoś, czym jesteśmy (np. odcisk palca).
Zabezpieczenia powinny być od siebie niezależne. Naruszenie pierwszej linii ochrony (np. utrata hasła) nie powinno wpływać na drugi poziom (np. posiadanie telefonu komórkowego, na który wysyłane są hasła SMS). Takie zasady obowiązują przy łٲԴśach zlecanych w sieci. To efekt rekomendacji wydanej przez KNF i wcześniejszych zaleceń Europejskiego Banku Centralnego.
Logowanie do banku z hasłem jednorazowym...
Uchwalona w zesłym roku znowelizowana dyrektywa o usługach płatniczych (PSD2) przyniesie ze sobą rewolucyjne zmiany na rynku bankowym. Banki będą musiały m.in. „otworzyć się” na zewnętrznych dostawców. Takie podmioty będą mogły, za zgodą klienta, pobierać informacje o rachunku płatniczym (np. saldo), a także inicjować transakcje. Najpierw konieczne jest jednak ustalenie, na jakich zasadach będą ze sobą rozmawiać w cyfrowym środowisku dotychczasowi gracze i podmioty z branży fintech zainteresowane wykorzystaniem możliwości stwarzanych przez PSD2.
Zadanie określenia fundamentów nowego porządku przypadło EBA. Urząd ten przygotował właśnie pierwszy szkic założeń standardów technicznych dotyczących bezpieczeństwa i zasad wymiany danych. Docelowo regulacje te zastąpią obecnie obowiązujące rekomendacje nadzoru. Zakłada się w nich m.in., że silnego uwierzytelnienia wymagać będzie dostęp do informacji o rachunku płatniczym online. Oznaczałoby to, że oprócz standardowego loginu i hasła do zalogowania się w bankowości elektronicznej konieczne dodatkowo np. podanie jednorazowego hasła.
... co najmniej raz w miesiącu
Na szczęście regulacja przewiduje wyjątek od tej reguły. Dodatkowe zabezpieczenia nie będą wymagane, jeśli nie są wyświetlane „wrażliwe dane płatnicze”. Definicja tego pojęcia jest niezbyt jasna i obejmuje „dane, łącznie ze spersonalizowanymi danymi uwierzytelniającymi, które mogą posłużyć do dokonania oszustwa”. Nie włącza się w nie nazwiska posiadacza i numeru rachunku. Wydaje się zatem, że dodatkowymi zabezpieczeniami powinny być chronione tylko np. zakładki, w których widnieje nasz numer telefonu i inne elementy profilu klienta.
Czy to oznacza, że unikniemy wpisywania dodatkowych haseł przy logowaniu do banku? Niestety nie. Zgodnie z propozycją EBA, konieczne będzie użycie silnego uwierzytelnienia:
- Przy pierwszym logowaniu się na rachunek.
- Za każdym razem, gdy od ostatniego użycia silnego uwierzytelnienia minął miesiąc.
Klientów banków czeka więc zmiana przyzwyczajeń – co najmniej raz w miesiącu trzeba będzie sięgnąć po token lub telefon. Nowe zasady wejdą w życie najwcześniej w październiku 2018 r. Przygotowane przez europejski nadzór propozycje czeka jednak jeszcze druga runda konsultacji.
