PSD2, czyli nowe zasady w bankach. Co się zmieniło?

14 września 2019 r. weszły w życie zmiany w ustawie o usługach płatniczych, które wynikają z unijnej dyrektywy PSD2  (więcej na temat samej dyrektywy przeczytasz w naszym tekście – Dyrektywa PSD2 – jakie zmiany przyniosła dla klientów banków?). Obowiązuje ona tylko w państwach Europejskiego Obszaru Gospodarczego, czyli w krajach Unii Europejskiej, Norwegii, Liechtensteinie i Islandii. Wraz z wprowadzonymi zmianami prawnymi, zaczęło obowiązywać silne uwierzytelnienie. Co to jest i kiedy będziesz miał z nim do czynienia?

Co to jest silne uwierzytelnienie?

Silne uwierzytelnienie (Strong Customer Authentication – SCA) to dwuetapowy proces weryfikacji Twojej tożsamości. Jest to dodatkowe potwierdzenie dyspozycji, którą wykonujesz np. kartą płatniczą. Od 14 września 2019 r. przy niektórych typach operacji, Twoja identyfikacja jest potwierdzana za pomocą co najmniej dwóch niezależnych sposobów należących do jednej z trzech kategorii:

• wiedza (coś, co wiesz tylko Ty, np. numer PIN),
• posiadanie (coś, co posiadasz wyłącznie Ty, np. kod SMS wysłany na Twój telefon),
• cechy klienta (coś, co wyróżnia tylko Ciebie – Twoje dane biometryczne, np. odcisk palca).

Ważne jest to, aby były to elementy niezależne od siebie, dzięki temu naruszenie jednego nie osłabia wiarygodności innych. W jakich sytuacjach konieczne jest dwuskładnikowe uwierzytelnienie?

PSD2 a bankowość elektroniczna

Dyrektywa PSD2 wprowadziła zmiany w przypadku logowania się do bankowości elektronicznej. Od 14 września 2019 r. wymagane jest dwuskładnikowe uwierzytelnienie. Jednak nie za każdym razem będzie ono konieczne. Zazwyczaj do bankowości będziesz logować się tak jak dotąd, czyli podając login i PIN.  Bank poprosi Cię o dodatkowe uwierzytelnienie tylko w sytuacji gdy: 

• logujesz się po raz pierwszy do bankowości,
• logujesz się po raz kolejny na swoje konto bankowe, ale nie rzadziej niż raz na 90 dni,
• sprawdzasz historię konta za okres wcześniejszy niż 90 dni wstecz,
• chcesz uzyskać dostęp do danych wrażliwych, w przypadku których istnieje podejrzenie, że mogą posłużyć do dokonania oszustwa, np. do zakładki z danymi osobowymi.

PSD2 a płatności kartą

Zmiany w prawie dotyczą także zbliżeniowych płatności kartą. Do 13 września 2019 r. przy płatnościach zbliżeniowych poniżej 50 zł, nie musiałeś ich potwierdzać PIN-em. Teraz trochę się to zmieniło. Kiedy będzie stosowane silne uwierzytelnienie?

W przypadku zbliżeniowych transakcji kartą wykonywanych stacjonarnie silne uwierzytelnienie zostanie zastosowane:

• przy co szóstej transakcji zbliżeniowej kartą poniżej 50 zł, czyli bez podawania kodu PIN,
• jeśli łączna wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro (ok. 650 zł). 

Jest to związane z faktem, że od 14 września 2019 r. obowiązuje licznik ilościowy lub wartościowy transakcji. Warunek ten dotyczy także zbliżeniowych płatności przy użyciu smartfonów, jak HCE i Google Pay (w przypadku Apple Pay wszystkie płatności są identyfikowane biometrycznie, więc dodatkowe uwierzytelnianie nie jest potrzebne).

Pamiętaj! Każda Twoja płatność powyżej 50 zł, którą musisz potwierdzić PIN-em, automatycznie restartuje licznik ilościowy lub wartościowy transakcji. Oznacza to, że będzie on nabijał się od nowa, ponieważ każda nowa transakcja z użyciem kodu PIN, zeruje licznik. 

Wyjątek! Silne uwierzytelnienie nie obejmuje transakcji w samoobsługowych automatach służących do regulowania opłat za transport, np. w parkometrach czy biletomatach.

PSD2 a płatności w internecie

Dyrektywa PSD2 wprowadza także zmiany w płatnościach internetowych. Od 14 września 2019 r. w przypadku transakcji wykonywanych online z silnym uwierzytelnieniem spotkasz się:

• jeśli kwota pojedynczej transakcji przekroczyć 30 euro, 
• licznik wartościowy łącznych kwot transakcji wykonanych bez silnego uwierzytelnienia przekroczy 100 euro,
• licznik ilościowy następujących po sobie transakcji bez silnego uwierzytelnienia przekroczy pięć.

Zgodnie z dyrektywą PSD2 płatności w internecie mają dwustopniowe uwierzytelnienie, jednak są od tej reguły pewne wyjątki. Na przykład, jeśli dodasz ulubionego sprzedawcę do listy zaufanych sprzedawców, zastosowane zostaną wobec niego wyższe limity niż te podane powyżej wynikające z dyrektywy PSD2. Dodatkowo, jeśli dokonujesz jakieś płatności cykliczne (np. rachunki za prąd, abonament itp.), to w ich przypadku nie będzie stosowane silne uwierzytelnienie. 

PSD2 a zmiany w wybranych bankach

Poniżej znajdziesz informacje o tym, jak zmiany związane z wprowadzeniem PSD2 wyglądają w wybranych bankach. 

• Bank Pekao S.A.
  Logowanie do bankowości elektronicznej: Nie rzadziej niż co 90 dni bank będzie wymagał od Ciebie podania kodu SMS lub wygenerowanego przez aplikację PeoPay. Wycofane zostały kody jednorazowe, aplikacja PekaoToken i token sprzętowy.Płatność kartą: Co szóstą płatność kartą musisz potwierdzić PIN-em.
• Bank Pekao S.A.
  Logowanie do bankowości elektronicznej: Logowanie odbywa się przy wykorzystaniu dotychczasowych metod i narzędzi autoryzacyjnych. W późniejszym czasie mogą pojawić się nowe rozwiązania.Płatność kartą: Stosowany jest limit kwotowy. Możesz zostać poproszony o potwierdzenie PIN-em płatności zbliżeniowych kartami dla kwot poniżej 50 zł.
• Santander Bank Polska
  Logowanie do bankowości elektronicznej: Przy każdym logowaniu oprócz loginu i hasła wymagana jest dodatkowa autoryzacja za pomocą kodu SMS, tokena lub mobilnego podpisu.  Jeśli dodasz swój komputer lub smartfon do urządzeń zaufanych, możesz uniknąć dodatkowej autoryzacji.Płatność kartą: Możesz zostać poproszony o podanie kodu PIN przy zbliżeniowych transakcjach kartami płatniczymi, nawet poniżej 50 zł.
• mBank
  Logowanie do bankowości elektronicznej: Bank wycofał listę haseł jednorazowych. Jeśli nie dodasz swojego komputera lub smartfona do urządzeń zaufanych, podczas każdego logowania do bankowości internetowej będziesz musiał podać kod SMS lub potwierdzić operację mobilną autoryzacją. Dla bezpieczeństwa bank od czasu do czasu będzie wymagał od Ciebie dodatkowego potwierdzenia logowania.Płatność kartą: Jeśli suma transakcji przekroczy 150 euro, będziesz musiał wpisać PIN przy płatnościach poniżej 50 zł.

Dyrektywa PSD2 wprowadziła kilka nowości dla klientów w logowaniu do bankowości, jak i transakcjach kartą i w internecie. Część może wydawać się na początku uciążliwych, jednak należy pamiętać, że te wszystkie zmiany mają jeden wspólny mianownik – bezpieczeństwo Twoich pieniędzy. 

fot. depositphotos.com