Po 14 września 2019 r. zmieni się sposób logowania do systemów bankowości internetowej. Banki będą bowiem musiały dostosować swoje systemy do zaleceń dyrektywy PSD2, która wymaga tzw. silnego uwierzytelniania w procesie logowania. Sprawdziliśmy, jakie dokładnie zmiany czekają klientów PKO BP, Pekao, mBanku, Santander Banku, ING Banku Śląskiego, Alior Banku, Getin Banku, eurobanku i innych.

Zmiana przepisów w praktyce przekłada się na konieczność podania dodatkowego elementu zabezpieczającego dostęp do rachunku. W trakcie logowania klient będzie więc musiał podać nie tylko login i hasło, ale także kod z SMS-a lub potwierdzić dyspozycję za pomocą mobilnej autoryzacji.

Proces ten nie będzie jednak jednolity we wszystkich bankach. Niektóre instytucje pozwolą na przykład dodać komputer użytkownika do „zaufanych urządzeń”. Dzięki temu wymóg dodatkowego hasła pojawi się jedynie od czasu do czasu. Dodatkowe hasło natomiast wymagane także przy sprawdzaniu historii operacji na rachunku starszej niż 90 dni.

Zapytaliśmy banki o to, jak będzie wyglądało logowanie do systemu transakcyjnego po 14 września.

PKO Bank Polski

W PKO BP klienci będą mogli korzystać z autoryzacji mobilnej w aplikacji IKO i funkcji dwuetapowego logowania do systemu bankowości elektronicznej iPKO i Inteligo. Po jej włączeniu, każdorazowo podczas logowania do bankowości elektronicznej, oprócz podania standardowo hasła do iPKO/Inteligo, klient będzie zatwierdzał logowanie także w aplikacji mobilnej. Tak jak do tej pory, w zależności od preferencji, klienci będą mogli korzystać z różnych form autoryzacji, np. z kodów SMS lub kodów jednorazowych z karty kodów.

Bank Pekao

W przypadku logowania do bankowości internetowej i mobilnej, Bank Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. W przypadku konieczności silnego uwierzytelnienia podczas logowania w aplikacji mobilnej PeoPay, klient zostanie poproszony o podanie PIN-u nawet w przypadku ustawionego logowania biometrią. Dla transakcji płatniczych zastosowanie będzie miał szereg wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych odbiorców.

Bank Pekao podjął decyzję o wycofaniu metod autoryzacji niezgodnych z zasadami silnego uwierzytelnienia (m.in. karta kodów jednorazowych oraz token) i pozostawieniu metod autoryzacji opartych o kody SMS oraz wiadomości push generowane przez aplikację PeoPay.

Santander Bank Polska

Santander Bank Polska będzie zawsze wymagać silnego uwierzytelnienia. Dodatkowym zabezpieczeniem (poza hasłem) będą token, smsKod lub mPodpis (w zależności od wyboru klienta). Nowością będzie możliwość zdefiniowania komputera jako urządzenia zaufanego (obrazek poniżej). Wówczas dodatkowe zabezpieczenie będzie wymagane jedynie co jakiś czas.

mBank

W trakcie logowania do bankowości internetowej mBank poprosi klientów o podanie hasła SMS lub potwierdzenie operacji mobilną autoryzacją. Wyjątkiem będzie sytuacja, w której klient doda komputer do zaufanych. Wówczas bank będzie go prosił tylko od czasu do czasu o dodatkowe potwierdzenie logowania.

ING Bank Śląski

W ING Banku system w trakcie logowania będzie mógł poprosić o wpisanie kodu autoryzacyjnego z SMS-a. Zatem nie będzie konieczności potwierdzania każdego logowania dwuetapowo – SMS będzie wymagany przy niektórych logowaniach. Za każdym razem gdy użytkownik będzie się logować, system bezpieczeństwa błyskawicznie przeanalizuje sytuację i oceni czy dodatkowa autoryzacja jest konieczna. Bank nie będzie używał do logowania na rachunek autoryzacji mobilnej. Dodatkowe potwierdzenie logowania może się też pojawić w aplikacji mobilnej. Wówczas bank poprosi nie tylko o odcisk palca lub PIN, ale równocześnie o oba zabezpieczenia.

Alior Bank

Alior Bank planuje wprowadzić silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać za pośrednictwem systemu bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną.

Bank Millennium

Bank Millennium o szczegółach zamian w logowaniu poinformuje klientów wkrótce.

Getin Bank

Podczas logowania do bankowości internetowej  Getin Bank poprosi klienta o dodatkowe podanie kodu SMS lub zatwierdzenie logowania w aplikacji mobilnej (mobilna autoryzacja). Klient będzie mógł jednak dodać urządzenie do zaufanych, dzięki czemu kolejne logowanie z tego urządzenia nie będzie wymagało dodatkowego potwierdzenia.

Po 14 września różnicy nie zauważą natomiast użytkownicy bankowości mobilnej, do aplikacji Getin Mobile logować się będzie tak samo jak dotychczas.

Citi Handlowy

Najważniejszą zmianą będzie wprowadzenie nowego sposobu autoryzacji za pomocą aplikacji mobilnej Citi Mobile Token. Będzie ono drugim, obok jednorazowych kodów SMS, instrumentem umożliwiającym stosowanie tzw. silnego uwierzytelnienia.

Bank zapowiada, że Citi Mobile Token będzie służył do uwierzytelnienia transakcji kartą w internecie. Znajdzie też zastosowanie podczas logowania do bankowości elektronicznej. Po 14 września co 90 dni podczas wejścia do serwisu transakcyjnego bank będzie mógł poprosić o dodatkowe potwierdzenie tożsamości klienta – za pomocą kodu z SMS lub aplikacji. Dostęp do historii transakcji w bankowości internetowej i mobilnej również ulegnie zmianie. Podczas przeglądania transakcji starszych niż 90 dni klient zostanie poproszony o weryfikację z wykorzystaniem Citi Mobile Token lub jednorazowego kodu SMS.

eurobank

Eurobank będzie wymagał podania dodatkowego zabezpieczenia. Użytkownik będzie miał do wyboru – oprócz identyfikatora i hasła – hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji (w zależności od wyboru klienta).

Nest Bank

W bankowości internetowej sam sposób logowania nie ulegnie zmianie. Bank będzie wymagał loginu, hasła i awatara nadanego przez użytkownika. Jednak już po zalogowaniu do panelu klienta, przy próbie przejścia do niektórych elementów serwisu i historii starszej niż 90 dni system będzie wymagał podania kodu SMS wysłanego na telefon klienta (jednorazowo w ramach danej sesji).

T-Mobile Usługi Bankowe

Klienci T-Mobile Usługi Bankowe po 14 września muszą przygotować się na możliwość żądania dodatkowego potwierdzenia podczas logowania do bankowości internetowej. Narzędziem autoryzacji będzie jednorazowy kod SMS lub zatwierdzenie operacji w aplikacji mobilnej. Transakcje zlecane w aplikacji mobilnej potwierdzane będą za pomocą PIN, wzoru lub odcisku palca. Bank zapowiada także skrócenie czasu trwania sesji – po 5 minutach nieaktywności użytkownik bankowości elektronicznej zostanie wylogowany.

BOŚ Bank

Nowy system bankowości elektronicznej będzie umożliwiał korzystanie z nowej metody autoryzacji – autoryzacji mobilnej z wykorzystaniem tokena mobilnego. Funkcjonujące obecnie tokeny sprzętowe zostaną wycofane, a do dyspozycji klientów pozostanie również możliwość autoryzacji kodem SMS.

Klienci będą mogli równocześnie korzystać z dotychczasowej i nowej wersji systemu, tak aby mieć czas na zapoznanie się ze zmianami i migrację z tokenów sprzętowych na nowy sposób autoryzacji. Bank rozpoczął już aktywne działania zmierzające do migracji klientów na nowe urządzenia autoryzacyjne, które umożliwią prace w ramach ekosystemu nowej bankowości internetowej.

Zmiany w sposobie logowania do bankowości internetowej nie są jedyną nowością, która czeka klientów po 14 września. Nowe regulacje wprowadzają także istotną zmianę w obszarze kart płatniczych. Banki będą częściej wymagały od nas podania PIN-u przy płatnościach zbliżeniowych do kwoty 50 zł. Kod będzie wymagany co piątą transakcję zbliżeniową. Szerzej na ten temat pisaliśmy w artykule „Wraca konieczność podawania PIN-u przy płatnościach zbliżeniowych”.

Bank Pocztowy

Od 14 września podczas logowania do bankowości internetowej klient będzie otrzymywał dodatkowy kod SMS lub będzie proszony o hasło do certyfikatu do autoryzacji w bankowości. 

Toyota Bank

Toyota Bank będzie wymagał wprowadzenie hasła i loginu do bankowości internetowej oraz zatwierdzenia logowania w aplikacji token mobilny.

|Wojciech Boczoń

Źródło: