Nowe zasady w serwisach bankowych i przy płatnościach kartą: co zmieniają największe banki?

14 września zaczęły obowiązywać przepisy unijnej dyrektywy PSD2 (z ang. Payment Services Directive) dotyczącej bankowości elektronicznej. Do polskiego porządku prawnego została ona wprowadzona poprzez nowelizację ustawy o usługach płatniczych.

Zmiany mają na celu zwiększenie bezpieczeństwa transakcji. Wprowadzają tzw. silne uwierzytelnienie oraz określają nowe zasady zarządzania przez banki dostępem klientów do ich rachunków.

Niektóre ze zmian wprowadzano już w ostatnich miesiącach, natomiast te najważniejsze dla klientów - dotyczące usług finansowych w internecie - obowiązują od 14 września. Dotyczą ok. 17 mln Polaków korzystających z bankowości elektronicznej - chodzi o klientów nie tylko banków, lecz także SKOK-ów i niektórych innych firm finansowych.

Banki w Polsce coraz mniej rentowne, według 87 proc. bankowców kryzys w Europie prawdopodobny (infografika)

Kod SMS lub autoryzacja mobilna przy logowaniu do serwisu banku

W ramach dyrektywy PSD2 przede wszystkim wprowadzono dodatkowe uwierzytelnianie przy logowaniu do serwisów bankowości elektronicznej. Dotychczas użytkownik zazwyczaj musiał podać login i hasło, teraz jest proszony także o wpisanie kodu SMS-owego wysłanego na jego telefon lub autoryzację poprzez aplikację mobilną.

Dodatkowe uwierzytelnienie nie będzie obowiązywać przy każdym logowaniu. Wiele banków pozwala użytkownikom ustawić wybrany komputer, telefon i tablet, z których korzystają najczęściej, jako zaufane urządzenia. Wtedy kod SMS-owy lub autoryzacja mobilna będą potrzebne tylko przy pierwszym logowaniu.

Dodatkowe uwierzytelnianie będzie też wymagane przy sprawdzaniu niektórych informacji już po zalogowaniu do serwisu bankowego. Chodzi m.in. o sprawdzanie historii transakcji sprzed więcej niż 90 dni.

Banki w ramach wdrażania dyrektywy skróciły też czas sesji w swoich serwisach, po którym klient bez wykonywania żadnej aktywności zostaje automatycznie wylogowany. W wielu bankach ten czas zmalał z 10 do 5 minut

Płatności kartą - częściej podawany PIN

Dyrektywa PSD2 dotyczy również transakcji bezgotówkowych. W przypadku płatności zbliżeniowych kartą po wykonaniu pięciu transakcji bez podawania kodu PIN (taka możliwość jest przy transakcjach na kwoty poniżej 50 zł) przy kolejnej klient będzie musiał podać PIN.

Kod PIN trzeba będzie też podać, jeśli suma kolejnych transakcji kartą bez uwierzytelniania PIN-em przekroczy równowartość 150 euro. Chodzi o łączność wartość płatności wykonywanych z rzędu - jeśli przy którejś użytkownik poda PIN, jego pula 150 euro będzie naliczana od początku.

W obu przypadkach klient będzie musiał podać PIN niezależnie od kwoty transakcji, a więc także jeśli będzie ona wynosić poniżej 50 zł.

Od soboty banki muszą udostępniać dane o rachunkach klientów innym podmiotom. "Zaostrzy się konkurencja"

Banki będą szybciej rozpatrywać reklamacje

Na mocy nowej dyrektywy w ostatnich miesiącach wprowadzono też inne mechanizmy zabezpieczające klientów. W przypadku zgubienia lub kradzieży karty płatniczej maksymalna kwota nieautoryzowanych transakcji, za które użytkownik będzie odpowiadał, wynosi obecnie 50 euro. Poprzednio było to 150 euro.

Przelewy do odbiorców w Europejskim Obszarze Gospodarczym można realizować tylko w wariancie SHA, czyli z równym podziałem kosztów między nadawcę i odbiorcę.

Ponadto skrócono czas rozpatrywania reklamacji dotyczących transakcji płatniczych. Banki mają na to teraz 15 dni, a nie jak dotychczas 30.

PKO BP: powiadomienia i historia w IKO tylko w trybie aktywnym

PKO Bank Polski zmiany wynikające z PSD2 wprowadził w swoim serwisie iPKO, aplikacji IKO oraz dla płatności zbliżeniowych kartami już w czwartek 12 września.

Oprócz ogólnych przepisów dyrektywy pojawiło się kilka dodatkowych rozwiązań:
- historia konta starsza niż 90 dni i powiadomienia push w aplikacji IKO są dostępne tylko w trybie aktywnym,
- dostęp do powiadomień w IKO przed zalogowaniem domyślnie wymaga podania kodu PIN,
- hasła jednorazowe do autoryzacji transakcji są domyślnie maskowane (zamiast cyfr wyświetlane są gwiazdki).

Pekao bez karty kodów jednorazowych i aplikacji Pekao Token

Bank Pekao SA miesiąc temu wycofał swoją aplikację Pekao Token, kartę kodów jednorazowych i token sprzętowy. Nie są też już dostępne serwis PekaoSMS oraz transakcje w serwisie automatycznym TelePekao.

Klientom pozostały dwie metody uwierzytelniania: jednorazowe hasła SMS-owe i aplikacja PeoPay. Bank Pekao będzie wymagał autoryzacji od klienta w ten sposób przynajmniej raz w ciągu 90 dni.

W przypadku przelewów hasłem SMS-owych nadal nie będzie trzeba podawać przy transakcjach miedzy rachunkami klienta lub do jego zapisanych odbiorców.

Santander Bank Polska: aplikacja mobilna tylko na urządzeniach zaufanych

W Santander Bank Polska użytkownik przy logowaniu będzie musiał uwierzytelnić się dodatkowo hasłem SMS-owym, tokenem lub mobilnym podpisem. Będzie mógł dodać wybrane urządzenie jako zaufane i logować się później już bez dodatkowej autoryzacji.

Natomiast z aplikacji Santander mobile będzie można korzystać tylko na smartfonach i tabletach ustawionych wcześniej jako zaufane. - Jeśli jeszcze nie zarejestrowałeś swojego telefonu lub tabletu, od wersji 5.7. aplikacji powitamy Cię komunikatem zachęcającym do rejestracji telefonu - zapewnia bank swoich klientów.

Ponadto skrócono maksymalny czas sesji bez aktywności w serwisie i aplikacji mobilnej z 10 do 5 minut.

Bank Millennium: dodatkowe logowanie raz na 90 dni

W Banku Millennium użytkownik dodatkowe uwierzytelnienie hasłem SMS-owym lub autoryzacją mobilną będzie musiał wykonać przynajmniej raz w ciągu 90 dni.

W taki sposób będą też akceptowane płatności kartą w internecie z wykorzystaniem zabezpieczenia 3D-Secure.

Tak samo jak w Santander Bank Polska, maksymalny czas sesji w serwisie Millenet bez wykonywania działań zmniejszono z 10 do 5 minut.

mBank: bez haseł jednorazowych i mobilnej wersji serwisu, osobny mBank Token

Klienci mBanku przy logowaniu do serwisu transakcyjnego po przejściu dodatkowej autoryzacji SMS-em lub aplikacją mobilną też mogą dodać wybrane urządzenie do zaufanych, żeby potem logować się tak jak dotychczas.

mBank w celu ułatwienia dodatkowego uwierzytelniania udostępnił aplikację mobilną mBank Token. Służy ona wyłącznie do autoryzowania płatności w internecie i sprawdzania historii swoich transakcji. mBank Token pojawił się w piątek, jest dostępny w wersji na Androida w Google Play.

Jednocześnie mBank wycofał hasła jednorazowe, uzasadniając, że autoryzacja mobilna i hasłami SMS-owymi jest bezpieczniejsza. - Jeśli korzystasz z listy haseł jednorazowych, to zrezygnuj z nich jak najszybciej - jeśli zrobisz to do 14 września, zwrócimy ci opłatę za listę haseł, której nie zdążyłeś wykorzystać - zachęcał bank klientów w ostatnich tygodniach.

Ponadto bank zrezygnował z mobilnej wersji swojego serwisu działającej pod adresem m.mbank.pl. - Widzimy, że nasi klienci chętniej korzystają np. z aplikacji mobilnej niż lekkiej wersji serwisu. Dlatego zdecydowaliśmy, że wyłączymy ją 14 września - poinformował. - Jeśli korzystasz z lekkiej wersji serwisu, zachęcamy do przejścia na wygodną i przyjazną aplikację mobilną. Znajdziesz w niej dużo więcej funkcji - podkreślił.

ING Bank Śląski: zmiany już 20 sierpnia

ING Bank Śląski już 20 sierpnia wprowadził wymagane przez PSD2 tzw. silne uwierzytelnianie. W serwisie Moje ING polega ono na podaniu hasła SMS-owego, a w aplikacji Moje ING mobile - podaniu PIN-u lub identyfikatora biometrycznego (odcisk palca lub face ID).

Dodatkowe uwierzytelnianie będzie też wymagane przez bank przy niektórych transakcjach w aplikacji mobilnej. - Za każdym razem, gdy będziesz się logować lub zlecać dyspozycje w aplikacji, nasz system bezpieczeństwa błyskawicznie przeanalizuje sytuację i dobierze odpowiedni sposób autoryzacji. Oceni też, czy dodatkowa autoryzacja jest potrzebna - zapowiedział ING Bank Śląski swoim klientom.

Ponad 9 milionów Polaków obsługuje konto bankowe w smartfonie

Alior Bank: dodatkowa autoryzacja do piątej płatności BLIKiem

W Alior Banku jeśli klient doda swoje urządzenie do zaufanych, nie będzie już musiał przy logowaniu przechodzić dodatkowego uwierzytelniania SMS-em lub aplikacją mobilną. Listą zaufanych urządzeń można zarządzać w serwisie bankowości internetowej.

Klienci zyskali też możliwość skorzystania z powiadomień push w aplikacji mobilnej do autoryzowania operacji zlecanych w bankowości internetowej. Powiadomienia zatwierdzane będą przy pomocy kodu PIN, odcisku palca lub Touch ID. Taką opcję można włączyć w serwisie bankowości internetowej lub podczas aktywacji aplikacji mobilnej.

Dodatkowa autoryzacja będzie wymagana przy co piątej transakcji BLIKiem.

Skrócono też do 5 minut maksymalny czas sesji bez wykonywania działań w serwisie transakcyjnym Alior Banku.

BNP Paribas Polska: bez zmian w mobile’u

Bank BNP Paribas Polska na swoich platformach internetowych Pl@net i GOonline przy niektórych logowaniach będzie wymagał od użytkowników podania kodów SMS-owych.

W aplikacji Mobilny Portfel zależności od wcześniej wybranego sposobu autoryzacji trzeba będzie przejść autoryzację mobilną lub SMS-em. Zniknęła opcja potwierdzania operacji za pomocą karty kodów jednorazowych.

Żadnych zmian w zakresie logowania nie wprowadzono na platformach BiznesPl@net i Online Biznes, a także w aplikacjach GOmobile, Mobile BiznesPl@net i Mobile Biznes.

Maksymalny czas sesji bez żadnych czynności w platformach banku BNP Paribas Polska zmniejszono do 5 minut.

Credit Agricole: użytkownik sam będzie mógł zmieniać login

Także w Credit Agricole Bank Polska czas bezczynności po zalogowaniu się do serwisu bankowego skrócono do 5 minut. Co poza tym?

- Osoby korzystające z e-banku, co jakiś czas podczas logowania będą proszone o wpisanie kodu autoryzacyjnego wysłanego SMS-em (kod trzeba będzie wpisać oprócz loginu i hasła). Osoby korzystające z aplikacji mobilnej mogą zostać poproszone o wpisanie dodatkowo PIN-u mobilnego (tego samego, którym zatwierdza się wykonanie przelewu) - opisał rzecznik banku Przemysław Przybylski.

Credit Agricole Bank Polska wprowadził też dodatkową opcję dla klientów. - Dotychczasowy identyfikator (login), zostanie przekształcony w alias, który będzie można samodzielnie zmieniać. Wprowadzamy też nowy identyfikator służący m.in. do logowania - można go znaleźć w skrzynce wiadomości po zalogowaniu się do e-banku. Nowy identyfikator numeryczny oraz alias mogą być używane zamiennie - zapowiedział rzecznik banku.

eurobank: mniej opcji odblokowania dostępu

eurobank przy logowaniu oprócz identyfikatora i hasła wymaga podania hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji. Zmieniono sposób aktywacji aplikacji eurobank mobile 2.0: teraz zamiast numeru PESEL należy podać hasło z serwisu eurobank, wycofano też opcję aktywacji aplikacji eurobank mobile 1.0 i aktywacji tokena GSM.

Jednocześnie zniknęła możliwość zdalnego odblokowania dostępu do bankowości internetowej oraz przypomnienia identyfikatora i resetu hasła dla klientów korzystających z haseł SMS-owych.

W eurobanku też ograniczono czas bezczynnej sesji w serwisie internetowym do 5 minut.

Getin Bank wycofuje autoryzację tokenem

W serwisie Getin Banku po pierwszym zalogowaniu się z dodatkowym uwierzytelnieniem można będzie ustawić dany komputer lub urządzenie mobilne jako zaufane, żeby przy kolejnych logowaniach wpisywać tylko hasło i login.

Wraz z wprowadzeniem zapisów PSD2 bank rezygnuje z metody autoryzacji operacji z wykorzystaniem tokenu, zostało to automatycznie zmienione na kody SMS.

BOŚ Bank z nowym systemem internetowym

Od kilku miesięcy BOŚ Bank udostępniał zainteresowanym klientom nową wersję swojego serwisu internetowego BOŚBank24. Od soboty został wprowadzony na stałe, a z poprzedniego nie można już korzystać.

W nowym BOŚBank24 są dostępne dwie metody tzw. silnego uwierzytelniania:
- logowanie do systemu za pomocą Identyfikatora + maskowane hasło stałe + dodatkowy kod sms potwierdzający logowanie oraz autoryzowanie transakcji za pomocą kodu sms,
- logowanie i autoryzowanie transakcji za pomocą autoryzacji mobilnej z wykorzystaniem aplikacji BOŚtoken.

Klienci, którzy dotychczas korzystali w systemie z tokenów sprzętowych, aby uzyskać dostęp do nowego serwisu, muszą przejść proces migracji.

Nieautoryzowana transakcja? Bank musi oddać klientowi pieniądze

City Handlowy wprowadził Citi Mobile Token

W związku z wejściem w życie dyrektywy City Handlowy już w lipcu udostępnił nową metodę autoryzacji - Citi Mobile Token dostępny w aplikacji mobilnej banku. Można go wykorzystywać przy logowaniu do serwisu internetowego i płatnościach kartą w internecie.

Bank nadal oferuje uwierzytelnianie tych czynności SMS-ami.

Limit bezczynności podczas sesji na platformie internetowej banku zmniejszono z 8 do 5 minut.

Bank Pocztowy: zmiana także w Telekoncie

Bank Pocztowy w swoim serwisie Pocztowy24 udostępnia dwie opcje dodatkowego uwierzytelniania: SMS lub hasło do certyfikatu.

- Jeśli wykonujesz operacje za pomocą IVR (Telekonta), przy zlecaniu wybranych operacji będziesz proszony o ich autoryzację dodatkowym kodem SMS. Sam sposób logowania do Telekonta pozostaje bez zmian - zalogujesz się wpisując tonowo na klawiaturze telefonu swój NIK i dotychczasowe hasło - zapowiedział bank klientom.

Nest Bank bez zmian w logowaniu

W przypadku Nest Banku nie zmieni się sposób logowania do serwisu transakcyjnego - nadal będzie do tego niezbędne podanie loginu, hasła oraz awatara.

Natomiast dokonywanie niektórych operacji wymagać będzie dodatkowego zatwierdzenia kodem SMS lub autoryzacji w aplikacji mobilnej.

Czas bezczynnego korzystania z serwisu i aplikacji mobilnej, po którym nastąpi automatyczne wylogowanie, zmniejszono do 5 minut.

Ministerstwo i KNF ostrzegają przed próbami wyłudzeń danych

Większość banków w ostatnich tygodniach o zmianach wynikających z dyrektywy PSD2 informowała swoich klientów, przede wszystkim mailowo i SMS-owo. W piątek Ministerstwo Finansów podkreśliło w komunikacie, że użytkownicy powinni pamiętać, że firmy finansowe w takich sytuacjach nie proszą ich o podanie poufnych danych.

- Każde niestandardowe działania, takie jak wiadomości mailowe, SMS i próby kontaktu telefonicznego, powołujące się na wejście w życie nowych rozwiązań, w których klient jest proszony o podanie np. danych do logowania do banku, PIN-ów do karty płatniczej czy danych osobowych, powinny wzbudzać uzasadnione podejrzenia klientów - stwierdził resort.

Z kolei Komisja Nadzoru Finansowego ostrzega przed wiadomościami i kontaktami telefonicznymi, w których klient jest proszony o kliknięcie w przesłany mailem lub SMSem link internetowy, zmianę hasła lub innych danych do logowania za pomocą przesłanego linku internetowego, otworzenie podejrzanego załącznika, uruchomienie lub instalację przesłanej aplikacji albo wykonanie podejrzanej płatności lub przelewu internetowego.

- W przypadku jakichkolwiek wątpliwości zalecamy bezpośredni kontakt z właściwym dostawcą usług płatniczych. Jednocześnie zachęcamy do zaktualizowania posiadanej wiedzy w zakresie bezpiecznego korzystania z usług finansowych poprzez odwiedzenie stron internetowych instytucji finansowych, na których zamieszczone są szczegółowe informacje i ostrzeżenia w zakresie bezpiecznego korzystania z ich usług - zaznaczył KNF.