Katarzyna Żaczkiewicz: Czy w dniu wejścia w życie 14 września zmian w prawie bankowym zaczną się dodatkowe kłopoty dla klientów banków?

Maciej Kawecki:  Zmiany będą dotyczyły kilku obszarów. Pierwszym obszarem jest bankowość elektroniczna, to znaczy uzyskiwanie dostępu do swojego konta - do salda i historii przelewów będzie wymagało dwustopniowego uwierzytelniania. W oparciu o założenie, że każdy z banków zobowiązany jest do zastosowaniu dwóch z trzech możliwych modeli: wiedza o czymś, o czym wie wyłącznie użytkownik (np. PIN, hasło wielorazowe), posiadanie czegoś, co posiada wyłącznie użytkownik (np. karta płatnicza, aplikacja w smartfonie) oraz cechy charakterystyczne użytkownika (np. cechy biometryczne). A więc nie wystarczy już samo hasło i login, by móc uzyskać dostęp do konta i dokonać przelewu, niezależnie od jego wysokości. Jeśli np. będziemy dokonywali przelewu na 2 zł, to wymagany będzie PIN lub dodatkowe uwierzytelnienie.

Czytaj: Banki lepiej zabezpieczą klientów przed oszustami>>
 

Mamy zatem podwójne zabezpieczenie, czego banki nie stosowały tak powszechnie do tej pory?

Do tej pory zabezpieczeniem dostępu do konta bankowego były najczęściej niezmienne - login i hasło, a od 14 września będzie mógł być to dodatkowo zmienny ciąg cyfr, który otrzymamy SMS-em i ta sama procedura będzie obowiązywała przy przelewach. Cześć banków z pewnością wybierze też system biometryczny jako weryfikacja tożsamości.

Czytaj: Senat poprawił obowiązkowy split payment>>
 


Jak sobie z tym poradzą osoby, które nie mają telefonu komórkowego?

Nie wiem, czy są osoby, które korzystają z bankowości elektronicznej, a nie mają telefonu. W praktyce zabezpieczenia, o których mówimy dotyczą tylko klientów posiadających e-konto. Bez telefonu nie będzie można zatem dokonać przelewu. Dobrą formą, łatwiejszą będzie skorzystanie z zabezpieczeń biometrycznych, ale do tego też potrzebny jest telefon.

O jakich zabezpieczeniach biometrycznych mówimy?

Każdy bank będzie mógł wybrać różne modele biometrii. Przepisy nie określają katalogu danych biometrycznych ze względu na rozwój nowych technologii. Bank ma jednak ograniczoną możliwość kombinacji, dane muszą być rozpoznawane za pomocą telefonu lub komputera. W praktyce będzie to więc zapewne odcisk palca lub układ naczyń krwionośnych dłoni. Raczej banki nie będą decydowały się na inne sposoby pozyskania danych biometrycznych, chociaż wiem że trwają pracę w tym zakresie.

Czytaj: Płatności on-line: KNF dopuszcza opóźnienie wprowadzenia silnego uwierzytelniania>>
Jak mają po zmianach wyglądać transakcje kartą zbliżeniowo? Tu także wprowadzono limity.

Kupienie towaru w sklepie internetowym wymagać będzie również dwustopniowego uwierzytelnienia.  Zmiany obejmą też dokonywanie transakcji bezgotówkowych kartami. Banki będą zobowiązane do stosowania tak zwanego silnego uwierzytelnienia klienta przy co szóstej transakcji lub jeśli skumulowana wartość transakcji bez silnego uwierzytelniania przekroczy 150 euro (równowartość ponad 600 złotych).

 Do czego służą te wszystkie potwierdzenia?

To jest forma walki ze zjawiskiem oszustw w bankowości elektronicznej w tym ze zjawiskiem kradzieży tożsamości. Musimy pamiętać, że w 2019 r. Narodowy Bank Polski opublikował raport, w którym wskazał, że w drugim półroczu 2018 r. liczna kradzieży z wykorzystaniem kart kredytowych wzrosła w Polsce o 20 procent. Dodatkowo osiem na sto wniosków kierowanych do instytucji finansowych o kredyty to wnioski wykorzystujące fałszywą tożsamość. Zmiany są podyktowane ostrożnością, utrudniają nieautoryzowany dostęp do konta.

Czy wszystkie hasła i loginy tracą ważność 14 września?

To zależy od banku. W mojej ocenie nie. Bank może unieważnić nasze hasło i login, ale nie ma takiego obowiązku. Banki o tym informują na swoich stronach. Ale zwracam uwagę na oszukańcze maile. Podobnie jak przy wejściu w życie RODO pojawiają się fałszywe informacje. Wśród rzeczywistych maili od banków, mogą pojawić się maile " odznacz", "zapoznaj się z nowymi przepisami", "wejdź w link" do złudzenia przypominające maile z naszego banku. Link może różnić się jedną literą od domeny banku. Wtedy lepiej nie logować się, nie wpisywać hasła ani loginu.  To może być próba kradzieży tożsamości. Trzeba zwracać uwagę od kogo dostajemy pocztę.

Czytaj w LEX:

Wypłata środków z rachunku bankowego po śmierci posiadacza rachunku >

RODO a prawo bankowe >

Problem tajemnicy bankowej i zawodowej w kontekście karty płatniczej >