Właśnie 14 września wejdzie w życie Rozporządzenie Delegowane Komisji Europejskiej w zakresie regulacyjnych standardów technicznych (tzw. RTS) dotyczące między innymi silnego uwierzytelnienia klienta.


Jak mówi cytowany przez PAP Wojciech Pantkowski ze Związku Banków Polskich, nowe, tzw. silne uwierzytelnienie klienta polega na minimum dwuelementowym potwierdzaniu tożsamości. Pierwszy etap to np. kod PIN, hasło lub inny element, który jest znany tylko klientowi banku. Drugi etap pomaga zweryfikować tożsamość klienta. - Chodzi np. o jego telefon z kartą SIM, na który można przysłać sms z kodem - tłumaczy ekspert. Trzecim elementem może być tzw. "cecha klienta", czyli np. odcisk palca czy tęczówka oka lub układ żył.

Czytaj: Transakcje online mają być w UE lepiej chronione>>
 

Co najmniej dwa elementy potwierdzające

Rozporządzenie wprowadza konieczność stosowania procedur silnego uwierzytelnienia czyli minimum dwuelementowego potwierdzania tożsamości klientów. Opiera się ono na zastosowaniu co najmniej dwóch elementów należących do 3 kategorii:

  • Kategoria „wiedza” - to kod (np. PIN), hasło lub inny element, który jest i powinien być znany tylko klientowi - posiadaczowi danego instrumentu płatniczego lub bankowości internetowej,
  • Kategoria „posiadanie” - to element, który dany użytkownik ma w posiadaniu (np. karta plastikowa, telefon z kartą SIM) i który może zostać użyty w trakcie dokonywania płatności lub korzystania z bankowości internetowej,
  • Kategoria „cecha klienta” - to specyficzna dla danego klienta cecha, którą tylko on dysponuje i która go jednoznacznie wyróżnia. Dobrym przykładem jest biometria w postaci np. odcisku palca, tęczówki oka czy układu żył.

Stosowanie procedur silnego uwierzytelnienia będzie przy dokonywaniu płatności w terminalach płatniczych (POS), płatnościach za zakupy w internecie (e-commerce, m-commerce) oraz logowaniu i korzystaniu z bankowości internetowej czy mobilnej.

 

Przy płatnościach kartą będą wyjątki

Nie oznacza to jednak, że przy dokonywaniu każdej transakcji konieczne będzie stosowanie silnego uwierzytelniania. Rozporządzenie określa wyjątki, w których dostawcy usług płatniczych, w tym wydawcy kart nie muszą stosować silnego uwierzytelnienia klienta w zakresie płatności. Pierwszy wyjątek dotyczący płatności zbliżeniowych, który funkcjonuje już w Polsce od wielu lat i daje możliwość płacenia w terminalach z funkcją zbliżeniową do 50 PLN (limit w Polsce). Rozporządzenie określa ten górny limit na poziomie 50 EUR) bez konieczności podawania kodu PIN. 

Silne uwierzytelnienie po piątym zakupie

Kolejny wyjątek to tzw. liczniki transakcji, które mogą być albo ilościowe albo wartościowe. Licznik ilościowy pilnuje warunku określającego, że po przekroczeniu 5, następujących po sobie transakcji zbliżeniowych (bez względu na kwotę) musi nastąpić silne uwierzytelnienie klienta. Licznik wartościowy z kolei określa że po przekroczeniu określonej przez wydawcę instrumentu płatniczego kwoty następujących po sobie transakcji zbliżeniowych musi nastąpić silne uwierzytelnienie klienta. Chociaż Rozporządzenie określa kwotę takiego limitu na 150 EUR to wydawca danego instrumentu może określić ten limit na niższym poziomie. Polscy wydawcy (banki) skorzystają z tej możliwości i będą ustawiać go niżej.

Specjalne zabezpieczenia przy e-zakupach

W przypadku dokonywania elektronicznych płatności za zakupy w internecie (m-commerce, e-commerce kwota pojedynczej transakcji nie może przekroczyć 30 EUR, licznik wartościowy łącznych kwot transakcji nie może przekroczyć 100 EUR a licznik ilościowy liczby następujących po sobie transakcji jest analogiczny jak w płatnościach zbliżeniowych i wynosi 5. W tym obszarze wyjątkiem od powyższych reguł jest możliwość ujęcia danego sprzedawcy na liście tzw. zaufanych klientów co pozwala na zastosowanie nieco innych (wyższych) limitów określonych szczegółowo w Rozporządzeniu.

Istotnym wyłączeniem spod rygorów silnego uwierzytelnienia jest dokonywanie transakcji w terminalach samoobsługowych służących do regulowania opłat za transport np. biletomaty czy autostrady lub postój. Często w takich urządzeniach nie ma możliwości użycia kodu PIN stąd niemożliwe lub bardzo utrudnione byłoby zrealizowanie silnego uwierzytelnienia.

Banki przygotowują się

Jak twierdzi Wojciech Pantkowski ze Związku Banków Polskich, większość banków już wdrożyła odpowiednie procedury albo jest w trakcie zmian, informowania klientów o nowych procedurach

 

POLECAMY