Od kilku dni banki szturmują nas informacjami o zmianach w sposobach logowania się do serwisów transakcyjnych oraz o tym jak będzie wyglądało silne uwierzytelnienie użytkownika w kontekście wdrożenia dyrektywy PSD2. Zmiany mają przyjść już 14 września 2019 r. — toteż jest już chyba dobry czas, żeby rozkminić temat od strony prawnej.
Dalej będzie we w miarę niedługich, na pewno nie bankowych (i mam nadzieję nie aż tak po prawniczemu), punktach:
- silne uwierzytelnienie użytkownika korzystającego z usług płatniczych to jedna ze zmian wymuszonych dyrektywą 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego (tzw. Paymet Services Directive 2, PSD2);
- jak przystało na dyrektywę, PSD2 obowiązuje o tyle, o ile jej postanowienia zostały inkorporowane do krajowego porządku prawnego — w polskim przypadku chodzi o nowelizację ustawy o usługach płatniczych z maja 2018 r., która generalnie już obowiązuje, ale niektóre postanowienia należy stosować dopiero od 14 września 2019 r.;
- nowelizacją ustawy dodano m.in. definicję silnego uwierzytelniania użytkownika — jest to wymóg dwustopniowego uwierzytelniania użytkownika: (i) to co wiem (np. znam moje hasło do serwisu, znam mój numer karty płatniczej i PIN do karty); (ii) to co mam (token lub aplikację bankową, którymi potwierdzam operację); (iii) to kim jestem (cechy biometryczne klienta);
art. 2 pkt 26aa ustawy o usługach płatniczych (Dz.U. z 2019 r. poz. 659)
Użyte w ustawie określenia oznaczają:
26aa) silne uwierzytelnianie użytkownika — uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:
a) wiedza o czymś, o czym wie wyłącznie użytkownik,
b) posiadanie czegoś, co posiada wyłącznie użytkownik,
c) cechy charakterystyczne użytkownika
— będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych
- ważne: warunek silnego uwierzytelnienia użytkownika jest spełniony jeśli bank zastosuje dwa elementy — do potwierdzenia przelewu nie wystarczy samo hasło, klient będzie musiał dodatkowo potwierdzić operację np. odciskiem palca (używający kart płatniczych w internecie na pewno wiedzą na czym polega usługa 3-D Secure — mam kartę płatniczą (znam jej numer) i potrafię przepisać kod wysłany na mój telefon);
- zgodnie z PSD2 stosowanie silnego — opartego na dwóch filarach — uwierzytelniania użytkownika będzie obowiązkowe w przypadku konkretnie wskazanych w przepisach operacji: (i) dostępu do rachunku przez internet (logowanie się); (ii) dokonywania płatności elektronicznej (przelew, płatność kartą); (iii) wykonywania operacji przez internet lub na odległość („kanał zdalny” zdefiniowany jest w art. 4 pkt 6 dyrektywy, nb. w sposób podobny do redakcji art. 32i ust. 2 uup), która to operacja wiąże się z potencjalnym ryzykiem oszustwa;
art. 32i ust.1-2 ustawy o usługach płatniczych
1. Dostawca stosuje silne uwierzytelnianie użytkownika, w przypadku gdy płatnik:
1) uzyskuje dostęp do swojego rachunku w trybie on-line;
2) inicjuje elektroniczną transakcję płatniczą;
3) przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.
2. Jeżeli płatnik inicjuje elektroniczną transakcję płatniczą z wykorzystaniem połączenia z siecią Internet lub za pośrednictwem środków, które mogą być wykorzystywane do porozumiewania się na odległość, dostawca stosuje silne uwierzytelnianie użytkownika obejmujące elementy, które dynamicznie łączą transakcję płatniczą z określoną kwotą transakcji oraz określonym odbiorcą.
- dla jasności: silne uwierzytelnienie transakcji wykonywanej przez kanał zdalny musi dotyczyć konkretnej czynności (kwoty, odbiorcy płatności), natomiast cała zastosowana przez dostawcę technologia musi odpowiadać potrzebom w zakresie bezpieczeństwa, poufności i integralności danych uwierzytelniających (art. 32i ust. 3 uup);
- dlaczego zatem silne uwierzytelnianie użytkownika pojawia się w komunikatach banków dopiero w kontekście daty 14 września 2019 r.? ano dlatego, że chociaż związana z PSD2 nowelizacja ustawy o usługach płatniczych weszła w życie już 20 czerwca 2018 r., to przepis szczególny wydłużył termin obowiązkowego silnego uwierzytelniania — pozwalając instytucjom finansowym na prace nad pełnym wdrożeniem właśnie do dnia 14 września 2019 r.;
art. 22 ust. 1 ustawy z 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. z 2018 r. poz. 1075)
Dostawca usług płatniczych jest obowiązany spełniać wymogi, o których mowa w art. 32i ustawy [o usługach płatniczych], oraz wymogi (…) regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji, o których mowa w art. 49a ust. 2 pkt 3, art. 59r ust. 3 pkt 4 i ust. 4 pkt 1, art. 59s ust. 2 pkt 3 i ust. 3 pkt 1 ustawy [o usługach płatniczych], od dnia 14 września 2019 r.
Zamiast komentarza: czekają nas ciekawe czasy — przyznam, że właśnie z tego względu zdecydowałem się na zainstalowanie aplikacji bankowej (potwierdzenia w aplikacji są znacznie wygodniejsze niż przepisywanie kodów z esemesów, a eksperci mówią, że znacznie bezpieczniejsze, chociaż też nie idealne, por. tekst „Dlaczego (nie) warto używać aplikacji mobilnej do autoryzacji przelewów?” opublikowany w Niebezpiecznik.pl).
Jestem też ciekaw jak silne uwierzytelnianie użytkownika będzie interpretowane przez sądy w kontekście odpowiedzialności banków (art. 46 uup) za nieautoryzowane transakcje wywołane błędem (niedopatrzeniem, brakiem uwagi) klienta i ciężar dowodu autoryzacji operacji (art. 45 uup). Osobiście zaryzykowałbym tezę, że bank, który wdroży owo dwustopniowe silne uwierzytelnianie będzie miał znacznie łatwiejsze pole do popisu jeśli chodzi o wykazanie, że klient wiedział co robi, no i że nie było żadnej usterki lub awarii, w tym jakiegokolwiek „włamu do systemu”…