Silne uwierzytelnienie użytkownika korzystającego z bankowości elektronicznej (PSD2)

Od kilku dni banki szturmują nas informacjami o zmianach w sposobach logowania się do serwisów transakcyjnych oraz o tym jak będzie wyglądało silne uwierzytelnienie użytkownika w kontekście wdrożenia dyrektywy PSD2. Zmiany mają przyjść już 14 września 2019 r. — toteż jest już chyba dobry czas, żeby rozkminić temat od strony prawnej.


silne uwierzytelnianie użytkownika

Silne uwierzytelnianie użytkownika w mBanku dotyczy nawet gości wchodzących do ich łódzkiego biura: po okazaniu dowodu osobistego dostajemy imienną przepustkę, którą trzeba się odbić przy wyjściu i wejściu (fot. Olgierd Rudak, CC-BY-SA 3.0)


Dalej będzie we w miarę niedługich, na pewno nie bankowych (i mam nadzieję nie aż tak po prawniczemu), punktach:

  • silne uwierzytelnienie użytkownika korzystającego z usług płatniczych to jedna ze zmian wymuszonych dyrektywą 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego (tzw. Paymet Services Directive, PSD2);
  • jak przystało na dyrektywę, PSD2 obowiązuje o tyle, o ile jej postanowienia zostały inkorporowane do krajowego porządku prawnego — w polskim przypadku chodzi o nowelizację ustawy o usługach płatniczych z maja 2018 r., która generalnie już obowiązuje, ale niektóre postanowienia należy stosować dopiero od 14 września 2019 r.;
  • nowelizacją ustawy dodano m.in. definicję silnego uwierzytelniania użytkownika — jest to wymóg dwustopniowego uwierzytelniania użytkownika: (i) to co wiem (np. znam moje hasło do serwisu, znam mój numer karty płatniczej i PIN do karty); (ii) to co mam (token lub aplikację bankową, którymi potwierdzam operację); (iii) to kim jestem (cechy biometryczne klienta);
art. 2 pkt 26aa ustawy o usługach płatniczych (Dz.U. z 2019 r. poz. 659)
Użyte w ustawie określenia oznaczają:
26aa) silne uwierzytelnianie użytkownika — uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:
a) wiedza o czymś, o czym wie wyłącznie użytkownik,
b) posiadanie czegoś, co posiada wyłącznie użytkownik,
c) cechy charakterystyczne użytkownika
— będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych
  • ważne: warunek silnego uwierzytelnienia użytkownika jest spełniony jeśli bank zastosuje dwa elementy — do potwierdzenia przelewu nie wystarczy samo hasło, klient będzie musiał dodatkowo potwierdzić operację np. odciskiem palca (używający kart płatniczych w internecie na pewno wiedzą na czym polega usługa 3-D Secure — mam kartę płatniczą (znam jej numer) i potrafię przepisać kod wysłany na mój telefon);
  • zgodnie z PSD2 stosowanie silnego — opartego na dwóch filarach — uwierzytelniania użytkownika będzie obowiązkowe w przypadku konkretnie wskazanych w przepisach operacji: (i) dostępu do rachunku przez internet (logowanie się); (ii) dokonywania płatności elektronicznej (przelew, płatność kartą); (iii) wykonywania operacji przez internet lub na odległość („kanał zdalny” zdefiniowany jest w art. 4 pkt 6 dyrektywy, nb. w sposób podobny do redakcji art. 32i ust. 2 uup), która to operacja wiąże się z potencjalnym ryzykiem oszustwa;
art. 32i ust.1-2 ustawy o usługach płatniczych
1. Dostawca stosuje silne uwierzytelnianie użytkownika, w przypadku gdy płatnik:
1) uzyskuje dostęp do swojego rachunku w trybie on-line;
2) inicjuje elektroniczną transakcję płatniczą;
3) przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.
2. Jeżeli płatnik inicjuje elektroniczną transakcję płatniczą z wykorzystaniem połączenia z siecią Internet lub za pośrednictwem środków, które mogą być wykorzystywane do porozumiewania się na odległość, dostawca stosuje silne uwierzytelnianie użytkownika obejmujące elementy, które dynamicznie łączą transakcję płatniczą z określoną kwotą transakcji oraz określonym odbiorcą.
  • dla jasności: silne uwierzytelnienie transakcji wykonywanej przez kanał zdalny musi dotyczyć konkretnej czynności (kwoty, odbiorcy płatności), natomiast cała zastosowana przez dostawcę technologia musi odpowiadać potrzebom w zakresie bezpieczeństwa, poufności i integralności danych uwierzytelniających (art. 32i ust. 3 uup);
  • dlaczego zatem silne uwierzytelnianie użytkownika pojawia się w komunikatach banków dopiero w kontekście daty 14 września 2019 r.? ano dlatego, że chociaż związana z PSD2 nowelizacja ustawy o usługach płatniczych weszła w życie już 20 czerwca 2018 r., to przepis szczególny wydłużył termin obowiązkowego silnego uwierzytelniania — pozwalając instytucjom finansowym na prace nad pełnym wdrożeniem właśnie do dnia 14 września 2019 r.;
art. 22 ust. 1 ustawy z 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. z 2018 r. poz. 1075)
Dostawca usług płatniczych jest obowiązany spełniać wymogi, o których mowa w art. 32i ustawy [o usługach płatniczych], oraz wymogi (…) regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji, o których mowa w art. 49a ust. 2 pkt 3, art. 59r ust. 3 pkt 4 i ust. 4 pkt 1, art. 59s ust. 2 pkt 3 i ust. 3 pkt 1 ustawy [o usługach płatniczych], od dnia 14 września 2019 r.

Zamiast komentarza: czekają nas ciekawe czasy — przyznam, że właśnie z tego względu zdecydowałem się na zainstalowanie aplikacji bankowej (potwierdzenia w aplikacji są znacznie wygodniejsze niż przepisywanie kodów z esemesów, a eksperci mówią, że znacznie bezpieczniejsze, chociaż też nie idealne, por. tekst „Dlaczego (nie) warto używać aplikacji mobilnej do autoryzacji przelewów?” opublikowany w Niebezpiecznik.pl).

Jestem też ciekaw jak silne uwierzytelnianie użytkownika będzie interpretowane przez sądy w kontekście odpowiedzialności banków (art. 46 uup) za nieautoryzowane transakcje wywołane błędem (niedopatrzeniem, brakiem uwagi) klienta i ciężar dowodu autoryzacji operacji (art. 45 uup). Osobiście zaryzykowałbym tezę, że bank, który wdroży owo dwustopniowe silne uwierzytelnianie będzie miał znacznie łatwiejsze pole do popisu jeśli chodzi o wykazanie, że klient wiedział co robi, no i że nie było żadnej usterki lub awarii, w tym jakiegokolwiek „włamu do systemu”…

18
Dodaj komentarz

avatar
5 Comment threads
13 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
Imię
Gość
Imię

Przecież dwustopniowość jest już teraz. Hasło do banku i SMS. 3D secure można obejść. Pozostałe jak odcisk palca – raczej nierealne – kto ma płacić za czytniki i za ich podłączenie do sieci?

b52t
Gość
b52t

Nest Bank już stosuje odcisk palca (ponoć).
Dzisiaj, coraz więcej modeli szprytfonów ma taką opcję (choć jest ona wadliwa i relatywnie łatwa do obejścia).

RYBY
Gość
RYBY

Jak można obejść 3D-Secure?

Marcin
Gość
Marcin

3D-secure nie jest obligatoryjne dla merchanta – mozna obciazyc karte bez niego.

Jan
Gość
Jan

Tak się zastanawiam… czy to nie wymusza drugiego składnika przy płaceniu zdalnie kartą kredytową? Do tej pory wystarczało samo posiadanie karty, bo na niej jest imię, nazwisko, numer, ważność, CVV.

RYBY
Gość
RYBY

Przy płaceniu kartą już teraz w większości wypadków było 3D-Secure, teraz będzie dodatkowy SMS lub potwierdzenie w aplikacji mobilnej

Adam
Gość
Adam

” 2) inicjuje elektroniczną transakcję płatniczą; ”

Czyli płatność kartą (transakcja elektroniczna) w sklepie także PIN plus SMS
i zakaz zbliżeniowo bez atoryzacji ?

Imię
Gość
Imię

Właśnie dostałem informację, że każdorazowe logowanie się do banku będzie wymagało podania loginu, hasła i hasła z SMS. Ciekawe jak dadzą sobie radę z milionami SMS’ów dziennie więcej. Skończy się przeglądanie stanu konta „na szybko”, trzeba będzie mieć telefon przy sobie. A jak ktoś nie ma? Nie zaloguje się?

Filip
Gość
Filip

Ciekawostka odnośnie aplikacji mBanku – zapisuje limity kart kredytowych otwartym tekstem w konfiguracji.