Wyjątki od obowiązku stosowania silnego uwierzytelnienia użytkownika (PSD2)

Wracając do tematyki PSD2 i silnego uwierzytelniania klienta — dziś czas na kilka wyjątków od reguły, czyli czy bank musi zawsze stosować komplet wymyślnych zabezpieczeń — czy jednak są jakieś wyjątki od silnego uwierzytelnienia użytkownika?


wyjątki silnego uwierzytelnienia użytkownika

Transakcja dokonana w sklepiku z firankami może być potraktowana przez bank jako podlegająca szczególnemu ryzyku — więc będzie wymagała silnego uwierzytelnienia użytkownika (fot. Olgierd Rudak, CC-BY-SA 3.0)


Dla przypomnienia dyrektywa 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2) zobowiązuje instytucje finansowe do stosowania, już od 14 września 2019 r., silnego uwierzytelniania użytkownika (SCA) w każdym przypadku: (i) dostępu do rachunku bankowego przez internet; (ii) wykonywania płatności elektronicznej; (iii) wykonania „za pomocą kanału zdalnego” czynności, która pociąga za sobą ryzyko fraudów (art. 32i ust. 1 ustawy o usługach płatniczych). Owo silne uwierzytelnianie użytkownika polega natomiast na udzieleniu dostępu po spełnieniu przez klienta co najmniej dwóch spośród trzech warunków: (i) wykazania się unikalną wiedzą (np. znajomość hasła, loginu); (ii) posiadania czegoś unikalnego (np. urządzenia, przy pomocy którego autoryzujemy operację); (iii) posiadania przez tę osobę określonej charakterystycznej cechy (cechy biometryczne).

Tyle reguły, czas na wyjątki, które szczegółowo określa rozporządzenie delegowane 2018/389 uzupełniające dyrektywę PSD2 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (tzw. RTS), które pozwala na odstępstwa od SCA w przypadku:

  • „uproszczonego” dostępu online do rachunku bankowego, tj. tylko do jego salda i historii za ostatnie 90 dni (SCA będzie jednak wymagane przy pierwszym logowaniu do bankowości internetowej oraz co 90 dni);
  • płatności zbliżeniowych — pod warunkiem, że (i) kwota transakcji nie przekracza 50 euro; (ii) łączna wartość wszystkich operacji niepotwierdzonych w trybie SCA nie przekracza 150 euro; (iii) łączna ilość transakcji zbliżeniowych wykonanych kartą płatniczą nie przekracza 5 (stąd zapowiedzi banków, że jednak od czasu do czasu płatność bezstykowa będzie wymagała potwierdzenia kodem PIN);
  • samoobsługowych płatności służących do regulowania opłat za przejazd (RTS nie różnicuje „przejazdu autostradą” od „przejazdu tramwajem”, więc myślę, że powinno chodzić o każdą tego rodzaju płatność) lub postój;
  • płatności dokonywanych do zaufanych odbiorców — natomiast zdefiniowanie zaufanego odbiorcy oczywiście musi podlegać pełnej procedurze silnego uwierzytelnienia użytkownika;
  • transakcji cyklicznych — wyłącznie jednak na tę samą kwotę i na rzecz tego samego odbiorcy (SCA należy jednak stosować przy definiowaniu takiej transakcji);
  • przelewu do siebie samego — pod warunkiem, że oba rachunki prowadzi ten sam bank;
  • transakcji niskokwotowych — RTS zezwala na niestosowanie wymogów SCA w przypadku zdalnych elektronicznych transakcji płatniczych (i) do kwoty 30 euro przy pojedynczej płatności; (ii) sumy płatności niskokwotowych nie przekraczającej 100 euro; (iii) liczby tych płatności, która nie może przekraczać 5 od ostatniego zastosowania silnego uwierzytelniania — tutaj rozporządzenie stawia na konieczność równowagi między bezpieczeństwem a przyjaznością i łatwą dostępnością takich form zapłaty;
  • płatności korporacyjnych — SCA jest obligatoryjne w przypadku płatności konsumenckich, natomiast w przypadku płatności dokonywanych przez osoby prawne można zrezygnować z dodatkowych zabezpieczeń, pod warunkiem, że „właściwe organy” uznają stosowane przez banki „procesy i protokoły” za co najmniej tak samo bezpieczne jak wymagane dyrektywą PSD2;
  • transakcji uznanych za charakteryzujących się niskim poziomem ryzyka — tutaj dostawca musi dokonać analizy ryzyka takich transakcji, biorąc pod uwagę m.in. wskaźnik oszustw dla danego rodzaju operacji, kwotę transakcji, „profil” zachowań użytkownika (np. niestandardowych wydatków lub niestandardowego wzorca zachowań, jego lokalizacji (niestandardowej lub wiążącej się z wysokim ryzykiem), złośliwego oprogramowania lub nietypowego dostępu do urządzenia (art. 18 ust. 2 lit. c oraz ust. 3 rozporządzenia 2018/389 będzie śnił się ekspertom od RODO).

I dopiero te właśnie prawne wyjątki od silnego uwierzytelnienia użytkownika — obowiązkowego na gruncie PSD2, ale nieobowiązkowego ze względu na specyfikę niektórych transakcji — są przyczynkiem do publikowania przez banki „zadziwiających” informacji, jak np. o konieczności sporadycznego potwierdzania PIN-em transakcji zbliżeniowych.

Q.E.D.

2
Dodaj komentarz

avatar
1 Comment threads
1 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
sjs
Gość
sjs

Według jakiego kursu mają być przeliczane te limity?