Silne uwierzytelnienie o transakcjach starszych niż 90 dni — czyli jak Citibank wdrożył (na dziś) dyrektywę PSD2

Krótko i na temat: tu i ówdzie pojawiły się pierwsze objawy dyrektywy PSD2, ot na przykład Citibank już wymaga silnego uwierzytelnienia użytkownika przy dostępie do informacji o transakcjach starszych niż 90 dni.


dostęp transakcji 90 dni

Dostęp do transakcji z 90 dni NIE wymaga silnego uwierzytelnienia użytkownika…


Celem krótkiego przypomnienia: silne uwierzytelnienie klienta korzystającego z usług finansowych polega na wymogu potwierdzenia operacji co najmniej dwoma elementami (wiedzą, którą dysponuje użytkownik — posiadaniem czegoś, co ma tylko użytkownik — cechą charakterystyczną użytkownika), banki mają obowiązek stosować silne uwierzytelnianie m.in. w przypadku uzyskiwania dostępu do rachunku przez internet lub dokonywania płatności elektronicznej.

Dyrektywa PSD2 nie nakazuje masakrowania użytkowników esemesami (i nie powinna być traktowana jako przyczynek do zmuszenia klientów do zakupu sprytfonów) — wśród czynności, które nie wymagają SCA jest m.in. dostęp do salda rachunku i jego historii za ostatnie 90 dni (por. „Wyjątki od obowiązku stosowania silnego uwierzytelnienia użytkownika”).


dostęp transakcji 90 dni

…jednak w Citibanku użytkownik musi się uwierzytelnić za każdym razem, nawet jeśli interesują go dane o transakcjach z ostatnich kilku dni…


PSD2 sobie, a praktyka — przynajmniej w przypadku Citibanku, przynajmniej na dziś — sobie, albowiem:

  • od razu po zalogowaniu się do serwisu internetowego otrzymujemy komunikat, iż dostęp do transakcji starszych niż 90 dni wymagane będzie uwierzytelnienie się poprzez kod wysłany w esemesie;
  • jest dla mnie logiczne zatem, że dopóki będę chciał zobaczyć operacje z ostatnich 89 dni, żadnego esemesa nie dostanę i niczego nie będę musiał potwierdzać;
  • a jednak po kliknięciu OK nie otrzymuję dostępu do informacji o świeżych transakcjach — natomiast bank od razu wyświetla komunikat, że wysłał do mnie esemesa, którego muszę przepisać;
  • przepisawszy kod otrzymuję dostęp do całości danych — czyli mam historię płatności nie tylko za ostatnie 3 miesiące, ale też wcześniejszą;
  • dodać warto, że przy kolejnej próbie zalogowania się sytuacja się powtarza, zatem Citibank nie traktuje używania tego samego komputera jako „cechy użytkownika” (nie ma opcji zapamiętania zaufanego sprzętu, którą zapowiedziały niektóre banki).

Mnie to rybka, bo ja sobie poradzę, ale wyszło troszkę śmiesznie — miejmy nadzieję, że Citibank upora się z tym fopasem dość szybko (prościej będzie zmienić treść pierwszej planszy — przypominam, że umożliwienie dostępu do historii rachunku do 90 dni bez SCA jest prawem, nie obowiązkiem banku).

A przy okazji: jeśli mówicie, że nie macie jeszcze konta Revolut, to w każdej chwili możecie założyć — z tym linkiem będzie za darmo karta i jeszcze 33 złotych na konto. Warto, bo Revolut naprawdę działa (a mówię to jako sceptyczny cynik).

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

10 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze