Silne uwierzytelnienie o transakcjach starszych niż 90 dni — czyli jak Citibank wdrożył (na dziś) dyrektywę PSD2

Krótko i na temat: tu i ówdzie pojawiły się pierwsze objawy dyrektywy PSD2, ot na przykład Citibank już wymaga silnego uwierzytelnienia użytkownika przy dostępie do informacji o transakcjach starszych niż 90 dni.


dostęp transakcji 90 dni

Dostęp do transakcji z 90 dni NIE wymaga silnego uwierzytelnienia użytkownika…


Celem krótkiego przypomnienia: silne uwierzytelnienie klienta korzystającego z usług finansowych polega na wymogu potwierdzenia operacji co najmniej dwoma elementami (wiedzą, którą dysponuje użytkownik — posiadaniem czegoś, co ma tylko użytkownik — cechą charakterystyczną użytkownika), banki mają obowiązek stosować silne uwierzytelnianie m.in. w przypadku uzyskiwania dostępu do rachunku przez internet lub dokonywania płatności elektronicznej.

Dyrektywa PSD2 nie nakazuje masakrowania użytkowników esemesami (i nie powinna być traktowana jako przyczynek do zmuszenia klientów do zakupu sprytfonów) — wśród czynności, które nie wymagają SCA jest m.in. dostęp do salda rachunku i jego historii za ostatnie 90 dni (por. „Wyjątki od obowiązku stosowania silnego uwierzytelnienia użytkownika”).


dostęp transakcji 90 dni

…jednak w Citibanku użytkownik musi się uwierzytelnić za każdym razem, nawet jeśli interesują go dane o transakcjach z ostatnich kilku dni…


PSD2 sobie, a praktyka — przynajmniej w przypadku Citibanku, przynajmniej na dziś — sobie, albowiem:

  • od razu po zalogowaniu się do serwisu internetowego otrzymujemy komunikat, iż dostęp do transakcji starszych niż 90 dni wymagane będzie uwierzytelnienie się poprzez kod wysłany w esemesie;
  • jest dla mnie logiczne zatem, że dopóki będę chciał zobaczyć operacje z ostatnich 89 dni, żadnego esemesa nie dostanę i niczego nie będę musiał potwierdzać;
  • a jednak po kliknięciu OK nie otrzymuję dostępu do informacji o świeżych transakcjach — natomiast bank od razu wyświetla komunikat, że wysłał do mnie esemesa, którego muszę przepisać;
  • przepisawszy kod otrzymuję dostęp do całości danych — czyli mam historię płatności nie tylko za ostatnie 3 miesiące, ale też wcześniejszą;
  • dodać warto, że przy kolejnej próbie zalogowania się sytuacja się powtarza, zatem Citibank nie traktuje używania tego samego komputera jako „cechy użytkownika” (nie ma opcji zapamiętania zaufanego sprzętu, którą zapowiedziały niektóre banki).

Mnie to rybka, bo ja sobie poradzę, ale wyszło troszkę śmiesznie — miejmy nadzieję, że Citibank upora się z tym fopasem dość szybko (prościej będzie zmienić treść pierwszej planszy — przypominam, że umożliwienie dostępu do historii rachunku do 90 dni bez SCA jest prawem, nie obowiązkiem banku).

A przy okazji: jeśli mówicie, że nie macie jeszcze konta Revolut, to w każdej chwili możecie założyć — z tym linkiem będzie za darmo karta i jeszcze 25 złotych na konto. Warto, bo Revolut naprawdę działa (a mówię to jako sceptyczny cynik).

10
Dodaj komentarz

avatar
4 Comment threads
6 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
sjs
Gość
sjs

Wprowadzają zmiany na produkcji bez testów, albo raczej z testami, ale na produkcji właśnie. Mi pokazuje się historia kart z czerwca. Przechodząc do „starszych” mogę dojść do końca lipca, a potem wyskakuje ten komunikat. Najpierw był po angielsku „Alert The statement you selected is beyond the current month or past month , so please enter correct OTP before downloading statement”, ale teraz jest już po polsku. Dopiero po wpisaniu kodu mam bieżącą historię kart.

Imię
Gość
Imię

Jeszcze śmieszniej jest w mBanku:

„Nie odnaleziono adresu
Firefox nie może odnaleźć serwera online.mbank.pl.”

mmm777
Gość
mmm777

A właściwie, co tak nadzwyczajnie tajnego jest w transakcjach starszych niż kwartał?
Jakie przestępstwo umożliwił dostęp do tych danych?

mmm777
Gość
mmm777