• rozwiń
    • WIG20 2164.75 -0.41%
    • WIG30 2451.42 -0.51%
    • WIG 57024.61 -0.48%
    • sWIG80 11449.24 -0.03%
    • mWIG40 3636.71 -0.92%

Ostatnia aktualizacja: Dziś 17:15

Dostosuj

Nowe przepisy płatności online. Zmienią zasadę loginu i hasła

"Pod kontrolą, ale bez naszego udziału". Tak zmienia się świat płatności Odtwórz: "Pod kontrolą, ale bez naszego udziału". Tak zmienia się świat płatności
"Pod kontrolą, ale bez naszego udziału". Tak zmienia się świat płatności "Źródło: TVN24 BiS"

Nowa unijna dyrektywa PSD2, regulująca usługi płatnicze w internecie, wprowadza zabezpieczenia transakcji, ale niesie ze sobą także zagrożenia - wskazuje Piotr Gałązka dyrektor Przedstawicielstwa Związku Banków Polskich w Brukseli. Wyjaśnił, że do tej pory obowiązywała zasada, że loginu i hasła używało się tylko na stronie banku i nie podawało ich na innych stronach. - Wraz z nowymi przepisami ta sztywna zasada trochę się rozmywa - ocenił.

Do stycznia 2018 roku Polska powinna implementować unijną dyrektywę PSD2 wraz z towarzyszącym jej rozporządzeniem Komisji Europejskiej, dotyczącym tak zwanych regulacyjnych standardów technicznych (RTS).

Dyrektywa reguluje między innymi kwestię cyberbezpieczeństwa i płatności w internecie. Przedstawiciel ZBP wskazuje na "silne uwierzytelnienie płatności". Dyrektywa wprowadza np. zasadę, że muszą występować dwa czynniki różnej natury, które będą uwierzytelniać daną płatność.

Dodaje, że w Polsce takie zasady obowiązują już od jakiegoś czasu i istnieje np. obowiązek potwierdzenia transakcji internetowych przez kod wysyłany na komórkę. - Polska, w porównaniu do innych państw Unii, jest forpocztą, jeśli chodzi o stosowanie rozwiązań innowacyjnych w płatnościach - zaznacza.

Nowe uprawnienia

Gałązka podkreśla, że najistotniejszym nowym rozwiązaniem, wprowadzanym przez dyrektywę PSD2, jest wprowadzenie nowych kategorii instytucji płatniczych. Będą to tzw. podmioty trzecie, działające obok banków, dotychczasowych instytucji płatniczych czy operatorów pocztowych.

Będą się do nich zaliczać dwie kategorie podmiotów: instytucje płatnicze, inicjujące płatność w internecie w imieniu klienta, a także podmioty świadczące usługę informacji o rachunku (zapewniające konsumentowi zagregowane informacje na temat jego rachunku lub rachunków, ewentualnie dostarczające analiz lub porównań transakcji). W Polsce, jak dodaje Gałązka, takie podmioty już funkcjonują - świadczą np. usługi realizacji płatności w sklepach internetowych.

Przedstawiciel ZBP zwraca uwagę, że zmiana polega na tym, że "podmioty trzecie", pośredniczące w transakcjach internetowych, będą miały prawo pobierania od klientów loginów i haseł do kont bankowych.

Zaznacza, że po wejściu w życie dyrektywy "będzie możliwość podania loginu i hasła na stronie instytucji płatniczej".

Zasada loginu i hasła

Gałązka dodaje, że w toku prac legislacyjnych środowisko bankowe zwracało uwagę na ryzyka związane ze stosowaniem tych przepisów. 

- Do tej pory obowiązywała zasada, że loginu i hasła używało się tylko na stronie banku i nie podawało ich na innych stronach. To gwarantowało bezpieczeństwo środków, jeśli hasło nie zostało nikomu ujawnione. Wraz z nowymi przepisami ta sztywna zasada trochę się rozmywa - podkreśla Gałązka.

- Pojawia się bowiem pytanie, czy wszyscy konsumenci będą w stanie prawidłowo rozpoznawać takie podmioty trzecie – dodaje. Warto jednak podkreślić, że podmiot trzeci musi być zarejestrowany i posiadać licencję KNF.

Choć dyrektywa, zaznacza Gałązka, ma stworzyć nowe możliwości płatności internetowych przez wpuszczenie na rynek nowych podmiotów, efekt może być odwrotny od zamierzonego. - Jeśli spadnie poziom bezpieczeństwa i wzrośnie odsetek oszustw w internecie, wywoła to wręcz spadek zaufania do płatności internetowych - komentuje.

Przekierowanie klienta

Rozporządzenie RTS wprowadza dwie kategorie dostępu dla podmiotów trzecich – za pośrednictwem bezpiecznego interfejsu komunikacyjnego (API) oraz, w przypadku gdyby API nie działało w odpowiedni sposób, za pośrednictwem tzw. mechanizmu "fall-back". Mechanizm ten wykorzystuje dostęp przez stronę klienta, jednak przy założeniu, że podmiot trzeci jest identyfikowany.

W rozporządzeniu, dodaje Gałązka, zawarty jest także zakaz zastosowania tzw. metody "redirection" jako jedynego sposobu przeprowadzenia uwierzytelnienia klienta. Metoda ta, dobrze sprawdzająca się np. na polskim rynku, polega na przekierowaniu klienta do strony banku, aby tam dopiero podawał swoje dane do logowania.

Inne metody mogą wymagać od klienta podania danych do logowania także na stronach lub w aplikacjach podmiotów trzecich. - To wszystko powoduje, że banki muszą zwiększyć wysiłki na rzecz działań edukacyjnych, związanych z płatnościami w internecie - dodaje przedstawiciel ZBP

Podziel się:

Bądź na bieżąco:
  • Komentarze (4)

Dodaj Komentarz

Zaloguj się , aby dodać komentarz
Forum jest aktualizowane w czasie rzeczywistym
+0 nowe komentarze
mam_juz_tego_dosc
Radzę założyć drugie konto bankowe (najlepiej w tym samym banku, dla natychmiastowych przelewów) na które przelewamy pieniądze potrzebne na zakupy i tyle. Jeżeli mamy pecha i ktoś pozna hasło to ukradnie tylko część pieniędzy. Taki prepaid :) Co prawda zakupy online staną się uciążliwe ale przynajmniej bardziej bezpieczne.
  • 1
  • 0
  • zgłoś naruszenie
zamknij
pawel_werdyn
Tą formę płatności którą proponujesz załatwiały doskonale karty pre-paid. Ale je zlikwidowano. I komu to przeszkadzało ???
  • 1
  • 0
  • zgłoś naruszenie
zamknij
gen zdrady
No i na tym zakończą się moje płatności przez pośredników. Moje konto, mój bank i zaufanie moje do banku. Prosta, życiowa zasada: trzecia osoba w każdej tajemnicy, to o jedną za dużo.
  • 6
  • 0
  • zgłoś naruszenie
zamknij

Zasady forum

Publikowane komentarze są prywatnymi opiniami użytkowników portalu. TVN24BiŚ nie ponosi odpowiedzialności za treść opinii.

Ustawienia

Zamknij ustawienia
Ustawienia zostały zapisane