PSD2. KNF dopuszcza wydłużenie terminu na dostosowanie do regulacji

Komisja Nadzoru Finansowego może dać więcej czasu bankom na pełne wdrożenie regulacji o tak zwanym silnym uwierzytelnianiu, na przykład przy logowaniu do internetowego rachunku czy płatnościach kartą. Jest jednak warunek. Instytucja finansowa musi wcześniej zgłosić do KNF „realny plan” wdrożenia przewidzianych unijnymi regulacjami zmian.

Od 14 września wejdą w życie przepisy rozporządzenia delegowanego Komisji Europejskiej dotyczące między innymi tak zwanego silnego uwierzytelnienia klienta. Chodzi o to, by zwiększyć bezpieczeństwo korzystania z usług płatniczych oferowanych elektronicznie.

Według KNF silne uwierzytelnianie klienta powinno być stosowane w przypadku logowania klienta do systemu bankowości elektronicznej, inicjowania płatności kartą płatniczą lub innym instrumentem płatniczym oraz płatności internetowych.

W komunikacie wskazano, że „silne uwierzytelnianie zapewnia ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów, będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych”.

Wyjaśniono, że mogą to być na przykład PIN i hasło wielorazowe lub posiadanie przez użytkownika czegoś na wyłączność na przykład karty płatniczej, aplikacji w smartfonie, a także cechy charakterystycznej użytkownika (na przykład cechy biometryczne).

Silne uwierzytelnienie

KNF podała, że z informacji Europejskiego Urzędu Nadzoru Bankowego (EUNB) dotyczących europejskiego rynku usług płatniczych wynika, iż uczestnicy tego rynku są niedostatecznie przygotowani do pełnego wdrożenia zasad silnego uwierzytelniania klienta przy płatnościach dokonywanych za pośrednictwem kanałów elektronicznych, w tym zwłaszcza w obszarze e-handlu.

„Dotyczy to nie tylko dostawców usług płatniczych, lecz także nienadzorowanych interesariuszy rynku usług płatniczych, w tym zwłaszcza odbiorców płatności (sprzedawców) […}. Obserwacje te potwierdzają również zgromadzone przez Urząd Komisji Nadzoru Finansowego informacje i przeprowadzone analizy w zakresie rynku polskiego” – przyznaje KNF.

Komisja zauważa, że – zgodnie z opinią EUNB – organy nadzorcze państw UE mogą dopuścić dodatkowy, ograniczony czas na umożliwienie migracji stosowanych obecnie metod uwierzytelnienia do rozwiązań w pełni zgodnych z wymogami w zakresie silnego uwierzytelniania klienta. Dostawcy usług płatniczych muszą jednak przedstawić odpowiedni „plan migracji”, uzgodnić ten plan z organem nadzoru, a także ściśle współpracować z organem nadzoru przy realizacji tego planu.

Przedłużenie terminu

Wyjaśniono, że wobec dostawców usług płatniczych, którzy przed 14 września 2019 roku zgłoszą KNF potrzebę zastosowania tego rozwiązania, a następnie przedstawią stosowny, uzgodniony z Komisją realny „plan migracji”, w okresie prawidłowej realizacji tego planu, nie będą stosowane inne środki nadzorcze związane z niestosowaniem silnego uwierzytelniania klienta.

KNF podkreśla, że „nawet w takim przypadku ryzyko związane z niestosowaniem po 13 września 2019 roku silnego uwierzytelniania klienta zgodnego z przepisami Rozporządzenia w pełni obciąża zobowiązanych do tego dostawców usług płatniczych”.

„Wskazanie warunków brzegowych w tym maksymalnych terminów dla wdrożenia rozwiązań w zakresie silnego uwierzytelniania w ramach ‚planu migracji’ zostanie dokonane po zakończeniu ustaleń w ramach EUNB, co nastąpi najprawdopodobniej już po 14 września 2019 roku” – dodano w komunikacie.

Banki wprowadzają zmiany

Na wtorek 20 sierpnia wprowadzenie dodatkowych potwierdzeń przy logowaniu i operacji wykonywanych w bankowości internetowej oraz aplikacji na telefon zapowiedział ING Bank Śląski.

We wrześniu zmiany czekają klientów PKO BP i mBanku.

W ubiegłym tygodniu stare metody autoryzacji wycofał Bank Pekao. Oznacza to, że klienci nie mogą już korzystać z: kart kodów jednorazowych, aplikacji PekaoToken, token w postaci osobnego urządzenia.

Bank Ochrony Środowiska od 14 września planuje wprowadzić zupełnie nowy serwis internetowy. Tak przynajmniej wynika z komunikatu zmieszczonego na stronie banku. Nowy będzie umożliwiał korzystanie z nowej metody autoryzacji – autoryzacji mobilnej z wykorzystaniem tokena mobilnego. Funkcjonujące obecnie tokeny zostaną wycofane. Klienci będą mogli dokonywać autoryzacji kodem SMS.

Także Getin Noble Bank od 14 września wycofuje z użycia tokeny oraz karty Display (z interaktywnym wyświetlaczem). Zamiast tego wprowadzone zostanie dodatkowe uwierzytelnienie za pomocą SMS-a.