PSD2: nowy termin na wdrożenie „silnego uwierzytelnienia klienta”

25 października 2019, 09:42
electronic-payments
fot. AKuptsova / pixabay

Oficjalny termin wdrożenia nałożonego dyrektywą PSD2 tzw. „silnego uwierzytelnienia klienta” został oficjalnie przedłużony do 31 grudnia 2020. Pierwotnie wdrożenie tego mechanizmu miało nastąpić do 14 września jednak wiele instytucji w całej Unii Europejskiej w tym również z Polski poprosiły o jego wydłużenie z uwagi na trudności w spełnieniu wymagań.

Europejski Urząd Nadzoru Bankowego polecił wszystkim krajowym organom odpowiedzialnym za nadzór bankowy na przyjęcie spójnego podejścia do migracji metody uwierzytelniania. Jednolite przejście do nowych form uwierzytelniania wymagało przesunięcia terminu – Bank Info Security.

„Wraz z opóźnieniem regulacji „silnego uwierzytelniania klienta” wielu w sektorze płatności internetowych i e-commerce w Wielkiej Brytanii może dziś odetchnąć z ulgą” - mówi Michał Kissos Hertzog, dyrektor generalny internetowego banku Pepper w komentarzu dla Bank Info Security. „Musimy jednak zdawać sobie sprawę, że płatności online cały czas się zmieniają, dlatego oferta wartości i wrażenia użytkowników muszą się stale zmieniać - szczególnie w zakresie zapewnienia bezpieczeństwa”. 

Wdrożenie Dyrektywy PSD2 ma na celu zwiększenie ogólnoeuropejskiej konkurencji oraz ochrona konsumentów. Dyrektywa zakłada zastosowanie uwierzytelniania wieloskładnikowego przy użyciu dwóch ze wskazanych trzech czynników:

  • Coś, co „właściciel” wie, na przykład hasło lub PIN;
  • Coś, co „posiadacz karty” ma, np. token lub telefon komórkowy;
  • Coś, co „właściciel” karty, na przykład odcisk palca lub dopasowanie głosowe.

Zapisy dyrektywy wprowadzają limit w płatnościach zbliżeniowych kartą bez podawania PIN. O podanie PIN powinniśmy zostać poproszeni po pięciu transakcjach lub gdy łączna wartość transakcji przekroczy ustaloną przez wydawcę karty sumę. O problemach z wdrożeniem Dyrektywy w Polsce informował w zeszłym tygodniu KNF. W wywiadzie dla PAP sytuację polskiego sektora komentował Wojciech Pantkowski ze Związku Banków Polskich, twierdząc, że "Jeszcze nie wszystkie terminale zostały dostosowane do nowych przepisów, dlatego niektórzy wydawcy kart jeszcze nie wymagają dodatkowego silnego uwierzytelniania przy przekroczeniu 5 płatności zbliżeniowych poniżej 50 złotych. Chodzi o to, żeby klientowi płacącemu w sklepie zbliżeniowo nie odrzucono transakcji".

KomentarzeLiczba komentarzy: 1
Szymon
poniedziałek, 28 października 2019, 09:26

W inicjatywie brakuje zabezpieczenia przed użyciem kart płatniczych skopiowanych do aplikacji na telefon - teraz wystarczy odcisk palca. To samo dotyczy dostępu mobilnego przez aplikacje do bankowości - również tylko odcisk palca. Niektóre zorganizowane grupy z sektora rozrywki potrafią to wykorzystać.

Reklama
Tweets CyberDefence24