64

A jak u was działa PSD2? Z dużej chmury mały deszcz

Od wczoraj instytucje finansowe, czyli przede wszystkim banki, musiały wdrożyć rozwiązania wymagane przez dyrektywę PSD2. Zmiany dotyczą między innymi silnego uwierzytelniania podczas logowania do bankowości elektronicznej. Dzisiaj sprawdzałem jak to działa w różnych bankach i wygląda na to, że wszyscy lepiej lub gorzej sobie poradzili.

Z dużej chmury mały deszcz

W dużym uproszczeniu wymagania nałożone przez dyrektywę PSD2 w przypadku logowania do bankowości elektronicznej sprowadzają się do jej potwierdzenia przez dodatkowy kod. Część banków, takie potwierdzenie realizuje za pomocą swojej aplikacji, a inne zwyczajnie wysyłają SMSa. Patrząc jednak na skalę kampanii, jaką banki przeprowadzały na kilka tygodni przed wdrożeniem, byłem pewien, że zmiany będą bardziej drastyczne. Ostatecznie okazało się, że w większości przypadków po pierwszym logowaniu nowym sposobem, można dodać urządzenie do zaufanych i kolejne logowania odbywają się tak samo jak przed wprowadzeniem PSD2.

Nie oznacza to jednak, że wszędzie odbyło się to bez problemów i wszędzie działa to tak dobrze. Czasami banki będą wymuszać instalację dodatkowej aplikacji na smartfonie, bez niej klienci nie będą mogli się zalogować do bankowości elektronicznej. Warto też podkreślić, że w przypadku aplikacji mobilnych praktycznie nic się nie zmieniło, tam nadal wystarczy wpisać hasło logowania lub po prostu przyłożyć palec do czytnika linii papilarnych. To widocznie jest zgodne z dyrektywą PSD2 ;-).

mBank

W mBanku cały proces przebiegł bez najmniejszych problemów, podczas pierwszego logowania „po nowemu” trzeba podać login i hasło, a później zatwierdzić logowanie w aplikacji mobilnej albo kodem SMS, jeśli nie korzystacie z autoryzacji mobilnej. Po potwierdzeniu można dodać urządzenie, z którego się logujecie do „zaufanych” (i wybrać mu własną nazwę) co sprawi, że w przyszłości bank nie będzie już wymagał na nim dodatkowej autoryzacji. Nie ma ograniczenia dla liczby urządzeń zaufanych. mBank udostępnił też aplikację mBank Token, dla osób, które nie chcą korzystać z aplikacji mobilnej, ale nie chcą też używać do autoryzacji kodów SMS. Po jej instalacji i powiązaniu z kontem wszystkie operacje możemy potwierdzać właśnie w aplikacji mBank Token.

Getin Bank

W Getin Banku również nie było żadnych problemów, przynajmniej jeśli posiadacie aplikację na smartfonie i korzystacie z mobilnej autoryzacji. Jedyna różnica polegała na tym, że dodanie zaufanego urządzenia wymaga dodatkowej autoryzacji w aplikacji/kodem SMS. Tutaj niestety nie możemy zastosować własnej nazwy zaufanego urządzenia, bank zapisuje automatycznie nazwę w formie „System operacyjny/Przeglądarka”.

T-Mobile Usługi Bankowe

W tym banku dla odmiany nie korzystam z aplikacji mobilnej, dlatego przy pierwszym logowaniu nowym sposobem musiałem podać kod SMS. Wygląda też na to, że w tej chwili nie można dodać komputera do listy zaufanych i logowanie do banku za każdym razem trzeba potwierdzać kodem. Użytkownicy wczoraj zgłaszali jeszcze jakiś problemy, ale dzisiaj wszystko działało już całkiem sprawnie.

PKO BP

Największy bank w Polsce wprowadził możliwość silnego uwierzytelniania logowania na konto już kilka tygodni temu. W przypadku autoryzacji mobilnej po podaniu loginu i hasła w serwisie iPKO, na telefonie pojawia się wiadomość push z prośbą o autoryzację logowania. Niestety trzeba nie tylko zalogować się do aplikacji (co można zrobić odciskiem palca), ale później trzeba też podać kod PIN aby autoryzować operację. Moim zdaniem to zbędne utrudnienie, które sprawia, że praktycznie unikam systemu transakcyjnego w przeglądarce. Do aplikacji mogę zalogować się w 2 sekundy, a do serwisu WWW potrzeba ich kilkadziesiąt… I niestety nie można dodać urządzenia do zaufanych, wiec ten sam proces trzeba powtarzać za każdym razem.

Aktualizacja 18/09/2019: obecnie wystarczy kliknąć na powiadomienie i tylko zalogować się do aplikacji, a później tylko potwierdzić logowanie bez podawania PINu. Niestety nie mogę tego potwierdzić, bo aplikacja IKO nadal nie działa na niektórych smartfonach z systemem Android.

Przy okazji warto dodać, że część użytkowników aplikacji IKO korzystających ze smartfonów z systemem Android ma problem z jej uruchomieniem. Według PKO BP problem dotyczy zaledwie kilkuset użytkowników (do których akurat sam należę ;-)) i już został zdiagnozowany. Nowa wersja aplikacji IKO powinna pojawić się w sklepie Google Play w ciągu kilku dni.

Toyota Bank

To chyba najciekawszy przypadek z jakim miałem dzisiaj do czynienia, a który opisywaliśmy kilka dni temu. Jeśli chcecie zalogować się do Toyota Banku to musicie zainstalować aplikację autoryzującą. Bank do tej pory korzystał z autoryzacji tokenem, teraz musiał to zmienić ze względu na PSD2 i nie daje swoim klientom wyboru. Aby zalogować się do bankowości elektronicznej potrzebna jest aplikacja, a co za tym idzie smartfon z systemem Android lub iOS. Nie ma możliwości autoryzacji przez kod SMS. To dosyć drastyczne podejście, a i sam proces aktywacji nie jest wcale taki prosty, bo wymaga kontaktu z infolinią (na szczęście tylko z automatem). Chyba nie wszyscy sobie z tym radzą, bo już na starcie automat informuje, że czas oczekiwania na połączenie z konsultantem jest dzisiaj dłuższy niż zwykle. Na szczęście w moim przypadku wszystko poszło bez większych problemów, choć wymagało zdecydowanie największych „akrobacji” związanych z wpisywaniem 2 kodów SMS, kodu z bankowości elektronicznej i instalacji aplikacji. Ktoś nie za dobrze to przemyślał.

Jaki inne wymogi wprowadza PSD2?

Innymi zmianami jakie wymusza PSD2 jest między innymi konieczność podawania kodu PIN nawet przy transakcjach kartą na kwotę poniżej 50 PLN, choć nie za każdym razem. Podobnie też w niektórych bankach dostęp do historii konta powyżej 90 dni też będzie wymagał dodatkowej autoryzacji, a czas aktywnej sesji został mocno skrócony. Więcej na temat wymogów PSD2 pisał już Grzegorz.

Jakie są wasze wrażenia po wprowadzeniu PSD2 w waszych bankach? Zachęcam aby podzielić się nimi w komentarzach.