Uwierzytelnianie transakcji płatniczych
Robiąc zakupy w Internecie często musimy potwierdzić, że to rzeczywiście my chcemy dokonać płatności z naszego rachunku bankowego. Tego rodzaju weryfikacja może momentami być irytująca, jednak stanowi zabezpieczenie dokonywanych przez nas płatności. Weryfikacja ta to uwierzytelnienie transakcji płatniczych.
Transakcje płatnicze to m.in. transakcje kartami płatniczymi (również w Internecie), czy przelewy (także internetowe). Wymóg stosowania uwierzytelniania transakcji wynika z kolei z ustawy o usługach płatniczych z dnia 19 sierpnia 2011 r.[1] Zgodnie z definicją ustawową, uwierzytelnianie to procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających. Innymi słowy, uwierzytelnienie to procedura jaką musi przejść użytkownik instrumentu płatniczego, aby dostawca usług płatniczych (zazwyczaj bank) mógł uznać że transakcja płatnicza może zostać wykonana. Bez wypełnienia całej, uzgodnionej wcześniej procedury, transakcja płatnicza nie będzie mogła zostać przeprowadzona. Dotyczy to zarówno braku wykonania procedury uwierzytelnienia, jak i błędnego jej wykonania przez użytkownika. Oprócz wymogu uwierzytelnienia transakcji płatniczej, w niektórych sytuacjach wymagane jest zastosowanie tzw. silnego uwierzytelnienia użytkownika.
Silne uwierzytelnienie użytkownika
Silne uwierzytelnienie musi być zastosowane w przypadku niektórych rodzajów transakcji płatniczych. Określa je art. 32i ustawy o usługach płatniczych, a transakcje te to:
- dostęp do rachunku on-line.
- inicjowanie elektronicznej transakcji płatniczej.
- przeprowadzenie za pomocą kanału zdalnego czynności, która może wiązać się z ryzykiem oszustwa.
W przypadku wykonywania powyższych transakcji, weryfikacja użytkownika powinna więc zawsze opierać się o silne uwierzytelnienie. Dotyczy ono więc przede wszystkim transakcji wykonywanych przy pomocy nowych technologii, tj. bankowości mobilnej czy internetowej. Tego rodzaju uwierzytelnienie zgodnie z ustawową definicją opiera się o zastosowanie co najmniej dwóch elementów należących do kategorii:
- wiedza o czymś, o czym wie wyłącznie użytkownik.
- posiadanie czegoś, co posiada wyłącznie użytkownik.
- cechy charakterystyczne użytkownika.
Co istotne, naruszenie jednego z elementów procedury nie może osłabiać pozostałych. Przykładowo, wymóg „posiadania czegoś” nie może być spełniony przez posiadanie telefonu komórkowego, jeśli jednocześnie wymóg „wiedzy o czymś” miałby być spełniony przez wiedzę o kodzie udostępnionym przez bank w aplikacji na telefon. Przejęcie przez osobę trzecią telefonu użytkownika powodowałoby wtedy całkowite wypaczenie obowiązku stosowania silnego uwierzytelnienia. Osoba taka mogłaby bowiem uwierzytelnić transakcję posiadając jedynie telefon użytkownika. W oparciu o powyższe wymogi, European Banking Authority (EBA) stworzyła wytyczne dotyczące elementów silnego uwierzytelnienia.
SCA (Strong customer authentication) i RTS (Regulatory Technical Standards)
Ustawa o usługach płatniczych implementuje do polskiego porządku prawnego unijną dyrektywę w sprawie usług płatniczych w ramach rynku wewnętrznego.[2] Określa ona zasadnicze wymogi dotyczące stosowania silnego uwierzytelniania użytkownika (SCA – strong customer authentifitacion). Uzupełnieniem przepisów dyrektywy jest rozporządzenie delegowane Komisji Europejskiej odnoszące się do regulacyjnych standardów technicznych (RTS – regulatory technical standards), dotyczących silnego uwierzytelniania.[3] Rozporządzenie to uszczegóławia wymogi dotyczące silnego uwierzytelniania. Jego treść opracowała EBA, na podstawie upoważnienia zawartego w art. 98 Dyrektywy. Podmiot ten stworzył także inny dokument mający istotne znaczenie dla oceny spełnienia wymogów silnego uwierzytelnienia. Dokumentem tym jest opinia EBA w sprawie silnego uwierzytelniania klientów z dnia 21 czerwca 2019 r.[4]
Opinia EBA i jej znaczenie dla obrotu bankowego
Opinia EBA jest omówieniem możliwych elementów silnego uwierzytelnienia, ze wszystkich trzech kategorii. Wymienia ona również elementy, które nie powinny być stosowane w ramach silnego uwierzytelniania. Kategorie te nie zabezpieczają należycie bezpieczeństwa transakcji. Opinia ta ma istotne znaczenie dla praktyki bankowej. Zgodnie z art. 46 ust. 4a ustawy o usługach płatniczych, jeżeli bank nie wymaga silnego uwierzytelniania, ponosi odpowiedzialność za nieautoryzowane transakcje. Przykładowo, jeśli osoba trzecia dokonała transakcji kartą płatniczą wbrew woli użytkownika, bank zawsze musi zwrócić kwotę transakcji, jeśli nie stosuje wymogu silnego uwierzytelnienia transakcji. Oznacza to, że banki chcąc uniknąć uznania, że nie wymagają silnego uwierzytelniania, stosować będą wytyczne EBA. W przeciwnym wypadku narażałyby się na niemal nieograniczoną odpowiedzialność za nieautoryzowane transakcje. Wśród metod uwierzytelniania wskazanych przez EBA jako możliwych do stosowania przez banki, znalazły się również metody o wysokim zaawansowaniu technologicznym.
Elementy silnego uwierzytelnienia według EBA
Opinia EBA zawiera ocenę co może stanowić element silnego uwierzytelniania w ramach każdej z trzech kategorii. W przypadku kategorii „wiedza o czymś” dominują elementy takie jak hasła, kody PIN, czy odpowiedzi na pytania dotyczące użytkownika. Za niespełniające wymogów SCA uznane zostały zaś adres e-mail, a także dane karty kredytowej nadrukowane na niej.
Do kategorii „posiadanie czegoś” zaliczone zostały przede wszystkim urządzenia umożliwiające potwierdzenie ich posiadania (np. telefon komórkowy). Potwierdzenie takie może odbyć się także poprzez zeskanowanie innym urządzeniem. Przykładem może tu być zeskanowanie unikalnego kodu QR telefonem komórkowym. Posiadanie zainstalowanej aplikacji na telefon nie powinno zaś być w ocenie EBA uznane za element silnego uwierzytelnienia.
W ramach kategorii „cechy charakterystyczne” jako element silnego uwierzytelnienia dopuszczone zostały szczególnie wyróżniające się składniki, takie jak:
- odcisk palca, rozpoznawanie głosu, układ żył, geometria dłoni i twarzy, skanowanie siatkówki i tęczówki oka, tętno lub inny wzorzec ruchu ciała.
- kąt pod jakim trzymane jest urządzenie użytkownika, dynamika naciśnięć klawiszy.
Z kolei wzór rysowany na urządzeniu oraz kod przesyłany na urządzenie użytkownika nie spełniają wymogów silnego uwierzytelnienia.
Wykorzystanie nowych technologii w uwierzytelnieniu
Wiele z metod uwierzytelniania dopuszczalnych jako „cechy charakterystyczne użytkownika” opiera się o funkcje zawarte już w naszych smartfonach. Odcisk palca (TouchID), czy skanowanie twarzy (FaceID) to podstawowe metody odblokowywania urządzeń mobilnych. Ich unikalność oraz wysoki stopień bezpieczeństwa umożliwia ich zastosowanie również do dokonania weryfikacji wykonywanej transakcji płatniczej.
Nowoczesne metody uwierzytelniania transakcji płatniczych stają się już rzeczywistością na polskim rynku bankowym. Uwierzytelnienia można już dokonać w wielu bankach za pomocą odcisku palca, czy skanu biometrycznego twarzy (np. Bank PEKAO, czy Bank Millenium). Ciekawostką może być jednak wprowadzenie w ubiegłym roku przez mBank uwierzytelnienia za pomocą dynamiki naciśnięć klawiszy (keystroke dynamics). Po uzyskaniu próbki pisma użytkownika na klawiaturze telefonu, oprogramowanie analizuje czy słowa wpisane celem uwierzytelnienia transakcji zostały wpisane w sposób odpowiadający cechom użytkownika. Pozostaje tylko czekać aż kolejne rozwiązania techniczne umożliwiać będą weryfikację użytkownika.
Podsumowanie
Metody uwierzytelniania transakcji stają się coraz bardziej nowoczesne. Jest to konieczne z uwagi na rozwój metod stosowanych przez oszustów starających się podszyć pod klientów banków. Do uwierzytelniania transakcji płatniczych nie stosuje się już obecnie takich metod jak miało to miejsce jeszcze kilka lat temu. Elementem silnego uwierzytelnienia nie mogą już bowiem być chociażby dane karty kredytowej. Nowe technologie już teraz służą więc jak najlepszemu zabezpieczeniu środków pieniężnych zgromadzonych na naszych rachunkach. Ciągły postęp technologiczny daje zaś gwarancję, że bezpieczeństwo to będzie tylko wzrastać.
