Serwis korzysta z plików cookies w celu realizacji usług zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce. Dowiedz się więcej Rozumiem

Portal regulacyjny

Biuro Warszawa
Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa
tel. +48 22 652 26 18 

warsaw@dlklegal.com


Biuro Kraków
ul. Królowej Jadwigi 237
30-218 Kraków
tel. +48 12 410 07 47 

cracow@dlklegal.com

Strong customer authentication

Ważną nowością wprowadzoną przez PSD II jest obowiązek stosowania przez dostawców usług płatniczych mechanizmów tzw. silnego uwierzytelniania użytkownika (strong customer authenticaion). Sile uwierzytelnienie klienta to inaczej uwierzytelnienie dwuczynnikowe, które ma zapewniać wyższy poziom wiarygodności i odporności na fraudy.
 
„silne uwierzytelnianie klienta” oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest użytkownik), niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnianie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających;

Ważnym elementem w doborze każdego z czynników jest brak wzajemnego uzależnienia pomiędzy nimi, tzn. naruszenie jednego z nich nie może jednocześnie powodować utraty lub osłabienia ochrony gwarantowanej przez inny czynnik. Typowymi metodami spełniającymi warunek silnego uwierzytelnienia klienta jest metoda potwierdzenia przez użytkownika logowania do bankowości elektronicznej z użyciem kodu jednorazowego (kody SMS, token, tzw. zdrapki), gdzie dochodzi do uwierzytelnienia z wykorzystaniem czynnika wiedzy (dane logowania) i czynnika posiadania (kod jednorazowy).
 
Dotychczas stosowanie silnego uwierzytelnienia klienta było przedmiotem rekomendacji wydawanych m.in. przez EBC (tzw. SecurePay), EBA czy KNF, czyli dokumentów o charakterze soft law, i było traktowane jako praktyka nadzorcza, a nie obowiązek dostawcy. Jednocześnie przepisy prawa nie przesądzały wprost, w jaki sposób powinno nastąpić ma uwierzytelnienie użytkownika bankowości elektronicznej lub autoryzowanie płatności, pozostawiając w gestii dostawcy usług płatniczych wybór środków odpowiednich do ryzyk, na które narażeni są użytkownicy określonych usług i instrumentów.
 
Na gruncie PSD II przepisy pozostawiają dostawcy usług płatniczych mniejszą swobodę w podejmowaniu decyzji w tym zakresie. Dostawca powinien wymagać silnego uwierzytelnienia klienta co najmniej przy dokonywaniu przez użytkownika następujących czynności:
  • uzyskiwaniu dostępu do rachunku płatniczego online (np. przez kanały bankowości internetowej lub mobilnej);
  • inicjowaniu elektronicznej transakcji płatniczej;
  • przeprowadzaniu za pomocą kanału zdalnego czynności, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
Ponadto dyrektywa PSD II wymaga, aby dostawca zapewnił adekwatne środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających.
 
W przypadku elektronicznych transakcji płatniczych na odległość dostawcy usług płatniczych powinni stosować takie metody autoryzacji transakcji, które nie tylko wypełniają wymóg silnego uwierzytelniania klienta, ale ponadto obejmują elementy dynamicznie łączące daną transakcję z określoną kwotą i określonym odbiorcą (przykładowo, ostatnie cyfry rachunku i kwota transakcji wysyłana w wiadomości tekstowej razem z kodem autoryzacyjnym).
 
Wymóg stosowania silnego uwierzytelnienia ma również zastosowanie w przypadku korzystania z usług TPP w zakresie czynności wskazanych powyżej. W tym zakresie jednak PSD II wymaga, aby dostawca usług płatniczych prowadzący rachunek zezwalał TPP na poleganie na procedurach uwierzytelniania zapewnianych przez tego dostawcę usług płatniczych prowadzącego rachunek.
 
Stosowanie silnego uwierzytelnienia klienta jest generalnie obowiązkiem dostawcy płatnika, czyli wydawcy określonego instrumentu płatniczego. W przypadku, gdy w złożeniu zlecenia płatniczego bierze również udział dostawca odbiorcy lub odbiorca, a dostawca płatnika wymaga do autoryzacji transakcji silnego uwierzytelnienia klienta, dostawca odbiorcy oraz odbiorca powinni akceptować daną metodę autoryzacji. W przeciwnym wypadku będą zobowiązani do zwrotu szkody finansowej wyrządzonej dostawcy usług płatniczych płatnika z tego tytułu.
 
Szerzej na temat odpowiedzialności możesz przeczytać tutaj.