Dyrektywa PSD2 wprowadza obowiązek podwójnego sprawdzania tożsamości osoby, starającej się o dostęp do konta rachunkowego. Samo hasło już nie wystarczy, żeby móc przeprowadzić transakcję przez internet. W jaki sposób należy kontrolować, czy użytkownik rzeczywiście jest właścicielem rachunku?
PSD2 a proces identyfikacji
Dyrektywa PSD2 wprowadziła szereg nowych zasad, mających na celu zwiększenie bezpieczeństwa użytkowników. Część z nich została zawarta w RTS, czyli dokumencie opracowanym przez Europejski Urząd Nadzoru Bankowego. Znajduje się w nim dokładny opis technicznych standardów zabezpieczeń, które instytucje płatnicze będą wkrótce musiały spełniać. Zgodnie z postanowieniami PSD2, płatność musi być uwierzytelniona przynajmniej na dwa sposoby, które są od siebie niezależne. Do wyboru są trzy kategorie metod weryfikacyjnych, bazujące na:
- czymś, co tylko użytkownik wie – może to być kod, numer PIN lub hasło.
- czymś, co użytkownik posiada, np. token, karta kredytowa, telefon albo inne urządzenie, które jest jego własnością,
- czymś immanentnym dla użytkownika, co go charakteryzuje. Ta metoda wykorzystuje weryfikację biometryczną oraz behawioralną.
Biometryczna i behawioralna weryfikacja
O ile hasła i kody w wiadomościach SMS to sposoby, z którymi większość płatników już się spotkała, o tyle ostatnia kategoria określona w PSD2, dla wielu może być nowością. Daje największe pole możliwości i jednocześnie, stanowi najskuteczniejsze zabezpieczenie. Istnieje dużo sposobów na przeprowadzenie biometrycznej weryfikacji. Może to być skan tęczówki bądź siatkówki, odcisk palca, rozpoznawanie twarzy, głosu, kształtu dłoni, a nawet analiza naczyń krwionośnych. Możliwe jest też np. logowanie się za pomocą weryfikacji głosowej. Behawioralne metody również są godne uwagi. Wiele urządzeń jest blokowanych za pomocą narysowanego symbolu. Dzięki nowoczesnym zabezpieczeniom, trzeba będzie nie tylko wiedzieć jak ów symbol wygląda, ale na dodatek, malować go w taki sam sposób.
To tylko niektóre z metod biometrycznych oraz behawioralnych, które mogą być wykorzystane jako jeden z dwóch systemów zabezpieczeń. Co je wyróżnia? W przeciwieństwie do haseł, nie tak łatwo je przechwycić. Poza tym, przeprowadzana na ich podstawie weryfikacja, trwa stosunkowo krótko, co wpływa na zwiększoną wygodę użytkowników. Dyrektywa PSD2 sprawiła, że powstały nowe instytucje finansowe – to oznacza, że konkurencja w tym sektorze będzie większa. Komfort związany z systemem weryfikacji może mieć niebagatelne znaczenie dla przyciągnięcia klientów.
Kto i kiedy musi wprowadzić nowe metody uwierzytelniania?
Środki uwierzytelniania opisane powyżej, muszą być stosowane w przypadku kont, które mogą służyć do przeprowadzania płatności internetowych. Wszystkie instytucje, umożliwiające inicjowanie transakcji oraz sprawdzanie stanu konta, również muszą je wykorzystywać. PSD2 pozwala na pominięcie tych form zabezpieczeń jedynie w określonych przypadkach. Warto też pamiętać, że prawo nakazujące ich stosowanie, zacznie obowiązywać we wrześniu 2019 roku. Do tego czasu będzie musiała je wprowadzić każda instytucja płatnicza.