Walka o siłę uwierzytelnienia

31.10.2017
Unijna dyrektywa o usługach płatniczych PSD2 zaostrza wymogi zdalnego dostępu do rachunków oraz elektronicznego zlecania transakcji. Mimo jej przyjęcia kwestia tego, jak surowe będą te wymogi, wciąż pozostaje nierozstrzygnięta. Może dlatego, że przesądzi to, czy i kto na PSD2 skorzysta.

(CC0 pixabay/JanBaby)


Na początku października Ministerstwo Finansów opublikowało trzecią z kolei wersję projektu ustawy o zmianie ustawy o usługach płatniczych. Projekt zawiera sporo istotnych sformułowań, które pokazują, że implementacja dyrektywy PSD2 nie jest zadaniem prostym.

Tematem budzącym największe kontrowersje nie jest już (bo została rozstrzygnięta w dyrektywie) kwestia dostępu usługodawców-podmiotów trzecich do rachunków płatniczych prowadzonych w bankach i instytucjach płatniczych. Jest nim sposób realizacji tego dostępu. Miał on zostać dookreślony w uzupełniającym dyrektywę Regulacyjnym Standardzie Technicznym dotyczącym silnego uwierzytelnienia klienta (RTS SCA), który powinien zostać opracowany przez Europejski Urząd Nadzoru Bankowego (EBA).

Standard miał być gotowy w styczniu tego roku. Po około trzech miesiącach spodziewane było jego przyjęcie przez Komisję Europejską (KE), co oznaczałoby, że zostanie opublikowany w kwietniu i wejdzie w życie po upływie 20 dni. Od tego momentu zacząłby się okres 18 miesięcy oczekiwania na wejście RTS SCA do stosowania w państwach członkowskich. Oznaczałoby to, że standard obowiązywałby od października przyszłego roku, co dawałoby ok. 9 miesięcy okresu przejściowego między datą oczekiwanej transpozycji przepisów PSD2 (13 stycznia, 2018 roku) a wejściem do stosowania RTS SCA precyzującego realizację wybranych artykułów dyrektywy.

Tymczasem na koniec października nadal nie było finalnej wersji dokumentu opracowanego przez EBA i mogącego liczyć na akceptację przez KE. Znamy jedynie deklarację Komisji zapowiadającą publikację stanowiska w tej sprawie „na początku listopada 2017”. Czy będzie to stanowisko ostateczne? Biorąc pod uwagę dotychczasowe deklaracje EBA i reakcje KE, nie można mieć co do tego pewności.

Źródło problemów

Co jest najbardziej drażliwym wątkiem, który nie pozwala KE przyjąć stanowiska EBA? Chodzi o sposób dostępu podmiotu trzeciego do rachunku płatniczego w celu pozyskania informacji o danych rachunku albo inicjacji płatności (na zlecenie posiadacza rachunku). Jednym z deklarowanych przez KE motywów wypracowania PSD2 był zamiar zwiększenia konkurencji w usługach płatniczych ze strony podmiotów niebankowych. Instytucje prowadzące rachunki płatnicze chciałyby jednak, aby operacje dotyczące rachunków zawsze dokonywały się na podstawie każdorazowej czynności klienta (posiadacza rachunku), z pełną identyfikacją podmiotu, który w jej realizacji pośredniczy. Ale właśnie w tym niektóre podmioty niebankowe, które chciałyby pełnić role tzw. AISP (dostarczycieli informacji o rachunku) lub PISP (inicjujących płatność w ciężar rachunku), dostrzegają problem. W szczególności te, które mają już dziś doświadczenia z prowadzenia biznesu w warunkach względnej swobody (braku regulacji, ewentualnie braku zdecydowanych rekomendacji nadzorców) w tej dziedzinie.

Banki obawiają sie o bezpieczeństwo dostępu do rachunków, tajność poufnych informacji, jednoznaczność co do czynności posiadacza rachunku, wyraźny podział odpowiedzialności między użytkownika, bank a podmiot trzeci. Szczególnie, że działają w świecie, w którym to bank ma dokonywać – w pierwszej instancji i niemal niezwłocznie – zwrotu kwoty transakcji zadeklarowanej przez użytkownika jako nieautoryzowana (art. 46 ust. 1a nowelizowanej ustawy).

Niebankowi dostawcy usług płatniczych, którym KE miała ułatwić konkurowanie z bankami, chcieliby zaś możliwości korzystania z dostępu do rachunku posiadacza, ewentualnie możliwości dokonywania na nim operacji w imieniu i na zlecenie użytkownika, ale niekoniecznie przy jego każdorazowej aktywności. Chcieliby też często niemal nieograniczonego (co do zakresu) dostępu do informacji o rachunku.

PSD2 regulując tę kwestię, sugeruje standaryzację tego, jak „informację o rachunku” rozumieć. Po finalnym wejściu do stosowania wszystkich przepisów PSD2 i RTS może się okazać, że banki powinny jednak rozróżniać między informacjami, które wolno im podmiotom trzecim udostępniać, a pozostałymi informacjami związanymi z rachunkiem.

Uwierzytelnienie dwuskładnikowe

Zgodnie z dyrektywą PSD2 silne uwierzytelnienie klienta powinno być przede wszystkim dwuskładnikowe (2FA – two factor authentication). Jak formułuje to art. 2 pkt 26c projektowanej ustawy, ma ono zapewnić ochronę poufności danych „w oparciu o zastosowanie co najmniej dwóch niezależnych elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) lub cechy użytkownika (coś, co jest charakterystyczne dla użytkownika i będące jego integralną częścią), przy czym niezależność tych elementów polega na tym, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych”.

Na przykład jeżeli uwierzytelnienia dokonujemy na telefonie komórkowym, który tylko my powinniśmy posiadać (zarejestrowaliśmy ten telefon w tym celu w naszym banku), to musimy dopełnić je albo wpisaniem kodu, który tylko my powinniśmy znać, albo np. potwierdzić operację odciskiem naszego palca. Już dziś wiele banków stosuje podobne wymogi zwłaszcza przy potwierdzaniu dokonania operacji. Niekoniecznie jest to jednak wymagane do uzyskania dostępu on-line do rachunku.

Dwuskładnikowe uwierzytelnienie wymaga zatem bieżącej uwagi użytkownika i każdorazowego wyrażenia woli na realizację określonej czynności (usługi). Uniemożliwia to usługodawcy samodzielny wgląd w szczegóły operacji na rachunku oraz inicjowanie zleceń wprawdzie zgodnie z intencją i w interesie klienta, ale bez jego każdorazowej wiedzy i działania.

Ponadto 2FA oznacza, że samo udostępnienie np. pary dotychczasowych kodów uwierzytelniających nie będzie już wystarczające dla możliwości realizacji przez fintech jakiejś usługi. Kody są bowiem dwoma składnikami, ale z tej samej dziedziny – wiedzy użytkownika. Dla realizacji 2FA niezbędna jest także bieżąca „obecność” użytkownika (zarówno warunek czegoś, co użytkownik posiada, jak i warunek tego, czym użytkownik jest, zakładają jego fizyczną obecność przy jakimś urządzeniu), niezależnie od stosownego działania.

Dynamiczne powiązanie

Jakby tych warunków było mało, w przypadku płatności inicjowanej elektronicznie PSD2 wymaga spełnienia dodatkowego warunku: „dynamicznego powiązania” między elementami silnego uwierzytelnienia a „określoną kwotą transakcji oraz określonym odbiorcą” transakcji płatniczej (art. 32i ust. 2 projektowanej ustawy). Co więcej, jak sugerują sformułowania dotychczasowych wersji RTS SCA, podmiot, za którego pośrednictwem transakcja płatnicza jest zlecana, powinien przedstawić płatnikowi przed finalną decyzją o realizacji transakcji informację zarówno o kwocie, jak i odbiorcy operacji.

Chodzić może np. o to, że gdy zlecamy transakcję płatniczą, to kod autoryzacyjny, który otrzymujemy w danym momencie np. esemesem, niekoniecznie byłby taki sam, gdy transakcja opiewa na 101 zł, a nie np. na 100 zł. Kod ten mógłby być też różny w zależności od tego, na jaki rachunek kierowalibyśmy przelew. Wydawałoby się, że warunki takie nie powinny być trudne do spełnienia.

Duże zmiany

Tak jednak nie jest. W przypadkach banków, które nie prowadzą rachunków jedynie konsumenckich, na porządku dziennym jest wysyłanie całych paczek przelewów. Gdybyśmy takie paczki chcieli potwierdzać kodem z esemesa, nie można by w nim zawrzeć informacji o beneficjentach np. 50 przelewów. Dla spełnienia warunku potrzebowalibyśmy zatem uzupełniającego rozwiazania.

Banki korporacyjne wydają często swoim klientom tokeny. Zazwyczaj działają one off-line, czyli do generowania stosownego kodu autoryzacyjnego nie wykorzystują informacji o szczegółach bieżącej transakcji. Zlecający paczkę płatności wynagrodzeń niekoniecznie otrzymuje też – wraz z kodem autoryzacyjnym – informację o wszystkich beneficjentach. Czasami firma wręcz nie życzy sobie, by każda z np. trzech osób autoryzujących paczkę wynagrodzeń uzyskiwała wiedzę o jej zawartości.

Uwierzytelnienia czekają wiec zmiany: modyfikacja schematów uwierzytelniania, przygotowanie nowych systemów, narzędzi, wdrożenia, stosowna dystrybucja. Jednocześnie ten nowy świat niekoniecznie jest tak wygodny jak transakcje realizowane w trybie „one-click”, czy nawet „zero-click”, z którymi mamy dziś niejednokrotnie do czynienia. Jednak zarówno dwuskładnikowość, jak i dynamiczne powiązanie przyczyniają się do zwiększenia bezpieczeństwa procesów okołopłatniczych i samego uwierzytelnienia.

Dla EBA ten ostatni czynnik ma charakter kluczowy. Bezpieczeństwo rachunków, informacji o nich i realizowanych transakcji są dla niej priorytetetem. Bezpieczeństwo sektora bankowego to bezpieczeństwo jego klientów.

Perspektywa KE jest bardziej złożona. PSD2 miała zapewnić fintechom możliwość konkurowania z bankami w sferze usług płatniczych, ale przy tak wysoko ustawionej poprzeczce uwierzytelnienia nie wszystkie usługi fintechów świadczone w niektórych krajach już dziś okażą się nadal możliwe lub równie wygodne. Także liczba przypadków wymagających stosowania silnego uwierzytelnienia z użyciem schematu przyjętego przez każdy bank indywidualnie nie ułatwi działania fintechom. Wiele wskazuje na to, że aby móc konkurować z bankami, fintechy potrzebować będą inwestycji i zmian lub co najmniej usług zewnętrznych. Ale także banki odczuwają zaostrzenie wdrażanych wymogów, zwłaszcza te, które nie wymagają każdorazowego wpisania kodu, gdy klient loguje się na rachunek z urządzenia mobilnego.

Co nas czeka w RTS

RTS SCA jest w tej chwili jedynym dokumentem, w którym można jeszcze – w ograniczonym zakresie – zdecydować o ograniczeniach czy o uwarunkowaniu stosowania silnego uwierzytelnienia. Jednocześnie okres pozostały do jego wdrożenia (od transpozycji dyrektywy do wejścia do stosowania RTS SCA) stanowi okazję do ścierania się interpretacji i praktyk pozwalających fintechom na działalność według dotychczasowych zasad. Jakie praktyki będą w nim dopuszczalne, jaka wiązać się będzie z nimi odpowiedzialność stron, mogą być pytaniami, które niełatwo będzie rozstrzygnąć. Ryzyko funkcjonowania w takim reżimie można będzie uznać za zwiększone.

Poszczególne banki, gdyby chciały ten okres przejściowy indywidualnie skrócić, mogłyby same, z własnej inicjatywy wdrożyć silne dwusładnikowe uwierzytelnienie jak najszybciej, nawet przed terminem wejścia do stosowania RTS SCA. Jednak, aby mogły to uczynić, powinny najpierw ten Regulacyjny Standard Techniczny poznać. Miejmy nadzieję, że tak się wkrótce stanie.

Grzegorz Hansen jest dyrektorem ds. strategii i rozwoju w Departamencie Bankowości Transakcyjnej mBanku. Zajmuje się współpracą bankowości korporacyjnej z sektorem fintech.

Prezentowane tezy odzwierciedlają indywidualne opinie autora.


Tagi


Artykuły powiązane

Popularne artykuły

test