środa, Luty 20

Praktyczne aspekty stosowania silnego uwierzytelniania. Czy otoczenie bankowe i fintechowe jest gotowe na zmiany?

Google+ Pinterest LinkedIn Tumblr +

Silne uwierzytelnianie, które będzie miało zastosowanie do wybranych usług płatniczych od 14 września, jest na ustach wszystkich. Ten typ zabezpieczenia pozwala na zminimalizowanie ryzyka nieuprawnionego dostępu do rachunku bankowego i wykonania nieautoryzowanej transakcji. Ta metoda zwana również SCA (Strong Customer Authentication) sprawia jednak wiele problemów interpretacyjnych, w szczególności wobec pojawiania się nowych i innowacyjnych rozwiązań z zakresu bankowości i usług płatniczych. Czym więc jest SCA i jakie wyzwania stawia przed bankami oraz fintechami?

Problematykę silnego uwierzytelnienia reguluje Ustawa o usługach płatniczych (art. 32i) oraz Rozporządzenie delegowane Komisji 2018/389 (RTS). Bardzo ważna jest również opinia Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie implementacji RTS, która porusza kilka ciekawych kwestii związanych ze stosowaniem SCA. Nie bez znaczenia pozostaje również tzw. QnA EBA, w którym znaleźć można odpowiedzi na pytania dotyczące implementowania nowych rozwiązań.

Czym jest (silne) uwierzytelnianie?

Samo uwierzytelnianie to po prostu procedura weryfikacji tożsamości użytkownika rachunku płatniczego lub instrumentu płatniczego w powiązaniu z indywidualnymi danymi uwierzytelniającymi. To co wprowadziła dyrektywa PSD2, to właśnie rzeczone silne uwierzytelnianie, które wzmacnia ochronę posiadacza rachunku i powinno lepiej zabezpieczać wrażliwe dane, jak i środki na rachunku.

Przepisy definiują SCA jako uwierzytelnianie oparte na zastosowaniu co najmniej dwóch elementów należących do jednej z kategorii, tj. (i) wiedza o czymś (np. hasło czy kod PIN – login czy kod CVV nie są takimi elementami), posiadanie czegoś (np. smartfon czy tablet) oraz cechy klienta, czyli np. dane biometryczne na potrzeby tzw. FaceID czy TouchID (jest jeszcze rzadko stosowane wykrywanie głosu czy metody behawioralne). Te elementy powinny być od siebie niezależne, a więc naruszenie jednego z nich nie osłabia w żaden sposób wiarygodności pozostałych. W aspekcie technicznym, zastosowanie takiego uwierzytelnienia powinno być zaprojektowane w taki sposób, aby w pełni zapewnić ochronę poufności danych uwierzytelniających. Tyle w teorii. A jak to wygląda w praktyce?

Wyobraźmy sobie, że posiadamy smartfon z zainstalowaną aplikacją mobilną naszego banku. Aplikacja ta musi być zainstalowana na naszym telefonie w sposób zapewniający bezpieczeństwo logowania, a więc weryfikacja powinna być dokonana z udziałem banku, np. poprzez przekazanie specjalnych kodów, które potwierdzą tożsamość użytkownika (po wprowadzeniu na urządzeniu). Aby móc zalogować się do naszego konta mamy do wyboru wpisanie wcześniej ustalonego kodu PIN lub wykorzystania biometrii twarzy (FaceID). Jeżeli te dwa elementy będą ze sobą powiązane, to ich użycie w celu zalogowania się do rachunku spełniać będzie wymogi silnego uwierzytelnienia. Mamy tutaj element posiadania – nasz odpowiednio skonfigurowany i „zatwierdzony” smartfon oraz wiedzę (kod PIN) lub cechy indywidualne (biometria twarzy).

Kiedy od banków i fintechów RTS wymaga zastosowania SCA?

To niezwykle gorący temat. Zasadniczo przepisy wymagają stosowania SCA w przypadku, gdy użytkownik: (i) uzyskuje dostęp do swojego rachunku w trybie on-line; (ii) inicjuje elektroniczną transakcję płatniczą lub (iii) przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

W praktyce będziemy stosowali SCA w przypadku: (i) uzyskiwania dostępu do rachunku poprzez aplikację mobilną lub stronę internetową banku; (ii) inicjowania transakcji płatniczych z wykorzystaniem dostawcy świadczącego usługę inicjowania płatności (PISP) lub z użyciem instrumentu płatniczego jak karta; (iii) wykonywania innej czynności, która może spowodować ryzyko oszustwa (fraudu); (iv) uzyskiwania dostępu do informacji do rachunku poprzez dostawcę takiej usługi (AISP).

Kto wdraża?

Pojawia się zasadnicze pytanie – kto ma obowiązek wdrożenia SCA? Na to pytanie odpowiada EBA, która w swojej opinii wyraźnie zaznacza, że bank powinien umożliwić Third Party Providers (TPP) poleganie na metodach uwierzytelniania dostarczanych użytkownikowi rachunku. Ponadto, to bank „wydaje” użytkownikowi indywidualne dane uwierzytelniające jak login/hasło/pin. Oznacza to, że to na banku ciąży obowiązek zastosowania SCA, natomiast nie wyklucza to stosowania dodatkowych metod uwierzytelniania użytkownika w ramach usługi PIS lub AIS przez TPP.

Jeżeli mamy spełniony powyższy warunek, to odpowiedni system powinien wygenerować jednorazowy kod uwierzytelniający – authorization number – umożliwiający wykonanie transakcji lub innej czynności związanej z uzyskaniem dostępu do rachunku.

Kod uwierzytelniający a Bank

Taki kod uwierzytelniający musi spełnić określone wymogi. Z jego treści nie można przede wszystkim uzyskać żadnych informacji dotyczących ww. elementów, tj. wiedzy, posiadania lub cech, a także na jego podstawie nie można wygenerować nowego kodu. Taki kod powinien być również „odporny” na próby fałszerstwa.

Kolejnym obowiązkiem jest wprowadzenie rozwiązań, które zapewnią zabezpieczenie indywidualnych danych uwierzytelniających. Obejmuje to m.in. zapewnienie, aby w przypadku wystąpienia błędu uwierzytelnienia (np. wobec podania nieprawidłowego hasła) nie było możliwe zidentyfikowanie co ten błąd wywołało. Ponadto, podmiot żądający SCA musi zapewnić, że po maksymalnie pięciu nieudanych próbach logowania z użyciem tej metody, konto podlega blokadzie tymczasowej lub stałej (czas oraz rodzaj blokady ustala się z uwzględnieniem cechu danej usługi).

Co ważne, maksymalny czas bezczynności użytkownika po zalogowaniu z użyciem silnego uwierzytelniania (przy dostępie online) nie może przekroczyć pięciu minut. Po tym czasie następuje wylogowanie z systemu, np. z aplikacji mobilnej. Na koniec warto wspomnieć, że wszystkie sesje komunikacyjne muszą być chronione w taki sposób, aby indywidualne dane uwierzytelniające nie dostały się w niepowołane ręce.

Jest jeszcze temat dynamicznego połączenia w przypadku usługi inicjowania elektronicznej usługi płatniczej, ale napiszę o tym w odrębnym artykule przy okazji omawiania kwestii technicznych związanych z wykorzystaniem urządzeń wielofunkcyjnych na potrzeby SCA.

Czy zawsze SCA?

Nie zawsze. RTS przewiduje liczne wyłączenia, jak np. w odniesieniu do płatności zbliżeniowych, transakcji niskokwotowych czy też płatności korporacyjnych. Ten temat jest jednak na tyle obszerny i dotyka tak wielu wątków poruszanych m.in. przez EBA, że napiszę o nim w kolejnym artykule.

Jakie problemy rodzi wykorzystanie SCA?

Jak wspomniałem powyżej, silne uwierzytelnianie wymaga zastosowania co najmniej dwóch elementów, tj. wiedzy, posiadania i/lub cech klienta. Niektóre innowacyjne rozwiązania, jak np. Garmin Pay, a więc płatności za pomocą zegarka, nie umożliwiają wprowadzenia dodatkowego elementu poza posiadaniem. W praktyce więc, o ile nie mamy dodatkowej aplikacji, która pozwala na użycie SCA (np. wpisanie kodu PIN), to wraz z wejściem w życie RTS, teoretycznie nie powinniśmy mieć możliwości dokonania elektronicznej transakcji płatniczej (o ile oczywiście nie znajdują zastosowania odpowiednie wyłączenia i spełnione są wymogi stosowania RTS).

Podobny problem może mieć miejsce w przypadku kart płatniczych, gdzie z tyłu mamy podany kod CVV wykorzystywany do transakcji online, który zdaniem EBA nie spełnia wymogów wiedzy (jest „powszechnie” dostępny, a nie znany tylko użytkownikowi). Rozwiązaniem jest stosowanie zabezpieczeń typu 3D Secure (2), które pozwalają na dodanie elementu w postaci kodu jednorazowego (np. poprzez odpowiedni token) identyfikującego właściciela.

Ważnym zagadnieniem jest również kwestia ochrony danych osobowych, w szczególności najbardziej wrażliwych, jak dane biometryczne na potrzeby SCA, a także spełnienie wymogów informatycznych dla zastosowania takiego rozwiązania.

Co dalej?

Głównie (dla Fintechów do głównie dostosowanie swoich API) przed bankami duże wyzwanie w zakresie wdrażania SCA do swoich produktów i usług. Taka implementacja to koszt oraz zaangażowanie wielu jednostek biznesowych. To także szansa na rewizję oferty produktowej pod kątem możliwości wykorzystania bardziej innowacyjnych rozwiązań. SCA to niewątpliwie większe bezpieczeństwo klientów, ale też potencjalnie wydłużony czas autoryzacji. Wydaje się jednak, że w dobie rosnącej akceptacji weryfikacji z użyciem danych biometrycznych, procesy te mogą jednak ulec przyśpieszeniu. Przykładem są chociażby płatności z użyciem Apple Pay, które w połączeniu z FaceID umożliwiają dokonywanie transakcji zbliżeniowych bez limitu kwoty, co znacznie skraca czas autoryzacji płatności.

Czas jednak pokaże w jakim kierunku pójdzie rynek. QnA EBA pokazuje, że w kontekście SCA wciąż jest wiele niewiadomych. Wydaje się jednak, że jest to krok w dobrym kierunku.

Udostępnij.

Zostaw komentarz