Przedostatnie starcie, czyli karta płatnicza oraz aplikacja mobilna jako element silnego uwierzytelniania. Posiadanie w świetle najnowszej opinii EBA.

Poszukiwanie rozwiązania pozwalającego na w miarę swobodne dokonywanie płatności eCommerce za pomocą karty płatniczej nadal trwa. Wielu dostawców usług płatniczych pokładało nadzieję w Europejskim Urzędzie Nadzoru Bankowego (EBA), który swoimi opiniami wyznacza trendy (przynajmniej regulacyjne) w obszarze silnego uwierzytelniania klientów (Strong Customer Authentication – SCA). Tych którzy pokładali taką nadzieję najnowsza opinia EBA może rozczarować. Dane karty płatniczej nie stanowią bowiem ani „posiadania”, ani „wiedzy”, które są elementami SCA. W ostatnich dwóch artykułach poruszyłem kwestię „cechy” (inherence) oraz ogólnych „wskazówek” EBA. Dzisiaj zajmę się kolejnym elementem SCA, czyli „posiadaniem” (possession).

EBA wskazuje wyraźnie, że nie jest to tylko fizyczne posiadanie, ale również aplikacje mobilne czy narzędzia webowe – ogólnie rzecz biorąc algorytmy „łapią się” pod tą kategorię. Nie oznacza to jednak, że każde takie rozwiązanie automatycznie będzie spełniało wymogi Rozporządzenia 2018/389.

Reliable means of possession

No właśnie. Określone rozwiązanie może zostać zakwalifikowane jako „posiadanie” jedynie, jeżeli spełnia wymogi art. 7 oraz art. 22-27 Rozporządzenia 2018/389. Co to oznacza w praktyce?

Po pierwsze (bazując na przykładzie aplikacji mobilnej) musi być ona „sparowana” z konkretnym użytkownikiem. Nie może być bowiem wątpliwości, że z tej aplikacji korzysta posiadacz rachunku płatniczego. W takiej sytuacji dostawca usług płatniczych musi zapewnić, że powiązanie oprogramowania następuje w bezpiecznym środowisku (może to być środowisko informatyczne, ale również inny kanał zdalny), a także że na potrzeby pierwszej rejestracji zastosowane jest silne uwierzytelnianie klienta (np. rozmowa telefoniczna z konsultantem).

Ważne jest również spełnienie innych wymogów o charakterze informatycznym, jak np. walidacja oprogramowania stosowanego online za pomocą odpowiednich rozwiązań technologicznych i obejmujących ochronę przed nieuprawnionym użyciem.  

Po drugie, takie „posiadanie” musi być potwierdzone poprzez zastosowanie dynamicznego łączenia, np. z użyciem kodu jednorazowego (One-Time Password – OTP) przesyłanego SMS’em (sama wiadomość tekstowa nie jest jednak posiadaniem, a „przypisany” do niej numer telefonu użytkownika) czy wiadomością push (notyfikacją).

Problem „sparowania” z urządzeniem

Czyli tzw. device fingerprinting (DFP). Oprogramowanie (aplikacja mobilna, przeglądarka internetowa czy wymiania kluczy, np. przy usłudze SWIFT) musi być zainstalowane na urządzeniu (komputer, smartfon czy tablet), które zapewnia, że dostawca usług płatniczych nie ma wątpliwości co do osoby logującej się do danego oprogramowania (sam fakt użycia indywidualnych danych uwierzytelniających – IDU – jedynie zwiększa prawdopodobieństwo, że robi to ich posiadacz).

Na dostawcy ciąży więc zapewnienie takich rozwiązań, które pozwalają na weryfikację tego faktu. W tym temacie wypowiadał się również UKNF wskazując na szereg obowiązków, do których spełnienia zobowiązany będzie dostawca umożliwiający wykorzystanie urządzeń do potwierdzenia posiadania. Jest to m.in. konieczność poinformowania o stosowaniu DFP (i jego zasadach) czy też odebranie oświadczeń o „unikalności” danego urządzenia. Niektóre banki już poinformowały, że nie będą przykładowo wspierały tabletów (oczywiście, jeżeli mamy kartę SIM, to nadal będziemy mogli z niego korzystać jak ze smartfona).

Co jednak istotne i bardzo niepokojące, to jeżeli dane urządzenie zakwalifikujemy jako „posiadanie”, to zdaniem Urzędu, nie możemy wykorzystać biometrii jako kolejnego elementu na potrzeby SCA (ze względu na wymóg art. 9 Rozporządzenia 2018/389, czyli niezależność). W takiej sytuacji musielibyśmy skorzystać zatem z elementu zaliczanego do „wiedzy”, jak kod PIN.

Podpis cyfrowy, a może kod QR?

EBA dopuszcza możliwość stosowania podpisów cyfrowych generowanych z użyciem kluczy prywatnych (np. podpisy eIDAS i podobne stosowane przez klientów korporacyjnych, np. korzystających z API). Podobną uwagę unijny nadzorca odniósł do stosowania tzw. quick response (QR) codes, czyli popularnych np. w Azji kodów QR. Wszystko z zachowaniem powyższych uwag dotyczących fingerprinting.

I co z tymi kartami płatniczymi?

Cóż. Nie mam dobrych wiadomości. EBA, przynajmniej tymczasowo, „zabiła” to rozwiązanie. Już przy okazji opinii z 2018 r. nadzorca (podobnie twierdzi KNF) wskazał, że dane karty nie są elementem wiedzy. Dane te, a więc numer karty, imię i nazwisko, a także kod CVV, nie są w tym sensie unikalne, że wchodząc w posiadanie fizycznej karty mamy dostęp do tych danych.

Moje wątpliwości budzi jednak, czy np. nie byłoby możliwe zakwalifikowanie takich kart, które są wyłącznie „e”. Nie ma ich jeszcze zbyt wiele na rynku europejskim, ale myślę, że w perspektywie najbliższych lat to się zmieni. Na takich kartach „wbudowanych” np. w smartfon nie widać całego numeru karty (mógłby być on więc znany wyłącznie jej posiadaczowi) – są one maskowane. Zobaczymy czy w tej kwestii pojawią się jakieś sensowne opinie.

Wielu uczestników rynku liczyło jednak, że dane karty będą mogły posłużyć jako element „posiadania”, co pozwoliłoby utrzymać tzw. user experience na względnie atrakcyjnym poziomie (więcej na ten temat pisałem np. tutaj). EBA stwierdziła jednak (wbrew temu co sugerował KNF), że karta taka będzie „posiadaniem”, ale jedynie, jeżeli zastosujemy kody dynamiczne, które nie są na stałe przypisane do karty (zmieniają się w regularnych odstępach czasu). W pozostałych przypadkach karta płatnicza nie będzie stanowiła elementu posiadania na potrzeby SCA.

EBA wraz z organami krajowymi będzie prowadziła uważne obserwacje rynku (zapewne wobec braku odpowiedniej alternatywy dla płatności eCommerce z użyciem karty) i być może zmieni swoje podejście. Na tą chwilę jednak rynek ma dość spory problem.

Co jeszcze?

EBA podobnie jak przy „inherence” (cecha) podała przykładową listę elementów, które mogłyby zostać zaliczone na potrzeby SCA. Poza wyżej wskazanymi przykładami warto wskazać na kartę „sczytaną” przez terminal czy przeglądarkę internetową, która jest „połączona” z urządzeniem. Tych przykładów nie ma więc wiele, co rodzi dodatkowe komplikacje dla dostawców usług płatniczych.

W kolejnym artykule zamknę już temat opinii EBA analizując „wiedzę” jako element SCA.

 

 

 

2 thoughts on “Przedostatnie starcie, czyli karta płatnicza oraz aplikacja mobilna jako element silnego uwierzytelniania. Posiadanie w świetle najnowszej opinii EBA.

  1. Witam,

    czy mógłbym poprosić o wskazanie opinii UKNF w której wspomniane jest, że biometria na sparowanym urządzeniu jest wykluczona ze względu na wymóg niezależności z art. 9 RTS?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *