Trendy w płatnościach – wygoda klienta i eliminacja haseł

Rozwój nowych technologii i standardów oraz poszerzenie ram legislacyjnych dotyczących transakcji płatniczych i e-bankowości dzięki dyrektywie PSD2, stworzyły nowe możliwości dla innowacyjnych usług finansowych, realizacji płatności i obsługi klienta. Jako klienci stawiamy na bezpieczeństwo i szybkość płatności, odchodzimy od transakcji gotówkowych, dokonujemy zakupów w sklepach internetowych, gdzie w czasie rzeczywistym wykonujemy płatność.

Dyrektywa PSD2

PSD2 (ang. Payment Services Directive) to dyrektywa Parlamentu Europejskiego i rady UE z 25 listopada 2015 roku, w sprawie usług płatniczych w ramach rynku wewnętrznego. Stanowi odpowiedź na nowe technologie i płatności bezgotówkowe. Regulacje zostały wprowadzone w Polsce wraz z nowelizacją ustawy o usługach płatniczych. Umożliwia jednolitego rynku płatności w krajach członkowskich, bezpieczeństwo, a także otwarta bankowość.

Jak w praktyce działa PSD2?

Dyrektywa ta wprowadza wymóg silnego uwierzytelnienia klienta (SCA) przy realizacji (autoryzacji) transakcji płatniczych czy też pozyskiwania informacji dot. klienta i jego konta przez strony trzecie. Silne uwierzytelnienie oznacza, że użytkownik musi użyć co najmniej dwóch z trzech czynników uwierzytelnienia – wiedzę (hasło, PIN), element posiadania (np. token sprzętowy), biometria (np. korzystanie z odcisku palca czy tęczówki oka). 

Jednocześnie Dyrektywa ta umożliwia odstępstwa od wymogu dodatkowego uwierzytelnienia w określonych przypadkach, w szczególności dla transakcji o małym ryzyku.

3D Secure

Usługa 3D Secure jest metodą autoryzacji transakcji, które są dokonywane bez fizycznego użycia karty np. w sklepie internetowym – ma ona na celu zwiększenie zaufania i bezpieczeństwa płatności kartowych w Internecie. Usługa ta jest automatycznie włączana przy aktywacji karty, i dotyczy wszystkich rodzajów kart (debetowych, kredytowych, przedpłatowych, także tych wydanych dla klientów firmowych).

Autoryzacja transakcji

Autoryzacja transakcji wykonywanych kartą najczęściej przebiega w następujący sposób: po podaniu danych z karty na stronie płatności, klient otrzymuje wiadomość z kodem sms, który należy wprowadzić w wyróżnionym polu. Obecnie coraz popularniejsza jest autoryzacja płatności poprzez logowanie do aplikacji banku i zatwierdzanie płatności po zalogowaniu wybraną metodą autoryzacji.

 

Główne trendy rozwoju dla transakcji płatniczych

Nieudane transakcje płatnicze powodują frustracje klienta, rezygnacje z zakupu, czy w najgorszym przypadku zmianę dostawcy usług bankowych / finansowych. Aby przeciwdziałać takim zjawiskom na rynku powstają nowe rozwiązania, gdzie jako głównymi kierunkami rozwoju są:

  1. eliminacja haseł,

  2. wykorzystanie biometrii, szczególnie na bazie natywnych mechanizmów urządzeń (wbudowanych w komputery czy telefony),

  3. wykorzystanie mechanizmów uwierzytelnienia stron trzecich,

  4. wykorzystanie systemów oceny ryzyka – „uwierzytelnienie na bazie ryzyka”.

 

Eliminacja haseł

Nawet w przypadku wymogu mocnego uwierzytelnienia jest możliwa poprzez wykorzystanie dwóch pozostałych czynników uwierzytelnienia – czynnika posiadania i biometrii. Czynnikiem posiadania, bardzo wygodnym dla klienta, może jego urządzenie lub też przeglądarka – jeśli zostanie nadany odpowiednio wiarygodny i bezpieczny unikalny identyfikator. Do tego taki identyfikator jest używany transparentnie dla użytkownika – użytkownik nie jest (nie musi być) świadomy, że go posiada, a jedynie instytucja.

Wykorzystanie biometrii

W połączeniu z biometrią natywną urządzenia (np. Face ID, Touch ID, Windows Hello), którą użytkownik może wykorzystywać już na co dzień (np. do logowania na komputerze), uzyskujemy przyjazny dla użytkownika mechanizm dodatkowego uwierzytelnienia, bez potrzeby używania haseł czy kodów jednorazowych, do tego poprawiając bezpieczeństwo (np. jednorazowe kody przesyłane poprzez SMS są uznawane za mało bezpieczne).

Standard FIDO

Podobnie wygląda sytuacja, gdy wykorzystane jest rozwiązanie zgodne ze standardem FIDO. FIDO to komercyjny standard, opracowany dla stworzenia dostępnego masowo rozwiązania dodatkowego uwierzytelnienia dla użytkowników usług w Internecie, do których logujemy się poprzez przeglądarkę. Druga wersja tego standardu (FIDO2) ma na celu właśnie eliminację haseł.  

Standard ten wykorzystuje technologie kryptograficzne i infrastrukturę klucza publicznego (PKI) zapewniającą wysokie bezpieczeństwo techniczne procesu uwierzytelnienia. Jednocześnie nowe urządzenia wiodących producentów i wbudowane w nie mechanizmy uwierzytelnienia biometrycznego są zgodne z FIDO2. Co więcej wykorzystanie FIDO umożliwia (silne) uwierzytelnienie klientów, którzy z jakiegoś powodu nie chcą lub nie mogą używać aplikacji mobilnej swojego banku. Dzieje się tak dzięki temu, że komunikacja z wbudowanym w urządzenie mechanizmem uwierzytelnienia odbywa się poprzez przeglądarkę stron.

Mechanizmy uwierzytelniania stron trzecich

Możemy także wyobrazić sobie wykorzystanie innych zewnętrznych mechanizmów uwierzytelnienia takich jak np. narodowe systemy identyfikacji i uwierzytelnienia np. w oparciu chipowe dokumenty tożsamości (eID), czy współdzielone systemy stworzone przez banki (Bank ID) itp. Szczególnie możliwości może dostarczyć ekosystem identyfikacji elektronicznej stworzony w Unii Europejskiej na podstawie rozporządzenia eIDAS – jeśli kraje członkowskie otworzą swoje systemy do wykorzystania przez sektor prywatny. Aktualnie realizowane są prace nad rozporządzeniem eIDAS2, które pozwoli krajom członkowskim unii wydawać Europejskie Portfele Cyfrowej Tożsamości służące do identyfikacji i uwierzytelniania w usługach online. Twórcy dyrektywy PSD2 zakładali, że do uwierzytelniania w systemach płatniczych będą wykorzystywane rozwiązania tworzone na poziomach krajowych, ale decyzje należą do poszczególnych krajów.

Systemy oceny ryzyka

Dodatkowo, PSD2 przewiduje możliwość odstępstwa od wymogu silnego uwierzytelnienia w określonych przypadkach, jeśli m.in. ryzyko transakcji jest niskie. Zebrane różne tzw. sygnały ryzyka (np. związane z geolokalizacją czy stanem bezpieczeństwa urządzenia), czy też analiza behawioralna zachować użytkownika mogą pozwolić na określenie tego poziomu ryzyka i zadecydowanie czy i jakie uwierzytelnienie zastosować. Analiza taka przyda się nie tylko gdy chcemy zrezygnować z (silnego) uwierzytelnienia (co polepsza odczucia klienta), ale także w drugą stronę – na wymuszenie dodatkowego lub zmianę sposobu uwierzytelnienia ograniczając możliwość oszustwa – przykładowo, gdy stan urządzenia klienta jest „podejrzany”, to instytucja może zażądać uwierzytelnienia innym czynnikiem, czy poprzez innych kanał, np. hasłem, kodem jednorazowym, elektronicznym dowodem osobistym itp. Warto nadmienić, iż standard 3D Secure, dopuszcza wykorzystanie zewnętrznych systemów uwierzytelnienia transakcji (opcje „Delegated Authentication” i „Decoupled Authentication”).

Tak więc przy podejściu skierowanym na potrzeby użytkownika i adopcji nowych technologii możliwe jest uproszczenie procesu uwierzytelnienia z punktu widzenia klienta, sterowanie przez bank sposobem uwierzytelnienia (aby wybrać najdogodniejszy dla klienta sposób) i w rezultacie ograniczenie liczby nieudanych transakcji przy jednoczesnej ochronie przed atakami. Zadowolony klient nie tylko pozostanie klientem, ale jest szansa, że będzie chętniej i częściej korzystał z usług danej instytucji dając wzrost liczby transakcji płatniczych. 

  *) Źródło

 

 

Data publikacji: 8.11.2022

Powiązane