Autoryzacja przelewu bankowego
ofin.plBezpieczeństwoMetody autoryzacji przelewu a bezpieczeństwo naszych pieniędzy

Metody autoryzacji przelewu a bezpieczeństwo naszych pieniędzy

Autoryzacja przelewu stanowi kluczowy mechanizm kontrolny w bankowości elektronicznej i mobilnej, będący potwierdzeniem tożsamości klienta i jego zgody na wykonanie dyspozycji płatniczej. Jest to podstawowe zabezpieczenie chroniące środki na rachunku przed nieuprawnionym dostępem i oszustwami finansowymi. Wprowadzenie europejskiej dyrektywy PSD2 dodatkowo wzmocniło wymogi w tym zakresie, popularyzując zasadę Silnego Uwierzytelnienia Klienta (SCA), która wymaga weryfikacji tożsamości przy użyciu co najmniej dwóch niezależnych metod. Banki stosują obecnie różnorodne technologie autoryzacji – od tradycyjnych kodów SMS, przez coraz popularniejszą autoryzację w aplikacji mobilnej, po tokeny czy podpisy elektroniczne, przy czym każda z nich charakteryzuje się inną specyfiką działania oraz poziomem odporności na potencjalne cyberzagrożenia. Zrozumienie tych metod i świadome korzystanie z nich jest niezbędne для zachowania pełnego bezpieczeństwa finansów w cyfrowym świecie.

Autoryzacja przelewów własnych - co to jest?

Autoryzacja przelewów własnych to zatwierdzenie polecenia przelewu przez właściciela konta bankowego. Jest to ostatni etap wykonywania przelewu online. Po wpisaniu wszystkich danych do przelewu i przejściu do podsumowania transakcji, użytkownik konta proszony jest o wpisanie od banku kodu autoryzacyjnego. Takie hasło jest jednorazowe i daje bankowi pewność, że przelew jest wykonywany przez uprawnioną do tego osobę. Forma, w jakiej dostarczony jest kod autoryzacyjny zależy od indywidualnych ustaleń klienta z bankiem. Jeśli wpisany zostanie niewłaściwy kod, przelew zostanie anulowany. Autoryzacja transakcji płatniczej ma na celu ochronę przed złodziejami oraz ochronę przez przesłaniem błędnego przelewu bankowego.

Unijna dyrektywa PSD2 - kiedy weszła w życie i co ma na celu?

14 września 2019 roku weszła w życie unijna dyrektywa PSD2, która ma na celu znacząco poprawić bezpieczeństwo naszych finansów. Zmiany jakie musiały wprowadzić banki dotyczyły m.in.

  • wprowadzenia podwójnej weryfikacji tożsamości klienta podczas logowania do bankowości online,
  • zmniejszenia odpowiedzialności klienta za nieautoryzowane transakcje płatnicze w przypadku m.in. kradzieży środka płatniczego,
  • skrócenia czasu reklamacji bankowej z 30 do 15 dni,
  • zastosowanie zmian w zabezpieczeniach stosowanych przy potwierdzaniu przelewów.

Silne uwierzytelnienia, jakie mają wprowadzić banki, mają zapewnić możliwość autoryzacji transakcji płatniczej ma dwa spośród trzech sposobów. Uwierzytelnianie może odbywać się w oparciu o unikatową wiedzę właściciela konta, posiadany przez niego określony przedmiot lub cechy biometryczne klienta. Za najbezpieczniejsze metody autoryzacji transakcji uznano fizyczne tokeny oraz uwierzytelnianie przez aplikacje mobilne. To jednak nie jedyne zabezpieczenia, jakie stosują banki.

5 sposobów na autoryzacje przelewów własnych

Wyróżniamy 5 sposobów na autoryzację przelewów własnych: mTAN, czyli autoryzację kodem SMS, mobilną autoryzację transakcji, autoryzację tokenem, autoryzację przy pomocy podpisu elektronicznego oraz autoryzację kodem TAN. Wiele banków oferuje klientom możliwość wyboru sposobu autoryzacji, który będzie dla nich wygodniejszy. Nie ma zabezpieczenia, którego nie dałoby się złamać, ale bezpieczeństwo transakcji zależy przede wszystkim od posiadaczy kont. Taka sama ostrożność jest zalecana przy przelewach online, jak i płatności kartą przez internet. Podejrzenie powinny wzbudzić np. podejrzane wiadomości e-mail i SMS, namawianie do kliknięcia w określony link czy prośba o podanie danych wrażliwych klienta. Warto wiedzieć jakie są metody oszustw, by wiedzieć jak się przed nimi bronić. Poniżej zestawiliśmy pięć głównych metod autoryzacji transakcji internetowych.

mTAN - autoryzacja przelewu kodem SMS

Mobilny Numer Autoryzacyjny (mTAN) to forma autoryzacji transakcji bankowych przy użyciu kodu SMS. Każdy otrzymany SMS zawiera kod autoryzacyjny oraz szczegóły transakcji takie jak odbiorca i kwota przelewu oraz data zlecenia. Dzięki temu możliwe jest wykrycie ewentualnych błędów w poleceniu przelewu czy korzystania z naszego konta przez osobę nieuprawnioną. Jeśli ktoś wejdzie w posiadanie naszego dowodu osobistego i złoży u operatora telefonii komórkowej wniosek o duplikat naszej karty SIM, kody autoryzacyjne będą wysyłane na telefon złodzieja. Należy też uważać na złośliwe oprogramowanie, które zainstalowane na telefonie użytkownika konta, jest w stanie przekazywać wiadomości SMS na numer złodzieja.

Mobilna autoryzacja transakcji

Mobilna autoryzacja płatności jest ściśle powiązana z aplikacją bankową. Przy tym rodzaju autoryzacji, osoba chcąca wykonać przelew online otrzymuje powiadomienie przez aplikację banku. Następnie należy zalogować się do aplikacji, sprawdzić poprawność danych i zatwierdzić przelew. Z racji tego, że cała procedura odbywa się w ramach systemu bankowego, jest mobilna autoryzacja transakcji jest zdecydowanie tańsza niż kody SMS. Metoda ta utrudnia również zdobycie naszych danych przez złodziei. Obecnie mobilna autoryzacja dostępna jest m.in. dla klientów: PKO BP, mBanku, ING, Santander Banku Polska, Peako. Ważne! Aplikacje bankowe należy pobierać wyłącznie z zaufanych źródeł.

Autoryzacja przelewu za pomocą tokena

Autoryzacja przelewu za pomocą tokena to kolejny sposób zabezpieczania transakcji finansowych, który jest coraz bardziej popularny. Dla osób, które nie do końca wiedzą co to jest token, wyjaśniamy. Wydawany do konta token sprzętowy to zasilane bateriami urządzenie do uwierzytelniania transakcji internetowych, które wyglądem może przypominać pendrive (pamięć USB). Token jest generatorem kodów jednorazowych, które są zmieniane co 60 sekund. Obecnie tokeny mogą być również wbudowane w karty płatnicze lub zastąpione przez telefony komórkowe z zainstalowaną aplikacją do generowania haseł (token GSM). Każdy token przypisany jest jednemu klientowi, a generowane przez niego kody uzależnione są od zmiennych ciągów liczbowych wpisywanych z ekranu monitora podczas potwierdzania operacji na koncie oraz czasu przeprowadzania transakcji. Kody z tokena nie są powiązane z konkretną transakcją, zatem przechwycenie ich umożliwi zatwierdzenie jakiejkolwiek płatności. Wydanie tokena jest płatne.

Autoryzacja transakcji płatniczych przez podpis elektroniczny i cyfrowy

Autoryzacja transakcji płatniczych przez podpis elektroniczny i cyfrowy uznawana jest za jedno z bezpieczniejszych rozwiązań. Wymaga to jednak podłączenia do komputera lub telefonu specjalnego czytnika. a następnie wsunięcia do niego odpowiedniej karty zawierającej prywatny klucz. Po podaniu kodu PIN, klucz umożliwia autoryzację danej transakcji. Działanie podpisu jest kontrolowane przez oprogramowanie zainstalowane na komputerze lub telefonie użytkownika, przez co można paść ofiarą hakerów. Jeśli zostawimy kartę w czytniku po dokonaniu transakcji, oszuści posiadający kontrolę nad naszym komputerem będą mogli autoryzować kolejne płatności bez naszej wiedzy.

Autoryzacja przez kod TAN - listy haseł jednorazowych i listy zdrapek

Autoryzacja przez kod TAN (Transaction Authentication Number) jest stosowana do zabezpieczania transakcji bankowych i operacji finansowych. Istnieją dwie główne metody autoryzacji przy użyciu kodów TAN: listy haseł jednorazowych i listy zdrapek. Listy haseł jednorazowych są wypierane przez inne, znacznie wygodniejsze metody autoryzacji przelewów. W przypadku list, hasła generowane przez bank (kody TAN) są drukowane na specjalnym papierze uniemożliwiającym osobom trzecim podejrzenie kodów podczas procesu drukowania. Klienci mogą zamawiać takie listy kodów przez internet lub w placówce banku. Wydrukowane listy zawierają tylko 50 sześciocyfrowych haseł, przy czym ostatnie hasło z aktywnej listy umożliwia aktywację nowej listy. Innym wariantem kodów jednorazowych są drukowane te przez bank na specjalnych plastikowych kartach, w postaci numerowanej listy zdrapek. Podczas autoryzacji przelewu, kody należy podawać kolejno lub losowo, zależnie od ustaleń banku. Kartę zawierającą 50 sześciocyfrowych kodów można zamówić przez bankowość internetową lub w placówce banku.

Często zadawane pytania

Która metoda autoryzacji przelewu jest obecnie uważana za najbezpieczniejszą?
Za najbezpieczniejsze metody uznaje się obecnie autoryzację mobilną w dedykowanej aplikacji bankowej oraz tokeny sprzętowe (choć te są rzadziej stosowane dla klientów indywidualnych). Autoryzacja mobilna odbywa się w zabezpieczonym kanale aplikacji bankowej, a powiadomienie PUSH zawiera szczegóły transakcji. Tokeny generują kody niezależnie od potencjalnie zainfekowanego komputera czy telefonu. Kody SMS (mTAN) są nadal popularne, ale niosą ze sobą ryzyko związane z możliwością przejęcia karty SIM (SIM swapping) lub przechwycenia SMS przez złośliwe oprogramowanie na telefonie. Najmniej bezpieczne i wycofywane są listy kodów jednorazowych (TAN).
Czy zawsze mogę wybrać dowolną metodę autoryzacji oferowaną przez bank?
Zazwyczaj banki oferują klientom ograniczony wybór metod autoryzacji, najczęściej pomiędzy kodami SMS a autoryzacją mobilną (jeśli klient korzysta z aplikacji). Banki często zachęcają lub domyślnie ustawiają autoryzację mobilną jako preferowaną ze względu na niższe koszty i wyższe bezpieczeństwo. Tokeny sprzętowe są rzadkością dla klientów indywidualnych, a listy TAN praktycznie wyszły z użycia. Podpis elektroniczny kwalifikowany jest stosowany głównie w bankowości korporacyjnej. Wybór jest więc ograniczony do opcji udostępnianych przez dany bank dla danego typu konta.
Na czym dokładnie polega Silne Uwierzytelnienie Klienta (SCA) wymagane przez PSD2?
Silne Uwierzytelnienie Klienta (Strong Customer Authentication - SCA) to wymóg nałożony przez dyrektywę PSD2, mający zwiększyć bezpieczeństwo transakcji elektronicznych i dostępu do konta online. Polega on na tym, że bank musi zweryfikować tożsamość klienta przy użyciu co najmniej dwóch z trzech niezależnych od siebie elementów należących do kategorii: 1) Wiedza (coś, co wie tylko klient, np. hasło, PIN); 2) Posiadanie (coś, co posiada tylko klient, np. telefon z aplikacją mobilną, token, karta płatnicza); 3) Cecha klienta (coś, czym klient jest, np. odcisk palca, skan twarzy – biometria). Wymóg SCA dotyczy m.in. logowania do bankowości online, inicjowania płatności elektronicznych i niektórych innych operacji wrażliwych.
Czy autoryzacja mobilna w aplikacji bankowej zadziała, jeśli mój telefon nie ma chwilowo dostępu do internetu?
Zazwyczaj nie. Standardowa autoryzacja mobilna opiera się na otrzymaniu powiadomienia PUSH w aplikacji bankowej, co wymaga połączenia internetowego (Wi-Fi lub danych mobilnych) na telefonie w momencie autoryzacji. Również wysłanie potwierdzenia z aplikacji do banku wymaga połączenia. Bez dostępu do internetu w telefonie najczęściej nie będzie możliwe odebranie powiadomienia i zatwierdzenie transakcji zleconej np. na komputerze.
Co się stanie, jeśli kilkukrotnie podam błędny kod autoryzacyjny (np. SMS lub z tokena)?
Standardową procedurą bezpieczeństwa w bankach jest czasowe lub trwałe zablokowanie możliwości autoryzacji transakcji po kilku (zwykle 3 lub 5) nieudanych próbach wprowadzenia kodu. Może to dotyczyć tylko bieżącej transakcji, ale czasem może skutkować również czasową blokadą dostępu do bankowości internetowej lub mobilnej. W takiej sytuacji konieczny jest kontakt z infolinią banku w celu odblokowania dostępu lub wyjaśnienia sytuacji.

Komentarze

Empty comments
Zostaw swój komentarz!
Nie znaleźliśmy żadnej opinii o tym produkcie. Pomóż innym klientom. Podziel się swoją opinią jako pierwszy.
Dodaj komentarz
Twoja ocena
5
Dodaj komentarz
Twoja ocena
5