Autoryzacja przelewu – co to jest i dlaczego się ją stosuje?
Autoryzacja przelewów własnych to zatwierdzenie polecenia przelewu przez właściciela konta bankowego. Jest to ostatni etap wykonywania przelewu online. Po wpisaniu wszystkich danych do przelewu i przejściu do podsumowania transakcji, użytkownik konta proszony jest o wpisanie od banku kodu autoryzacyjnego. Takie hasło jest jednorazowe i daje bankowi pewność, że przelew jest wykonywany przez uprawnioną do tego osobę.
Forma, w jakiej dostarczony jest kod autoryzacyjny zależy od indywidualnych ustaleń klienta z bankiem. Jeśli wpisany zostanie niewłaściwy kod, przelew zostanie anulowany. Autoryzacja transakcji płatniczej ma na celu ochronę przed złodziejami oraz ochronę przez przesłaniem błędnego przelewu bankowego.
Unijna dyrektywa PSD2 a zmiany w uwierzytelnianiu transakcji
14 września 2019 roku weszła w życie weszła unijna dyrektywa PSD2, która ma znacząco poprawić bezpieczeństwo naszych kont bankowych. Zmiany jakie musiały wprowadzić banki dotyczyły m.in.
- wprowadzenia podwójnej weryfikacji tożsamości klienta podczas logowania do bankowości online,
- zmniejszenia odpowiedzialności klienta za nieautoryzowane transakcje płatnicze w przypadku m.in. kradzieży środka płatniczego,
- skrócenia czasu reklamacji bankowej z 30 do 15 dni,
- zastosowanie zmian w zabezpieczeniach stosowanych przy potwierdzaniu przelewów.
Silne uwierzytelnienia, jakie mają wprowadzić banki, mają zapewnić możliwość autoryzacji transakcji płatniczej ma dwa spośród trzech sposobów. Uwierzytelnianie może odbywać się w oparciu o unikatową wiedzę właściciela konta, posiadany przez niego określony przedmiot lub cechy biometryczne klienta. Za najbezpieczniejsze metody autoryzacji transakcji uznano fizyczne tokeny oraz uwierzytelnianie przez aplikacje mobilne. To jednak nie jedyne zabezpieczenia, jakie stosują banki.
5 sposobów na autoryzacje przelewów własnych
Wiele banków oferuje klientom możliwość wyboru sposobu autoryzacji, który będzie dla nich wygodniejszy. Nie ma zabezpieczenia, którego nie dałoby się złamać, ale bezpieczeństwo transakcji zależy przede wszystkim od posiadaczy kont. Taka sama ostrożność jest zalecana przy przelewach online, jak i płatności kartą przez internet. Podejrzenie powinny wzbudzić np. podejrzane wiadomości e-mail i SMS, namawianie do kliknięcia w określony link czy prośba o podanie danych wrażliwych klienta. Poniżej zestawiliśmy pięć głównych metod autoryzacji transakcji internetowych.
mTAN – autoryzacja przelewu kodem SMS
Autoryzacja przelewu w wielu bankach możliwa jest po wpisaniu kodu, który bank prześle nam w wiadomości SMS. Każdy otrzymany SMS zawiera kod autoryzacyjny oraz szczegóły transakcji takie jak odbiorca i kwota przelewu oraz data zlecenia. Dzięki temu możliwe jest wykrycie ewentualnych błędów w poleceniu przelewu czy korzystania z naszego konta przez osobę nieuprawnioną.
Jeśli ktoś wejdzie w posiadanie naszego dowodu osobistego i złoży u operatora telefonii komórkowej wniosek o duplikat naszej karty SIM, kody autoryzacyjne będą wysyłane na telefon złodzieja. Należy też uważać na złośliwe oprogramowanie, które zainstalowane na telefonie użytkownika konta, jest w stanie przekazywać wiadomości SMS na numer złodzieja.
Mobilna autoryzacja transakcji
Mobilna autoryzacja płatności jest ściśle powiązana z aplikacją bankową. Przy tym rodzaju autoryzacji, osoba chcąca wykonać przelew online otrzymuje powiadomienie przez aplikację banku. Następnie należy zalogować się do aplikacji, sprawdzić poprawność danych i zatwierdzić przelew. Z racji tego, że cała procedura odbywa się w ramach systemu bankowego, jest mobilna autoryzacja transakcji jest zdecydowanie tańsza niż kody SMS.
Metoda ta utrudnia również zdobycie naszych danych przez złodziei. Obecnie mobilna autoryzacja dostępna jest m.in. dla klientów:
mBanku,
ING,
Ważne! Aplikacje bankowe należy pobierać wyłącznie z zaufanych źródeł.
Autoryzacja przelewu tokenem
Dla osób, które nie do końca wiedzą co to jest token, wyjaśniamy. Wydawany do konta token sprzętowy to zasilane bateriami urządzenie do uwierzytelniania transakcji internetowych, które wyglądem może przypominać pendrive (pamięć USB). Token jest generatorem kodów jednorazowych, które są zmieniane co 60 sekund. Obecnie tokeny mogą być również wbudowane w karty płatnicze lub zastąpione przez telefony komórkowe z zainstalowaną aplikacją do generowania haseł (token GSM).
Każdy token przypisany jest jednemu klientowi, a generowane przez niego kody uzależnione są od zmiennych ciągów liczbowych wpisywanych z ekranu monitora podczas potwierdzania operacji na koncie oraz czasu przeprowadzania transakcji. Kody z tokena nie są powiązane z konkretną transakcją, zatem przechwycenie ich umożliwi zatwierdzenie jakiejkolwiek płatności. Wydanie tokena jest płatne.
Autoryzacja przez podpis elektroniczny i cyfrowy
Zatwierdzanie transakcji płatniczych przez podpis cyfrowy uznawane jest za jedno z bezpieczniejszych rozwiązań. Wymaga to jednak podłączenia do komputera lub telefonu specjalnego czytnika. a następnie wsunięcia do niego odpowiedniej karty zawierającej prywatny klucz. Po podaniu kodu PIN, klucz umożliwia autoryzację danej transakcji.
Działanie podpisu jest kontrolowane przez oprogramowanie zainstalowane na komputerze lub telefonie użytkownika, przez co można paść ofiarą hakerów. Jeśli zostawimy kartę w czytniku po dokonaniu transakcji, oszuści posiadający kontrolę nad naszym komputerem będą mogli autoryzować kolejne płatności bez naszej wiedzy.
Autoryzacja przez kod TAN – listy haseł jednorazowych i listy zdrapek
Listy haseł jednorazowych są wypierane przez inne, znacznie wygodniejsze metody autoryzacji przelewów. W przypadku list, hasła generowane przez bank (kody TAN) są drukowane na specjalnym papierze uniemożliwiającym osobom trzecim podejrzenie kodów podczas procesu drukowania. Klienci mogą zamawiać takie listy kodów przez internet lub w placówce banku. Wydrukowane listy zawierają tylko 50 sześciocyfrowych haseł, przy czym ostatnie hasło z aktywnej listy umożliwia aktywację nowej listy.
Innym wariantem kodów jednorazowych są drukowane te przez bank na specjalnych plastikowych kartach, w postaci numerowanej listy zdrapek. Podczas autoryzacji przelewu, kody należy podawać kolejno lub losowo, zależnie od ustaleń banku. Kartę zawierającą 50 sześciocyfrowych kodów można zamówić przez bankowość internetową lub w placówce banku.
