KNF wyraża zgodę na późniejsze wprowadzenie silnego uwierzytelniania

Halszka Gronek

20 sierpnia 2019

Polska nie jest jeszcze gotowa na wdrożenie mechanizmów silnego uwierzytelniania zgodnych z wymogami unijnymi. Wobec takiego stanu rzeczy EUNB zaproponował rozwiązanie awaryjne, na które przystała Komisja Nadzoru finansowego (KNF). Spóźnialscy dostawcy będą mogli liczyć na wydłużenie czasu transformacji, o ile w terminie przedłożą tak zwany „plan migracji”.

Niewielu konsumentów zdaje sobie sprawę z faktu, iż z dniem 14 września bieżącego roku w życie wejdą przepisy nakazujące dostawcy usług płatniczych stosowania mechanizmów silnego uwierzytelniania klienta. Mowa o przypadkach, gdy klient dokonujący płatności uzyskiwać będzie dostęp do swojego rachunku w trybie online, gdy zainicjuje elektroniczną transakcję płatniczą lub gdy za pomocą kanału zdalnego przeprowadzi on czynność, która w swych skutkach będzie mogła narazić go na atak oszustów.

Wszystkie te zasady wejdą w życie na mocy krajowych i unijnych przepisów, a dokładnie:

Ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych (Dz.U. 2011 nr 199 poz. 1175 z późn. zm.);
Rozporządzenia Delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 roku (C/2017/7782).

Warto dodać, iż silne uwierzytelnianie klienta powinno być stosowane w szczególności przypadku logowania klienta do systemu bankowości elektronicznej lub wykonywania płatności internetowych, a także inicjowania płatności kartą płatniczą lub innym instrumentem płatniczym. Europejski Urząd Nadzoru Bankowego dokładnie określił, w jaki sposób powinno przebiegać silne uwierzytelnianie – szczegółowe ustalenia znaleźć można w unijnym rozporządzeniu z dnia 27 listopada 2017 roku.

Silne uwierzytelnianie klienta

Silne uwierzytelnianie klienta powinna zapewnić pełną ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do wyznaczonych przez Unię kategorii. Są to:

wiedza o czymś, o czym wie wyłącznie użytkownik (np. hasło do bankowości internetowej),
posiadanie czegoś, co posiada wyłącznie użytkownik (np. aplikacji banku zainstalowanej w smartfonie),
cechy charakterystyczne użytkownika (np. cechy biometryczne).

Czy polskie banki są gotowe na wejście w życie przepisów?

Niestety informacje zgromadzone przez Europejski Urząd Nadzoru Bankowego wskazują na niedostateczne przygotowanie uczestników rynku finansowego do kompleksowego i bezpiecznego wdrożenia mechanizmów silnego uwierzytelniania klienta przy płatnościach dokonywanych za pośrednictwem kanałów elektronicznych. Obserwacja ta dotyczy nie tylko dostawców usług płatniczych, lecz także nienadzorowanych interesariuszy rynku usług płatniczych (przede wszystkim – odbiorców płatności).

Tę negatywną opinię EUNB potwierdzają również dane zgromadzone przez polski Urząd Komisji Nadzoru Finansowego. Wszystko wskazuje na to, iż Polska nie jest gotowa na bezpieczne dostosowanie obowiązujących systemów płatniczych do wytycznych unijnych. Wobec takiego stanu rzeczy EUNB stwierdził, iż w celu uniknięcia negatywnych konsekwencji dla konsumentów organy nadzorcze państw członkowskich UE mogą uzyskać dodatkowy czas na przetransformowanie systemów i bezpieczne wdrożenie silnego uwierzytelniania klienta.

Jednak by polska mogła skorzystać z dodatkowego czasu na przygotowanie systemów płatniczych, poszczególni dostawcy usług płatniczych zobowiązani są do przedstawienia tak zwanego „planu migracji” jeszcze przed wejściem w życie nowych wymogów, a więc przed 14 września bieżącego roku. Co więcej, organ nadzoru musi zatwierdzić ów plan migracji. Komisja Nadzoru Finansowego zgodziła się umożliwić polskim dostawcom tego typu opcję awaryjną. Jeśli zdążą oni przedłożyć kompleksowy „plan migracji”, zyskają dodatkowy czas na dokonanie transformacji.

KNF zgadza się na wydłużenie czasu transformacji

Wobec faktu, iż polski rynek usług płatniczych nie jest gotowy na wdrożenie nowych przepisów, Komisja Nadzoru Finansowego podjęła dezycję o skorzystaniu z „bramki”, jaką zagwarantował Europejski Urząd Nadzoru Bankowego, i umożliwieniu polskim dostawcom usług przedłożenia „planu migracji” celem wydłużenia czasu na przeprowadzenie zmian systemowych. W oficjalnym komunikacie polskiej Komisji Nadzoru Finansowego czytamy:

Mając na względzie poczynione ustalenia na temat stanu gotowości uczestników polskiego rynku usług płatniczych do pełnego wdrożenia rozwiązań w zakresie silnego uwierzytelniania klienta oraz potrzebę zapewnienia, aby wdrożenie to nie powodowało […] niedogodności po stronie użytkowników usług płatniczych, Komisja Nadzoru Finansowego uznaje za dopuszczalne zastosowanie proponowanego przez EUNB rozwiązania w odniesieniu do płatności internetowych przy wykorzystaniu karty płatniczej oraz płatności zbliżeniowych (bezstykowych) realizowanych w terminalach płatniczych.

Zgoda Komisji oznacza, iż dostawcy, którzy przed 14 września bieżącego roku zgłoszą potrzebę wydłużenia czasu transformacji i którzy przedłożą uzgodniony z Komisją realny „plan migracji”, nie będą musieli obawiać się konsekwencji z powodu nieterminowego wdrożenia mechanizmów silnego uwierzytelniania klienta. Na koniec warto dodać, iż wskazanie warunków brzegowych, w tym maksymalnych terminów dla wdrożenia rozwiązań w zakresie silnego uwierzytelniania w ramach „planu migracji”, nie zostało jeszcze uzgodnione przez EUNB.