O dyrektywie PSD II w branżach płatniczej i bankowej mówi się coraz więcej. Wszystko za sprawą tego, że dokument został już przyjęty przez władze Unii Europejskiej a rządy poszczególnych krajów członkowskich mają dwa lata na implementowanie jej przepisów do swojego prawodawstwa. Przy okazji tej dyskusji prawnicy wyciągają z PSD II coraz to ciekawsze kwiatki. Tak jak dzisiaj podczas konferencji Payment Meeting, której serwis Cashless był patronem medialnym.

Otóż okazuje się, że w myśl zapisów dyrektywy logowanie na rachunek bankowy lub płatniczy będzie musiało odbywać się z zachowaniem tzw. silnego uwierzytelnienia. Oznacza to konieczność identyfikacji klienta dwoma różnymi sposobami. W praktyce będzie prowadzić do tego, że nie wystarczy iż klient poda login i hasło w przeglądarce. Dodatkowo będzie musiał autoryzować logowanie np. hasłem jednorazowym, jakie już dziś podaje np. przy okazji wykonywania przelewu.

Przeczytajcie także: • Japończycy chcą wykorzystać odcisk palca do płatności

Zdaniem części specjalistów to niepotrzebne komplikowanie życia i bankom i klientom. Na szczęście będzie sposób na obejście tej procedury. Jak powiedział podczas dzisiejszej konferencji dr Krzysztof Korus, radca prawny z kancelarii dLK Korus Okoń, dyrektywa dopuszcza by elementem silnego uwierzytelnienia była biometria. I uznaje za nią np. zachowanie klienta. Co to znaczy?

– Załóżmy, że przykładowy klient co tydzień w piątek o godzinie 19.00 loguje się na konto z komputera w mieszkaniu na warszawskim Mokotowie. Po pewnym czasie bank może uznać, że kolejne takie logowanie wykonywane jest przez tego samego klienta i nie będzie musiał wymagać od niego autoryzacji hasłem jednorazowym – powiedział dr Krzysztof Korus. Dodał jednak, że najpierw bank będzie musiał nauczyć się zachowania swojego klienta, a do tego czasu hasło jednorazowe powinno być wymagane.

Przeczytajcie także: • Nowy trojan na Androida, który może przechwycić hasło z SMS-a od banku

Nie wiem jak dla Was, ale dla mnie informacja o tym przepisie z dyrektywy PSD II to coś nowego. Być może przewijała się w regulacyjnej dyskusji już wcześniej, ale w takim razie mnie musiała ominąć. Natomiast wymóg silnego uwierzytelnienia przy logowaniu może być kolejnym impulsem do rozwoju technologii biometrycznych w bankowości, takich jak biometria odcisku palca, głosu czy twarzy.

Zastanawiam się także, w jaki sposób do dyrektywy PSD II zostanie przystosowany proces logowania w aplikacjach mobilnych banków? Będzie wymagany PIN i odcisk palca? A co jeśli smartfon nie będzie posiadał czytnika linii papilarnych? Hasło jednorazowe z SMS-a? To mało ergonomiczne. Twórcy aplikacji chyba powinni zacząć myśleć nad rozwiązaniem tego problemu.