Komisja Nadzoru Finansowego potwierdza, że rozwiązania MasterPass i V.me spełniają wymogi bezpieczeństwa i mogą być alternatywą dla niechcianego 3D Secure. Ale tylko pod pewnymi warunkami
Przed wydawcami kart płatniczych twardy orzech do zgryzienia. Zgodnie z projektem rekomendacji KNF na temat bezpieczeństwa transakcji płatniczych w sieci, dostawcy usług muszą zapewnić tzw. silne uwierzytelnienie płatności kartami w internecie. Oznacza to konieczność autoryzacji transakcji przynajmniej dwoma niezależnymi sposobami. Obecnie najbardziej znanym system autoryzacji, spełniającym wymogi KNF w tym zakresie jest tzw. 3D Secure.
System ten pozwala na potwierdzanie płatności kartą w internecie hasłem jednorazowym z SMS-a, na tej samej zasadzie jak potwierdza się przelew wykonywany za pośrednictwem systemu bankowości internetowej. Ostatnio kilka banków zdecydowało się na wdrożenie 3D Secure. Mowa np. o Euro Banku. Niestety, instytucje nie są z niego zadowolone, bo nie lubią go klienci. System w poważnym stopniu komplikuje i wydłuża proces płatniczy.
Lepszym rozwiązaniem może być wdrożenie jednego z cyfrowych portfeli oferowanych przez organizacje płatnicze, czyli MasterPassa lub V.me. W tym wypadku klient podczas jednorazowej rejestracji portfela podpina do niego swoje karty, a płatności wykonuje już bez dodatkowych zabezpieczeń a jedynie po zalogowaniu się do swojego portfela. Rozwiązanie jest o wiele wygodniejsze niż każdorazowe wprowadzanie numeru karty, potwierdzanie transakcji kodem z rewersu plastiku i dodatkowo jeszcze hasłem jednorazowym.
Pojawiły się jednak wątpliwości, czy portfele cyfrowe spełniają wymogi rekomendacji KNF. Z informacji przekazanych mi przez biuro prasowe komisji wynika, że tak, pod pewnymi wszakże warunkami.
Pierwszym jest stosowanie silnego uwierzytelniania podczas procesu rejestracji karty w portfelu. Banki muszą więc wprowadzić zasadę, że za każdym razem, gdy klient będzie „wkładać" do portfela cyfrowego nową kartę, będzie musiał autoryzować tę operację dodatkowo, np. hasłem jednorazowym z sms-a.
Drugi warunek dotyczy sposobu dokonywania płatności poprzez portfel cyfrowy. Biuro prasowe KNF wyjaśnia, że w stosunku do niektórych rodzajów transakcji i określonej wartości banki mogą stosować inne, alternatywne sposoby autoryzacji. Zaliczono do nich np. analizę ryzyka transakcji. Domyślam się, że chodzi tu o sytuację, gdy klientowi pozwala się na płatność bez dodatkowej autoryzacji, jeśli np. cyklicznie wykonuje on podobne operacje w tym samym sklepie. Bank musi jednak ustalić limit kwotowy, po przekroczeniu którego będzie wymagana dodatkowa autoryzacja.
Obecnie karty w portfelu MasterPass mogą zarejestrować klienci Raiffeisen Polbanku, a wkrótce będą mogli również użytkownicy kart BZ WBK. Można tego dokonać także za pośrednictwem strony firmy uPaid. Natomiast portfel V.me oferują ING Bank Śląski, Santander Consumer Bank, Getin i Raiffeisen Polbank. Visa poinformowała, że na razie wstrzymuje kolejne wdrożenia, najprawdopodobniej z powodu planowanych zmian właścicielskich.