Aktualności

Bankowość i usługi płatnicze: Nie wystarczy jedno wpisanie PIN-u do gadżetu płatniczego jako element tzw. „silnego uwierzytelnienia”

Bankowość i usługi płatnicze: Nie wystarczy jedno wpisanie PIN-u do gadżetu płatniczego jako element tzw. „silnego uwierzytelnienia”

„Silne uwierzytelnienie” zostało wprowadzone do europejskiego porządku prawnego w ramach dyrektywy 2015/2366/EU (PSD2) i służy zwiększeniu bezpieczeństwa transakcji płatniczych. Zapewnia ochronę poufności danych przekazywanych w transakcji w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza o czymś, o czym wie wyłącznie użytkownik; posiadanie czegoś, co posiada wyłącznie użytkownik; cechy charakterystyczne użytkownika. Elementy te są integralną częścią tego uwierzytelniania oraz są niezależne w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych.

Pytający wyszli z założenia, że użytkownicy mogą mylnie uznać, że gadżety płatnicze odczytują dane biometryczne w postaci tętna i pulsu noszącego, co wystarczy za jeden z dwóch na trzy obligatoryjnych elementów „silnego uwierzytelnienia” tj. za cechy charakterystyczne użytkownika.

Gadżety płatnicze jeszcze tak nie funkcjonują. Schemat ich działania jest następujący: podczas pierwszego założenia gadżetu użytkownik wpisuje PIN. Gadżet odnotowuje czy po wpisaniu PIN-u pomiar pulsu i tętna jest nieprzerwany. Pozwala to na stwierdzenie czy w danym okresie urządzenie było noszone przez tę samą osobę bez przerwy, przy czym nie chodzi o puls czy tętno indywidualne, ale wyłącznie o jego stały pomiar co pozwala zweryfikować, że gadżet nosi w danym okresie jedna i ta sama osoba. W takiej sytuacji silne uwierzytelnienie polega na dwóch elementach: posiadaniu użytkownika (gadżetu, który ma na sobie) oraz wiedzy użytkownika (PIN), ale już nie na cechach użytkownika.

W związku z tym zrodziła się potrzeba zadania pytania do EBA, czy raz wpisany PIN wystarczy za element silnego uwierzytelnienia jako wiedzy o czymś, o czym wie tylko użytkownik, dla kilku transakcji wykonanych w ciągu tego samego dnia, jeśli urządzenie wykazuje, że nie zostało w tym czasie zdjęte. W razie udzielenia odpowiedzi twierdzącej na tak zadane pytanie wystarczające byłoby już tylko dalsze przykładanie urządzenia do terminala w celu dokonania płatności bez konieczności kolejnych weryfikacji użytkownika.

EBA udzieliło odpowiedzi negatywnej na zadane pytanie. Zdaniem Urzędu, w podanym przykładzie mechanizm blokujący gadżetu w postaci odczytu tętna i pulsu nie gwarantuje, że użytkownik zmieści się czasowo w tej samej sesji płatniczej. Dla osiągnięcia tego celu należałoby skomunikować użytkownika z dostawcą usługi płatniczej w celu utrzymywania danej sesji jako otwartej. Możliwe byłoby to wyłącznie poprzez stałe aktywne korzystanie z gadżetu dla inicjowania płatności lub dostępu do rachunku po to, aby sesja nie wygasła. Ponieważ takie rozwiązania nie są aktualnie stosowane, użytkownik musi obecnie wpisywać PIN dla każdej transakcji dokonywanej po wygaśnięciu pierwszej sesji.

EBA zaznaczył przy tym, że także w tej sytuacji dopuszczalne są wyjątki od reguły silnego uwierzytelniania przewidziane w art. 11-18 Rozporządzenia 2018/389 w sprawie regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania (RTS), np. dla transakcji: zbliżeniowych w punktach sprzedaży, od zaufanych odbiorców, cyklicznych, niskokwotowych itp. Piotr Glapiński

Prawnik

Piotr Glapiński

Radca prawny, Counsel

Piotr Glapiński

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa