Zdroj: Shutterstock
Unijní směrnice PSD2 zpřísňuje od poloviny září nejenom pravidla pro samotné platby, ale také pro přihlašování do internetového bankovnictví. I tady bude potřeba takzvané silné ověření, zvané též dvoufaktorové či dvoufázové.
Uživatel nově musí potvrzovat svou totožnost dvěma ze tří na sobě nezávislých způsobů: pomocí něčeho, co zná jenom on (typicky přihlašovací jméno nebo heslo), něčeho, co má u sebe (typicky mobilní telefon nebo token), a něčeho, čím je (biometrický údaj – tedy otisk prstu, snímek obličeje, oční duhovky, rozpoznání hlasu a podobně). A protože login a heslo patří do stejné skupiny, je potřeba přidat něco jiného.
Na novou povinnost reagují banky, u nichž dosud stačilo jenom přihlašovací jméno a stálé heslo. Hello bank, Equa bank, mBank či Fio banka začnou lidem při každém přihlášení posílat také SMS s jednorázovým kódem, který uživatel bude muset opsat. mBank a Fio však využijí výjimku, díky níž se v praxi nic podstatného změnit nemusí.
Zmíněné banky patří k posledním v Česku, kde zatím k přihlášení stačí stále stejné údaje – v případě Hello bank může přihlašovací jméno tvořit i e-mail majitele účtu, jako heslo stačí šest znaků kombinujících čísla s malými a velkými písmeny. Z ohlasů klientů je vidět, že mnoho lidí takový jednoduchý způsob oceňuje, jiným naopak vadí, že někomu cizímu stačí uhodnout heslo a dostane se k informacím o jejich účtu včetně zůstatku a pohybech – přestože samotné odeslání plateb bylo už dřív potřeba potvrdit ještě jednorázovým SMS kódem.
Většina ostatních bank přidala podobné ověření už dřív – ať už prostřednictvím SMS, tokenu nebo dokonce formou mobilního klíče (speciální aplikaci nabízejí Česká spořitelna, Komerční banka či UniCredit Bank).
Hello bank upozorňuje klienty, že od 11. září zároveň zmizí z přihlašovacího formuláře na webu takzvané očko – možnost nechat si ukázat heslo (pro kontrolu, jestli ho uživatel píše správně, nebo si ho připomenout, když ho má uložené v prohlížeči).
Online platby kartou mají být od poloviny září ještě bezpečnější a jednodušší. Kdo ale nemá mobilní aplikaci nebo chytrý telefon, bude to mít složitější než doteď.
Klienti Hello bank by se měli ujistit, že si své heslo pamatují, i kvůli dočasné komplikaci při přihlašovací do mobilní aplikace. „Dočasně bohužel nebude možné využívat ani na telefonech iPhone přihlášení pomocí otisku prstu. Při každém přihlášení na všech telefonech tedy bude třeba zadat přihlašovací jméno, heslo a potvrzovací kód z SMS,“ píše banka klientům. Na nové verzi aplikace, do které se lidé přihlásí otiskem prstu nejenom na telefonech s iOS, ale nově i se systémem Android, Hello bank teprve pracuje.
Heslo pro mobilní aplikaci Hello bank je stejné jako do internetového bankovnictví. Jenže: „Zapomenuté heslo už si po 10. září nebudete moci obnovit online ani zavoláním na naši infolinku. Jeho změna půjde vyřídit na dálku s úředně ověřeným podpisem, případně osobně v některém z našich kontaktních míst. Podobné to bude se změnou telefonního čísla, na které vám chodí potvrzovací SMS,“ zdůrazňuje Hello bank. Do 10. září si klienti Hello bank ještě můžou změnit heslo nebo číslo jednoduchým způsobem.
SMS kód začne při přihlášení posílat také mBank, alternativou je autorizace prostřednictvím aplikace mKlíč v mobilním telefonu.
Klienti, kteří nechtějí každé přihlášení potvrzovat pomocí SMS nebo mKlíče, si můžou přidat počítač, mobil nebo tablet k takzvaným důvěryhodným zařízením. mBank při tom využívá jednu z výjimek, kterou unijní směrnice PSD2 připouští (častěji bude zřejmě využívaná při odesílání plateb: když si uživatel přidá konkrétní příjemce mezi důvěryhodné, nemusí použít silné potvrzení – takovou možnost už dřív nabídla Air Bank).
Už jenom ve dvou bankách máte smůlu: I když zadáte platbu online hned ráno, na účet do jiné banky dorazí až následující den. Konkurence je čím dál pružnější. Opravdová revoluce ale teprve přijde.
Se souhlasem klienta se jeho běžný účet propojí s informacemi, které o něm dosud mají finanční poradci – například o pojištění nebo investicích.
„K důvěryhodným zařízením můžete přidat víc než jen jedno zařízení – počítač, mobil nebo tablet. Pokud se přihlásíte pomocí neznámého zařízení, požádáme vás o další potvrzení a to prostřednictvím SMS nebo mobilní autorizace,“ píše mBank klientům. Průběžně může banka žádat o silnější ověření i na důvěryhodném zařízení, nebude to ale pokaždé.
Kvůli přísnějším požadavkům směrnice ruší mBank také „light verzi“ svého internetového bankovnictví. Ta lidem usnadňovala jeho používání na mobilu nebo tabletu při použití internetového prohlížeče, tedy když nemohli nebo nechtěli využít mobilní aplikaci.
„Light verze internetového bankovnictví už vyššímu stupni zabezpečení technologicky nebude odpovídat, proto jsme se rozhodli ji 14. září odstavit,“ oznámila mBank. Aplikace je podle ní pohodlnější a nabízí víc funkcí.
Podobně odvážně využije výjimku i Fio banka. „Pokud se do internetbankingu hlásíte ze svého obvyklého prohlížeče a náš systém při pokusu o přihlášení nezaznamená žádné zvýšené riziko, dodatečné ověření od vás nebudeme vyžadovat. V případech, kdy náš systém zaznamená pokus o přihlášení z pro vás neobvyklého internetového prohlížeče, zašleme vám SMS zprávu s kódem, kterým tento prohlížeč budete moci autorizovat. Zvolíte-li současně tlačítko Důvěřuji prohlížeči, označíte ho za bezpečný a při příštím přihlašování pomocí stejného prohlížeče již nebudete k zadání ověřovacího kódu vyzvání“, popisuje změnu.
Jednoduše má fungovat i případné vyřazení prohlížeče ze seznamu důvěryhodných.
Psali jsme podrobněji: Změny v placení na internetu. SMS už nestačí
Petr Kučera
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
9. 9. 2019 14:50, František Mlejnek
Myslím, že tak, jak to má v současnosti nastavena Česká spořitelna, tedy zadaný přihlašovací kód a heslo + jednorázové číslo z SMS, bohatě stačí. Vzhledem k tomu, že se do George přihlašuji jenom z pevného PC, další komplikaci, jakou je otisk prstu nebo tvář, nepotřebuji a přímo odmítám, protože bych si asi musel přikupovat kvůli pár akcím za měsíc nějakou další čtečku, na kterou už nemám v PC další díru USB.
Příspěvek s nejvíce zápornými hlasy
9. 9. 2019 17:41, Čtenář ...
Přesně, kolikrát sem jim volal ať neblbnou ale prej ochrana GDPR.
Prej mi ho budou chránit ty volové když s tím něco udělám. Snad ten gd.. si ochráním sám když ho nebudu nikde rozmnožovat.
A proto je seru do huby pitomce jedny. Sbohem...
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (24 komentářů) příspěvků.