PSD2

PSD2

zachęcamy do zapoznania się ze zmianami w usługach płatniczych w Toyota Bank

    W listopadzie 2015 r. Parlament Europejski uchwalił nową dyrektywę regulującą rynek usług płatniczych - Payment Services Directive 2 (PSD2), która zastąpiła dotychczasową dyrektywę PSD. Kraje członkowskie, w tym Polska, przez ostatnie lata dostosowywały regulacje krajowe do przepisów nowej Dyrektywy.

    Dyrektywa PSD2

    Dotychczas obowiązującą regulacją dotyczącą usług płatniczych dyrektywa PSD (Payment Service Directive) była uchwalona w 2007. Rozwój i wzrost znaczenia rynku eCommerce i wszelkiego rodzaju usług świadczonych drogą elektroniczną wymusił przygotowanie nowej dyrektywy. PSD2 ma na celu ułatwić rozwój e-gospodarki przez obniżenie kosztów i podniesienie bezpieczeństwa transakcji. Z punktu widzenia klienta nowa dyrektywa reguluje i standaryzuje nowe usługi płatnicze, ułatwia rozwój i dostęp do nowych technologii płatniczych (online i mobile), a także zwiększa konkurencję na rynku usług finansowych przez dopuszczenie nowych podmiotów.

    Co wprowadza dyrektywa PSD2?

    Przede wszystkim na rynku usług płatniczych pojawi się nowa kategoria usługodawców. Poza bankami, instytucjami płatniczymi, pojawią się usługodawcy określani jako Third Party Provider (TPP), którzy będą mogli świadczyć trzy typy nowych usług:

    • Payment Initiation Service (PIS) czyli realizacja płatności z rachunku bankowego klienta w jego imieniu. TPP, po otrzymaniu zgody na świadczenie takiej usługi zainicjuje płatność w bankowości internetowej klienta w określonej kwocie do określonego odbiorcy i poinformuje klienta o statusie jej realizacji.
    • Account Information Service (AIS) to pobierana i przetwarzana przez TPP (np. w celu agregacji) informacja o saldzie rachunku (jednego bądź wielu w różnych bankach), umożliwiająca klientowi szybki dostęp do wglądu i oceny stanu swoich finansów.
    • Confirmation of the Availability of Funds (CAF) czyli usługa potwierdzania dostępności na rachunku płatniczym klienta kwoty niezbędnej do wykonania transakcji płatniczej.

    Banki mają obowiązek umożliwić podmiotom świadczącym usługi w zakresie AIS, PIS i CAF do prowadzonego przez nie rachunku klienta – bez względu na to, czy pomiędzy nimi, a konkretnym TPP będzie istniała umowa, określająca zasady takiego dostępu.

    Dodatkowo dyrektywa wprowadza:

    • Obowiązek silnego uwierzytelnienia klienta, tzw. Strong Custmer Authorizathion (SCA) w przypadku gdy klient:
    • uzyskuje dostęp do swojego rachunku płatniczego w trybie online,
    • inicjuje elektroniczną transakcję płatniczą,
    • przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

    W powyższych przypadkach dostawca usług płatniczych (np. bank) powinien wykorzystać co najmniej 2 z 3 poniższych instrumentów (elementów) uwierzytelnienia klienta:

    • wiedza, czyli coś co wie wyłącznie klient (np. login, hasło, kod sms)
    • posiadanie, czyli coś co ma wyłącznie klient (np. token sprzętowy, aplikacja mobilna)
    • cecha, czyli coś co charakteryzuje klienta (np. biometria).
    • Nowe zasady rozpatrywania reklamacji poprzez skrócenie czasu rozpatrywania reklamacji oraz zwrot środków za nieautoryzowane transakcje.
    • Zmniejszenie odpowiedzialności klienta za nieautoryzowane transakcje do 50 euro (dawniej 150 EUR).
    • Konieczność wykonania procedury SCA dla transakcji kartą płatniczą w przypadku:
    • płatności bezstykowych (zbliżeniowych) gdy pojedyncza transakcja przekracza 50 EUR, lub łączna kwota takich transakcji przekracza 150 EUR,
    • płatności zdalnych (np. zakupy w sklepach internetowych) gdy pojedyncza transakcja przekracza 30 EUR lub łączna kwota takich transakcji przekracza 100 EUR

    Co zmieni się w Toyota Bank?

    Przede wszystkim zmieniamy nasze systemy bankowości elektronicznej (internetowej) dla klienta indywidualnego i małych firm oraz korporacji. Zastąpi je nowy, jeden i wspólny system bankowości internetowej, dla klientów korporacyjnych wzbogacony dodatkowo o funkcjonalności typowe dla tego rodzaju systemów. Nowa bankowość elektroniczna została napisana w technologii RWD (Responsive Web Design) dzięki czemu będzie można z niej korzystać tak samo wygodnie używając standardowego komputera PC, laptopa, tabletu czy po prostu smartfona.

    Zastąpimy również nasz token sprzętowy (klucz elektroniczny) aplikacją mobilną do autoryzacji transakcji zawieranych w systemie bankowości internetowej i potwierdzania zdalnych transakcji kartami płatniczymi (wykraczającymi poza limit opisany w pkt. 7b). Aplikacja mobilna zastąpi również karty i czytniki do autoryzacji operacji w systemie bankowości dla klientów korporacyjnych. Aplikacja będzie dostępna dla systemów operacyjnych iOS oraz Android.

    Nowa bankowość, aplikacja mobilna i instalowana wraz z nimi infrastruktura umożliwią nam także obsługę transakcji wygenerowanych przez podmioty TPP (patrz pkt 1-3).

    Powyższe zmiany planujemy wdrożyć w sierpniu 2019. O szczegółach, dokładnych terminach i kolejnych etapach wprowadzania zmian będziemy informować na bieżąco. Zachęcamy do zapoznania się z poniższym graficznym podsumowaniem i kalendarzem zmian w usługach Toyota Bank związanych z dyrektywą PSD2.

     

    Kim jesteś? Obecnie Planowane udostępnienie w sierpniu 2019 Dostępne w okresie przejściowym (sierpień - wrzesień 2019) Dostępne od 14 września 2019
    Klient indywidualny System Bankowości Elektronicznej (https://
    konto.toyotabank.pl/) + Token (klucz elektroniczny)
    Nowa Bankowość Elektroniczna + Mobilna Autoryzacja (aplikacja) Nowa Bankowość Elektroniczna + Mobilna Autoryzacja + Token. Możliwość korzystania z tokena wydanego do poprzedniego systemu bankowości elektronicznej Nowa Bankowość Elektroniczna + Mobilna Autoryzacja. Wyłączona możliwość korzystania z tokena. Logowanie i autoryzacja transakcji tylko przez Mobilną Autoryzację. Token będzie umożliwiał jedynie rozpoczęcie procesu parowania aplikacji do Mobilnej Autoryzacji z urządzeniem (telefonem) klienta Banku
    Klient IDG/SME
    Klient korporacyjny System Bankowości Korporacyjnej (https://
    biznes.toyotabank.pl/) + Karta i czytnik
    Nowa bankowość korporacyjna+Mobilna Autoryzacja (aplikacja) Nowa Bankowość Korporacyjna + Mobilna Autoryzacja (aplikacja). Wyłączymy poprzedni system bankowości korporacyjnej i możliwość autoryzacji operacji kartą i czytnikiem. Klienci korporacyjni korzystają z nowej bankowości korporacyjnej i nowej metody autoryzacyjnej. Możliwość migracji na nowy system i aplikację mobilną zostanie udostępniona już w II połowie sierpnia 2019 r.

    OD 19 SIERPNIA ZMIANY W BANKOWOŚCI ELEKTRONICZNEJ

    Zmieni się:

    1. Sposób logowania do bankowości elektronicznej
    2. Sposób autoryzacji przelewów
    3. Wygląd bankowości elektronicznej

    Wszystkie zmiany łączy bezpieczeństwo – Twoich pieniędzy i transakcji.

    Przed 19 sierpnia koniecznie przeczytaj o zmianach!

    Częste pytania - Dyrektywa PSD2

    Dlaczego Toyota Bank wprowadza zmiany?

    W związku z wejściem w życie nowelizacji ustawy o usługach płatniczych implementującej do polskiego porządku prawnego przepisy Dyrektywy PSD2 oraz obowiązkiem stosowania od dnia 14 września 2019 r. przepisów RTS wprowadzone zostały przepisy dotyczące m.in. weryfikacji klienta, obowiązku stosowania przez dostawców usług płatniczych (w tym banków) mechanizmów tzw. silnego uwierzytelniania użytkownika (ang. strong customer authentication – SCA) oraz mechanizmów dynamicznego powiązania (ang. dynamic linking). Silne uwierzytelnienie składa się z dwóch czynników (takich jak wiedza o czymś, posiadanie czegoś lub cechy osoby uwierzytelniającej), ma zapewniać wyższy poziom wiarygodności i odporności na wyłudzenia. 

    Jakie korzyści dają mi te zmiany?

    Bank zobowiązany został do zmiany dotychczasowych funkcjonalności tzw. bankowości elektronicznej w celu zapewnienia jej zgodności z ww. aktami prawnymi i w celu zapewnienia jak największego bezpieczeństwa czynności (a zwłaszcza transakcji) przeprowadzanych przez klientów elektronicznie i zdalnie. Wprowadzone zmiany w szczególności mają zminimalizować ryzyko wykonywania transakcji oszukańczych (nieautoryzowanych transakcji płatniczych) inicjowanych przez przestępców chcących nielegalnie przywłaszczyć środki klientów Banku. 

    Częste pytania - nowy sposób logowania

    Na jakie urządzenia mobilne jest dostępna aplikacja Mobilna Autoryzacja?

    Mobilna Autoryzacja Toyota Bank będzie dostępna na system iOS w wersji 9 lub nowszej i Android w wersji 6 lub nowszej. Urządzenie na którym będzie zainstalowana aplikacja powinno mieć oczywiście dostęp do internetu, min. 1 GB pamięci RAM oraz dwurdzeniowy procesor 1,5 GHz. Obecnie nie planujemy udostępniać aplikacji na inne systemy operacyjne.

    Czy system autoryzacji dotyczy wszystkich transakcji?

    Aplikacja posłuży do autoryzacji

    • logowania się do nowego serwisu Bankowości Elektronicznej
    • potwierdzania zlecanych w nim operacji, np. przelewów zewnętrznych, dodawania odbiorców.

    Wdrożenie aplikacji spełnia wymogi dyrektywy PSD2 w zakresie tzw. SCA (Strong Customer Authorization) i Dynamic Linking, co umożliwieniu klientom identyfikację autoryzowanej operacji.

    Czy do aplikacji można logować się za pomocą TouchID i FaceID?

    Nie, aplikacja nie obsługuje funkcjonalności TouchID lub FaceID. W procesie aktywacji aplikacji ustanawia się numer PIN, który służy do odblokowywania aplikacji oraz zatwierdzania logowania i operacji realizowanych w Bankowości Elektronicznej. Pamiętaj, że aplikacja mobilna zastępuje dotychczas oferowany token i nie jest aplikacją bankowości mobilnej. W aplikacji zatwierdzasz wszystkie operacje (np. logowanie, przelewy wychodzące) zawierane w Bankowości Elektronicznej.

    Co, jeśli wyjadę za granicę i zmienię numer telefonu?

    Wymieniamy token (Klucz elektroniczny) na aplikację mobilną instalowaną na dowolnym urządzeniu mobilnym. Klient paruje (aktywuje) aplikację na danym urządzeniu. Nie będzie więc miało znaczenia, jaki numer telefonu obsługuje urządzenie w danej chwili. Pamiętajmy jednak, że nowy System Bankowości Elektronicznej i Aplikacja Mobilna Autoryzacja przy procesie aktywacji używają numeru telefonu komórkowego w celu wysyłki haseł SMS, dlatego należy zadbać o zaktualizowanie tych danych.

    Co w przypadku zagubienia, bądź kradzieży telefonu z aplikacją mobilną?

    Dostęp do aplikacji będzie zabezpieczony hasłem ustalanym przez użytkownika w momencie aktywacji (parowania) aplikacji z urządzeniem, tak więc potencjalna utrata urządzenia nie rodzi bezpośredniego zagrożenia dostępu do Systemu Bankowości Elektronicznej przez osoby trzecie. Dodatkowo klient będzie miał możliwość zgłoszenia takiego zdarzenia przez Infolinię, która może – dla bezpieczeństwa – zablokować dostęp do Bankowości Elektronicznej.

    Jak mogę zmienić urządzenie przypięte do autoryzacji transakcji w Mobilnej Autoryzacji?

    W celu odpięcia urządzenia zarejestrowanego do Mobilnej Autoryzacji należy na nowo zacząć proces aktywacji aplikacji Mobilna Autoryzacja.
    W tym celu zadzwoń na Infolinię i wybierz:
    1 - Usługi Bankowe
    a następnie
    2 - Aktywuj dostęp do Systemu Bankowości Elektronicznej.

    Czy mogę zatwierdzać logowanie i transakcje z kilku różnych urządzeń mobilnych?

    Na chwilę obecną udostępniamy możliwość powiązania aplikacji Mobilna Autoryzacja z Twoim kontem tylko na jednym urządzeniu mobilnym. Oznacza to, że nie da się dodać więcej, niż jednego urządzenia mobilnego do autoryzacji logowania i transakcji.

    Czy mogę autoryzować logowanie/transakcje dwóch różnych kont z jednej aplikacji?

    Tak. W aplikacji Mobilna Autoryzacja można wybrać profil (numer klienta), którego transakcje autoryzuje się w danym momencie.

    Obecnie nie mam tokena (loguję się telekodem) - czy będę musiał pobierać mobilną aplikację?

    Tak. Po zmianach klienci nieposiadający dotychczas tokena będą używali Mobilnej Autoryzacji do zatwierdzania logowania do Bankowości Elektronicznej.

    Co to jest mobilna autoryzacja?

    Mobilna autoryzacja polega na zatwierdzaniu logowania i transakcji w urządzeniu mobilnym w dedykowanej do tego aplikacji. Toyota Bank udostępnia aplikację Mobilna Autoryzacja na urządzenia mobilne z systemami operacyjnymi iOS i Android. Aplikacja dostępna jest do pobrania w Google Play i App Store.

    Od kiedy mogę logować się do banku z mobilną autoryzacją?

    Aplikacja dostępna jest do pobrania już teraz w sklepach Google Play i App Store, jednak korzystać z niej będzie można od 19 sierpnia 2019 r.

    Do kiedy mogę logować się tokenem lub telekodem?

    Klienci nieposiadający TOKENA i logujący się do bankowości elektronicznej TELEKODEM - mogą korzystać z tej formy logowania do 18 sierpnia 2019. Od 19 sierpnia 2019 r. logowanie będzie możliwe tylko za pomocą mobilnej autoryzacji.

    Klienci posiadający TOKEN - mogą korzystać z tej formy logowania do 13 września 2019. Jednakże od 19 sierpnia będzie udostępniona już możliwość zalogowania za pomocą mobilnej autoryzacji.

    Dlaczego Toyota Bank nie wprowadzi haseł SMS do logowania i autoryzacji transakcji?

    Zgodnie przepisami oraz Dyrektywą PSD2 hasła SMS nie spełniają wymogów SCA (ang. strong customer authentication). Szczególnie w zakresie wymagania, by „wszelkie zmiany kwoty lub odbiorcy skutkowały unieważnieniem wygenerowanego kodu uwierzytelniającego” – z uwagi na zupełny brak kontroli nad raz wysłanym kodem SMS. W związku z tym Toyota Bank, ze względu na zachowanie bezpieczeństwa nie zdecydował się na wprowadzenie haseł SMS.

    Dlaczego Toyota Bank rezygnuje z tokenów?

    Stosowane dotychczas przez Bank zasady logowania się do bankowości elektronicznej poprzez token spełniają wymogi SCA, niestety, rozwiązanie to nie spełnia wymogów dynamicznego powiązania (takich jak powiadamianie o kwocie transakcji oraz odbiorcy).
    Brzmienie przepisów prawa jest w tym zakresie jednoznaczne i nie daje Bankowi żadnego pola manewru co do ewentualnego utrzymania tokenów w użyciu. Wyłączenie tokenów nie jest zatem w żadnej mierze dowolną decyzją Banku, a wykonaniem konkretnych wymogów prawa.

    Czy aplikacja mobilna do zatwierdzania logowania i transakcji jest bezpieczna?

    Na podstawie analiz wykonanych przez Bank, aplikacja mobilna jest obecnie jedynym sposobem na pełną realizację wymogu dynamicznego powiązania, określonego przepisami rozporządzenia i Dyrektywy.  Aby uniknąć kilku różnych narzędzi (token, sms, aplikacja mobilna) do poszczególnych działań (logowanie, przegląd historii operacji czy zlecanie przelewów) wykonywanych przez klienta w bankowości elektronicznej, Bank zdecydował się na jedno narzędzie – aplikację mobilną.  Aplikacja może zostać zainstalowana na większości urządzeń mobilnych (smartfony, tablety itp.) wyposażonych w aktualnie oferowane oprogramowanie oraz może zostać łatwo dostosowana do ewentualnych przyszłych wymogów bezpieczeństwa regulacyjnego.

    Jakie korzyści będę miał z posiadania aplikacji mobilnej do autoryzacji?

    Przejście na aplikację mobilną zabezpiecza przed koniecznością kolejnych zmian w funkcjonalności bankowości elektronicznej w przyszłości, co jest korzystne przede wszystkim dla klientów Banku, gdyż ma na celu ograniczenie konieczności dostosowywania się przez nich w przyszłości do nowych narzędzi uwierzytelniających lub autoryzacyjnych.