Unijna dyrektywa PSD2: wybieraj – albo root, albo mobilna bankowość
Europejski Urząd Nadzoru Bankowego przedstawił projektregulacyjnych standardów technicznych (RTS) dla drugiej dyrektywy ousługach płatnicznych PSD2. O samej dyrektywie i jej konsekwencjachdla elektronicznej bankowości już pisaliśmy,warto teraz przypatrzyć się przyjętemu projektowiRTS. W imię lepszego bezpieczeństwa klientów e-bankowościwprowadza on wiele rygorystycznych obostrzeń – i uderza wużytkowników uwolnionych smartfonów.
Projekt regulacyjnych standardów technicznych mieliśmy zobaczyćjuż w styczniu. Opóźnienie wynika z kontrowersji, jakie szkicdokumentu wywołał w branży i ponad 200 zgłoszonych w związku ztym stanowisk. Już wcześniej bowiem uznawano regulacje zanadmiernie restrykcyjne, niepotrzebnie narzucające obowiązek tzw.„silnego uwierzytelniania” nawet w mało ryzykownych operacjach.
Takie silne uwierzytelnianie, działające zgodnie zkoncepcją „coś co wiesz, coś co masz, coś czym jesteś”,zapewniać ma niezależne od siebie zabezpieczenia dostępu –złamanie jednego z nich nie wpływa na pozostałe. Pierwsze dwaetapy są w zasadzie jasne, do tego przywykliśmy choćby poprzezmechanizm potwierdzenia SMS-ami… ale co z trzecim? Trzeci oznacza wpraktyce biometrię, np. konieczność dołączenia do transakcjiodcisku palca.
Regulacyjne standardy techniczne przewidują jednak, że takiesilne uwierzytelnienie będzie potrzebne nie tylko przy transakcji,ale i przy samym dostępie do rachunku. Wyjątkiem mają być tesytuacje, w których niedostępne są „wrażliwe dane płatnicze”,czyli dane mogące być wykorzystane do oszustw, operacja sprawdzeniasalda rachunku, oraz przejrzenia historii transakcji z ostatnich 90dni.
Te dwa ostatnie wyjątki nie będą bezwarunkowe. Silneuwierzytelnienie będzie musiało zostać zastosowane przypierwszym logowaniu do rachunku oraz jeśli od ostatniego sprawdzenialisty transakcji z użyciem silnego uwierzytelnienia minęło więcejniż 90 dni. Oznacza to, że przynajmniej raz na kwartał będzietrzeba przechodzić całą procedurę uwierzytelniania, tylko po to,by sprawdzić historię swoich płatności.
Nie dla klienta banku jakieś hakerskie praktyki
Warto przyjrzeć się też dyskusjii komentarzom, jakie toczyły się w kwestii RTS. Pojawia się wnich kwestia kryteriów, jakie musiałyby spełniać urządzeniaklienckie wykorzystywane w mobilnej bankowości. Mowa tu owykorzystaniu unikatowych „cyfrowych odcisków palców”urządzenia, spełnianiu odpowiednich kryteriów bezpieczeństwaprzez oprogramowanie, oraz co chyba najciekawsze, koniecznościzadbania o to, by smartfony czy tablety wykorzystywane w mobilnejbankowości nie były zrootowane czy poddane jailbreakowi – tobowiem mogłoby uczynić je bardziej podatnymi na instalacjęzłośliwego oprogramowania i naruszenie ich zabezpieczeń.
Innymi słowy wychodzi na to, że w imię większegobezpieczeństwa banki i inni dostawcy usług finansowych będązmuszać swoich użytkowników do korzystania z ustalonych,zarejestrowanych smartfonów, wyposażonych w akceptowane systemyoperacyjne, oczywiście zabezpieczone przed ingerencjami użytkownika.
Nie chcemy mówić, czy to dobrze, czy źle… bardziejinteresującą jest kwestia tego, czy dzięki rozwiązaniom takim jakMagiskzainteresowani użytkownicy będą w stanie obejść google’oweSafetyNet (które byłoby najpewniej wykorzystane do sprawdzeniastanu „dziewiczości” urządzenia przez twórców aplikacjibankowych). Jeśli nie, to jedyne co zostanie użytkownikomzrootowanego sprzętu to kupienie sobie dodatkowego smartfonu tylkodo mobilnej bankowości.