Temat: Komunikat KNF w sprawie silnego uwierzytelniania klienta...

Komunikat KNF w sprawie silnego uwierzytelniania klienta w przypadku niektórych form płatności przy użyciu instrumentów płatniczych.

Z dniem 14 września 2019 r. powstaje obowiązek stosowania art. 32i ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych oraz Rozporządzenia Delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniającego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (…) w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (Rozporządzenie). Zgodnie z art. 32i ustawy o usługach płatniczych dostawcy usług płatniczych zobowiązani są do zastosowania silnego uwierzytelnienia klienta, w przypadku gdy klient – płatnik:
uzyskuje dostęp do swojego rachunku w trybie on-line,
inicjuje elektroniczną transakcję płatniczą,
przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

W szczególności silne uwierzytelnianie klienta powinno być stosowane w przypadku logowania klienta do systemu bankowości elektronicznej, inicjowania płatności kartą płatniczą lub innym instrumentem płatniczym oraz płatności internetowych.

W myśl art. 2 pkt 26aa) ustawy o usługach płatniczych silne uwierzytelnianie jest to uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:

wiedza o czymś, o czym wie wyłącznie użytkownik (np. PIN, hasło wielorazowe),
posiadanie czegoś, co posiada wyłącznie użytkownik (np. karta płatnicza, aplikacja w smartfonie),
cechy charakterystyczne użytkownika (np. cechy biometryczne)

– będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych. Zgodnie ze stanowiskiem Europejskiego Urzędu Nadzoru Bankowego (EUNB), przynajmniej dwa z zastosowanych elementów silnego uwierzytelnienia powinny należeć do różnych kategorii. Szczegółowe zasady stosowania silnego uwierzytelniania oraz wyjątki od wymogu jego stosowania przewidziane zostały w Rozporządzeniu.

Zgromadzone przez EUNB informacje w zakresie europejskiego rynku usług płatniczych wskazują na niedostateczne przygotowanie uczestników tego rynku do pełnego wdrożenia zasad silnego uwierzytelniania klienta przy płatnościach dokonywanych za pośrednictwem kanałów elektronicznych, w tym zwłaszcza w obszarze e-commerce. Dotyczy to nie tylko dostawców usług płatniczych, lecz także nienadzorowanych interesariuszy rynku usług płatniczych, w tym zwłaszcza odbiorców płatności (sprzedawców, merchantów). Obserwacje te potwierdzają również informacje i analizy przeprowadzone przez Urząd Komisji Nadzoru Finansowego w zakresie rynku polskiego.
...
https://www.knf.gov.pl/o_nas/komunikaty?articleId=66812...