Na bankah se 14. septembra spreminjajo pravila

Foto: Profimedia
Izteka se obdobje, do katerega morajo banke poskrbeti za ustrezno zaščito računov, ko uporabniki do njih dostopajo prek spleta, izvajajo elektronsko plačilo ali opravljajo kakršno koli dejavnost prek kanala na daljavo.
Oglej si celoten članek

Štirinajstega septembra se bo začela uporabljati Delegirana uredba Komisije (EU) 2018/389 o dopolnitvi Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta glede regulativnih tehničnih standardov za močno avtentikacijo strank ter skupnih in varnih odprtih standardov komunikacije (RTS). Novi, ostrejši varnostni protokoli bodo tako morali spremljati vsak dostop plačnika do svojega plačilnega računa prek spleta, vsako odreditev elektronske plačilne transakcije ali kakršno koli dejavnost prek kanala na daljavo, ki bi lahko pomenila tveganje plačilne prevare ali goljufije ali druge zlorabe. 

Določbe RTS bodo za ponudnike plačilnih storitev (PPS) v celoti zavezujoče od 14. septembra 2019 dalje. "Skladnost ponudnikov plačilnih storitev z zahtevami RTS bo Banka Slovenije preverjala po začetku uporabe RTS," napovedujejo na Banki Slovenije. Obenem pojasnjujejo, "da si PPS-ji, ki imajo dovoljenje Banke Slovenije za opravljanje plačilnih storitev, pospešeno prizadevajo za sprejetje ustreznih ukrepov za zagotovitev skladnosti z RTS". 

Kaj zahteva direktiva?

Direktiva od ponudnikov plačilnih storitev zahteva, da z najmanj dvema od treh možnih varnostnih elementov preverijo istovetnost uporabnika, ki želi opraviti elektronsko plačilno transakcijo. V direktivi je zapisano, da morajo elementi, s pomočjo katerih se izvaja avtentikacija, spadati v tri kategorije, in sicer kategorijo znanja uporabnika, lastništva uporabnika in neločljive povezanosti z uporabnikom. Elementi so med seboj neodvisni, "kar pomeni, da kršitev enega elementa ne zmanjšuje zanesljivosti drugih," pravijo v Banki Slovenije. 

Foto: Profimedia računalnik bančna kartica spletno nakupovanje spletni nakup

Kaj vse sodi v omenjene kategorije?

Evropski bančni organ (EBA) je v mnenju, ki je bilo objavljeno 21. junija letos, dodatno pojasnil, kaj so in kaj niso ustrezni varnostni elementi pri elektronskem plačevanju. Med elemente, ki so neločljivo povezani z uporabnikom in ustrezajo tehničnim standardom, spadajo prstni odtis, glasovna identifikacija, prepoznavanje rok in obraza, skeniranje roženice in mrežnice, srčni utrip itd. 

Kot ustrezne elemente, ki izkazujejo znanje, torej nekaj, kar ve samo uporabnik, EBA našteva geslo, pin kodo, varnostna vprašanja, medtem ko elektronski naslov in podatki, natisnjeni na bančni kartici, ne zadostujejo pogojem. 

EBA je v seznam možnih avtentikacijskih elementov, ki so v posesti uporabnika, uvrstil tudi posedovanje naprave, ki OTP ustvari ali ga naprava prejema (naprava za generiranje strojnih oz. programskih žetonov, SMS OTP). Zaradi večjega števila vprašanj glede SMS OTP, so pri EBA dodatno pojasnili, da SMS OTP ustreza pravilom, navedenim v direktivi. Kot so zapisali, je v primeru SMS sporočila element lastništva dejstvo, da ima uporabnik v lasti SIM-kartico z mobilno številko, na katero je bilo poslano SMS sporočilo. 

"Tudi banke in hranilnice, ki poslujejo v Sloveniji, na podlagi dosedanjih izkušenj ter monitoringa ugotavljajo, da SMS OTP kot eden od varnostnih elementov uživa visok nivo zaupanja pri strankah in da banke ter hranilnice ne beležijo zlorab tovrstne metode avtentikacije," o tej možnosti pravijo na Združenju bank Slovenije. 

Kaj to v praksi pomeni? 

Odločitev o uporabi konkretnih varnostnih ukrepov za uporabo močne avtentikacije stranke (SCA) za zagotovitev skladnosti z RTS je na strani posamezne banke, glede na njen poslovni model, poudarjajo pri Banki Slovenije. Banke se torej lahko odločijo za različne načine avtentikacije, ki pa mora biti najmanj dvostopenjska. Za precejšen del slovenskih uporabnikov se postopek ne bo spremenil. 

Uporabniki se morajo ob prijavi v spletno ali mobilno banko že zdaj identificirati z najmanj dvema elementoma, pojasnjujejo v Novi KBM. "Poleg uporabniškega imena in numeričnega osebnega gesla mora uporabnik ob vstopu v spletno ali mobilno banko Bank@Net vnesti še SMS žeton, ki ga prejme na telefonsko številko, ki jo je posredoval banki. Gre za enkraten SMS žeton, kar pomeni, da je veljaven le krajši čas," opišejo postopek. Na ta način torej uporabnik zadosti kriterijema znanja in lastništva. 

V NLB pravijo, da uporabniki spletne banke NLB Klik in mobilne banke Klikin pri dostopanju do računa ne bodo opazili sprememb, saj že dosedanji varnostni elementi zagotavljajo visoko raven varnosti. "Najbolj opazna sprememba za komitente, ki jo bomo uvedli na podlagi direktive, se nanaša na potrditev plačil v spletni banki NLB Klik. Uporabniki bodo tvegane plačilne transakcije, ki so jih doslej potrjevali z dodatnim varnostnim geslom (t. i. DVG), ki so ga prejeli s strani banke v fizični obliki, po novem potrdili z enkratnim geslom, ki ga bodo prejeli v obliki SMS sporočila," pojasnjujejo v NLB. Uporabnike zato pozivajo, naj preverijo, ali so banki sporočili trenutno aktualno mobilno številko. 

Foto: Profimedia Spletna goljufija

Slovenske banke z ustrezno zaščito

"Ni dvoma, da se slovenske banke zavedajo pomena zaščite in temu tudi prilagajajo svoje postopke. Praksa je pokazala, da so ti elementi ustrezni in da imajo banke tudi primerne postopke za odzivanje na napade na njihove komitente," poudarjajo na SI-CERT. "Uporaba dodatnega kanala (dvostopenjska ali dvofaktorska avtentikacija, tudi 2FA) pomeni povečano zaščito uporabnika. Prestrezanje na dveh kanalih je v praksi težje realizirati, zato se pogosto SMS uporablja kot drugi faktor." 

Na SI-CERT v zadnjih letnih ne beležijo napadov, kjer bi napadalci poskušali prestreči SMS sporočila. Več je tako imenovanih phising napadov, ko napadalci postavijo lažno spletno stran in skušajo komitenta prepričati, da vse elemente, potrebne za vstop v spletno banko, posredujejo preko te strani. Pogosta zloraba so tudi specializirani bančni trojanci, namenjeni prestrezanju gesel, ki jih pošiljajo preko elektronske pošte. 

Na SI-CERT beležijo posamične primere, kjer se uporabnikom želi preko lažnih tržnic za mobilne aplikacije na sistemu Android podtakniti lažno mobilno aplikacijo banke. "Posebej bi uporabnike opozorili na 'jailbreak' ali 'rooting' (lomljenje naprave z namenom pridobitve popolnega nadzora, op. p.), s katerim ogrozijo vse varnostne mehanizme mobilne naprave, (bančne) aplikacije naj prenašajo zgolj iz uradnih tržnic in naj rešitve spletne oz. mobilne banke uporabljajo v skladu s priporočili svoje banke," svetujejo. 

dezurni@zurnal24.si

Obišči žurnal24.si

Komentarjev 3

  • 01:36 27. Avgust 2019.

    Ne veste, kje najti žensko za eno noč? Pridite >>> www.Bredhot.Com

  • 21:07 26. Avgust 2019.

    To je najboljše delo, ki ga Google zdaj plačuje.Za delo sem 3 ure na dan prejel 27936 evrov prvega meseca.Začel …

  • 17:34 26. Avgust 2019.

    spet bo Telekom mastno služil na račun sms-ov

Več novic

Zurnal24.si uporablja piškotke z namenom zagotavljanja boljše uporabniške izkušnje, funkcionalnosti in prikaza oglasnih sistemov, zaradi katerih je naša storitev brezplačna in je brez piškotkov ne bi mogli omogočati. Če boste nadaljevali brskanje po spletnem mestu zurnal24.si, sklepamo, da se z uporabo piškotkov strinjate. Za nadaljevanje uporabe spletnega mesta zurnal24.si kliknite na "Strinjam se". Nastavitve za piškotke lahko nadzirate in spreminjate v svojem spletnem brskalniku. Več o tem si lahko preberete tukaj.