Електронното банкиране: вече само с втори ключ

"От средата на септември Райфайзенбанк преустанови използването на старите токени и ги замени с такива от най-ново поколение, с по-голяма защита, предоставящи детайли за транзакцията (IBAN, сума, валута) преди нейното потвърждение. Над 4000 клиенти вече използват новите токени", добавиха от Райфайзенбанк България.

Алианц Банк пилотно започна прилагането на по-задълбочено установяване на идентичността при транзакции в интернет и мобилно банкиране. В най-кратки срокове предстои да бъде въведена тази практика и за плащания с карти в интернет среда. Клиентите следва да изтеглят мобилното приложение, да преминат през процеса на регистрация, това деактивира автоматично досегашния метод за идентификация. След успешно приключване на процеса по регистрация клиентът може да ползва мобилното приложение за потвърждаване на вход в отдалечените канали и да осъществява плащанията", посочват от институцията.

Новият ключ: токените

Конкретната промяна идва по линия на софтуерните токени, които трябва да се инсталират на устройството, през което банкираме. При някои банки, като ОББ, токенът е вграден в мобилното приложение. Други, като ДСК Банк, изискват потребителя да отиде до офис на банката, за да заяви токен, а ако има електронен подпис от "Евротръст", би могъл да го инсталира и дистанционно. Софтуерният токен генерира цифрови кодове, с които се потвърждават банковите операции. Някои банки дават възможност кодовете да се изпращат и чрез кратко текстово съобщение (SMS) на телефона, което най-вероятно е свързано с желанието да се даде преходен период на потребителите да мигрират към новата система.

При преглед на описанията на софтуерните токени на банките прави впечатление, че те много си приличат - могат да работят дори и когато телефонът няма интернет или е вън от обхват, включително когато сме в чужбина. С един токен могат да се подписват пакети документи от платежни нареждания, което е удобство за корпоративните клиенти. Токените могат да се инсталират на няколко устройства, което отново е удобство за хората, които ползват активно не само смартфона си, но и таблета за електронни плащания. Процесът е съобразен и с това, че не всички смартфони са от последно поколение, така че токенът да може да работи и на по-стари телефони с операционната програма Android или iOS, с известно изоставане за телефоните на Windows. При компютрите с по-остарели характеристики токенът може да е ограничен за ползване до определени браузъри. Не на последно място предвидена е възможност, ако изгубите телефона си, да деактивирате инсталирания токен на него чрез онлайн банкирането си, което може да се достъпи от всеки компютър.

Още по-надеждно банкиране

Превключването към новия стандарт за сигурност за потребителите ще се случва в движение - когато клиентите посегнат да ползват електронното си банкиране и се сблъскат с отказ за извършване на транзакцията. "Клиентите на Fibank, използващи регистриран Token при извършването на преводи, ще потвърждават операциите с въвеждане на допълнителен еднократен код. Този код ще се получава на посочения от клиента мобилен номер. Другият вариант е те да преминат към Fibank Token, който е средство за подпис от ново поколение. Той позволява извършване на всички видове преводи и е изцяло съобразен с изискванията за двуфакторна идентификация", обясняват от Първа инвестиционна банка.

"На клиентите, които все още не са се снабдили с токен и искат да направят вход в онлайн банкирането ни, изпращаме еднократна парола на мобилния номер, който предварително са предоставили в банката. Клиентите, които все още не са се снабдили със софтуерен или хардуерен токен, биха могли да използват безплатно предлагания от банката софтуерен такъв или да си купят хардуерен от всеки клон на ОББ", посочват от институцията.

От Райфайзен банк също отчитат активност в изпълнение на пакета нови изисквания в PSDII: "Банката вече отвори APIs, с което предостави възможност на всеки клиент да използва трети страни – регистрирани доставчици на платежни услуги (TPP), както и да създаде възможност за изграждане на партньорски отношения с външни разработчици, доставчици на информационни и платежни услуги, финтех компании и др. Банката разполага и с внедрена anti-fraud система за мониторинг, която извършва мониторинг в дигиталните канали и следи за опити за измама при вход и извършване на транзакция".

Въпрос на време

Миграцията към новата система на двуфакторна идентификация на потребителите със сигурност ще отнеме време, през което ще се чуват оплаквания за отказани електронни плащания. Ако питате банките, те ще ви кажат, че основната причина е в потребителите, които не са инсталирали и активирали софтуерните токени. За това обаче допринася и относително слабата информационна кампания на банките.

Влияние оказва и късното задействане по изпълнение на европейската директива. По информация на "Капитал", малкото специализирани в подобен тип проекти IT компании на пазара са били залети от поръчки в последния възможен момент, а един такъв процес не се изчерпва с покупката на готово софтуерно решение и вграждането му в системата на банката. Подобна промяна засяга всички системи - core banking, мобилно банкиране, интернет банкиране, системи за сигурност и засичане на злоупотреби... Двуфакторната идентификация на потребителите е тежък проект, индивидуален за всяка банка, който е свързан с работа по интеграция на различните модули. Изисква период на тестове, в който потребителите би трябвало да имат преходен период, в който могат да ползват и старата, и новата система. Нормално такива проекти се изпълняват на етапи, което може да обясни защо някоя банка обявява, че е въвела токен, но картовите плащания през нея са блокирани от международни процесори.

* Текстът е първоначално публикуван на 27.08.19 със заглавието "Великата септемврийска токенизация"