Od 14 września europejskie banki będą musiały wdrożyć dyrektywę PSD2, która wymaga stosowania bezpieczniejszych niż obecnie systemów uwierzytelniania
Wielu klientów największych europejskich banków, korzystających z usług bankowości internetowej, już o tym wie, ponieważ otrzymali niezbędne komunikaty od swojej instytucji bankowej: od 14 września nie będzie już można używać starych "tokenów" do autoryzacji transakcji przeprowadzanych za pośrednictwem strony internetowej lub aplikacji na smartfony.
Jest to efekt Payment Services Directive 2 (PSD2), nowej dyrektywy europejskiej dotyczącej płatności cyfrowych, która nałożyła na banki bardziej skuteczne środki bezpieczeństwa w celu ochrony transakcji gospodarczych dokonywanych za pośrednictwem urządzeń elektronicznych. W ten sposób stary "klucz" zsynchronizowany z serwerami banku, który automatycznie i na bieżąco generował kody potrzebne do autoryzacji transakcji, zostaje wycofany. Problem z tokenami polegał głównie na tym, że nie można było z całą pewnością skojarzyć pojedynczego kodu z konkretną operacją. Problemem było nie tylko bezpieczeństwo, ale również przejrzystość i identyfikowalność pieniądza.
Open Banking
Wraz z PSD2 zadebiutowała nowa koncepcja "Open Banking". Banki będą mogły udostępniać dane dotyczące rachunków bieżących i transakcji firmom zewnętrznym, pod warunkiem uzyskania zgody klienta. W ten sposób banki będą mogły czerpać zyski z tych informacji, a klienci będą mogli korzystać z nowych usług. Na przykład, będzie można dokonać płatności bez użycia karty debetowej lub kredytowej. Prostsza i skuteczniejsza będzie też integracja z usługami płatniczymi gigantów internetowych, takich jak Apple, Facebook czy Google.
Żegnajcie tokeny, witajcie aplikacje
PsD2 nie wiąże banków z konkretną metodą autoryzacji transakcji internetowych, inną niż stary kij. Każda instytucja będzie mogła wybrać dowolny system, pod warunkiem, że będzie on spełniał wymogi bezpieczeństwa. Najczęstszym wyborem, w tej pierwszej fazie przejścia ze starego do nowego systemu, jest kod OTP (One Time Password) generowany przez aplikację. Podobnie jak hasła generowane przez stare tokeny, hasła OTP zmieniają się cały czas, ale w przeciwieństwie do tych pierwszych, można je z całą pewnością przyporządkować do pojedynczej transakcji. Kody OTP są wysyłane do klienta SMS-em lub e-mailem i nie należy ich mylić z kodami OTP systemu 3D Secure (stosowanego przez Visa i Mastercard). Ten ostatni nie jest generowany przez oprogramowanie, ale jest ustalany przez użytkownika (który może również zdecydować, że nigdy go nie zmieni).