Wygodne i bezpieczne zakupy online

Co to jest Mastercard Identity Check?

 

Od 14 września 2019 r. zaczyna obowiązywać nowy europejski wymóg prawny – silne uwierzytelnianie klienta (ang. Strong Customer Authentication, SCA).

Mastercard Identity Check to narzędzie do uwierzytelniania transakcji internetowych, które wykorzystuje standard EMV® 3DS Secure, by zweryfikować, czy zakupu dokonuje posiadacz karty.

Mastercard Identity Check ułatwia bankom wprowadzanie wygodnego uwierzytelnienia za pomocą biometrii, w związku z czym zwiększy się bezpieczeństwo płatności kartą. Nowe prawodawstwo zakłada uwierzytelnianie wieloelementowe, wymagające co najmniej dwóch z trzech następujących metod weryfikacji:

Rozwiązanie Mastercard Identity Check Mobile umożliwia stosowanie wyjątków od silnego uwierzytelnienia, które są opisane w dyrektywie europejskiej (PSD2). Dzięki temu w sklepach i aplikacjach mobilnych, w których płacisz teraz jednym kliknięciem, bank będzie mógł w dalszym ciągu umożliwić Ci taką płatność, ale nadal będzie zobowiązany do sprawdzenia takiej transakcji.

Wyjątki, które dopuszcza PSD2, to między innymi:

  • transakcje niskokwotowe, np. zakup biletów komunikacji miejskiej w aplikacji,
  • płatności cykliczne – np. abonamenty cyfrowe, jak Netflix czy Spotify,
  • transakcje w sklepach z białej listy (u detalistów wskazanych przez konsumenta).

Od września podczas dokonywania płatności kartą Mastercard w internecie będziesz mógł autoryzować transakcje np. odciskiem palca.

Zalety standardu Mastercard Identity Check

 

 

Sprawny proces autoryzacji

Bezpieczeństwo wszystkich płatności w sklepach internetowych jest sprawdzane w czasie rzeczywistym. Sklep wspólnie z bankiem decydują, czy wymagane jest silne uwierzytelnienie, które będzie wymagało od Ciebie dodatkowego działania, na przykład potwierdzenia transakcji odciskiem palca w aplikacji bankowej.

 

Twoja karta, Twoje zakupy

Masz pewność, że tylko Ty możesz autoryzować swoje transakcje online.

 

Poprawa bezpieczeństwa

Zgodnie z dyrektywą unijną każda transakcja musi być zweryfikowana pod kątem bezpieczeństwa. Jednak tylko część z nich (transakcje na wyższe kwoty, jednorazowe transakcje w sklepach) będą wymagały dodatkowych działań z Twojej strony.

Sprawdź, jak o bezpieczeństwo dba Twój bank >

Najczęstsze pytania

Co oznacza silne uwierzytelnianie klienta?

14 września 2019 r. wchodzi w życie unijna dyrektywa PSD2 wymagająca silnego uwierzytelniania klienta (ang. Strong Customer Authentication — SCA) dla wszystkich płatności elektronicznych. Silne uwierzytelnienie klienta polega na weryfikacji co najmniej dwóch elementów należących do trzech kategorii: „wiedza” (np. hasło zdefiniowane przez klienta), „posiadanie” (np. telefon, na którym znajduje się aplikacja bankowa) i „cechy klienta” (np. biometryczny odcisk palca). Nowe przepisy obejmują zarówno płatności online, jak i transakcje zbliżeniowe dokonywane w sklepach. Wydawcy kart płatniczych mogą stosować wyjątki w regułach przetwarzania płatności, oczekuje się jednak, że po dacie wejścia w życie unijnej dyrektywy użytkownicy kart będą musieli weryfikować więcej swoich transakcji niż dotychczas.

Czy to oznacza, że dane mojej karty debetowej nie były dotychczas przetwarzane w bezpieczny sposób? Dlaczego teraz potrzebny jest drugi etap uwierzytelniania?

W dobie cyfryzacji klienci i usługodawcy muszą zachować szczególną ostrożność, aby w jak największym stopniu utrudnić zadanie oszustom. Dlatego UE zdecydowała się uregulować elektroniczne transakcje płatnicze. W związku z tym Mastercard wraz z partnerami nieustannie pracuje nad doskonaleniem swoich cyfrowych rozwiązań, a jednocześnie stara się spełnić wszystkie wymagania branżowe i prawne, zawsze dążąc przy tym do zapewnienia jak najlepszego doświadczenia użytkownika.

Na kogo wpłyną nowe przepisy?

Wymagania w zakresie silnego uwierzytelniania klienta obejmują wszystkie karty płatnicze wydane na terenie Unii Europejskiej, w tym w Polsce, oraz na mających siedzibę w tych krajach sprzedawców i usługodawców przyjmujących płatności kartą.

Przepisy te wpłyną na wszystkie operacje bankowości elektronicznej, takie jak przelewy bankowe i płatności przy użyciu kart.

Co się stanie, jeśli dane mojej karty zostaną skradzione? Czy mogą one zostać wykorzystane przez przestępców do płatności online?

Obowiązkowe silne uwierzytelnianie klienta w przypadku płatności dokonywanych kartą w sklepach internetowych i stacjonarnych na terenie UE ma ograniczyć oszustwa związane z płatnościami. Niemniej jednak w przypadku zauważenia jakiejkolwiek podejrzanej aktywności w dalszym ciągu zalecane jest zablokowanie karty.

Brak wyników
Jak wpłynie to na płatności online?

Płatności online będą wymagać uwierzytelniania dwustopniowego (ang. two-factor authentication). Wydawca karty będzie mógł zdecydować, jakie silne uwierzytelnienie zastosować, wybierając dwa różne elementy należące do kategorii: „wiedza” (np. hasło zdefiniowane przez klienta), „posiadanie” (np. telefon, na którym znajduje się aplikacja bankowa) i „cechy klienta” (np. biometryczny odcisk palca). Oczekuje się, że wydawcy kart będą promowali rozwiązania bazujące na bankowej aplikacji mobilnej i wybranej funkcji biometrycznej.

Czy nie skomplikuje to procesu dokonywania płatności? Czy może to utrudnić rozwój płatności online?

Dla części klientów nie zmieni się nic, ponieważ w wielu sklepach płatności są uwierzytelniane przez wydawcę karty np. za pomocą jednorazowego hasła otrzymywanego w wiadomości SMS lub w aplikacji bankowości mobilnej. W efekcie wdrożenia dyrektywy PSD2 wprowadzone zostaną dodatkowe opcje uwierzytelniania, które mogą przyspieszyć ten proces. Tak jest w przypadku uwierzytelnienia biometrycznego, które umożliwia konsumentom potwierdzenie tożsamości przez zwykłe dotknięcie palcem własnego telefonu.

Co miesiąc automatycznie płacę rachunki online. Czy od teraz przy każdym obciążeniu konieczna będzie weryfikacja mojej tożsamości?

Jeśli płatność ma charakter cykliczny, a karta jest obciążana przez danego sprzedawcę regularnie, nie trzeba będzie weryfikować transakcji za każdym razem. Dyrektywa PSD2 definiuje tzw. wyjątki, które umożliwiają bankom – wydawcom kart odstąpienie od silnego uwierzytelnienia w ściśle określonych przypadkach, jeśli uznają transakcję za bezpieczną.

Jak w przyszłości będzie wyglądało kupowanie w internecie np. butów? Jak będzie przebiegał proces płatności online?

W trakcie płatności online konsument będzie musiał wprowadzić dane swojej karty płatniczej i kliknąć przycisk „Zapłać”. W następnym kroku zrealizowane zostanie silne uwierzytelnienie, które może mieć następujący przebieg:

  • użytkownik otrzyma powiadomienie push z aplikacji bankowości mobilnej i będzie musiał wprowadzić swój osobisty kod mPIN LUB użytkownik otrzyma powiadomienie push z aplikacji bankowości mobilnej i będzie musiał potwierdzić swoją tożsamość za pomocą odcisku palca lub innych danych biometrycznych,
  • jeśli kod mPIN lub odcisk palca (bądź inne dane biometryczne) zostanie zidentyfikowany pomyślnie, bank zatwierdzi płatność.
Regularnie kupuję u określonego sprzedawcy. Czy w przyszłości za każdym razem konieczna będzie weryfikacja mojej tożsamości i płatności?

W przypadku regularnych zakupów u konkretnego sprzedawcy wydawcy kart płatniczych mogą zastosować jeden z wyjątków zdefiniowanych w dyrektywie PSD2. Również sprzedawcy wspólnie ze swoim dostawcą płatności mogą w takich sytuacjach zasugerować bankowi wybrany wyjątek. Decyzja o użyciu wyjątku należy do banku – wydawcy karty, ale informacja od sprzedawcy, że transakcja jest bezpieczna, znacząco zwiększa szansę odstąpienia banku od silnego uwierzytelnienia.

Dane mojej karty są zapisane na stronie internetowej sprzedawcy, u którego regularnie robię zakupy. Czy w takim przypadku konieczna jest identyfikacja?

Nie trzeba ponownie wprowadzać danych karty, ale uwierzytelnianie będzie obowiązkowe, o ile wydawca nie zastosuje wyjątku od silnego uwierzytelnienia.

Chcę kupić coś online, ale mój telefon nie ma połączenia z internetem. Czy otrzymam powiadomienie push z aplikacji bankowej?

Komunikat push wymaga dostępu do internetu. W sytuacji, gdy telefon nie ma dostępu do internetu, wydawcy mogą zaproponować alternatywną metodę uwierzytelnienia.

Czy mogę używać do płatności online zarówno uwierzytelniania biometrycznego, jak i kodów z wiadomości SMS, jeśli bank udostępnia obie te metody?

Jeśli wydawca karty umożliwia użytkownikowi wybór spośród różnych opcji, jest to możliwe.

Co mam zrobić, jeśli chcę kupić coś online, lecz nie mam ze sobą telefonu lub jego bateria jest na wyczerpaniu? Jak mogę zweryfikować swoją tożsamość?

W takim przypadku klient nie będzie w stanie przeprowadzić silnego uwierzytelniania, więc płatność nie zostanie zrealizowana.

Mam już portfel internetowy/moja karta jest zarejestrowana na stronie internetowej dostawcy (np. PayPal lub Simple). Czy również w takim przypadku będzie wymagana dodatkowa weryfikacja?

Tak, to prawdopodobne, ponieważ usługi takie jak Simple czy PayPal korzystają z kart jako źródła płatności. Bank – wydawca karty może też objąć te usługi wyjątkiem.

Czy mogę zweryfikować płatność kartą online, jeśli mam przy sobie tylko zegarek typu smartwatch lub inne inteligentne akcesoria?

Jeśli dane urządzenie inteligentne jest w stanie odbierać wiadomości SMS (może to być np. zegarek, opaska, tablet) lub uwierzytelnić użytkownika, weryfikacja jest możliwa.

Brak wyników
Jak wpłynie to na płatności dokonywane w punktach handlowych?

W przypadku płatności dokonywanych w sklepach nie nastąpią większe zmiany, ponieważ kod PIN już teraz jest wymagany przy zakupach na kwotę przekraczającą 50 PLN. Po wejściu dyrektywy w życie terminal będzie mógł żądać kodu PIN również w przypadku płatności poniżej tego limitu. Częstotliwość uwierzytelniania zostanie określona przez wydawcę karty. Od czasu do czasu konsumenci będą musieli wprowadzić kod PIN również przy mniejszych zakupach.

Jak często trzeba będzie wprowadzać kod PIN?

To zależy od wydawcy karty. Aby uzyskać więcej informacji na ten temat, należy skontaktować się ze swoim bankiem.

Co się stanie, jeśli użyję telefonu z tzw. portfelem mobilnym, jak Apple Pay lub Google Pay, do płatności zbliżeniowej na kwotę nieprzekraczającą 50 PLN?

Nawet jeśli dany portfel mobilny nie stosuje uwierzytelniania dla wszystkich transakcji (za pomocą kodu PIN, odcisku palca itp.), identyfikacja użytkownika może być konieczna nawet przy płatności na kwotę poniżej 50 PLN.

W przypadku Apple Pay wszystkie płatności są identyfikowane, więc dodatkowe uwierzytelnianie nie jest potrzebne.

Brak wyników
Czy uwierzytelnianie biometryczne może być dla dostawców usług finansowych obowiązkowe?

Dyrektywa PSD2 nie nakłada na wydawców kart płatniczych obowiązku stosowania konkretnej metody uwierzytelnienia. Zaoferowanie przez nich jak najwygodniejszego rozwiązania będzie elementem utrzymania konkurencyjności i dbania o klienta. Oczekuje się, że rozwiązania biometryczne, podobnie jak wyjątki, będą stosowane przez większość banków.

Mój telefon nie ma czytnika linii papilarnych, ale ma aparat z przodu. Jak będę w stanie zweryfikować swoją tożsamość w przyszłości podczas płatności mobilnych w sklepie?

Do uwierzytelniania transakcji w ramach zbliżeniowych płatności mobilnych mogą zostać wykorzystane inne metody identyfikacji, takie jak blokada ekranu, kod PIN lub rozpoznawanie twarzy. Zależy to od ustawień dostawcy usługi portfela mobilnego lub banku.

Brak wyników
Ile kosztuje uwierzytelniająca wiadomość SMS? Kto za to płaci?

Opłata za wiadomość SMS i ponosząca ją strona zostaną określone przez wydawcę karty, podobnie jak w przypadku zwykłych powiadomień.

Czy otrzymam wiadomość SMS na potrzeby uwierzytelniania online podczas korzystania z roamingu? Jeśli tak, kto za to zapłaci?

Wiadomość zostanie wysłana również w roamingu. Opłata za wiadomość SMS i ponosząca ją strona zostaną określone przez wydawcę karty, podobnie jak w przypadku zwykłych powiadomień.

Mam już kartę z aktywnym rozwiązaniem SecureCode (3D Secure) i korzystam z haseł jednorazowych otrzymywanych w wiadomościach SMS. Czy coś się dla mnie zmieni?

Od września 2019 r. banki będą mogły oferować identyfikację przez swoją aplikację mobilną za pomocą odcisku palca lub unikalnego kodu.

Jeśli klient nie ma odpowiedniego urządzenia, w dalszym ciągu będzie musiał wprowadzać hasła otrzymywane w wiadomościach SMS, ale będzie też potrzebował dodatkowej metody uwierzytelnienia. Zostanie to określone przez wydawcę karty.

Czy istnieje limit czasowy dla jednorazowych haseł przesyłanych w wiadomościach SMS?

Hasło jednorazowe jest ważne zazwyczaj przez 10 minut i po upływie tego czasu automatycznie traci ważność.

Brak wyników
Co się stanie, jeśli korzystam ze zbliżeniowych płatności kartą lub z płatności mobilnych poza UE?

Przepisy obowiązują tylko w państwach Europejskiego Obszaru Gospodarczego (UE + Norwegia, Liechtenstein, Islandia), dlatego płatności zbliżeniowe poza tym obszarem będą działać tak, jak do tej pory.

Czy konieczne będzie wprowadzanie hasła jednorazowego lub identyfikacja za pomocą odcisku palca bądź twarzy (danych biometrycznych), jeśli kupuję coś w sklepie internetowym poza UE?

Poza Unią Europejską silne uwierzytelnianie klienta nie jest obowiązkowe.

Mam kartę wystawioną poza UE, ale chcę zrobić zakupy w sklepie internetowym na terenie EOG. Co muszę zrobić?

Jeśli karta została wystawiona poza UE, sprzedawca z UE nie ma obowiązku inicjowania silnego uwierzytelniania użytkownika. Jeśli jednak wydawca karty aktywuje tę opcję, agent rozliczeniowy lub sprzedawca może zaoferować silne uwierzytelnianie klienta dla każdego zakupu kartą.

Brak wyników
Brak wyników