Rozwój technologii płatniczej umożliwił nam błyskawiczne zlecanie płatności bez konieczności odwiedzania placówek bankowych. Ta rewolucyjna zmiana wiąże się jednak z ryzykiem – łatwość dokonywania transakcji elektronicznych oznacza również, że potencjalnie łatwiej nas okraść.
Dlaczego aplikacje bankowe wymagają od nas odcisku palca, PIN-u lub hasła do autoryzacji transakcji? Jakie przepisy prawne regulują te procesy i czy dane biometryczne są wystarczająco chronione? W poniższym artykule wyjaśniamy, jak działa uwierzytelnianie w bankowości mobilnej i czy użytkownicy mają się czego obawiać.
Geneza uwierzytelniania w bankowości
Jak wynika z Raportu NetB@nk za III kwartał 2024 roku, opublikowanego przez Związek Banków Polskich, liczba rachunków klientów indywidualnych posiadających umowy umożliwiające dostęp do usług bankowości internetowej wyniosła ponad 44 miliony. W tym samym okresie, liczba aktywnych użytkowników, którzy regularnie korzystają z bankowości internetowej (przynajmniej raz w miesiącu) wynosiła ponad 23 miliony, co potwierdza popularność nowoczesnych rozwiązań cyfrowych w zarządzaniu finansami.
Rozwój nowoczesnych rozwiązań w sektorze finansowym to nie tylko efekt powszechnej digitalizacji i popularyzacji Internetu. Ważnym impulsem był kryzys finansowy z lat 2007–2009, który nadwyrężył zaufanie do instytucji bankowych, podnosząc jednocześnie znaczenie innych podmiotów niebankowych. W odpowiedzi na te wyzwania wprowadzono pierwszą Dyrektywę PSD (Payment Services Directive), która znacząco zmieniła sposób funkcjonowania sektora płatniczego. Kluczowym problemem tamtych czasów było to, że podmioty nienależące do sektora bankowego, zajmujące się transferem pieniędzy, działały poza ramami prawnymi. PSD wprowadziła nową kategorię instytucji – instytucje płatnicze.
Mimo tych zmian, wciąż istniały nieuregulowane usługi finansowe. W 2015 roku wprowadzono więc Dyrektywę PSD2 (Dyrektywa 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE), która obowiązuje do dziś. Implementowana została do polskiego porządku prawnego ustawą z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw.
Nowa dyrektywa nałożyła dodatkowe wymogi, mające na celu zwiększenie poziomu bezpieczeństwa w bankowości elektronicznej. Kluczowym elementem tej zmiany było wprowadzenie tzw. silnego uwierzytelniania klienta (Strong Customer Authentication, SCA). Od tego momentu logowanie do konta bankowego czy realizacja transakcji wymagały dwóch niezależnych składników uwierzytelniania, co znacząco podniosło standardy bezpieczeństwa w sektorze finansowym.
Zasada trzech filarów uwierzytelniania
Często, jeżeli chcemy zalogować się do bankowości elektronicznej, możemy to zrobić tylko z zaufanego urządzenia, które wcześniej zostało przez nas uwierzytelnione.
Przykładowo, podczas pierwszego logowania z nowego telefonu czy komputera, bank zazwyczaj prosi o dodatkowe potwierdzenie, np. jednorazowy kod SMS. Po uwierzytelnieniu urządzenia, każdorazowe logowanie wymaga użycia hasła, kodu PIN, czy odcisku palca, co jest jednym z elementów zwiększających bezpieczeństwo użytkownika.
Powyższe kroki składają się na procedurę uwierzytelniania, która pozwala dostawcy usług płatniczych na weryfikację, czy użytkownik, który próbuje uzyskać dostęp do konta lub wykonać transakcję, jest rzeczywiście osobą uprawnioną, za pomocą indywidualnych danych uwierzytelniających użytkownika.
Silne uwierzytelnianie, wprowadzone w ramach dyrektywy PSD2, wymaga zastosowania co najmniej dwóch niezależnych elementów z trzech kategorii:
czyli coś, co zna tylko użytkownik, na przykład hasło lub kod PIN.
czyli coś, co należy wyłącznie do użytkownika, takie jak telefon, karta płatnicza, token.
czyli coś, co jest unikalne dla użytkownika, na przykład odcisk palca, rozpoznawanie twarzy lub głos.
Stosowanie trzech filarów uwierzytelniania opiera się na zasadzie niezależności i wzajemnej wiarygodności każdego z elementów. Oznacza to, że naruszenie jednego filaru nie wpływa na bezpieczeństwo pozostałych, co znacząco podnosi poziom ochrony użytkownika.
Dodatkowo, w przypadku uwierzytelniania na urządzeniach wielofunkcyjnych, takich jak smartfony, kluczowe jest wykorzystanie osobnych środowisk uruchomieniowych dla każdego elementu uwierzytelniania. Zabezpieczenia te obejmują także ochronę przed modyfikacjami systemu, takimi jak jailbreaking czy rootowanie urządzeń (polegające na wymuszeniu dostępu do uprawnień administratora urządzenia, które pierwotnie są dla użytkownika ograniczone, a które mogą narazić dane użytkownika na ryzyko).
Niezależność tych elementów oznacza, że nawet w przypadku naruszenia jednego z nich, pozostałe nadal zapewniają wysoki poziom bezpieczeństwa. Przepisy PSD2 nakładają obowiązek stosowania silnego uwierzytelniania w sytuacjach związanych z potencjalnym ryzykiem oszustwa lub nadużyć finansowych. Są to przede wszystkim takie przypadki, jak:
- Logowanie do konta bankowego online lub w aplikacji mobilnej;
- Inicjowanie transakcji płatniczej, np. przelewu środków lub płatności w sklepie internetowym;
- Wykonywanie czynności zdalnych, które mogą wiązać się z ryzykiem nieautoryzowanego dostępu lub oszustwa.
Wybór konkretnej metody uwierzytelniania zależy od dostawcy usług płatniczych, pod warunkiem, że zastosowana technologia spełnia wymagania silnego uwierzytelniania klienta (SCA).
Obowiązek stosowania SCA obejmuje wszystkich dostawców usług płatniczych. Warto jednak podkreślić, że dostawcami usług płatniczych nie są wyłącznie banki. W tej grupie znajdują się również liczni niebankowi dostawcy usług płatniczych. Lista dostawców usług płatniczych uprawnionych do świadczenia usług w Polsce jest prowadzona przez Komisję Nadzoru Finansowego i jest dostępna w Internecie.
Wykorzystywanie danych biometrycznych w uwierzytelnianiu
Chociaż dziś biometria wydaje się nowoczesnym rozwiązaniem, jej wykorzystanie w sektorze bankowym ma już ponad dekadę historii. Biometria to technologia, która umożliwia rozpoznawanie osób na podstawie ich unikalnych cech fizycznych lub behawioralnych. Wykorzystuje się ją w uwierzytelnianiu przede wszystkim ze względu na łatwość i wygodę korzystania. Kluczowym argumentem przemawiającym za wykorzystaniem danych biometrycznych jest ich trudność w podrobieniu. Cechy takie jak odcisk palca, obraz tęczówki czy geometria twarzy są unikalne dla każdego człowieka i znacznie trudniejsze do przechwycenia niż tradycyjne metody zabezpieczeń.
Biometria to znacznie więcej niż powszechnie znany odcisk palca. Obejmuje szeroki wachlarz cech fizycznych i behawioralnych, które mogą być wykorzystywane do identyfikacji użytkownika, m.in.:
- Obraz tęczówki,
- Ułożenie naczyń krwionośnych dłoni lub palca,
- Geometria twarzy,
- Identyfikacja głosowa,
- Podpis
- Sposób pisania na klawiaturze – badanie tempa, nacisku i charakterystycznych przerw między naciśnięciami klawiszy.
Kluczowym elementem w biometrycznych metodach uwierzytelniania jest proces tworzenia i wykorzystywania profilu biometrycznego. Rozpoczyna się on od zebrania próbki biometrycznej, czyli danych takich jak odcisk palca, obraz twarzy lub nagranie głosu. Następnie z tych danych wyodrębnia się kluczowe identyfikatory, które są przetwarzane i zapisywane w systemie jako profil biometryczny. Profil biometryczny to zaszyfrowany wzorzec, z którym porównywane są próbki dostarczane przez użytkownika podczas procesów uwierzytelniania. Tym samym, można stwierdzić, że dane biometryczne chronione są w sposób zaawansowany – zamiast przechowywania pełnych obrazów, systemy tworzą tak zwane profile biometryczne, które zawierają wyodrębnione, kluczowe identyfikatory potrzebne do weryfikacji użytkownika.
Ochrona danych uwierzytelniających
Dostawcy usług płatniczych są zobowiązani do stosowania rygorystycznych środków bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających. Dotyczy to również danych biometrycznych, takich jak chociażby odcisk palca, obraz tęczówki czy geometria twarzy. Obowiązki na dostawców usług płatniczych nakłada tzw. Rozporządzenie RTS SCA (Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji).
Rozporządzenie RTS SCA wprowadza wymóg, aby w sytuacjach, w których dostawcy obligatoryjnie stosują silne uwierzytelnianie proces uwierzytelniania prowadził do wygenerowania kodu uwierzytelniającego. Taki kod musi być odporny na ryzyko sfałszowania zarówno w całości, jak i na skutek ujawnienia dowolnych elementów, które zostały użyte do jego wygenerowania.
W przypadku gdy płatnik inicjuje elektroniczną transakcję płatniczą z wykorzystaniem Internetu lub innych środków komunikacji na odległość, dostawcy są zobowiązani do stosowania silnego uwierzytelniania (SCA). W takim przypadku elementy uwierzytelniania muszą dynamicznie łączyć transakcję z określoną kwotą i odbiorcą. Takie podejście eliminuje możliwość użycia tych samych danych do innych transakcji, co znacząco zmniejsza ryzyko oszustw.
Na czym polega dynamiczne uwierzytelnianie według RTS SCA?
Użytkownik (płatnik) musi zostać poinformowany o kwocie transakcji płatniczej oraz o tożsamości odbiorcy przed jej zatwierdzeniem.
Generowany kod uwierzytelniający musi być ściśle powiązany z kwotą transakcji oraz odbiorcą, które zostały zaakceptowane przez płatnika w momencie inicjowania operacji.
Kod uwierzytelniający przyjęty przez dostawcę usług płatniczych musi odpowiadać pierwotnie zaakceptowanym parametrom transakcji, tj. określonej kwocie oraz tożsamości odbiorcy.
Każda zmiana kwoty transakcji lub danych odbiorcy powoduje automatyczne unieważnienie wygenerowanego kodu uwierzytelniającego.
W celu zapewnienia poufności i integralności indywidualnych danych uwierzytelniających, dostawcy usług płatniczych są zobowiązani do stosowania środków bezpieczeństwa. RTS SCA wskazuje na kluczowe działania, jakie muszą zostać podjęte przez dostawców, m.in.:
Dane uwierzytelniające, takie jak kody czy hasła, muszą być maskowane w trakcie ich wyświetlania użytkownikowi, aby uniemożliwić ich odczytanie przez osoby postronne.
Dane uwierzytelniające nie mogą być przechowywane w formacie umożliwiającym ich bezpośredni odczyt.
Materiały kryptograficzne wykorzystywane do szyfrowania danych muszą być chronione przed nieautoryzowanym ujawnieniem, a proces zarządzania nimi powinien być w pełni dokumentowany.
Proces generowania danych uwierzytelniających, takich jak hasła czy kody jednorazowe, musi być realizowany w sposób, który zapewnia poufność i ochronę przed manipulacjami.
Dane uwierzytelniające muszą być ściśle przypisane do danego użytkownika, co zapobiega ich wykorzystaniu przez osoby trzecie.
Odnowienie, ponowna aktywacja, dezaktywacja lub unieważnienie danych uwierzytelniających muszą przebiegać zgodnie z jasno określonymi procedurami, zapewniającymi bezpieczeństwo danych na każdym etapie.
Dane uwierzytelniające, które przestają być używane, muszą zostać bezpiecznie zniszczone, unieważnione lub dezaktywowane.
Powyższe działania mają na celu stworzenie środowiska, w którym dane uwierzytelniające użytkowników usług płatniczych są w pełni chronione przed wszelkimi zagrożeniami, zarówno w trakcie ich używania, jak i po zakończeniu ich użytkowania.
Biometria w bankowości a ochrona danych osobowych
Wdrożenie technologii biometrycznych w polskim sektorze bankowym to nie tylko przejaw innowacyjności, ale również obszar podlegający szczególnej uwadze w zakresie ochrony danych osobowych. RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE), kładzie szczególny nacisk na ochronę danych wrażliwych, w tym biometrycznych.
Problem przetwarzania danych biometrycznych wykracza daleko poza sektor bankowy i dotyczy wielu codziennych czynności. Przykładem jest wykorzystanie biometrii w systemach kontroli dostępu do budynków czy pomieszczeń. Coraz częściej, aby wejść do biura pracownicy muszą przyłożyć palec do skanera, który weryfikuje ich tożsamość na podstawie odcisku palca. O ile stosowanie zabezpieczeń opartych na biometrii nie jest wykluczone, każdy podmiot, który korzysta z tej technologii, musi pamiętać o kluczowych założeniach wynikających z RODO:
- Istnieje określona grupa danych osobowych, które z racji swojego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności wymagają̨ szczególnej ochrony;
- Art. 9 ust. 1 RODO określa, że dane biometryczne należą do szczególnych kategorii danych osobowych.
- Danych szczególnie wrażliwych nie należy przetwarzać, chyba że RODO dopuszcza ich przetwarzanie w szczególnych przypadkach (gdy pozwala na to przepis prawa bądź osoba, której dane dotyczą wyraziła na to zgodę);
- Zgoda musi być jednoznaczna, dobrowolna, świadoma i wyrażona wprost przez osoby, których dane dotyczą i która ma na przykład formę pisemnego (w tym elektronicznego) oświadczenia;
- Przetwarzanie danych musi odbywać się z poszanowaniem zasady minimalizacji, a więc możliwe jest pozyskiwanie tylko tych danych, które są niezbędne dla zrealizowania konkretnych celów.
Ochrona danych biometrycznych staje się istotna w kontekście przypadków ich przetwarzania również w obszarach innych niż bankowość, np. w szkołach, czy biurach. Przykładem jest decyzja Prezesa UODO z 18 lutego 2020 roku (Decyzja Prezesa UODO z 18 lutego 2020 roku, ZSZZS.440.768.2018), w której stwierdzono naruszenie przez szkołę podstawową przepisów RODO. NSA co istotne, zwrócił uwagę, że odciski palców dzieci, były zapisywane wyłącznie w pamięci urządzenia identyfikującego. Szkoła nie tworzyła w systemie komputerowym zbioru wzorów odcisków palców dzieci. Urządzenie identyfikujące przypisywało odcisk palca konkretnego dziecka do odpowiadającego mu numeru i dopiero ten numer był wysyłany do systemu komputerowego, który łączył go z imieniem i nazwiskiem dziecka oraz numerem umowy o posiłek. Na serwerze komputerowym szkoła nie przechowywała więc cyfrowych obrazów odcisków palców dzieci. Znajdowały się one wyłącznie na urządzeniu identyfikującym, które nie mogło przypisać danego odcisku palca do tożsamości konkretnego dziecka.
Szkoła przetwarzała dane biometryczne dzieci w celu weryfikacji uprawnień do korzystania ze stołówki szkolnej. Zdaniem Prezesa UODO, takie przetwarzanie było zbędne, ponieważ cel identyfikacji uczniów mógł zostać osiągnięty za pomocą mniej inwazyjnych metod, takich jak legitymacje szkolne. Prezes UODO zwrócił uwagę, że przetwarzanie danych biometrycznych powinno odbywać się ze szczególną rozwagą i ostrożnością. Dane te, z uwagi na swoją unikalność i stałość, narażają osoby na ryzyko poważnych naruszeń ich praw i wolności w przypadku ich wycieku. Co ciekawe, UODO podkreślił również, że zgoda rodziców na przetwarzanie danych dzieci nie stanowiła w tym przypadku podstawy legalizującej przetwarzanie. Decyzja Prezesa UODO została uchylona przez Wojewódzki Sąd Administracyjny w Warszawie (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 7 sierpnia 2020 roku, II SA/Wa 809/20). WSA uznał, że przetwarzanie danych biometrycznych było adekwatne i stosowne, ponieważ pozwalało na sprawniejszą realizację celu, jakim była organizacja stołówki. WSA podkreślił, że ocena zgodności z zasadą minimalizacji danych powinna uwzględniać adekwatność i stosowność metod weryfikacji do osiągnięcia zamierzonego celu. Powyższe stanowisko zostało podzielone przez Naczelny Sąd Administracyjny (wyrok Naczelnego Sądu Administracyjnego z dnia 10 października 2024 roku, III OSK 4804/21).
Poruszone w artykule kwestie związane z uwierzytelnianiem w bankowości i ochroną danych biometrycznych to jedynie część większego obrazu współczesnych wyzwań w obszarze cyberbezpieczeństwa. Warto zwrócić uwagę, że jednym z ważniejszych tematów, które wymagają pogłębionej analizy, jest problematyka nieautoryzowanych transakcji oraz odpowiedzialności za ich skutki. Kto ponosi odpowiedzialność, gdy dochodzi do naruszenia bezpieczeństwa? Jakie mechanizmy mogą zwiększyć ochronę konsumentów w takich sytuacjach? To tylko niektóre z zagadnień, które otwierają drogę do dalszej dyskusji i analiz.
Jeśli masz pytania o bezpieczeństwo Twoich danych lub uwierzytelnianie, skontaktuj się z nami – pomożemy rozwiać Twoje wątpliwości!
Specjalizacje w tym wpisie:
Zobacz także:

Zmiany w e-commerce w 2025 roku i nowe…
Jakie zmiany prawne nadchodzą dla branży e-commerce w 2025 roku? Przedsiębiorcom prowadzącym handel elektroniczny zostało już tylko kilka miesięcy na dostosowanie…

Oprogramowanie Open Source – co musisz wiedzieć?
W artykule dowiesz się na jakich podstawach prawnych można korzystać z programów komputerowych, czym jest oprogramowanie Open Source i jaką odgrywa…

Jak zorganizować zgodnie z prawem konkurs na Facebooku…
Media społecznościowe to doskonałe narzędzie do budowania relacji z klientami i promowania marki. Jednym ze skutecznych sposobów na zwiększenie zaangażowania i…