Konta osobiste
Jak zabezpieczone są nasze rachunki
W bankowości internetowej hasła jednorazowe zwykle są wymagane tylko przy bardziej ryzykownych operacjach, np. zewnętrznych przelewach na nowe konta. Gdy zakłada się lokatę, wystarczy podać login i hasło
Nowoczesne kanały dostępu do rachunku muszą być solidnie zabezpieczone, aby nikt niepowołany nie miał dostępu do powierzonych bankowi pieniędzy. Jednocześnie zabezpieczenia te nie mogą być zbyt skomplikowane, bo to zniechęcałoby klientów.
Aby zalogować się przez Internet do konta bankowego, zwykle wystarczy znajomość dwóch stałych identyfikatorów: loginu i hasła. Część banków wymaga podania ich w całości, inne żądają tylko wybranych znaków z hasła. Ma to zwiększać bezpieczeństwo, na wypadek gdyby niepowołana osoba podejrzała wpisywane dane. Przy kolejnym logowaniu system zażąda innych znaków z hasła, więc wcześniej przechwycone informacje i tak nie pozwolą włamać się na konto.
Przy przeprowadzaniu operacji używa się haseł jednorazowych. Stosunkowo rzadko są one potrzebne przy każdej transakcji (takie zasady obowiązują np. w PKO BP i Deutsche Banku). Zwykle jest to wymagane tylko przy operacjach wiążących się z większym ryzykiem; dotyczy to przede wszystkim zewnętrznych przelewów na niezdefiniowane rachunki (czyli takie, których parametry nie zostały wcześniej podane). Mniej ryzykowne operacje (np. założenie lub zerwanie lokaty, przelew środków między własnymi rachunkami), nie wymagają dodatkowego potwierdzania. Aby je wykonać, wystarczy znać login i hasło.
Mocniejsze zabezpieczenie
Hasła jednorazowe mogą być dostarczane klientom na kilka sposobów. Najprostszym jest zwykła kartka zadrukowana listą numerów lub karta-zdrapka z hasłami ukrytymi pod zabezpieczającą warstwą. Kody mogą być też przesyłane w postaci SMS lub generowane przez token; jest to niewielkie, elektroniczne urządzenie, które klient otrzymuje od banku przy podpisywaniu umowy.
Przewagą tych dwóch ostatnich rozwiązań jest ścisłe powiązanie kodów z poszczególnymi transakcjami. Tradycyjne listy haseł są przygotowane z wyprzedzeniem. Dopiero w momencie zlecania transakcji okazuje się, że np. hasło 25 492, oznaczone numerem 15, zostanie użyte do potwierdzenia przelewu w wysokości 100 zł na konto gazowni. W przypadku hasła SMS lub kodu wygenerowanego przez token jest inaczej. Ich treść bezpośrednio zależy od tego, kto jest beneficjentem przelewu i jaka jest jego kwota. Gdyby przestępca przechwycił takie hasło, nie będzie mógł go użyć do potwierdzenia innego przelewu.
Część banków pozwala zastąpić jednorazowe hasła podpisem elektronicznym. Jedne akceptują tylko kwalifikowany podpis elektroniczny, który z mocy prawa jest równoważny odręcznemu. Inne same wydają klientom działające podobnie podpisy, ale służące tylko do komunikacji z daną instytucją.
Bardziej restrykcyjne procedury
Jest kilka wyjątków od zasady, że do zalogowania się na rachunek i wykonania zdefiniowanego wcześniej przelewu wystarczy znajomość stałego loginu i hasła. W BNP Paribas Fortis Banku kodu SMS lub podpisu elektronicznego trzeba użyć już na etapie logowania się do systemu bankowości internetowej. Podobnie jest w Nordea Banku. Tu jednak można też skorzystać z hasła jednorazowego z tradycyjnej listy.
BGŻ i Lukas Bank wymagają podania hasła z tokena, ale tylko od klientów, którzy używają tego urządzenia. Pozostali logują się w tradycyjny sposób. W BZ WBK i Raiffeisen Banku to klient decyduje, czy chce logować się na konto, podając jedynie hasło i login czy dodatkowo również kod jednorazowy.
Karty-zdrapki bez opłat
Jeśli bank proponuje klientom tylko jeden sposób zabezpieczania transakcji, zwykle nie wiąże się to z dodatkowymi opłatami. Jeśli do wyboru jest kilka zabezpieczeń, przynajmniej jedno jest darmowe.
Z reguły płaci się za token. Typowa stawka to kilkadziesiąt złotych jednorazowo. Ale Nordea Bank pobiera aż 240 zł (opłata jest rozłożona na 12 miesięcznych rat).
Tradycyjne listy haseł jednorazowych zwykle są darmowe, choć np. mBank i MultiBank życzą sobie 5 zł za wygenerowanie i wysłanie takiej listy. Najczęściej nie płaci się też za hasła SMS.
Wyjątki od tej zasady można policzyć na palcach jednej ręki. W BPH hasła SMS, które są podstawowym zabezpieczeniem dla klientów indywidualnych, są bezpłatne tylko dla posiadaczy wybranych rachunków, np. Sezam Max. Użytkownicy innych kont, np. Sezam Direct, za darmo dostają tylko pięć kodów miesięcznie. Za każdy następny muszą zapłacić 35 gr.
Rekomenduj artykuł Oddano głosów:
