Płacisz kartą w internecie? O tym musisz pamiętać!

Silne uwierzytelnienie klienta przy płatnościach kartą w internecie na terenie Unii Europejskiej

Bank

Sposób silnego uwierzytelnienia

Alior Bank

Aby spełniać wymagania PSD2 SCA wykonując transakcję kartową w internecie, klient jest zobowiązany do podania danych karty (jej numeru, daty ważności, CVC) do zatwierdzenia operacji przy pomocy push w aplikacji Alior Mobile lub potwierdzenia operacji kodem z wiadomości SMS i – docelowo – dodatkowo ePINem (w przypadku kiedy klient nie korzysta z aplikacji).

Bank Millennium

Sposobem potwierdzania transakcji rekomendowanym przez Bank Millennium jest Autoryzacja Mobilna (potwierdzenie transakcji jednym ruchem w aplikacji). Klienci, którzy nie korzystają z aplikacji banku potwierdzając transakcje, zostaną przekierowani do logowania do bankowości internetowej, gdzie zautoryzują operację.

Bank Pekao

Standardowo dokonanie płatności kartą w internecie odbywa się poprzez podanie numeru karty, daty ważności oraz kodu CVV2/CVC2, które są weryfikowane przez bank.

Jeśli sklep internetowy obsługuje 3D Secure w wersji 1.0 lub 2.x, w trakcie płatności dokonywane jest uwierzytelnienie posiadacza karty przy użyciu tego standardu.

W przypadku klientów indywidualnych Banku Pekao, posiadających dostęp do bankowości internetowej Pekao24/mobilnej PeoPay weryfikacja jest wykonywana poprzez zalogowanie się do serwisu Pekao24 i zatwierdzenie transakcji przy użyciu kodu SMS lub zatwierdzenie operacji w aplikacji PeoPay (pinem do PeoPay). W przypadku użytkowników kart firmowych oraz indywidualnych, którzy nie mają dostępu do Pekao24 i PeoPay, potwierdzenie transakcji 3D Secure wykonywane jest poprzez wpisanie kodu SMS wysłanego na numer telefonu użytkownika karty oraz podanie numeru e-PIN. Numer e-PIN jest dodatkowym zabezpieczeniem transakcji internetowych. Konieczność dodania drugiego czynnika zabezpieczającego transakcję zostało wprowadzone  we wrześniu 2020 r. i wynika z przepisów dyrektywy PSD2. Użytkownik każdej karty firmowej lub indywidualnej, nieposiadający dostępu do Pekao24,  może nadać swój e-PIN na infolinii banku.

Bank Pocztowy

Klient otrzymuje komunikat o konieczności potwierdzenia transakcji w bankowości mobilnej lub internetowej Pocztowy24 lub online.

Jeśli klient ma aplikację mobilną, otrzyma wiadomość push, po kliknięciu której od razu będzie mógł zaakceptować transakcję - PINem do bankowości lub biometrią.

W przypadku bankowości internetowej - musi się zalogować i potwierdzić transakcję (potwierdzenie wiąże się z autoryzacją operacji poprzez wprowadzenie kodu z SMS).

W każdym przypadku klient musi wrócić na stronę sklepu i tam dokończyć transakcję poprzez kliknięcie „Kontynuuj”

BNP Paribas

Klienci korzystający z aplikacji mobilnej potwierdzają swoją tożsamość, się korzystając z autoryzacji mobilnej przy użyciu indywidualnego, poufnego numeru do autoryzacji transakcji (kod PIN do aplikacji mobilnej) lub identyfikatora biometrycznego np. odcisku palca, wizerunku twarzy.

Klienci nie korzystający z aplikacji mobilnej robią to poprzez wpisanie kodu przesyłanego w wiadomości SMS na wskazany przez posiadacza karty płatniczej numer telefonu komórkowego i dodatkowego pytania zabezpieczającego.

BOŚ Bank

Bank Ochrony Środowiska udostępnił Klientom nowe możliwości płacenia kartami w internecie. Od 12 listopada 2020 r. płatności mogą być realizowane z wykorzystaniem autoryzacji mobilnej dostępnej w aplikacji mobilnej/ BOŚtoken.

Korzystając ze sklepu internetowego użytkownik karty płatniczej może korzystać z potwierdzania operacji przy pomocy autoryzacji mobilnej w aplikacji mobilnej/ BOŚtoken.

Użytkownicy posiadający aplikację mobilną, przy płatnościach kartą w sieci widzą stronę ze szczegółami transakcji i są proszeni o jej potwierdzenie w aplikacji mobilnej/ BOŚtoken. Na telefon przychodzi powiadomienie push, logują się do aplikacji mobilnej na swoim telefonie i jeżeli wszystko się zgadza potwierdzają płatność.

Warunkiem przeprowadzenia takiej transakcji jest dostęp użytkownika do bankowości elektronicznej oraz posiadanie aplikacji mobilnej /BOŚtoken.

W okresie przejściowym Klienci mają możliwość korzystania również z dotychczasowej metody uwierzytelniania (sms wysłany na telefon wskazany w banku). O terminie zakończenia okresu przejściowego BOŚ poinformuje Klientów z odpowiednim wyprzedzeniem.

Citi Handlowy

Poza Polską, jeżeli transakcja jest procesowana z wykorzystaniem protokołu 3DS 2.0, klienci mogą korzystać z Citi Mobile Token, czyli mobilnej autoryzacji transakcji.

Credit Agricole

Klienci Credit Agricole internetowe transakcje kartami zatwierdzają:

- PIN-em mobilnym z wykorzystaniem aplikacji mobilnej,

- kodem 3D-Secure oraz PIN-em do karty (bez wykorzystania aplikacji mobilnej).

Getin Bank

Po zainicjowaniu transakcji e-commerce z wykorzystaniem karty płatniczej na ekranie urządzenia zostanie wyświetlony komunikat o konieczności potwierdzenia transakcji na urządzeniu mobilnym. Uwierzytelnienie będzie polegało na:

- zalogowaniu się do bankowości mobilnej przypisanej do konkretnego użytkownika (w celu zalogowania się do bankowości mobilnej klient musi podać PIN lub użyć tzw. wężyka lub odcisku palca/face ID)

- oraz potwierdzeniu na ekranie urządzenia mobilnego tej transakcji.

Jeżeli klient korzysta wyłącznie z bankowości internetowej, to po zainicjowaniu transakcji e-commerce z wykorzystaniem karty płatniczej nastąpi przekierowanie do bankowości internetowej Banku. Uwierzytelnianie będzie polegało na:

- zalogowaniu do bankowości internetowej, z wykorzystaniem loginu oraz hasła

- po zalogowaniu zostaną wyświetlone szczegółowe informacje dotyczące transakcji (kwota, odbiorca, ostatnie liczby numeru karty płatniczej, nazwa sprzedawcy)

- podaniu jednorazowego hasła SMS wysłanego na zarejestrowany w banku numer telefonu użytkownika.

ING Bank Śląski

Klienci ING posiadający aplikację mobilną Moje ING mogą potwierdzać płatności bezpośrednio w tej aplikacji.

Klienci, którzy nie mają aplikacji mobilnej, bądź w danym momencie nie mogą z niej skorzystać (np. są w podróży zagranicznej i nie mają dostępu do internetu w swoim telefonie), autoryzują płatność poprzez zalogowanie się do bankowości internetowej Moje ING i potwierdzenie jednorazowym kodem SMS.

Nowy sposób potwierdzania płatności kartami w internecie spełnia wymogi silnego uwierzytelniania klienta wynikające z dyrektywy PSD2. Dotyczy wszystkich kart debetowych, przedpłaconych i kredytowych wydanych przez ING Bank Śląski, które standardowo umożliwiają płacenie w internecie.

mBank

W mBanku klienci, którzy:

- mają aplikację mobilną autoryzują transakcje kartami w internecie za pośrednictwem mobilnej autoryzacji,

- nie mają aplikacji, potwierdzają transakcje kodem z SMS. Kod podają przy potwierdzaniu transakcji internetowej w standardzie 3D Secure.

PKO BP

Obecnie w ramach ochrony 3D-Secure klienci PKO BP podczas zakupów w sklepach internetowych mogą być poproszeni o potwierdzenie płatności kartą Visa lub Mastercard przez zalogowanie do serwisu iPKO i autoryzację wybranym narzędziem np. kodem z karty kodów lub przez podanie otrzymanego z banku kodu SMS.

Część klientów może już korzystać z rozwiązania, które pozwoli na silne uwierzytelnienie transakcji kartowych mobilną autoryzacją w aplikacji IKO. Będzie ona włączona domyślnie dla posiadaczy aplikacji. Już teraz mogą oni wybrać mobilną autoryzację jako swoje narzędzie autoryzacji (w serwisie iPKO i aplikacji IKO) i potwierdzać w ten sposób przelewy, co pozwoli im zaznajomić się z tym procesem.

Dla klientów, którzy jeszcze nie korzystają z aplikacji, bank przygotował alternatywną metodę autoryzacji - kodem SMS i PIN-em do karty. Głównym zamysłem tego rozwiązania było maksymalne uproszczenie płatności przez przeniesienie czynności, którą klienci znają ze sklepów stacjonarnych, do sklepów internetowych - wpisywanie PINu w szyfrowanym oknie 3D-Secure ma być odpowiednikiem podawania go w terminalu płatniczym. Aby potwierdzać płatności kodem SMS i PIN-em do karty, wystarczy mieć podany w danych banku aktualny numer telefonu komórkowego (na niego będzie wysyłany SMS z kodem autoryzacyjnym).

Santander Bank Polska

W Santander Bank Polska transakcje są potwierdzane w aplikacji Santander mobile - na zaufanym urządzeniu mobilnym (jeśli klient korzysta z Mobilnej autoryzacji).

Podczas niektórych płatności system poprosi klienta o:

- dane karty - numer karty, datę ważności, kod CVC2/CVV2,

- wpisanie w aplikacji mobilnej PIN-u do Mobilnej autoryzacji.

Jeżeli klient nie korzysta z naszej aplikacji mobilnej

Podczas niektórych płatności (stosujemy ten sposób potwierdzenia tylko podczas tych transakcji, które wymagają silnego uwierzytelnienia oraz bank nie zastosował wobec danej transakcji reguły pozwalającej na nie stosowanie silnego uwierzytelnienia) system poprosi Cię o:

- dane karty - numer karty, data ważności, kod CVC2/CVV2 (trzycyfrowy numer, który znajdziesz na odwrocie karty),

- Kod 3D Secure - z SMSa,

- PIN do karty.

Bank możemy również odstąpić od użycia dodatkowych zabezpieczeń. Umożliwiają to przepisy wykonawcze do Dyrektywy PSD2. Podczas płatności bank może poprosić klienta wyłącznie o podanie danych karty albo o podanie danych karty i kodu 3D Secure.

Bank udostępnił także kolejny sposób potwierdzania płatności kartą w internecie - usługi bankowości elektronicznej (Santander online, Mini Firma, Moja Firma plus). Wtedy, jeśli nie będziesz korzystać z mobilnej autoryzacji, to podczas płatności system poprosi Cię o:

- dane karty - numer karty, data ważności, kod CVC2/CVV2,

- NIK i hasło - to samo jakie podajesz, gdy logujesz się do bankowości internetowej,

- Kod 3D Secure, który otrzymasz SMSem.

Santander Consumer Bank

Transakcje internetowe wykonane kartami w internecie są potwierdzane:

- jednorazowym kodem 3D Secure, który przychodzi w wiadomości SMS,

- hasłem uwierzytelniającym.

Toyota Bank Polska

Klienci Toyota Bank Polska potwierdzają transakcje kartami płatniczymi dokonywane w internecie przy pomocy aplikacji mobilnej Mobilna Autoryzacja.