Schimbări în confirmarea plaților online începând cu ianuarie 2021. Gabriela Nistor, Banca Transilvania: O persoană care are card va autentifica plata online folosind cel puţin 2 factori din următorii 3: ceva ce cunoaşte, ceva ce are şi ceva ce este
De ce era nevoie de aceste noi elemente de securitate?
Gabriela Nistor: Plăţile online au devenit atât o obişnuinţă, cât şi o necesitate, iar în România sunt în continuă creştere ca număr şi volum, ceea ce este foarte bine şi ne bucurăm că românii se adaptează din mers. Pandemia a schimbat comportamente şi obiceiuri de consum şi, odată cu acestea, modul de a face banking, iar din ce vedem cu toţii, lumea se îndreaptă tot mai mult spre online. Acesta este contextul: plăţi tot mai multe în online şi tot mai multe persoane care plătesc online. Pe fondul go online, implementarea unor noi măsuri de securitate a plăţilor este mai mult decât binevenită, iar Directiva Europeană revizuită privind serviciile de plată, cunoscută ca PSD2, stabileşte regulile într-un ecosistem în care suntem noi, băncile, împreună cu clienţii şi comercianţii. Dacă facem referire la clienţii posesori de carduri, pentru o protecţie sporită a banilor şi datelor acestora, se impune o autentificare mai strictă (SCA - Strong Customer Authentication) atunci când plătesc online. Ce înseamnă acest lucru, mai exact? SCA este identificarea clienţilor care plătesc online prin două elemente din cele trei categorii: ceva ce doar clientul cunoaşte, cum ar fi parola, ceva ce doar clientul are, cum este telefonul şi ceva ce confirmă unic identitatea clientului, cum ar fi amprenta sau recunoaşterea facială. Directiva are un impact mare, având în vedere că în România avem peste 18 milioane de carduri valide.
Ce se schimbă de la inceputul anului viitor? Cum voi putea sa confirm o plata online?
Gabriela Nistor: Cum spuneam, în acest ecosistem suntem mai mulţi actori, clienţii posesori de card, comercianţii online şi instituţia bancară, care pregăteşte terenul atât pentru clienţi, cât şi pentru comercianţii proprii. O persoană care are card, începând cu ianuarie 2021, va autentifica plata online folosind cel puţin 2 factori: ceva ce cunoaşte, ceva ce are şi ceva ce este. Ce înseamnă, mai exact, pentru clienţii BT? Confirmarea plăţilor online prin una din cele două metode: prin aplicaţia BT Pay, folosind amprenta, face ID (recunoaştere facială) sau metoda de deblocare a telefonului. Această metodă de autentificare este disponibilă pentru clienţii BT chiar de la jumătatea acestui an, iar până acum peste 4 milioane de tranzacţii au fost autentificate prin aplicaţie. Este o metoda simplă şi rapidă, clientul primeşte o notificare care îi deschide ecranul cu datele esenţiale a cumpărăturii online: cardul de pe care se face plata, suma şi comerciantul, clientul având opţiunea de a confirma sau anula plata prin autentificare biometrică sau prin metoda deblocare a telefonului.
Sau prin introducerea în pagină de plata a două parole: o parolă de fiecare dată diferită, primită prin SMS, precum şi o parolă unica aleasă de client, care va fi schimbată o dată la 90 de zile. Clientul va putea defini parola statică din ianuarie anul viitor, la prima plata online. Vor fi şi plăţi online care nu necesită confirmare, stabilite pe baza istoricului de plată a clientului, în funcţie de comportamentul de plată, site-urile pe care s-au realizat plăţile, dacă sunt plăţi recurente, adică abonamente sau de valoare mică. Comerciantul trebuie să aibă implementată tehnologia 3D Secure la nivelul site-ului propriu, însă poate decide, în anumite condiţii rezultate în urma unei analize de risc, să nu aplice cerinţe SCA, respectiv să nu solicite clienţilor parcurgerea unor paşi în plus pentru confirmarea plăţilor. Soluţia de ecommerce BT utilizată de comercianţii noştri respectă standardul 3D Secure şi, mai mult, acum vine cu un upgrade la noua versiune 3DS 2, prin care comercianţii pot efectua analize mai complexe pe tranzacţii, astfel încât le pot oferi clienţilor „de casă” experienţe pozitive, păstrând gradul de securitate a plăţilor.
Dacă fac mai multe cumpărături, parola primită pentru prima tranzacție poate fi folosită și la celelalte tranzacții online?
Gabriela Nistor: Cum spuneam, pentru cine nu va folosi biometria la confirmarea tranzacţiilor online, vor fi două parole. Parola primită prin SMS în timpul plăţii este unică, deci diferită pentru fiecare plată online, iar cea stabilită de posesorul cardului e valabilă 90 de zile. La prima plată online din ianuarie anul viitor, practic persoanele care optează pentru această variantă îşi vor putea stabili parola. Bineînţeles, parola statică va putea fi recuperată dacă o uităm.
Ce metodă recomandați?
Gabriela Nistor: Pentru clienţii Băncii Transilvania recomandăm aplicaţia gratuită BT Pay, experienţa fiind una foarte bună. Atât pentru că plă ţile se confirmă rapid, dar şi pentru că aplicaţia este foarte prietenoasă când facem cumpărături. Cei care o folosesc au la îndemână inclusiv detaliile necesare plăţilor online: numărul şi data expirării cardului, CVV, dar pot inclusiv seta limite de sume zilnice de cheltuit. Datorită avantajelor sale, BT Pay a format o comunitate tot mai mare, de peste 1 milion de persoane, care preferă banking prin telefon şi plăţile on-the-go şi cele online. În cazul în care clientul nu are totuşi un smartphone compatibil cu aplicaţia BT Pay, rămâne să folosească varianta cu două parole. Recomandăm cu tarie aplicaţiile bancare în autentificarea cumpărăturilor online întrucât experienţa cu parola statică pe care am avut-o şi noi implementată în trecut ne-a dovedit că este o experienţă mai complicată pentru client, parola poate fi uitată şi trebuie recuperată, ceea ce poate duce la creşterea ratei de abandon a plăţilor online.
Dar dacă mi-am reînnoit cardul, e nevoie să-l reînregistrez undeva? Ce se întâmplă dacă sunt în străinătate și nu am activat roamingul și am optat pentru varianta confirmării platii prin introducerea a doua parole? Voi mai primi SMS-ul?
Gabriela Nistor: Pentru clienţii băncii noastre care folosesc aplicaţia BT Pay, cardul nou apare în aplicaţie, chiar înainte de ridicarea cardului fizic, utilizatorul confirmând adăugarea în aplicaţie. Bineînţeles, clientul foloseşte datele noului card pentru a plăti, iar confirmarea plăţii online se va face prin una din cele doua metode. Referitor la roaming, dacă acesta nu funcţionează, nu are cum să fie transmis şi primit SMS-ul. Însă, pentru cine are aplicaţia BT Pay şi acces la Wi-Fi sau date mobile, totul este şi va fi în regulă.
Ce trebuie să fac dacă nu primesc parola pe telefon?
Gabriela Nistor: Primul pas este verificarea conexiunilor telefonului. Al doilea, solicitarea retrimiterii parolei prin SMS. Bineînţeles, clienţii au la dispoziţie serviciul Call Center BT, disponibil 24/7 la care pot apela în caz de nevoie.
Aceste noi elemente de securitate vor suplimenta cu ceva costurile?
Gabriela Nistor: Plăţile online nu au fost şi nu vor fi comisionate de BT. La Banca Transilvania am pregătit deja terenul, aşa încât plăţile se pot confirma prin BT Pay, super-app-ul legat de tot ce înseamnă carduri – de la verificarea soldului şi istoricului tranzacţiilor, la plăţi cu telefonul la comercianţi, retrageri de numerar cu telefonul de la bancomat, transferuri, la administrarea cardurilor. De asemenea, nici în cazul optării pentru autentificare cu două parole nu se va plăti comision. Prin PSD2, banii şi datele clienţilor sunt mai în siguranţă. În acelaşi timp, pentru noi, băncile, apar oportunităţi de adopţie a unor tehnologii noi şi pentru autentificare prin aplicaţii bancare, ceea ce oferă experienţe pozitive.
Articol susținut de Banca Transilvania

România și trenurile internaționale - O istorie de 130 de ani, de la trenurile ce parcurgeau peste 3.000 de km până la rutele mult mai scurte din prezent
Walker, Texas Ranger, se întoarce! / Vești bune pentru fanii Indiana Jones / Noi dovezi despre formarea găurilor negre supermasive
VIDEO Rusia, o viață în exil: Copiii Gulagului se luptă de 30 de ani pentru a reveni acasă
Sorin Cîmpeanu, invitat în studioul HotNews.ro de la ora 18,00. Realizator - Mona Hera
VIDEOINTERVIU/ Beneficiile pe care le pot acorda firmele angajaților anul acesta, dacă au posibilitatea, explicate de Cristian Rapcencu. De la cei 400 lei din telemuncă, la decontarea concediilor și cei 1.500 lei pentru creșă sau gradiniță/ Cum se poate deduce întregul cost cu casele de marcat
Și este vorba doar despre plăți online, nu despre plăți în persoană la magazin. Dar după întrebarea ta trag concluzia că tu oricum nu îl foloseai la plăți online, altfel ai fi știut că în acest moment oricum trebuie să te autentifici printr-un cod primit prin SMS (iar tu zici că nu ai numărul de RO cu tine).
Eu sunt din categoria celor care au și telefon de România (roaming "permanent") dar și card BT, în străinătate. Până în primăvară foloseam varianta autentificării prin SMS (este pentru siguranța ta, apropo - altfel, oricine pune mâna cumva pe datele cardului l-ar putea folosi la plăți online), apoi, pentru că mi-a expirat cardul dar nu mă puteam duce special în țară doar pentru a îl ridica pe cel nou, am instalat aplicația lor și așa mi-am restabilit accesul la card (ai datele lui în aplicație), în primul rând, apoi am modificat autentificarea plăților la varianta cu amprentă/deblocare telefon. Varianta SMS este nesigură, s-a dovedit în nenumărate rânduri (persoane străine, posibil cu complicitatea cuiva de la firma de telefonie sau de la vreun partener, pot să îți preia numărul și astfel să se folosească de datele cardului, dacă le au și pe acestea - în sensul că SIM-ul tău devine inactiv).
Nu uita ca aici vorbim despre masuri SUPLIMENTARE de prorectie. Inaintea lor inca sunt destule altele. Iata , sa presupunem ca platesc o factura la un furnizor de servicii, sa zicem, Enel. Pai pentru asta :
1. Eu mi-am deschis un cont de consumator pe site-ul Enel. Ca sa intru in acel cont ma identific cu o adresa de email si o parola. Pe care le stiu numai eu. Deci un prim element de siguranta, informatii pe care le stiu numai eu
2. Ca sa platesc factura dau datele unui card de-al meu . Acele date le stiu numai eu. Eventual si cei din banca numai ca pe ei ii consideram de incredere. Deci, alte informatii pe care le stiu numai eu.
3. Activez plata numai ca mai trebuie sa introduc si parola 3D secure. Asta o fac dupa ce primesc un SMS de la banca cu un cod pe care trebuie sa-l confirm. Si acum sa presupunem ca acel cod imi este trimis prin email si ca cineva l-a interceptat. Acel cineva cum il poate pune in valoare din moment ce n-a parcurs TOTI PASII pe care i-am parcurs eu, nu stie ce plata fac, la ce furnizor , ce suma platesc si ce date de card am? Raspunde-mi la asta ca sa ma convingi ca un cod primit prin email este nesigur.
Iti dau eu exemple de plati care sunt mult mai " nesigure ", aparent. Cele facute prin PayPal. Pai la PayPal doar te loghezi cu o adresa de email si o parola si gata, poti sa faci plata caci factura cu pricina deja se gaseste la PayPal. Nu tu SMS, nu tu amprenta faciala , nu tu scanare de iris, nimic.
Siguranta la PayPal este infaptuita numai si numai pe baza INFORMATIILOR unice detinute doar de utilizator. Atit! .
Acuma, as avea o curiozitate: tu, personal, ai platit vreodata o factura pe site-ul unui furnizor, asa cum am descris eu ,mai sus? Dar prin PayPal ai platit vreodata ceva? Intreb astea fiindca m-am saturat sa-si dea cu parerea toti nepriceputii .
Eu zic: "Despre asta este vorba, ca și ei dar și tu să fiți siguri că tu ești cel care face plata".
Tu spui: "Vreau ca intotdeauna plata sa mi-o faca altii si sa se bucure ca m-au tras pe sfoara."
Dar eu nu la asta m-am referit iar tu doar aia repeți. Plus credința că "Ca sa platesc factura dau datele unui card de-al meu . Acele date le stiu numai eu" este întotdeauna așa. Iar eu îți repet că datele acelea ale cardului ajung și la terți (adică nu le știi doar tu, cel care are cardul în buzunar respectiv banca, ca emitent) iar terții mai pot fi atacați cibernetic, moment în care datele tale (niște numere și numele tău, nimic mai mult) ajung cine știe pe unde. Și te poți trezi că cu cardul tău (de fapt cu datele, că el e tot la tine în buzunar) se fac plăți. De aici nevoia de măsuri (numite de tine cu supărare "suplimentare", eu le-aș fi numit obligatorii), astfel încât banca să fie sigură că tu faci plata (nu plata ta, factura de curent, ci plata către firma de pariuri din Anglia, 500 euro, vezi caz mai jos). Și au găsit varianta SMS. Că teoretic numărul tău e doar al tău. Fals. Unii și-au dat silința și au reușit să se dea drept posesorul cartelei și au cerut reemitere (beneficiind poate de complicitatea cuiva din interiorul firmei de telefonie, sau doar de nepăsarea aceluia, nu contează până la urmă) SIM, al tău devenind inactiv.
Pe scurt, 2FA via SMS nu e infailibil. Cu Google găsești cazuri de pățiți care au rămas fără milioane în criptomonede prin preluarea controlului numărului de telefon (SIM nou, al proprietarului de drept dezactivat).
1, 2, 3 - corect, în teorie. Dar nu despre asta e vorba, ci despre faptul că datele cardului tău pot ajunge (nu din vina ta) pe mâinile cui nu trebuie iar acesta cumva să fie împiedicat să le folosească (pentru plățile lui, de factura ta de curent nu e interesat).
Notă personală.
1. La BT am două conturi curente, unul asociat cardului, unul nu (ambele accesibile via internet banking). În contul asociat cardului nu țin sume mari, la nevoie îl alimentez via internet banking din celălalt cont.
2. Revolut. Ai acolo conceptul de disposable virtual card și/sau doar virtual card - ideea fiind, ca și dacă datele cardului ajung la răufăcători, aceste date să nu le fie acestora de niciun folos.
3. 2FA - caută, dacă nu știi ce înseamnă și folosește, dacă nu folosești. Cazul meu: Gmail, internet banking (BT dar și banca germană), marile platforme online (Amazon, ebay, PayPal).
Si asta ca papagalul ne da definitia celor 3 categorii de factori de autentificare. Deja se folosesc 2 de 100 de ani: ceva ce ai - card-ul,generatorul de token,SMS,NFC; ceva ce stii - user/parola, pin .
Al 3-lea ar fi un dispozitiv biometric(ceva ce esti) - amprenta mainii, retinei, vetei, vocii, sange, matze, etc.
Vreau sa zic ca nu prea s-a schimbat nimic, doar s-au variat factorii... e articol de publicitate
Un cheltuitor va avea antebratul plin de taieturi de la atatea plati :)))))))))))))