Strong Customer Authentication (SCA) – czym jest silne uwierzytelnienie?

W dobie cyfrowej rewolucji gotówka jest coraz częściej zastępowana przez smartfony i aplikacje mobilne, a do dokonania zakupów w sieci wystarczy kilka kliknięć myszką. Niestety, wraz z wygodą rośnie zagrożenie ze strony cyberprzestępców, którzy próbują różnymi sposobami wyłudzać wrażliwe dane oraz pieniądze. Zdają sobie z tego sprawę instytucje finansowe, które w dużej mierze biorą odpowiedzialność za ochronę zgromadzonych środków. W ostatnich latach na bezpieczeństwo płatności internetowych pozytywnie wpłynęła m.in. technologia Strong Customer Authentication.

Bankowość elektroniczna, aplikacje mobilne, wirtualne portfele czy płatności przy pomocy smartfonów są obecnie codziennością coraz większej grupy konsumentów. Nie może to dziwić – są to rozwiązania wygodne, oszczędzające czas i – co do zasady – bezpieczne.

Choć zagrożeniem dla płatności internetowych wciąż są cyberprzestępcy, to jednak instytucje finansowe starają się być zawsze krok przed oszustami, oferując coraz to bardziej zaawansowane i innowacyjne metody potwierdzania transakcji. Są one intuicyjne i zaprojektowane tak, by maksymalnie utrudnić życie złodziejom. W ostatnich latach kluczowym elementem systemu odpowiedzialnego za bezpieczeństwo płatności internetowych stała się technologia Strong Customer Authentication (SCA). Jest to nie tylko kolejna procedura, ale zaawansowany standard, który sprawia, że każda operacja finansowa w sieci przechodzi przez wielopoziomowy filtr bezpieczeństwa.

Strong Customer Authentication (SCA) – co to jest?

Strong Customer Authentication – w skrócie CSA – to wymóg wynikający z unijnej dyrektywy PSD2 (Payment Services Directive 2), która weszła w życie, by ujednolicić i wzmocnić rynek płatności w Europie. Hasło to oznacza dosłownie „silne uwierzytelnienie klienta”. W praktyce jest to proces polegający na weryfikacji tożsamości użytkownika za pomocą co najmniej dwóch niezależnych od siebie czynników.

Dlaczego silne uwierzytelnienie stało się standardem? Odpowiedź jest prosta: tradycyjne zabezpieczenia – oparte na statycznych danych, takich jak numer karty czy kod CVV – stały się podatne m.in. na ataki phishingowe, czyli podszywanie się przestępców pod np. pracowników banku, w celu wyłudzenia wrażliwych danych. Dodatkowo, hakerzy opracowali wiele metod pozwalających im na kradzież danych bezpośrednio z systemów finansowych – same cyfry na plastiku przestały więc gwarantować, że transakcję zleca faktyczny właściciel rachunku.

Technologia Strong Customer Authenticationwprowadziła tzw. „zasadę separacji”. Nawet jeśli oszust przechwycił hasło – np. do aplikacji bankowej – nie sfinalizuje płatności bez drugiego składnika, który fizycznie nadal znajduje się w posiadaniu właściciela rachunku.

Silne uwierzytelnianie płatności online – jak działa?

Mechanizm silnego uwierzytelniania płatności SCA opiera się na inteligentnej kombinacji trzech niezależnych kategorii dowodów tożsamości. Zgodnie z jego założeniami, do sfinalizowania transakcji potrzebne są dowody z co najmniej dwóch grup:

• wiedza (knowledge) – czyli coś, co zna faktyczny posiadacz rachunku – może to być unikalne hasło do bankowości, kod PIN do karty lub wzór graficzny,
• posiadanie (possession) – czyli coś, co posiada prawdziwy właściciel rachunku – najczęściej jest to smartfon z zainstalowaną aplikacją bankową (generującą powiadomienia push), klucz bezpieczeństwa U2F podłączany do portu USB lub – coraz rzadziej – token sprzętowy,
• cechy klienta (inherence) – a więc coś, czym jest posiadacz konta – to najbardziej unikalna metoda, wykorzystująca biometrię: skan odcisku palca, rozpoznawanie rysów twarzy (FaceID) czy analiza tęczówki oka.

W praktyce płatności SCArealizowane są najczęściej poprzez protokół 3D Secure SCA. Podczas finalizacji np. zakupów w e-sklepie klient zostaje przeniesiony na bezpieczną stronę banku. Tam system prosi o potwierdzenie transakcji – np. poprzez wpisanie kodu z SMS-a (posiadanie) i zatwierdzenie go kodem PIN (wiedza) lub po prostu poprzez kliknięcie „zatwierdź” w aplikacji mobilnej i przyłożenie palca do czytnika (posiadanie oraz biometria).

SCA a bezpieczeństwo płatności internetowych

Wprowadzenie rygorystycznych norm SCA radykalnie poprawiło bezpieczeństwo płatności internetowych. Główną korzyścią dla konsumentów jest spadek liczby nieautoryzowanych transakcji. Nawet w przypadku kradzieży tożsamości czy wycieku danych, wieloskładnikowa weryfikacja stanowi skuteczną metodę ochrony pieniędzy.

Z perspektywy klientów zwiększona ochrona transakcji kartą, jaką zapewnia Strong Customer Authentication,eliminuje lęk przed zakupami na nowych, nieznanych platformach. W przypadku fizycznego zgubienia lub kradzieży karty ryzyko wyczyszczenia konta również jest zdecydowanie mniejsze, choć oczywiście w takich sytuacjach nadal bardzo istotne jest zastrzeżenie karty– przez infolinię banku, aplikację mobilną lub system Zastrzegam.pl, działający całodobowo pod numerem telefonu (+48) 828 828 828.

Z kolei sprzedawcy internetowi dzięki silnemu uwierzytelnianiu płatności online odnotowują spadek liczby reklamacji wynikających z oszustw. Choć początkowo obawiano się, że dodatkowe kroki wydłużą proces zakupowy, nowoczesne rozwiązania biometryczne sprawiły, że uwierzytelnienie trwa sekundy, nie wpływając negatywnie na konwersję. Standard 3D Secure SCA stał się swoistym certyfikatem jakości, informującym klienta, że jego środki są pod należytą opieką, a sklep dba o najwyższe standardy technologiczne.

Strong Customer Authentication to technologia, która pozwoliła instytucjom finansowym oraz klientom nadążyć za tempem rozwoju cyfrowych zagrożeń. Choć konieczność dwuetapowej weryfikacji dodaje kilka sekund do procesu płatniczego, jest to inwestycja, która zwraca się w postaci bezpieczeństwa finansów. Dzięki temu nowoczesne uwierzytelnianie płatności online staje się nie tylko wymogiem prawnym, ale przede wszystkim standardem nowoczesnego i świadomego stylu życia w sieci.