Szanowni Państwo,

Informujemy, że od 1 stycznia 2021 r. zmianie ulega uwierzytelnianie transakcji internetowych z  użyciem kart płatniczych. Dotychczasowy kod 3D Secure, który w trakcie transakcji otrzymywali Państwo SMS-em, będzie uzupełniony dodatkowo o kod PIN.

Na czym polegają zmiany?


Aktualnie płacąc w Internecie kartą płatniczą transakcje zabezpieczane są usługą 3D Secure. Obecnie transakcja potwierdzana jest jednorazowym kodem, który otrzymujemy na numer telefonu. Zmiany, wprowadzone od nowego roku polegać będą na tym, że dla potwierdzenia transakcji wymagane będzie dodatkowo podanie kodu PIN do karty.

Po zmianach w celu autoryzacji transakcji internetowej wymagane będzie podanie:

•    danych karty: numeru karty, daty ważności, kodu CVC2/CVV2 (trzycyfrowego numer, który znajduje się na odwrocie karty),
•    Kodu 3D Secure - z SMSa,
•    PIN-u do karty.


Dlaczego wprowadzamy zmiany?

Zmiana to efekt dyrektywy unijnej PSD2 wdrożonej w Polsce ustawą o usługach płatniczych, nakładającej obowiązek stosowania tzw. silnego uwierzytelnienia, które wymaga dodatkowej weryfikacji tożsamości użytkownika.

PSD2 (ang. Payment Services Directive 2) to dyrektywa unijna z 25 listopada 2015 r. w sprawie usług płatniczych. Jej celem jest ujednolicenie i uporządkowanie zasad funkcjonowania rynku usług płatniczych, na którym działają m.in. banki oraz instytucje płatnicze. Dyrektywa PSD2 zwraca szczególną uwagę na bezpieczeństwo finansów klientów banków, dlatego banki zostały zobowiązane, by wprowadzić obowiązek stosowania silnego uwierzytelnienia, m.in. podczas płatności kartą. Silne uwierzytelnianie zwiększa bezpieczeństwo transakcji.

Zgodnie z Dyrektywą PSD2 banki są zobowiązane stosować silne uwierzytelnianie klienta (ang. SCA - strong customer authentication). Oznacza to, że w przypadku transakcji z użyciem karty, klient będzie zobligowany potwierdzać płatność przy użyciu co najmniej dwóch elementów uwierzytelniania z poniższych kategorii:

•    wiedza (np. hasło, PIN),
•    cechy charakterystyczne użytkownika (np. biometria),
•    coś, co posiada użytkownik (np. smsKod przesyłany na smartfon, token, zaufane urządzenie mobilne).

Każdy z elementów musi należeć do odrębnej kategorii. Przepisy wykonawcze do dyrektywy PSD2 definiują również sytuacje, w których można odstąpić od stosowania silnego uwierzytelnienia.

Zmiany dotyczą jedynie transakcji kartą płatniczą w Internecie. Transakcje w bankomatach oraz terminalach płatniczych pozostają bez zmian.