Silne uwierzytelnianie (SCA) — co to jest i kiedy obowiązuje

Czym jest silne uwierzytelnianie

Silne uwierzytelnianie klienta (ang. Strong Customer Authentication, w skrócie SCA) to sposób potwierdzania tożsamości, który wymaga użycia co najmniej dwóch niezależnych elementów. Dzięki temu samo poznanie hasła przez osobę niepowołaną nie wystarcza, by uzyskać dostęp do konta lub wykonać płatność. To jeden z filarów bezpieczeństwa współczesnej bankowości elektronicznej.

Obowiązek stosowania silnego uwierzytelniania wynika z unijnej dyrektywy PSD2, wdrożonej w Polsce m.in. w ustawie o usługach płatniczych. W praktyce SCA towarzyszy Ci codziennie: przy logowaniu do aplikacji banku, przy potwierdzaniu przelewu czy przy płatności kartą w internecie.

Celem SCA jest ograniczenie oszustw, w tym przejęć konta i nieautoryzowanych płatności. Mechanizm został tak zaprojektowany, aby nawet wyciek jednego elementu (np. hasła wyłudzonego metodą phishingu) nie wystarczył do przeprowadzenia operacji bez Twojej wiedzy.

Trzy kategorie składników uwierzytelnienia

Silne uwierzytelnianie wymaga połączenia co najmniej dwóch z trzech niezależnych kategorii:

• Wiedza — „coś, co wiesz”. Element znany tylko Tobie: hasło, PIN, kod, odpowiedź na pytanie pomocnicze.
• Posiadanie — „coś, co masz”. Przedmiot będący w Twoim posiadaniu: telefon z aplikacją bankową, token sprzętowy, karta płatnicza.
• Cecha — „coś, czym jesteś”. Cecha biometryczna: odcisk palca, rozpoznanie twarzy, rzadziej głos.

Kluczowe jest słowo niezależne: naruszenie jednego składnika nie może osłabiać pozostałych. Dlatego np. odblokowanie telefonu odciskiem palca (cecha) i zatwierdzenie operacji w aplikacji (posiadanie) tworzą poprawną parę. Typowy schemat w bankowości to telefon z aplikacją (posiadanie) plus PIN do aplikacji lub biometria (wiedza albo cecha).

Kiedy silne uwierzytelnianie jest wymagane

Bank stosuje SCA przede wszystkim w sytuacjach o podwyższonym ryzyku:

• przy logowaniu do bankowości internetowej lub mobilnej (lub w trakcie sesji, okresowo),
• przy inicjowaniu płatności elektronicznej — przelewu, płatności kartą w internecie,
• przy czynnościach zdalnych, które mogą wiązać się z ryzykiem oszustwa (np. zmiana danych odbiorcy zaufanego, podniesienie limitów).

Silne uwierzytelnianie jest też wymagane, gdy dostęp do Twojego rachunku uzyskuje zewnętrzny dostawca usług w ramach open bankingu — to Ty potwierdzasz operację w swoim banku, a nie u tego dostawcy. Przy płatnościach internetowych SCA realizowane jest najczęściej przez protokół 3D Secure 2.

Wyjątki — kiedy SCA może nie być wymagane

Przepisy przewidują wyłączenia, które mają godzić bezpieczeństwo z wygodą. Najczęstsze z nich:

• Płatności niskokwotowe. Pojedyncze transakcje do równowartości 50 euro mogą być zwolnione z SCA, ale z licznikiem — po kilku takich operacjach lub po przekroczeniu skumulowanej kwoty bank i tak poprosi o potwierdzenie.
• Płatności zbliżeniowe w terminalu. Drobne płatności kartą zbliżeniowo do określonego limitu — również z licznikiem transakcji.
• Odbiorcy zaufani. Po dodaniu odbiorcy do listy zaufanej kolejne przelewy do niego mogą nie wymagać pełnego SCA.
• Płatności cykliczne o stałej kwocie. Po pierwszym potwierdzeniu kolejne pobrania o tej samej kwocie mogą być zwolnione.

Wyłączenia nie oznaczają braku bezpieczeństwa — bank stale monitoruje ryzyko i może zażądać silnego uwierzytelnienia także w sytuacjach, które normalnie byłyby z niego zwolnione.

SCA a autoryzacja transakcji

Silne uwierzytelnianie bywa mylone z samą autoryzacją transakcji, choć to nie to samo. Uwierzytelnianie odpowiada na pytanie „czy to na pewno Ty”, natomiast autoryzacja to wyrażenie zgody na konkretną operację. W praktyce te dwa kroki często się łączą: potwierdzając przelew w aplikacji odciskiem palca, jednocześnie udowadniasz tożsamość (SCA) i akceptujesz operację (autoryzacja).

Dla płatności obowiązuje też tzw. dynamiczne powiązanie: kod lub potwierdzenie jest unikalnie związane z kwotą i odbiorcą danej transakcji. Dlatego zawsze warto przeczytać treść powiadomienia przed zatwierdzeniem — zgadza się kwota i odbiorca? To podstawowa ochrona przed oszustwem polegającym na podstawieniu innej operacji do zatwierdzenia.

Najczęściej zadawane pytania

Co to znaczy „dwa składniki” przy logowaniu do banku?

To dwa niezależne elementy z różnych kategorii: wiedza (hasło, PIN), posiadanie (telefon z aplikacją, token) i cecha (biometria). Typowo łączy się posiadanie telefonu z aplikacją oraz PIN do tej aplikacji lub odcisk palca. Połączenie dwóch elementów z tej samej kategorii (np. dwa hasła) nie jest silnym uwierzytelnianiem.

Czy silne uwierzytelnianie jest obowiązkowe?

Tak, wynika z dyrektywy PSD2 i polskiej ustawy o usługach płatniczych. Banki muszą je stosować przy logowaniu, inicjowaniu płatności elektronicznych oraz dostępie do rachunku przez zewnętrznych dostawców. Przewidziano jednak wyjątki, np. dla części płatności niskokwotowych.

Dlaczego czasem płacę kartą w internecie bez potwierdzania, a czasem z 3D Secure?

Decydują o tym wyłączenia (np. niska kwota, odbiorca zaufany, płatność cykliczna) oraz ocena ryzyka po stronie banku. Gdy SCA jest wymagane, najczęściej realizuje je protokół 3D Secure 2 — potwierdzenie w aplikacji banku lub kodem.

Czy biometria w telefonie to bezpieczna metoda?

Tak, odcisk palca lub rozpoznanie twarzy to składnik „cecha”. W połączeniu z posiadaniem urządzenia (telefon z aplikacją) tworzy poprawne silne uwierzytelnianie. Dane biometryczne pozostają zwykle w bezpiecznym module urządzenia i nie są przesyłane do banku.

Czy SCA chroni mnie przed phishingiem?

Znacząco utrudnia oszustwo, ale nie zastępuje czujności. Jeśli sam zatwierdzisz operację podstawioną przez oszusta, SCA jej nie zablokuje. Dlatego przed potwierdzeniem zawsze sprawdzaj kwotę i odbiorcę w treści powiadomienia i nigdy nie podawaj kodów osobom trzecim.

Powiązane definicje i artykuły

Jeśli interesuje Cię bezpieczeństwo płatności, sprawdź też:

• Autoryzacja transakcji — wyrażenie zgody na operację, często łączone z uwierzytelnieniem
• 3D Secure — protokół realizujący silne uwierzytelnianie dla płatności kartą w internecie
• Open banking — dostęp do rachunku przez dostawców zewnętrznych z wymogiem SCA
• Phishing — wyłudzanie danych, przed którym chroni m.in. silne uwierzytelnianie