Zdrapki, tokeny, kody SMS i powiadomienia w aplikacji – metody autoryzacji transakcji dawniej i dziś

Michał Radzimiński
Michał Radzimiński
Analityk produktów finansowych
Michał Radzimiński
Michał Radzimiński
Analityk produktów finansowych

65 publikacji 1151 komentarzy

Doświadczony recenzent i tester, a przede wszystkim aktywny użytkownik wielu aplikacji bankowych i rozwiązań fintechowych. Od 6 lat odpowiada przede wszystkim za tworzenie treści związanych z nowinkami technologicznymi w finansach. Jednocześnie śledzi działalność podmiotów funkcjonujących na rozkwitającym rynku płatności odroczonych. Do każdej nowości w finansach podchodzi z ciekawością, ale przede wszystkim krytycznie.


14 komentarzy
Zdrapki, tokeny, kody SMS i powiadomienia w aplikacji – metody autoryzacji transakcji dawniej i dziś
Spis treści

Ewolucja dostępnych metod autoryzacji dobrze oddaje priorytety, która napędzają zmiany w technologiach bankowych. Jednym z nich jest niewątpliwie wygoda, drugim, równie ważnym – bezpieczeństwo.

Na początku zabierzemy Was w podróż w czasie, choć przeszłość, o której piszemy, nie jest wcale tak odległa…

Ani wygodnie, ani bezpiecznie – zdrapki i tokeny

Z perspektywy czasu o sposobach zatwierdzania transakcji, które okres swojej świetności przeżywały kilka lub kilkanaście lat temu, z pewnością nie można było powiedzieć, że zapewniały klientom komfort oraz bezpieczeństwo. Przede wszystkim popularne niegdyś karty kodów jednorazowych i tokeny sprzętowe trzeba było mieć przy sobie zawsze, gdy zlecaliśmy przelew.

Karta kodów jednorazowych w Pekao S.A.
Metody autoryzacji transakcji. Karta kodów jednorazowych (Bank Pekao S.A.)

W przypadku zdrapek często konieczne było również przewidywanie, kiedy skończą nam się jednorazowe kody i zamówienie kolejnej karty z odpowiednim wyprzedzeniem (o ile bank nie śledził stanu liczbowego naszych kodów i sam z siebie nie wysyłał nowych).

Token w PKO BP
Metody autoryzacji transakcji. Token (PKO BP)

Ponadto istniały co najmniej dwa czynniki ewentualnego ryzyka związane z użytkowaniem kart i tokenów. Po pierwsze, mogły dość łatwo wpaść w niepowołane ręce. Po drugie (i chyba nawet ważniejsze), podczas pozyskiwania kodu klient nie otrzymywał informacji na temat zatwierdzanej transakcji. W konsekwencji zdecydowanie łatwiej niż dziś było o pomyłkę i zlecenie przelewu na błędną kwotę lub do niewłaściwego odbiorcy.

Ten ostatni mankament bywał zresztą wykorzystywany przez przestępców. Wystarczyło zainfekować komputer złośliwym oprogramowaniem i wysłać ofierze dane do przelewu, który w rzeczywistości okazywał się być transferem na znacznie wyższą kwotę. Nieświadomy oszustwa klient zatwierdzał operację, gdyż ani zdrapki, ani zwykłe tokeny sprzętowe nie informowały go o jej szczegółach.

Instrukcja obsługi tokena od PKO BP dla klientów firmowych, który działał w połączeniu z kartą z wbudowanym mikroprocesorem.
Metody autoryzacji transakcji. Instrukcja obsługi tokena (PKO BP)

Tokeny GSM – pierwszy krok ku dzisiejszym metodom autoryzacji

Małym przełomem w tym kontekście były tzw. tokeny GSM, które zaczęto proponować wraz z rozwojem technologii mobilnej. Tak samo jak token sprzętowy generowały one kody jednorazowe, tyle że z poziomu osobnej aplikacji na smartfona, działającej również bez dostępu do sieci.

Jeszcze do połowy sierpnia 2019 r. token w formie aplikacji był jedną z dostępnych metod autoryzacji oferowanych przez Bank Pekao (PekaoToken), podobnie zresztą jak karta kodów jednorazowych i token sprzętowy. Z kolei kilka tygodni po wycofaniu PekaoTokena identyczne narzędzie uruchomił mBank. Co ciekawe, mBank Token funkcjonuje jednocześnie z mobilną autoryzacją we “właściwej” aplikacji banku.

Przewaga tokena GSM nad poprzednikiem była dość oczywista – aplikacja dawała podgląd szczegółów transakcji, więc trzeba było być naprawdę roztargnionym lub nierozważnym, by zatwierdzić błędny lub „oszukany” przelew. Wadą była, rzecz jasna, konieczność instalowania osobnej aplikacji służącej tylko i wyłącznie do zatwierdzania operacji.

Obecne metody – kody SMS i powiadomienia w aplikacji

Mimo to należy przyznać, że tokeny GSM były jednym z pierwszych przejawów zbliżającej się wielkimi krokami dominacji technologii mobilnej w dziedzinie nie tylko autoryzacji transakcji, ale w bankowości w ogóle. W każdym razie każda nowa metoda autoryzacji była od tego momentu ściśle powiązana z naszym nieodłącznym towarzyszem, czyli telefonem komórkowym.

Kody SMS

Kolejna propozycja bankowców oparta była o kody autoryzacyjne wysyłane za pośrednictwem SMS. Ta metoda szybko zdobyła popularność i do dziś jest bodaj najpowszechniej stosowanym sposobem zatwierdzania operacji zlecanych w bankowości internetowej.

Po wypełnieniu danych potrzebnych do realizacji przelewu oczekujemy (choć to chyba zbyt duże słowo, zwykle trwa to bowiem ledwie kilka sekund) na SMS od banku, w którym znajdziemy szczegóły transakcji wraz z jednorazowym kodem służącym do jej autoryzacji. Wygląda on mniej więcej tak (poniżej przykład BNP Paribas):

Kod SMS
Metody autoryzacji transakcji. Kod SMS (BNP Paribas)

Jeszcze przed zatwierdzeniem przelewu możemy zatem upewnić się, że wskazaliśmy właściwego odbiorcę i kwotę transferu. W porównaniu z archaicznymi zdrapkami i tokenami jest to więc metoda bardziej odporna na ewentualne pomyłki wynikające chociażby z nieuwagi klienta. By zatwierdzić transakcję, wystarczy przepisać kod w odpowiednim polu w bankowości internetowej.

W przypadku tej metody wciąż istnieje jednak ryzyko, że SMS z kodem zostanie przechwycony przez malware, czyli złośliwe oprogramowanie lub padnie łupem oszusta, który wyrobi duplikat naszej karty SIM. W takiej sytuacji wystarczy, że przestępca uzyska dane do logowania w serwisie transakcyjnym, by mógł bez przeszkód pozbawić ofiarę wszelkich oszczędności. O najważniejszych zasadach bezpiecznego korzystania z bankowości przeczytasz tutaj.

Jak nietrudno się domyślić, wysyłanie wiadomości tekstowych za każdym razem, gdy chcemy zlecić przelew, oznacza dla banku niemałe koszty. Na szczęście w tym przypadku banki nie zrzucają ich na swoich klientów (a przynajmniej nie w bezpośredni sposób). Kody autoryzacyjne wysyłane w wiadomościach SMS w zdecydowanej większości banków są dla posiadaczy kont osobistych darmowe. Wyjątkiem jest wspomniany już Bank Pekao, który za każdy taki SMS pobiera opłatę 0,20 zł.

Mobilna autoryzacja

Chęć ograniczenia przez banki kosztów jest powodem, dla którego ochoczo wprowadzają i reklamują najnowszą metodę zatwierdzania operacji – mobilną autoryzację. Już teraz oferowana jest ona przez większość dużych banków, konkretnie przez:

  • Alior Bank,
  • Bank Pekao SA,
  • Bank Millennium,
  • BNP Paribas,
  • eurobank,
  • Getin Bank,
  • ING Bank Śląski,
  • mBank,
  • Nest Bank,
  • PKO BP,
  • Santander Bank Polska oraz
  • T-Mobile Usługi Bankowe.

Aby korzystać z mobilnej autoryzacji, należy ją aktywować w bankowości elektronicznej.

Na początku 2017 r. mobilną autoryzację jako pierwszy w Polsce zaproponował wszystkim swoim klientom mBank. Inne instytucje szybko poszły jego śladem, reklamując tę metodę jako najwygodniejszą i najbezpieczniejszą. Czy słusznie?

Zacznijmy od wygody. Aby zatwierdzić przelew w aplikacji, należy nacisnąć powiadomienie na ekranie smartfona, zalogować się, sprawdzić, czy dane transakcji się zgadzają i ją potwierdzić. Wystarczy więc kilka ruchów palcem. Pozbywamy się natomiast konieczności przepisywania kodu, podczas którego wzrok musi wędrować z telefonu trzymanego w ręce na ekran komputera przed nami.

Proces autoryzacji z poziomu aplikacji we wszystkich bankach przebiega bardzo podobnie. Dla przykładu podrzucamy Wam krótką instrukcję dla klientów PKO BP:

Dane przelewu w aplikacji przedstawione są zwykle w bardzo czytelny sposób. Poniżej przykładowa prezentacja szczegółów przelewu w aplikacji mBanku i ING Banku Śląskiego:

Mobilna autoryzacja
Metody autoryzacji transakcji. Mobilna autoryzacja (mBank i ING Bank Śląski)

A teraz kilka słów o bezpieczeństwie. Istotnie, to właśnie mobilna autoryzacja uważana jest przez ekspertów za najbezpieczniejszą obecnie metodę. Po pierwsze, wynika to z prostego faktu, że konieczne jest zalogowanie do aplikacji PIN-em (lub np. odciskiem palca), który w założeniu powinien znać tylko i wyłącznie jej użytkownik. Po drugie, powiadomienia, jak i cała komunikacja między bankowością internetową i mobilną, są szyfrowane, dzięki czemu przechwycenie danych przez złośliwe oprogramowanie jest znacznie utrudnione. Po trzecie – i tu wracamy do kwestii przejrzystości – łatwo wyłapiemy ewentualny błąd w danych transakcji.

Na dokładkę kolejna zaleta: mobilne zatwierdzanie operacji jest zawsze darmowe.

Kody SMS czy mobilna autoryzacja – którą metodę wybrać?

Najnowsze metody autoryzacji transakcji – kody SMS i mobilna autoryzacja – zdecydowanie górują nad dawnymi sposobami zatwierdzania operacji zlecanych w bankowości internetowej. Nie dość, że są darmowe (czego nie można powiedzieć o odchodzących do lamusa zdrapkach i tokenach sprzętowych), to do tego są wygodniejsze i mimo wszystko bezpieczniejsze od poprzedników.

Zastanawiasz się, którą z dwóch metod wybrać? Zbierzmy przedstawione wcześniej informacje i porównajmy je właśnie pod kątem kosztu, wygody i bezpieczeństwa:

Kody SMS vs. mobilna autoryzacja
Kody SMS Mobilna autoryzacja
Koszt darmowe (wyjątek: Bank Pekao, 0,20 zł / szt.) darmowa
Wygoda (niezbędne czynności)
  1. Otwarcie wiadomości SMS w telefonie.
  2. Sprawdzenie poprawności danych dotyczących transakcji.
  3. Uważne przepisanie kilkucyfrowego kodu w bankowości internetowej.
  4. Zatwierdzenie operacji na ekranie komputera.
  1. Naciśnięcie powiadomienia na ekranie smartfona.
  2. Zalogowanie do aplikacji.
  3. Sprawdzenie poprawności danych dotyczących transakcji (bardziej czytelne niż w przypadku SMS-a).
  4. Zatwierdzenie operacji na ekranie smartfona.
Bezpieczeństwo
  • Ryzyko przechwycenia SMS-a przez złośliwe oprogramowanie (jeśli użytkownik zezwoli mu na dostęp do wiadomości).
  • Możliwe przechwycenie wiadomości z banku przez złodzieja dzięki duplikatowi karty SIM.
  • Niższe ryzyko ataku ze strony złośliwego oprogramowania (powiadomienia są szyfrowane).
  • Dodatkowe zabezpieczenie w postaci konieczności zalogowania do aplikacji.

W starciu kodów SMS z powiadomieniami z aplikacji postawić należy na tę drugą metodę. Naszym zdaniem kliknięcie w powiadomienie, a następnie szybkie zalogowanie i zatwierdzenie transakcji, jest wygodniejsze od otwierania wiadomości SMS i ręcznego przepisywania kodu.

Za potwierdzaniem transakcji w aplikacji przemawia też fakt, że sposób prezentacji danych przelewu jest w tym przypadku bardziej czytelny i łatwiejszy do skanowania wzrokiem – jeśli popełniliśmy błąd w numerze konta lub kwocie, to wyłapiemy go łatwiej niż w SMS-ie, gdzie liczby i tekst „zlewają” się ze sobą. To jednak bardziej kwestia indywidualnych preferencji niż obiektywnej oceny.

Decydujące okazało się bezpieczeństwo. Choć żadna z metod nie gwarantuje 100-procentowej ochrony przed hakerem/złodziejem/oszustem, to mobilna autoryzacja jest jednak nieco bliższa ideałowi.

Nie jest jednak tak, że klienci, którzy mają do dyspozycji jedynie autoryzację kodami SMS, powinni drżeć ze strachu przed kradzieżą środków. Również tę metodę należy uznać za względnie bezpieczną, choć wskazane jest przestrzeganie elementarnych zasad zdrowego rozsądku. Niezależnie od wybranej metody autoryzacji zalecamy uważne sprawdzanie danych przelewu, korzystanie z ochrony antywirusowej, ostrożne przyznawanie aplikacjom dostępu do danych gromadzonych w telefonie, a także unikanie instalowania aplikacji z niepewnych źródeł. Pamiętaj, że nawet najdoskonalsza technologia może nie uchronić Cię przed problemami, jeśli nie zachowasz wystarczającej czujności!

Oceń artykuł
4
(4 oceny)
Aby oddać głos, wskaż odpowiednią liczbę gwiazdek.
Dziękujemy za Twój głos Dziękujemy za Twój głos