FinansWatch

Banker lægger regelbyrde over på kunderne

Nye regler giver banker og deres datacentraler mulighed for at bevare et nemt netbanklogin, hvis kunderne bare skal tjekke saldoen. Alligevel lægger alle op til at gå med livrem og seler i efterlevelsen af de nye regler. Mens to datacentraler er i mål med implementeringen på området, halter den tredje datacentral efter.

Et irritationsmoment enten har ramt eller vil ramme bankkunder, når de tjekker saldoen i netbanken. Det er konsekvensen af bankernes og deres datacentralers implementering af nye betalingsstandarder fra EU, der trådte i kraft 14. september i år.

Konkret vil bankkunder opleve, at de ud over brugernavn og kodeord tilhørende Nemid også skal bruge en Nemid-nøgle eller Nemid-verificering via Nemid-appen, når de skal ind på netbanken. Også selvom de kun vil tjekke, hvad der står på kontoen, et såkaldt kontokig, og dermed ikke foretager nogen aktive handlinger i netbanken som for eksempel transaktioner.

Det har man ellers tidligere kunnet gøre i mange af landets banker.

Danske Bank og de øvrige bankers datacentraler i form af BEC, Bankdata og SDC oplyser til FinansWatch, at de enten har eller vil indføre reglerne sådan, at man ud over brugernavn og kode også kræver verificering med Nemid-appen eller -nøglekort ved kontokig i netbanken.

Undtagelse til reglerne

Tidligere har det i mange banker været muligt kun at skulle taste brugernavn og kode, når man logger ind i netbanken udelukkende for at se, hvad der står på kontoen. Altså har man ikke behøvet at skulle have mobilen eller nøglekortet op ad lommen.

Mere teknisk er det bankernes implementering af nye betalingsstandarder, de såkaldte tekniske standarder, tilhørende EU's betalingsdirektiv PSD2, som ændrer på det. Dog er der en undtagelse til reglerne, som giver bankerne mulighed for at bevare det såkaldte énfaktorlogin ved almindeligt kontokig. Det forklarer finansadvokat Michael Camphausen over for FinansWatch.

Han oplyser, at bankerne og deres datacentraler har mulighed for at undgå tofaktorlogin ved simpel kontokig, også kendt som stærk kundeautentifikation eller tofaktorlogin, hvis bankerne blot sikrer, at kunderne ikke har adgang til transaktioner, der er ældre end 90 dage, og hvis kunderne senest har været logget ind på netbanken med Nemid inden for de seneste 90 dage.

"Så rent regulatorisk er der altså intet til hinder for, at bankerne kunne gøre det muligt for deres kunder at bruge énfaktorlogin ved simpel kontokig i netbanken og dermed ikke forringe tilgængeligheden og brugervenligheden ved sådanne kontokig," siger Michael Camphausen, partner i Camphausen|Co Advokatfirma og ph.d. i finansiel regulering, til FinansWatch.

Kort sagt er det altså unødvendigt med anden verifikation end adgangskode, når kunder blot skal tjekke saldoen.

Datacentral anerkender undtagelse

Hos datacentralen BEC, der blandt andet er ejet af Spar Nord og Arbejdernes Landsbank, anerkender man muligheden for at undgå stærk autentifikation ved kontokig. Men datacentralen oplyser, at der i så fald også stilles krav om at screene og rapportere om svindel på den måde, som de nye betalingsstandarder foreskriver, hvilket vil kræve ændringer i den overvågningsløsning, som man har i dag.

"Der ligger formentlig et stykke fortolkningsarbejde – inkl. afklaring herom med myndighederne – foran os i forhold til, hvordan det præcist skal udmøntes. Derfor indfører vi indtil videre tofaktorautentifikation på alle logins. Og det, forventer vi, kommer til at ske i løbet af fjerde kvartal i både netbank og mobilbank," udtaler Simon Gabrielsen, kommunikationsdirektør hos BEC, til FinansWatch.

Frem til fjerde kvartal i år vil kunder i BEC-banker altså kunne opleve fortsat at tjekke saldoen ved bare at trykke kode og brugernavn, selvom BEC på baggrund af det oplyste ikke har foretaget de nødvendige foranstaltninger, såsom at afgrænse saldoen ved kontokig til de seneste 90 dage, til trods for at de nye betalingsstandarder trådte i kraft 14. september.

FinansWatch er ved at indhente en kommentar fra Finanstilsynet i forhold til, om det får nogen konsekvenser, at datacentralen ikke er kommet helt i hus med indførslen af de tekniske standarder til PSD2.

SDC går med livrem og seler

SDC, der blandt andet har Sparekassen Kronjylland og Lån & Spar i ejerkredsen, oplyser, at man på nogle områder oplever usikkerhed om, hvordan de nye regler skal fortolkes.

"Vi har derfor valgt at anbefale vores banker at implementere den sikreste login løsning i form af tofaktorlogin," lyder det fra SDC.

Bankdata, som blandt andet har Jyske Bank og Sydbank i folden, bruger en regelstramning som argument for, hvorfor man har valgt at kræve tofaktorlogin ved simpelt kontokig i netbanken, selvom lovgivningen altså åbner op for at bevare etfaktorlogin.

"De nye krav i PSD2-lovgivningen betyder, at der nu også er tofaktorlogin for at se sin konto. Det er sikkerhedsmæssig en lille stramning i forhold til tidligere. Bankdata havde gennemført ændringen, da PSD2-kravet trådte i kraft 14. september."

Det er dog ikke helt korrekt, da der i de tekniske standarder som nævnt er undtagelse til reglerne i forhold til kontokig.

Fortsat nemt at komme ind i mobilbanken

Danske Bank oplyser, at man har implementeret tofaktorgodkendelse for både netbank og mobilbank. Mens det altså bliver mere bøvlet at tjekke saldoen på netbanken, vil kunderne ikke opleve forskel, når de bruger mobilbank, oplyser datacentralerne og Danske Bank.

"For kunderne kan de nye regler opleves forskelligt i henholdsvis netbanken og mobilbanken, fordi de tekniske muligheder for at implementere tofaktorlogin på mobile apps kan gøres i baggrunden, så kunden ikke forstyrres af det ekstra sikkerhedsled," oplyser Danske Bank.

"Helt konkret oplever kunden den ene faktor på mobilbanken i form af en servicekode, fingeraftryk eller faceID. Den anden faktor opleves ikke, da denne er baseret på såkaldt Device Binding," lyder det videre fra banken.

"Device binding" vil sige, at den ene faktor ved login udgøres af, at man har sin egen mobiltelefon, mens den anden faktor så eksempelvis kan udgøres af fingeraftryk. Altså vil bankkunder stadig kunne komme ind på mobilbanken nemt og hurtigt som hidtil.

"Første gang brugeren logger på mobilbanken, eksempelvis efter have fået en ny telefon, vil vedkommende blive bedt om med NemID at knytte Mobilbank-appen til den pågældende telefon. Fremover fungerer denne tilknytning som en "besiddelsesfaktor". Og med denne faktor på plads, kræves der herefter kun en yderligere faktor af kunden ved login," oplyser Danske Bank.

Relaterede

FinansWatch trial banner 14 dage.jpg

Seneste nyt

Finansjob

Se flere

Se flere