Från och med den 14 september måste europeiska banker genomföra PSD2-direktivet, som kräver att man använder säkrare autentiseringssystem än de nuvarande
Många av de europeiska storbankernas kunder som använder banktjänster på nätet känner redan till detta eftersom de har fått de nödvändiga meddelandena från sitt bankinstitut: från och med den 14 september kommer det inte längre att vara möjligt att använda de gamla "tokenerna" för att auktorisera transaktioner som utförs via webbplatser eller smartphoneappar.
Detta är effekten av Payment Services Directive 2 (PSD2), det nya EU-direktivet om digitala betalningar, som har infört effektivare säkerhetsåtgärder för bankerna för att skydda ekonomiska transaktioner som utförs via elektroniska enheter. Den gamla "nyckeln" som var synkroniserad med bankens servrar och som automatiskt och kontinuerligt genererade de koder som krävdes för att godkänna transaktionerna, har alltså tagits ur bruk. Problemet med tokens var främst att man inte med säkerhet kunde koppla en enda kod till en specifik operation. Problemet var inte bara ett säkerhetsproblem utan också ett problem med öppenhet och spårbarhet för pengarna.
Öppen bankverksamhet
Med PSD2 gjorde det nya konceptet "öppen bankverksamhet" sin debut. Bankerna kommer att kunna dela uppgifter om löpande konton och transaktioner med tredjepartsföretag, med förbehåll för kundens godkännande. På så sätt kommer bankerna att kunna tjäna pengar på denna information och kunderna kommer att kunna få nya tjänster. Det blir till exempel möjligt att göra en betalning utan att använda ett betalnings- eller kreditkort. Integrationen med betalningstjänsterna hos webbjättar som Apple, Facebook och Google kommer också att bli enklare och effektivare.
Goodbye tokens, hello apps
SydD2 binder inte bankerna till någon särskild metod för att godkänna onlinetransaktioner, förutom den gamla pinnen. Varje institution kommer att kunna välja det system den föredrar, så länge det uppfyller säkerhetskraven. Det vanligaste valet i denna första fas av övergången från det gamla till det nya systemet är en OTP-kod (One Time Password) som genereras av en app. Precis som de som genereras av de gamla tokenerna ändras OTP-lösenorden ständigt, men till skillnad från de gamla kan de med säkerhet kopplas till en enskild transaktion. Dessa OTP-koder skickas till kunden via SMS eller e-post och ska inte förväxlas med OTP-koderna i 3D Secure-systemet (som används av Visa och Mastercard). Den senare genereras faktiskt inte av programvaran utan bestäms av användaren (som också kan välja att inte ändra den).