Martti Hetemäki: Suo­mel­la on kolme pahaa on­gel­maa, yksi niistä on EU:n nopein vel­kaan­tu­mis­vauh­ti

Koti-Kaleva: Koti Hei­nä­pääs­sä on kaunis ko­ko­nai­suus ja täynnä vei­kei­tä yk­si­tyis­koh­tia

Luitko jo tämän: Poliisi aloit­taa tut­kin­nan Oulun entisen yh­dys­kun­ta­joh­ta­jan toi­mis­ta

Pelkkä tun­nus­lu­ku ei enää riitä verk­ko­pan­kis­sa – nyt lähes joka pan­kil­la on oma tapansa tun­nis­taa asiakas

Tulevaisuudessa asiakas voisi nähdä eri pankkien tilit yhdestä verkkopankista.

Tunnusluvut eivät ole häviämässä kokonaan, vaan muuttamassa muotoaan.
Tunnusluvut eivät ole häviämässä kokonaan, vaan muuttamassa muotoaan.
Kuva: Pekka Aho

Pankkitunnistautuminen muuttui paljon syyskuussa EU:n uuden maksupalveludirektiivin myötä. 

Syyskuun 14. päivänä voimaan astuneen Euroopan unionin PSD2-maksupalveludirektiivin myötä käytetyt avainlukulistat eivät enää pelkästään käy verkkopankkiin kirjautumiseen, vaan asiakkaalta vaaditaan vahvaa tunnistautumista. 

Tunnusluvut eivät kuitenkaan ole häviämässä kokonaan, vaan muuttamassa muotoaan.

Maksupalveludirektiivin uudistuksen on tarkoitus vahvistaa verkkopankin käyttäjien tietoturvaa, mutta uudistuksen toinen oleellinen asia piilee tilitiedoissa, joita pankkien tulee jatkossa jakaa. PSD2-direktiivi velvoittaa pankit avaamaan asiakkaan suostumuksella tämän tilitietoja kolmansille osapuolille, kuten toisille pankeille ja muille toimijoille.

Miten uusi maksupalveludirektiivi on muuttanut asiakkaiden verkkopankkiasiointia, Osuuspankin maksamisen ja taloushallinnan johtaja Masa Peura?

– Meillä on kaksi tapaa tunnistaa asiakas: mobiiliavain ja sen lisäksi on avainlukulistan rinnalla tekstiviestitunnistus. Mobiilipankissa mobiiliavain on ainoana vaihtoehtona, mutta verkkopankissa vasta tuloillaan syksyn aikana. Avainlukulistoista ja lisävahvistuksen luopumisesta mobiiliavaimen rinnalla ei ole aikataulua. Ne toimivat verkkopankissa vielä jatkossa, niin pitkään kuin näemme, että sille on tarve ja kysyntä.

Miten verkkopankkitunnistautuminen on järjestetty Nordeassa, varajohtaja Jani Eloranta?

– Nordea tarjoaa välineinä tunnuslukusovelluksen tai erillisen tunnuslukulaitteen. Tavallisen tunnuslukulaitteen lisäksi näkövammaisille on kehitetty puhuva tunnuslukulaite yhdessä Näkövammaisten keskusliiton kanssa. Vanha tunnuslukukortti on vielä toistaiseksi käytössä, mutta suosittelemme siirtymistä uusiin tunnistautumisvälineisiin mahdollisimman pian. Mobiilipankkiimme voi kirjautua ainoastaan uusilla tunnistautumisvälineillä.

Danske Bankin tunnusluvut tulevat mobiilisovelluksella tai tunnuslukulaitteella. Millaista palautetta olette saaneet tästä uudistuksesta, kehitysjohtaja Marko Huhdanpää?

– Sovellus on otettu hyvin vastaan ja sillä kirjautuminen on asiakkaiden mukaan kätevämpää kuin tunnuslukulistalla. Laitteesta on tullut palautetta, että sitä on helppo käyttää ja näyttö on selkeä. Tunnuslukulistasta avainlukua vastaava tunnusluku piti etsiä, laitteella se tulee suoraan nappia painamalla.

– Direktiivin tarkoitus oli, että pankkitunnusten hallussa oleva osa on sellainen, ettei se ole kopioitavissa. Lista oli helppo kopioida, sovellusta tai laitetta ei pysty.

Millaisia mahdollisuuksia tilitietojen avaaminen kolmansille osapuolille ja toisille pankeille antaa asiakkaalle, Osuuspankin Masa Peura?

– Mobiili- ja verkkopankissa tai muussa palvelussa voisi nähdä myös muiden pankkien tilitietoja. Seuraavassa vaiheessa tulee tällaisia uuden taloudenhallinnan palveluita, että voidaan yhdistää monen pankin tilitiedot. Mekin tutkimme tätä asiaa.

– Voidaan myös näyttää eri toimijoiden tilitietoja, eri toimijat voivat jatkossa käynnistää maksuja myös toisten toimijoiden tileiltä. Tulevaisuudessa pankitkin voivat tarjota mahdollisuutta maksaa maksuja toisen pankin tililtä.

Lisääkö vai heikentääkö tilitietojen jakaminen asiakkaan tietoturvaa, Dansken  Marko Huhdanpää?

– Se parantaa tietoturvaa siinä mielessä, että asiakas voi nähdä ne samassa paikassa ja huomaa helpommin mahdollisia poikkeavuuksia. Markkinoille voi tulla myös kolmannen osapuolen sovelluksia, joihin liittyy uudentyyppisiä riskejä. On vaikea sanoa parantaako vai heikentääkö uudistus tietoturvaa.

Pankkitunnistautuminen muuttui

PSD2-direktiivin mukainen vahva tunnistaminen vaatii jotain, mitä vain käyttäjä tietää (esimerkiksi salasana), jotain, mitä vain käyttäjällä on (kuten matkapuhelin) ja käyttäjän yksilöivän ominaisuuden (esimerkiksi sormenjälki, kasvot).

Ennen direktiivin tuloa voimaan pankkien täytyi ratkaista miten huolehtivat tunnistautumisen EU:n vaatimalle tasolle.

Nordea ja Danske Bank hoitavat tunnistuksen tunnuslukuja antavilla mobiilisovelluksella ja erillisellä tunnuslukulaitteella.

Osuuspankki on ottanut käyttöön mobiiliavaimena toimivan PIN-koodin.

S-Pankki käyttää tunnuslukulistan ohella tunnusluku-, sormenjälki- ja kasvotunnistautumista.

Aktia lähettää asiakkailleen automaattisesti tekstiviestivahvistuksen verkkopankkitapahtumista.

Lähteet: Finanssiala ry., Nordea, Danske Bank, Osuuspankki, S-Pankki, Aktia