un blog de Radu Dumitru

Uitați-vă și pe canalul meu de YouTube, dați un Subscribe dacă vă place.

Banca Transilvania trece la 3D Secure biometric

29 Jul 2020  ·

TEHNOLOGIE  ·

49 comentarii

Am primit un email despre cum se vor schimba plățile online cu carduri BT înrolate deja în aplicația BT Pay, cea cu care se fac și plăți cu telefonul. Eu am un card la Banca Transilvania și este înrolat în aplicație, deci cele de mai jos mă afectează și sunt curios cum se vor desfășura în viitor. Procedura se schimbă din 30 iulie.

Pe scurt, la o plată online nu se va mai trimite un SMS cu un cod 3D Secure. Aplicația BT Pay din telefon se va trezi din standby și te va întreba dacă autorizezi sau nu respectiva plată. Poți face asta direct biometric în telefon, cu amprentă. Bănuiesc că ecranul 3D Secure clasic al magazinelor de plăți (care de fapt este un site al procesatorului de plăți, nu al magazinului) va afișa un mesaj privind necesitatea acestei autorizări și apoi, după ce o dai în telefon, va face automat pasul spre confirmarea comenzii.

Ce e nou?

De fiecare data cand vei plati online cu oricare dintre cardurile proprii inregistrate in BT Pay, vei primi o notificare pe telefon. Vei putea aproba tranzactia doar din app, folosind metoda de deblocare a telefonului – amprenta, pattern, cod etc. Trebuie sa stii insa ca banca nu iti cunoaste efectiv datele biometrice (ex. amprenta, face ID), ci doar se bazeaza pe aceste informatii pe care tu le ai inregistrate in telefonul pe care il folosesti.

Ce se schimba?

Nu vei mai primi un cod prin SMS pe care sa-l introduci in pagina securizata de plata atunci cand platesti online.

Confirmarea sau respingerea tranzactiei o vei face doar din BT Pay.

Cardurile tale BT pe care le ai in BT Pay sau pe care urmeaza sa le adaugi, vor fi inrolate automat in 3D Secure in aplicatie odata cu noul update. Asta inseamna ca vei folosi automat aceasta noua functionalitate de confirmare a platilor online.

Mă așteptam la modificarea aceasta. Odată cu directiva PSD2 s-a introdus și necesitatea de a securiza mai bine plățile online. Auzisem de ceva vreme că VISA și Mastercard vor trece la autentificare biometrică sau cu parolă în aplicația băncii, o metodă considerată mai sigură decât cea a unui SMS primit pe telefon. Bănuiesc că cei ce nu folosesc vreo astfel de aplicație vor rămâne în continuare la sistemul cu SMS.

Sistemul este asemănător cu cel 2FA folosit de Facebook și probabil și de alții. Dacă-l aveți activat, poate ați observat că, atunci când vă logați în Facebook pe un dispozitiv nou, aplicația de mobil vă trimite o notificare push în care vă întreabă ceva de genul “did you just login?” și în care puteți răspunde rapid cu da sau nu. Bănuiesc că ceva asemănător va fi și în BT Pay.

Eu nu deschid aplicația BT Pay cu lunile, că n-am de ce. Plățile cu mobilul se fac fără deschiderea aplicației. Am deschis-o acum și văd că au mai adăugat prin ea funcții precum transferă banii (cu opțiuni de împărțit costul), retragere cash (se generează un cod pe care-l folosești pentru a retrage bani dintr-un bancomat BT, bănuiesc că fără a avea și cardul înfipt în el), și oferte, care-i un soi de Bazar de la ING, cu oferte la câteva magazine.

    49 comentarii

  1. Adica ca Revolut 😀

      (Citează)

    • BTW, revolut e tot cu cardurile alea prepay sau au trecut și ei la cele de debit uzuale?

        (Citează)

    • No clue… de ce mi-ar pasa?

        (Citează)

    • @dumy – pe al meu primit saptamana trecuta scrie debit intr-un colt pe dos. Cum iti dai seama care e care si care e diferenta?

        (Citează)

    • Cele prepay nu au nevoie de un cont IBAN atașat. În țările vestice, le poți cumpăra și din benzinării, având variante cu diferite sume preîncărcate pe ele.

        (Citează)

    • @dumy, cardurile Revolut au avut IBAN de la inceput.
      Sa inteleg ca nu au fost niciodata carduri prepay, sau mai sunt si alte diferente?

        (Citează)

    • @andrei: in stanga jos pe spatele cardului revolut scrie prepaid la mine. il am de fo’ 2 ani si ceva. probabil despre asta intreba omul.

        (Citează)

    • Pe al meu vad ca nu scrie decat Revolut / Visa si restul detaliilor standard, fara debit sau prepaid si il am si eu de vreo 2 ani cred

        (Citează)

  2. N-am folosit niciodată BT Pay. Am plătit mereu cu card-ul pentru că oricum îl am la mine. Mă bucur în schimb că renunță la SMS-urile de autorizare a plăților. La ING am fost nevoit să setez un PIN de doar 5 cifre pentru autentificare, față de login-ul cu DigiPass. Tind să am încredere ceva mai multă într-un dispozitiv gen DigiPass pe care-l am eu în mână. Dacă nu ai semnal sau dacă SMS-urile nu vin la timp nu mai poți plăti și e absurd să depinzi de SMS pentru așa ceva.

    E cazul să mai deschid BT Pay dacă au introdus funcții noi. Apropo, de NeoBT ce se aude? Pentru că NeoBT va înlocui aplicația BT24 de acum.

      (Citează)

    • Tokenul fizic e sfant, la BT aveam si eu, era util ca iti genera el niste coduri pentru orice tranzactie. La BRD n-am mai luat, ca nu mai fac deloc transferuri, nu am nevoie de el.

        (Citează)

    • Dar token generator-ul ala de la ING nu e folosit la confirmarea platilor online, cu 3D secure, tot SMS primesti

        (Citează)

    • Mihai: La ING am fost nevoit să setez un PIN de doar 5 cifre pentru autentificare, față de login-ul cu DigiPass. Tind să am încredere ceva mai multă într-un dispozitiv gen DigiPass pe care-l am eu în mână.

      Am discutat cândva asta cu cei de la ING. Spuneau că ei folosesc mult mai multe metode de securitate decât acea parolă, se uită și la locația ta, tipul plății, dacă e ceva atipic la ea, dacă nu cumva ai făcut acum 5 minute o plată în România și acum faci una în Guatemala etc.

      Parola, teoretic, e pentru chestiuni simple. Mie îmi cere și cod venit pe SMS la anumite plăți.

      Mihai: Apropo, de NeoBT ce se aude? Pentru că NeoBT va înlocui aplicația BT24 de acum.

      Habar n-am, nu știu nimic.

        (Citează)

    • Mie mi s-au parut intotdeauna extrem de nepractice token-urile alea. Adica sunt mai multe sanse sa vreau sa fac o plata si sa nu am token-ul la maine, decat sa vreau sa fac o plata si sa nu am acces la semnal 2G pe telefon astfel incat sa primesc un amarat de SMS.
      Adica oricum pentru a face o plata trebuie sa indeplinesti o conditie esentiala: sa ai acces la internet. Si in aproape orice ghereta in care ai internet semnalul de mobil este suficient pentru a primi un SMS de confirmare.

        (Citează)

    • Am primit de câteva zile aplicația beta NeoBT. Paste ok lasă prima vedere dar mai sunt niste chestii de polisat și funcții de adăugat. De arătat arata mai bine, aia e clar 😄

        (Citează)

  3. Eu am la BRD, platesc online facturi si primesc SMS pentru confirmare 3D secure. Nici asta nu mai e bun acuma? Le tot complica din an in an, in loc sa le simplifice.

      (Citează)

    • În teorie, SMS-ul de verificare este printre cele mai slabe metode de protecție. Poate fi interceptat, poate să-ți ia altul telefonul și să facă ce vrea el, inclusiv să primească acel SMS pentru tine șamd.

      Destul de multe companii, banking sau nu, renunță la 2FA prin SMS.

        (Citează)

    • De asemenea, prefer să apăs OK decât să aștept un cod prin SMS și să-l introduc în altă parte.

        (Citează)

    • Cineva poate sa-ti fure telefonul si sa primeasca SMS-ul de confirmare in numele tau. Asta presupune ca are acces la codul tau de deblocare.
      Si daca este asa, ce il impiedica sa apese butonul de OK pt confirmare?

        (Citează)

    • In US cel putin am vazut articole in care explicau ce usor iti poate fura cineva numarul de telefon, deci nu neaparat telefonul… parca si seful Twitter a trecut prin asta

        (Citează)

  4. mi-a plăcut că notificarea din aplicație a venit cu link prin bit.ly. nu mi se pare deloc safe ca o bancă în grija căreia las banii mei și datele cumpărăturilor să-mi trimită notificări scurtate prin bit.ly, un serviciu extern care are în trecut niște breșe nasoale de securitate.

    bine, BT-ul are deja proven track record cu nasoale de data privacy.

    dincolo de asta, mi se pare o idee bună autentificarea biometrică a plăților. sms-urile erau gândite pentru altceva, nu pentru 2FA. din câte știu eu, pe piața din RO întâi a fost Revolut cu acest feature.

    ah, iar dacă vrei motive să deschizi BTPay: să vezi câți bani mai ai și dacă s-a încasat plata lunară.

    hai că am scris 3 comentarii într-unul singur

      (Citează)

    • Gabi Udrescu: ah, iar dacă vrei motive să deschizi BTPay: să vezi câți bani mai ai și dacă s-a încasat plata lunară.

      Eu sunt anunțat prin SMS după fiecare tranzacție și scrie în fiecare mesaj câți bani mai am pe card :P Tot prin SMS sau push vine și notificarea că am pus banii la loc pe card, când fac asta.

        (Citează)

  5. Banca Romaneasca are BROM Pay inca din ianuarie, aplicatie de autentificare biometrica a tranzactiilor. Este o obligatie PSD2 pentru toate bancile din spatiul EU, urmeaza multe alte schimbari dpdv PSD2, care vor afecta platile online.
    @Kopa_Kopan ti se pare mai complicat sa dai cu amprenta fata de a astepta un cod OTP pe care sa il bagi la auth 3DSecure?

      (Citează)

    • Tare BROMul. Sunt client la ei din 2005 si nu ma intreaba de nimic niciodaa. De exemplu e aproape august si nimeni de la ei nu a zis “hai ma sa-l anuntam si noi pe asta ca avem BROM Pay acum sa nu mai foloseasca token-ul ala tocit de cand il poarta in rucsac”
      Si da am rulaj, OPuri ~5-8 pe luna fac.

        (Citează)

    • La fel și Raiffeisen. Într-o zi nu m-am mai putut loga în Internet banking cu token-ul fizic. Sun la ei după ce-mi blochez contul și-mi spun că nu mai funcționează ăla, ci au trecut la o aplicație de mobil Smart Token.

      OK, dar un anunț, ceva? Vreo înștiințare că se va întâmpla asta?

        (Citează)

  6. Si asta ii va impiedica sa faca misto de clientii lor?

      (Citează)

  7. Au zis daca Alin a mai fost la c*rve?

      (Citează)

  8. haha, owned!
    problema noastra e ca sunt multi bagatori de astia care intorc raha…strudelu pe toate partile, in loc sa foloseasca pur si simplu un produs si gata.

    Andrei I:
    No clue… de ce mi-ar pasa?

      (Citează)

  9. as vrea sa vad si eu o analiza cu cifre frumos, sa zica da boss, am avut 100k fraude din cauza folosirii sms.
    dar nu, sigur au fost 0 cazuri, dar hai sa schimbam ceva doar pt ca batman.

    Kopa_Kopan:
    Eu am la BRD, platesc online facturi si primesc SMS pentru confirmare 3D secure. Nici asta nu mai e bun acuma? Le tot complica din an in an, in loc sa le simplifice.

      (Citează)

    • E la nivel european treaba asta, poți găsi pe net niște rapoarte privind fraudele cu carduri. În România nu sunt așa multe, dar alte țări au probleme mai mari.

        (Citează)

    • De asemenea, crezi că ei aveau chef să piardă timpul implementând asta? Dacă nu ești silit de fraude sau de legi, nu o faci din proprie inițiativă, că înseamnă ore-om pierdute pe ceva ce nu contează pentru clienți.

        (Citează)

    • E interesant ca la momentul introducerii “facilitatii cu SMS” nu se stia de dezavantajele enumerate (cum zicea si Radu “Poate fi interceptat, poate să-ți ia altul telefonul și să facă ce vrea el, inclusiv să primească acel SMS pentru tine șamd”) dar asta nu a impiedicat introducerea lui.
      Redescoperirea asta a rotii parca nu mai e asa funny …

        (Citează)

  10. mai bine si-ar investi timpul sa-si rescrie aplicatiile alea de rahat… si web, si mobil.

      (Citează)

  11. Btpay nu va fi înlocuită de NeoBT ? Parca așa au zis. Ca muta toate aplicațiile in Neo

      (Citează)

    • Neo știu că este aplicația de Mobile Banking. BT Pay este aplicația de plăți contactless cu mobilul , altceva nu poți face din ea.

        (Citează)

  12. @Dragos
    Incearca BROM Token, este disponibila.
    Ambele au fost anuntate la momentul respectiv pe toate site urile de profil.

    Daca ai orice fel de intrebari, datele de contact sunt disponibile in ambele aplicatii, le-as fi dat aici dar nu cred ca e ok sa ii deturnez articolul lui Radu :)

    Zi buna!

      (Citează)

  13. Este un upgrade pe care Unicreditul o oferta de cateva luni buni.
    Atentie ca sunt zone si in tara, dar si in afara ei, in care datele mobile nu functioneaza, dar vocea si SMS-ul sunt ok. Si atunci poate reprezenta o limitare.
    Apropo de nepornit aplicatia bancii de pe telefon, la ING e bine sa o mai deschizi si sa ii mai faci cate un update daca vrei sa mai platesti cu cardul “virtual” atasat prin NFC. Am patit la magazin sa imi fie refuzata plata si nu stiam de ce.
    Apropo cei 5lei taxa, daca iti depunde cineva in cont o suma, a mai ramas la Transilvania? Sau nu la ei erau?

      (Citează)

    • Eu nu știu, n-am făcut asta niciodată, dar probabil poți vedea lista de taxe și comisioane pe site-ul lor.

        (Citează)

    • cineva: Atentie ca sunt zone si in tara, dar si in afara ei, in care datele mobile nu functioneaza, dar vocea si SMS-ul sunt ok. Si atunci poate reprezenta o limitare.

      Mă gândeam și eu la asta, ce faci dacă nu ai roaming de date în străinătate.

      În practică, nu pare a fi o problemă. Dacă nu ai roaming de date în străinătate, dar totuși faci o achiziție online din telefon, înseamnă că ești conectat la vreun wifi, deci poți primi și notificarea push.

      Iar dacă faci achiziția online de pe vreun laptop, înseamnă că acesta e conectat cumva la Internet, deci ar putea fi conectat și telefonul tot prin vreun wifi local.

      Mai important, în străinătate de obicei nu se cere 3D Secure.

        (Citează)

  14. Are si Unicredit asta de ceva vreme. E chiar mai usor, decat sa iti verifici mesajele sa scrii corect codul.
    Vine notificare de la mobile banking, dai pe ea, se deschide aplicatia cu un singur ecran unde ai Reject/Confirm, apoi pe iOS doar iti scaneaza moaca, pe Android trebuie amprenta.

    Interesant e ca la unele plati mi-a cerut totusi si cod prin SMS. Poate e random la un anumit numar de plati, sau depinde de procesator.

      (Citează)

    • Sunt de acord că e mai simplu. Eu folosesc Your Phone Companion în Windows și văd pe PC notificările din telefon. Vedeam acolo rapid si codul 3D Secure, nu mai era cazul să deschid telefonul.

        (Citează)

  15. Andrei I:
    Dar token generator-ul ala de la ING nu e folosit la confirmarea platilor online, cu 3D secure, tot SMS primesti

    De când s-a introdus 3D secure token-ul nu se mai folosește la semnat tranzacții care sunt făcute online în afara BT24 sau HomeBank, dar era folosit în aplicațiile lor. În fine, vom vedea cum evoluează treburile.

      (Citează)

  16. nwradu: Mă gândeam și eu la asta, ce faci dacă nu ai roaming de date în străinătate.

    În practică, nu pare a fi o problemă. Dacă nu ai roaming de date în străinătate, dar totuși faci o achiziție online din telefon, înseamnă că ești conectat la vreun wifi, deci poți primi și notificarea push.

    Iar dacă faci achiziția online de pe vreun laptop, înseamnă că acesta e conectat cumva la Internet, deci ar putea fi conectat și telefonul tot prin vreun wifi local.

    Mai important, în străinătate de obicei nu se cere 3D Secure.

    Daca esti conectat cu laptopul de munca la reteaua companiei sau a clientului, prin nu stiu ce tara(chiar si Moldova) unde nu ai roaming de date sau e scump, atunci nu ai acces la internet de pe telefon si nici nu poti sa il conectezi.
    Si mai sunt in Romania celule GSM care iti ofera doar voce si SMS, nu si acces la date.
    Sa nu uitam ca mai sunt perioade in care aplicatiile de mobile banking nu functioneaza, dar cardurile da. ING-ul a trecut prin asa ceva: update, care a facut mai mult rau decat bine.

      (Citează)

    • Au interpretat ei psd2 cum i-a taiat capul, pe ei si pe valorosii de la visa si mc romania. Cand o sa devina obligatoriu, cum faci plati daca nu ai smartphone, nu ai appul lor sau nu ai net pe telefon (adica nu esti in tara)?

        (Citează)

  17. nwradu:
    Neo știu că este aplicația de Mobile Banking. BT Pay este aplicația de plăți contactless cu mobilul , altceva nu poți face din ea.

    Foarte util, poti transfera bani fara comision si altor utilizatori de BT Pay, nu doar plati la comerciant. E o metoda comoda sa reconciliezi nota de plata de la pranz, cu colegii de lucru, de exemplu.

      (Citează)

  18. lasa asta cu “poate fi” si interceptarea lui peste.
    CONCRET BOSS, cate cazuri de frauda au fost in care guta a interceptat sms de la BT al vioricai si si-a cumparat toale cu cardul ei?

    si eu cred ca cheia ta de la casa poate fi interceptata, dar pt asta nu dai peste cap un sistem intreg, doar pt ca daca si cu poate.

    nwradu:
    În teorie, SMS-ul de verificare este printre cele mai slabe metode de protecție. Poate fi interceptat, poate să-ți ia altul telefonul și să facă ce vrea el, inclusiv să primească acel SMS pentru tine șamd.

    Destul de multe companii, banking sau nu, renunță la 2FA prin SMS.

      (Citează)

    Alătură-te discuției, spune-ți părerea:

    Your email address will not be published. Required fields are marked *

    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu. Fără înjurături și cuvinte grele, că vorbim prietenește aici, și fără mesaje doar de dragul URL-spam-ului. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt binevenite. Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea.

sus