Tiistai 23.7.2019

Neljää miljoonaa suomalaista koskeva muutos: Tunnuslukulistojen käyttö saattaakin jatkua – Verkkopankin käyttö muuttuu silti

Luotu: 
24.6.2019 12:05
Päivitetty: 
24.6.2019 12:10
  • Kuva: Krista Kuusela / Alma Talent arkisto
    Kuva
    Pankkien sähköisen tunnistautumisen Tupas-tunnukset ovat olleet käytössä yli neljällä miljoonalla suomalaisella. Niiden käytön on uutisoitu päättyvän, mutta se saattaakin jatkua osana järjestelmää.
|

Tunnuslukulistojen käyttö verkkopankkiin kirjautumisen ja maksamisen välineenä saattaa sittenkin jatkua. Niiden käyttöön tulee kuitenkin muutoksia, Finanssivalvonta kertoo.

Finanssivalvonta tiedotti kannastaan maanantaina. Kannanoton mukaan pankeilla käytössä olevien painettujen tunnuslukulistojen ”käyttöä voidaan jatkaa maksamisen tai maksutilin käytön yhteydessä, kunhan käyttöön yhdistetään vahvistuselementtejä vahvan tunnistamisen periaatteiden mukaisesti”.

Pankkien sähköisen tunnistautumisen Tupas-tunnukset ovat olleet käytössä yli neljällä miljoonalla suomalaisella. Aiemmin muun muassa Uusi Suomi on uutisoinut, että näiden yleisten tunnuslukulistojen käyttö jää historiaan eurooppalaisen PSD2-pankkidirektiivin vaatimusten vuoksi. Nordea on ehtinyt jo luopua tunnuslukulistoista. Lue lisää: Neljän miljoonan suomalaisen käyttämä pankkitunnistus jää pian historiaan

”Pankeilla Suomessa yleisesti käytössä olevat painetut tunnuslukulistat ovat helposti kopioitavissa, minkä vuoksi ne eivät nykymuodossa käytettynä täytä uuden eurooppalaisen sääntelyn turvallisuusvaatimuksia. Vahvan tunnistamisen vaatimusta koskeva sääntely perustuu toiseen maksupalveludirektiiviin ja astuu kokonaisuudessaan voimaan 14.9.2019”, Finanssivalvonta kertoo.

Fivan mukaan tunnuslukulistojen käyttäminen voi jatkua sillä ehdolla, että asiakkaan vahvaan tunnistamiseen maksamisen tai maksutilin käytön yhteydessä lisätään elementtejä, jotka varmistavat sääntelyn edellyttämän kaksiosaisen tunnistamisen toteutumisen.

Vahvalla tunnistamisella tarkoitetaan maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen kolmesta toisistaan riippumattomasta vaihtoehdosta. Finanssivalvonnan mukaan nämä vaihtoehdot ovat:

– tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää

– hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan, sekä

– maksupalvelun käyttäjän yksilöivä ominaisuus.

Finanssivalvonnan mukaan pankkien tulee toteuttaa tunnistusmenetelmiin tehtävät muutokset siten, että samalla turvataan kaikkien asiakasryhmien mahdollisuus käyttää tunnistusvälineitä ilman katkoksia.

”Asiakkaiden tulee voida käyttää nykyisiä tunnuslukulistoja maksamisessa ja maksutilien käytössä niin kauan, kunnes pankki on riittävällä tavalla varmistanut uusien menetelmien käytettävyyden, saavutettavuuden ja toimintavarmuuden”, Finanssivalvonnan johtaja Anneli Tuominen sanoo tiedotteessa.

Finanssivalvonnan kannanotto ei ota kantaa tunnuslukulistojen käytön jatkamiseen muissa kuin maksamiseen ja maksutilin käyttöön liittyvissä palveluissa, kuten esimerkiksi viranomaisten palveluissa.

LUE MYÖS: Viranomainen huolestui: Toimivatko pankkitunnuksesi enää ensi vuonna netin tunnistautumiseen?

Jaa artikkeli:

Kommentit

Erkki Johansson

No sitten OP:n verkkopankin tunnistus pitäisi olla kunnossa; se täyttää nämä kaksi ehtoa:

– tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää
= käyttäjätunnus ja salasana

– hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan
= tunnuslukutaulukko

Jere Viikari

Ei se noin mene. Käyttäjätunnus, salasana ja tunnuslukutaulukon tiedot ovat kaikki tietoa, joka käyttäjällä on tiedossa. Jos tunnuslukulistoja käytetään, niin lisäksi tulee todennäköisesti tekstiviestinä lähetetty koodi. Tällöin käyttäjää on hallussaan myös tarvittava esine (SIM-kortti puhelimessa).

Erkki Johansson

Veikkaan että aika harva ihminen muistaa koko tunnuslukutaulukon (300 lukuparia) ulkoa. Minä en ainakaan, mutta käyttäjätunnus ja salasana ovat helppoja muistaa, joten ne ovat minulla tiedossa. Sen vuoksi taulukko kuuluu luokkaan hallussapidettävät esineet.

Tosin tuo "mitä vain maksupalvelun käyttäjällä on hallussaan" on hiukan ongelmallinen. Jos se taulukko tai kännykkä pöllitään, tuo ehto ei täyty.

Kaiken lisäksi jos kännykästä tulee pakollinen lisävaruste, on se vain uusi mutka matkaan eikä takaa turvallisuutta yhtään sen enempää kuin tunnuslukutaulukkokaan (molemmat voidaan varastaa). Tietysti, jos tiedät että tunnuslukutaulukot on hakkeroitu, asia on toinen. Silloin tarvitaan jotakin elektronista vempainta jota ei voi hakkeroida (kröhöm!)

Timo Nenonen

Nyt on FIVAlla aika näyttää, ettei heille makseta turhasta palkkaa ja tunnuslukulistat säilytetään entisellään ja pankki varmistaa soittamalla/tekstiviestillä, että se on mie ,kun tässä makselen.Tosin olisi äärimmäisen kummallista ja erittäin outoakin, jos joku muu makselisi miun laskuja, mutta ehkä EU olettaa sen olevan mahdollista, koska sen verran sekoboltsia porukkaa ovat aina olleet.