Klienci polskich banków zamieszkali w Stanach Zjednoczonych i Kanadzie nadal zgłaszają problemy z otrzymywaniem kodów autoryzacyjnych SMS. Początkowo informacje dotyczyły głównie PKO BP, lecz do redakcji Bankier.pl docierają już skargi dotyczące kolejnych instytucji finansowych – Erste, Alior, mBank, a także VeloBank w odniesieniu do klientów przeniesionych po migracji z Citi Handlowy. Urząd Komisji Nadzoru Finansowego potwierdza, że problem został odnotowany. Nie jest to jednak zwykła awaria, a konsekwencja zaostrzonego egzekwowania przepisów przez północnoamerykańskich operatorów telekomunikacyjnych.
Dla klientów jest to znacząca niedogodność. Kody niezbędne do logowania, autoryzowania transakcji i odzyskiwania dostępu do konta nie docierają. W sytuacji braku otrzymania takiego SMS-a, klient zostaje odcięty od bankowości internetowej. Procedury awaryjne często również wymagają potwierdzenia za pomocą SMS, co zamyka błędne koło.
Zobacz również
Polecamy: Czy Twój bank podnosi opłaty? Znajdź tańsze konto i odbierz premie. Sprawdź!
UKNF jest już poinformowany o problemie
W odpowiedzi skierowanej do Bankier.pl, UKNF wyjaśnia, że problem wynika z „zaostrzenia egzekwowania przepisów przez operatorów telekomunikacyjnych w USA i Kanadzie dotyczących zwalczania nielegalnych treści w wiadomościach SMS”.
Według organu nadzorczego, bez odpowiedniej rejestracji, która obejmuje szczegółowe określenie treści i celu masowych wysyłek, wiadomości mogą być obecnie blokowane. Urząd sugeruje również bankom ścieżki postępowania.
„Banki powinny nawiązać kontakt ze swoim dostawcą usług wysyłki SMS i przygotować stosowny wniosek do operatorów telekomunikacyjnych w USA/Kanadzie o zezwolenie na masową wysyłkę tego typu SMS-ów” – informuje UKNF.
Jako alternatywne rozwiązanie, organ nadzorczy wskazuje na potwierdzenia realizowane za pośrednictwem aplikacji mobilnej. Zauważa jednak, że spora część klientów nadal preferuje SMS-y. Dotyczy to w szczególności osób zamieszkujących za granicą, seniorów oraz klientów korzystających z prostszych modeli telefonów lub nieposiadających aktywnej aplikacji.
Co stoi za problemem w USA?
Rynek masowych wiadomości tekstowych w Stanach Zjednoczonych jest poddawany regulacjom od kilku lat. Działa tam system A2P 10DLC. Skrót A2P oznacza „application-to-person”, czyli wiadomości wysyłane z systemu do człowieka. Z kolei 10DLC odnosi się do dziesięciocyfrowego numeru lokalnego, z którego realizowana jest tego typu komunikacja.
Kluczowa data to 1 lutego 2025 r. Od tego dnia trzej najwięksi operatorzy w USA – AT&T, T-Mobile i Verizon – będą całkowicie blokować ruch A2P 10DLC bez uprzedniej rejestracji. Nie chodzi o spowolnienia czy opóźnienia, lecz o całkowite blokowanie. Bez zarejestrowania marki i kampanii w bazie The Campaign Registry, wiadomość po prostu nie dotrze do odbiorcy. Co istotne dla polskich banków, obowiązek ten dotyczy każdego nadawcy wysyłającego wiadomości na numery w USA, niezależnie od lokalizacji siedziby firmy. Kanadyjscy nadawcy wysyłający wiadomości do odbiorców w Stanach Zjednoczonych również podlegają tym wymogom rejestracyjnym.
W praktyce operatorzy telekomunikacyjni chcą mieć pewność, kto wysyła wiadomości, w jakim celu, jak wygląda przykładowa treść i czy odbiorca ma uzasadnienie do ich otrzymywania. Nie chodzi wyłącznie o techniczną możliwość przesłania SMS-a, ale o zgodność całego procesu z obowiązującymi wymogami.
Z perspektywy klienta sytuacja wydaje się prosta: kod albo przychodzi, albo nie. Jednakże po stronie infrastruktury wiadomość przechodzi przez dostawcę usług SMS, agregatora, operatora pośredniczącego, a dopiero na końcu przez operatora komórkowego klienta. Jeśli którykolwiek z tych elementów ścieżki nie spełnia wymogów rejestracyjnych lub SMS zostanie uznany za niezatwierdzoną masową wysyłkę, zostanie odfiltrowany, zanim dotrze do odbiorcy.
To nie jest typowa awaria bankowości, lecz problem systemowy
Wcześniejsze sygnały od klientów PKO BP mogły sugerować odosobniony problem konkretnego banku. Jednakże skargi dotyczące kolejnych instytucji wskazują na szerszy zakres problemu. Sam organ nadzoru nie opisuje tego incydentu jako problemu jednego podmiotu, lecz jako efekt egzekwowanych zasad w USA i Kanadzie.
Banki nie są jednak bezradne. Z odpowiedzi UKNF wynika, że powinny one działać za pośrednictwem dostawców usług SMS, aby doprowadzić do rejestracji i zatwierdzenia wysyłek – obejmujących wiadomości transakcyjne, kody jednorazowe, powiadomienia bezpieczeństwa oraz komunikaty dotyczące rachunku.
Problem nie polega na tym, że operatorzy w USA walczą ze spamem i phishingiem. Jest to zrozumiałe zjawisko – fałszywe wiadomości podszywające się pod banki należą do najbardziej uciążliwych rodzajów oszustw. Kłopot pojawia się, gdy przy okazji blokowane są legalne komunikaty bezpieczeństwa, bez których klient nie może uzyskać dostępu do swoich środków finansowych.
Aplikacja mobilna może pomóc, ale nie wszystkim
Banki od lat zachęcają do korzystania z autoryzacji w aplikacji mobilnej. Dla wielu osób jest to wygodniejsze i bezpieczniejsze rozwiązanie niż SMS – potwierdzenie push nie jest zależne od dostarczenia wiadomości przez zagranicznego operatora i lepiej uwidacznia kontekst przeprowadzanej operacji.
Nie jest to jednak rozwiązanie uniwersalne. Część klientów nadal korzysta z SMS-ów, ponieważ nie chce lub nie może używać aplikacji. Inni posiadają ją na starszym telefonie, który zgubili, wymienili lub uległ uszkodzeniu. Jeszcze inni mieszkają poza granicami Polski i nie mają łatwego dostępu do oddziału banku, aby zmienić metodę autoryzacji. W takich sytuacjach brak SMS-a staje się realną blokadą dostępu do środków pieniężnych.
Dlatego kluczowe jest nie tylko usprawnienie procesu dostarczania wiadomości, ale także posiadanie gotowej procedury awaryjnej. Klient znajdujący się w USA lub Kanadzie powinien mieć możliwość zmiany metody autoryzacji lub odzyskania dostępu bez konieczności otrzymania SMS-a, którego aktualnie nie dostaje.
Co powinny zrobić banki?
Odpowiedź w postaci „prosimy o korzystanie z aplikacji” może okazać się niewystarczająca. Jeśli bank nadal oferuje SMS jako metodę autoryzacji, powinien zapewnić jej niezawodne działanie lub jasno poinformować klientów przebywających za granicą o ewentualnych ograniczeniach.
Po pierwsze, warto zweryfikować, czy dostawcy usług SMS zarejestrowali odpowiednie kampanie i typy wiadomości dla wysyłek kierowanych do USA i Kanady. Po drugie, należy sprawdzić, czy treść, nazwa nadawcy i cel wysyłki są zgodne z tym, co zostało zgłoszone operatorom. Po trzecie, kluczowe jest istnienie gotowej ścieżki awaryjnej dla klientów, którzy nie otrzymali SMS-a, a potrzebują odzyskać dostęp do swojego rachunku.
W praktyce może to obejmować potwierdzenie tożsamości poprzez infolinię, wideoweryfikację, autoryzację w aplikacji, kartę kodów lub token – czyli cokolwiek, co nie wymaga kolejnego SMS-a. Najbardziej niekorzystnym scenariuszem jest „pętla autoryzacyjna”, w której klient nie może zmienić narzędzia autoryzacji, ponieważ do tej zmiany również potrzebuje SMS-a.
Walka ze spamem nie może prowadzić do odcięcia od środków finansowych
Ta sprawa uwidacznia szerszy problem związany z elektroniczną bankowością. SMS przez lata był wygodnym, powszechnie dostępnym i tanim kanałem autoryzacji, jednak obecnie staje się coraz bardziej zależny od zewnętrznych regulacji, filtrów antyspamowych i decyzji operatorów. Gdy klient przebywa za granicą, na ścieżce dostarczania wiadomości pojawia się więcej pośredników, co zwiększa ryzyko.
Zaostrzenie przepisów w USA i Kanadzie ma na celu ochronę użytkowników przed spamem i podszywaniem się pod zaufane instytucje. Niestety, skutkiem ubocznym może być niedostarczanie części legalnych wiadomości z banków. W przypadku kodów autoryzacyjnych nie jest to drobny problem, lecz kwestia bezpośrednio wpływająca na dostęp do własnych środków.
UKNF potwierdza, że problem jest mu znany. Pozostaje pytanie, jak szybko banki i ich dostawcy usług SMS dostosują swoje procesy wysyłki do wymogów operatorów w Ameryce Północnej – i czy w międzyczasie zapewnią klientom realną, funkcjonującą procedurę awaryjną.