Klientów banków z Polski w USA i Kanadzie dotykają kłopoty z odbiorem SMS-ów autoryzacyjnych, co utrudnia im dostęp do środków na rachunkach. Komisja Nadzoru Finansowego (KNF) jest świadoma tej sytuacji i wskazuje, że problem wynika z zaostrzenia egzekwowania przepisów przez tamtejszych operatorów telekomunikacyjnych.
Osoby polskiego pochodzenia mieszkające w Stanach Zjednoczonych i Kanadzie nadal zgłaszają trudności z otrzymywaniem SMS-ów służących do autoryzacji transakcji. Początkowo doniesienia dotyczyły głównie PKO BP, ale do redakcji Bankier.pl docierają już informacje o podobnych problemach w innych bankach, takich jak Erste, Alior, mBank oraz VeloBank (w przypadku klientów przeniesionych z Citi Handlowego). Urząd Komisji Nadzoru Finansowego (UKNF) potwierdza, że jest mu znana ta sprawa. Nie jest to jednak prosta awaria techniczna, lecz rezultat zmiany zasad egzekwowanych przez północnoamerykańskich operatorów telekomunikacyjnych.
Dla klientów jest to poważny kłopot. Kody niezbędne do logowania, autoryzacji operacji i odzyskiwania dostępu do konta nie docierają do odbiorców. W sytuacji braku możliwości otrzymania takiego SMS-a, klient zostaje pozbawiony dostępu do bankowości elektronicznej. Co więcej, często procedura awaryjna również wymaga potwierdzenia za pomocą SMS-a, co tworzy błędne koło.
Zobacz również
Polecamy: Czy Twój bank podnosi opłaty? Znajdź korzystniejsze konto i zyskaj bonusy. Sprawdź!
KNF już jest poinformowana o problemie
W odpowiedzi udzielonej Bankier.pl, UKNF wyjaśnia, że problem wynika z „zaostrzenia egzekwowania przepisów przez operatorów telekomunikacyjnych w USA/Kanadzie, dotyczących zwalczania nielegalnych treści w wiadomościach SMS”.
Według organu nadzoru, bez odpowiedniej rejestracji, która obejmuje szczegółowe określenie treści i celu masowych wysyłek, wiadomości mogą być obecnie blokowane. Urząd sugeruje również bankom ścieżki postępowania.
„Banki powinny nawiązać kontakt ze swoim dostawcą usług wysyłki SMS i przygotować stosowny wniosek do operatorów telekomunikacyjnych w USA/Kanadzie o zezwolenie na masową wysyłkę tego typu wiadomości” — informuje UKNF.
Jako alternatywne rozwiązanie, nadzór proponuje stosowanie potwierdzeń w formie aplikacji mobilnej. Zwraca jednak uwagę, że znacząca część klientów nadal preferuje otrzymywanie SMS-ów. Dotyczy to zwłaszcza osób zamieszkujących za granicą, seniorów oraz klientów korzystających z prostszych modeli telefonów lub nieposiadających aktywnej aplikacji mobilnej.
Co dzieje się na rynku amerykańskim?
Amerykański rynek masowych wysyłek wiadomości tekstowych jest poddawany regulacjom od kilku lat. Działa tam system znany jako A2P 10DLC. Termin A2P oznacza komunikację „application-to-person” (aplikacja do osoby), czyli wiadomości wysyłane z systemu do użytkownika. 10DLC odnosi się do dziesięciocyfrowego numeru lokalnego, który jest wykorzystywany do prowadzenia tego typu komunikacji.
Kluczowa data to 1 lutego 2025 roku. Od tego momentu trzej główni operatorzy w USA – AT&T, T-Mobile i Verizon – całkowicie zablokują ruch A2P 10DLC, który nie zostanie zarejestrowany. Nie będzie opóźnień, ani spowolnień – będzie to całkowita blokada. Bez rejestracji marek i kampanii w bazie The Campaign Registry, wiadomość po prostu nie dotrze do odbiorcy. Co istotne dla polskich banków, ten obowiązek dotyczy każdego nadawcy wysyłającego wiadomości na numery w USA, niezależnie od lokalizacji siedziby firmy. Nadawcy z Kanady wysyłający wiadomości do południowego sąsiada również muszą przejść proces rejestracji.
W praktyce operatorzy chcą wiedzieć, kto wysyła wiadomości, w jakim celu, jak przykładowo wygląda ich treść oraz czy odbiorca ma podstawy do ich otrzymywania. Nie chodzi tu wyłącznie o techniczną możliwość wysłania SMS-a, ale o zgodność całego procesu z obowiązującymi wymogami.
Z perspektywy klienta sprawa wydaje się prosta: kod albo przychodzi, albo nie. Jednak po stronie infrastruktury wiadomość przechodzi przez dostawcę usług SMS, agregatora, operatora pośredniczącego, a dopiero na końcu przez operatora komórkowego klienta. Jeśli którykolwiek z tych elementów na trasie nie spełnia wymogów rejestracyjnych lub wiadomość zostanie uznana za niezatwierdzoną masową wysyłkę, zostanie ona odfiltrowana, zanim trafi do odbiorcy.
To nie jest typowa awaria bankowości, lecz problem systemowy
Wcześniejsze sygnały od klientów PKO BP mogły sugerować, że jest to odosobniony problem konkretnego banku. Jednakże, skargi napływające w odniesieniu do kolejnych instytucji wskazują, że sprawa ma szerszy charakter. Sam organ nadzoru nie klasyfikuje tego jako incydentu po stronie jednego podmiotu, lecz jako konsekwencję zasad egzekwowanych w USA i Kanadzie.
Banki nie są jednak bezsilne. Z odpowiedzi UKNF wynika, że powinny one działać za pośrednictwem dostawców usług SMS, aby dokonać rejestracji i uzyskać zatwierdzenie dla swoich wysyłek – obejmujących wiadomości transakcyjne, kody jednorazowe, powiadomienia dotyczące bezpieczeństwa oraz komunikaty związane z rachunkiem.
Problemem nie jest sama walka operatorów w USA ze spamem i phishingiem. Jest to zrozumiałe, gdyż fałszywe wiadomości podszywające się pod banki należą do jednych z najbardziej uciążliwych form oszustw. Kłopot pojawia się jednak, gdy przy okazji blokowane są legalne komunikaty bezpieczeństwa, bez których klienci nie mogą uzyskać dostępu do swoich środków finansowych.
Aplikacja mobilna jest pomocna, lecz nie dla wszystkich
Banki od lat zachęcają do autoryzacji za pomocą aplikacji mobilnej. Dla wielu osób jest to rozwiązanie wygodniejsze i bezpieczniejsze niż SMS – potwierdzenie typu push nie zależy od dostarczenia wiadomości przez zagranicznego operatora i lepiej prezentuje kontekst wykonanej operacji.
Nie jest to jednak rozwiązanie uniwersalne. Część klientów nadal korzysta z SMS-ów, ponieważ nie chce lub nie może używać aplikacji mobilnej. Inni posiadają aplikację na starym telefonie, który został zgubiony, wymieniony lub jest uszkodzony. Jeszcze inni mieszkają poza granicami Polski i nie mają łatwego dostępu do placówki bankowej, aby zmienić metodę autoryzacji. W takich przypadkach brak możliwości otrzymania SMS-a przekształca się w realną blokadę dostępu do posiadanych środków pieniężnych.
Dlatego kluczowe jest nie tylko zapewnienie skutecznego dostarczania wiadomości, ale również posiadanie gotowej procedury awaryjnej. Klient przebywający w USA lub Kanadzie powinien mieć możliwość zmiany metody autoryzacji lub odzyskania dostępu bez konieczności otrzymywania SMS-a, którego aktualnie nie dostaje.
Co powinny zrobić banki?
Odpowiedź w postaci „prosimy korzystać z aplikacji” może okazać się niewystarczająca. Jeśli bank nadal oferuje SMS jako metodę autoryzacji, powinien zapewnić jej niezawodne działanie lub jasno poinformować klientów zagranicznych o istniejących ograniczeniach.
Po pierwsze, warto zweryfikować, czy dostawcy usług SMS zarejestrowali odpowiednie kampanie i typy wiadomości dla wysyłek kierowanych do USA i Kanady. Po drugie, należy upewnić się, że treść, nazwa nadawcy oraz cel wysyłki są zgodne z tym, co zostało zgłoszone operatorom. Po trzecie, istotne jest istnienie gotowej ścieżki awaryjnej dla klientów, którzy nie otrzymają SMS-a, a potrzebują odzyskać dostęp do swojego rachunku.
W praktyce może to oznaczać potwierdzenie tożsamości poprzez infolinię, weryfikację wideo, autoryzację w aplikacji, użycie karty kodów lub tokena – czyli dowolnej metody, która nie wymaga kolejnego SMS-a. Najgorszym scenariuszem jest „pętla autoryzacyjna”, w której klient nie może zmienić narzędzia autoryzacji, ponieważ do samej zmiany potrzebuje kodu SMS, którego nie otrzymuje.
Walka ze spamem nie może ograniczać dostępu do środków
Ta sytuacja uwypukla szerszy problem związany z bankowością elektroniczną. Przez lata SMS był wygodnym, powszechnym i tanim kanałem autoryzacji, jednak obecnie coraz bardziej podlega zewnętrznym regulacjom, filtrom antyspamowym i decyzjom operatorów. Gdy klient przebywa za granicą, na ścieżce dostarczania wiadomości pojawia się więcej pośredników, co zwiększa ryzyko.
Zaostrzenie przepisów w USA i Kanadzie ma na celu ochronę użytkowników przed spamem i próbami podszywania się pod zaufane instytucje. Jednakże, skutkiem ubocznym może być niedostarczanie części legalnych wiadomości pochodzących z banków. W przypadku kodów autoryzacyjnych nie jest to drobna niedogodność, lecz poważny problem z dostępem do własnych środków pieniężnych.
UKNF potwierdza, że jest świadomy tej sprawy. Pozostaje pytanie, jak szybko banki i ich dostawcy usług SMS dostosują swoje procesy wysyłki do wymogów operatorów w Ameryce Północnej – i czy w międzyczasie zapewnią klientom rzeczywistą, funkcjonującą procedurę awaryjną.