Η εποχή αλλάζει στον πλανήτης και φυσικά εντός Ευρώπης. Με δικαιολογία το ότι οι κυβερνοεπιθέσεις γίνονται πιο εξελιγμένες, οι χώρες εγκαταλείπουν τους κωδικούς πρόσβασης μίας χρήσης (OTP) που βασίζονται σε SMS και email και προτιμούν πιο ασφαλείς, όπως αποκαλούνται μεθόδους ελέγχου ταυτότητας που βασίζονται σε εφαρμογές και βιομετρικά! Δημιουργείται το πρόβλημα, δίνουν την «λύση»!
Τα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ) είναι τα τελευταία που ανακοίνωσαν μια τέτοια αλλαγή , με τις τράπεζες να πρόκειται να σταματήσουν να στέλνουν κωδικούς OTP μέσω SMS και email από τις 25 Ιουλίου.
Ποιές χώρες ή τραστ κρατών έχουν ήδη εφαρμόσει ή ανακοινώσει σχέδια για την κατάργηση των SMS OTP και ποιες αλλαγές μπορούν να περιμένουν οι πελάτες;
ΗΑΕ
Σε μια σημαντική κίνηση για την ενίσχυση της ασφάλειας των ψηφιακών τραπεζών, οι τράπεζες στα ΗΑΕ θα ξεκινήσουν τη σταδιακή κατάργηση των κωδικών OTP που αποστέλλονται μέσω SMS και email από την Παρασκευή 25 Ιουλίου.
Σύμφωνα με τις νέες οδηγίες της Κεντρικής Τράπεζας των ΗΑΕ, όλα τα χρηματοπιστωτικά ιδρύματα πρέπει να στραφούν σε έλεγχο ταυτότητας μέσω εφαρμογών τόσο για εγχώριες όσο και για διεθνείς συναλλαγές.
Η εξάρτηση από τα SMS και τα email OTP, μέθοδοι που, όπως λέγεται, είναι ολοένα και πιο ευάλωτες σε phishing, ανταλλαγή SIM και άλλες κυβερνοεπιθέσεις, θα τερματιστεί σταδιακά έως τον Μάρτιο του 2026.
Οι πελάτες ενθαρρύνονται να χρησιμοποιούν την εφαρμογή για κινητά της τράπεζάς τους και να επιλέγουν τη λειτουργία «Έλεγχος ταυτότητας μέσω εφαρμογής» για να ολοκληρώνουν με ασφάλεια τις ηλεκτρονικές συναλλαγές.
Δεν θα μπορούσε να λείψει η Σιγκαπούρη
Το 2024, η Νομισματική Αρχή της Σιγκαπούρης (MAS) ανακοίνωσε ότι οι μεγάλες τράπεζες λιανικής θα καταργήσουν σταδιακά τους κωδικούς πρόσβασης μιας χρήσης για τη σύνδεση σε τραπεζικούς λογαριασμούς τους επόμενους τρεις μήνες για χρήστες που έχουν ενεργοποιήσει ασφαλή ψηφιακά tokens.
Η MAS προέτρεψε έντονα όλους τους χρήστες ηλεκτρονικών τραπεζικών συναλλαγών να ενεργοποιήσουν τα ψηφιακά tokens, σημειώνοντας ότι οι κωδικοί SMS OTP δεν απαιτούνται πλέον για τους πελάτες που χρησιμοποιούν αυτές τις ασφαλείς εναλλακτικές λύσεις.
Ο έλεγχος ταυτότητας μέσω SMS είχε ήδη καταργηθεί για εργασίες όπως η προσθήκη δικαιούχων ή η αλλαγή ορίων μεταφοράς και οι τράπεζες δεν είχαν το δικαίωμα να επιτρέπουν στους χρήστες να εξαιρούνται από αυτά τα βελτιωμένα μέτρα για την διατήρηση της πολυεπίπεδης ασφάλειας.
Μαλαισία
Για την καταπολέμηση των αυξανόμενων διαδικτυακών απατών και πλαστογραφήσεων, η Bank Negara Malaysia (BNM – Κεντρική Τράπεζα Μαλαισίας) το 2023 έδωσε οδηγίες σε όλες τις τράπεζες να υιοθετήσουν ισχυρότερες μορφές ελέγχου ταυτότητας.
Οι τράπεζες της Μαλαισίας υποχρεούνται πλέον να χρησιμοποιούν μεθόδους επαλήθευσης που βασίζονται σε εφαρμογές. Οι πελάτες πρέπει να εγγράφουν και να επαληθεύουν τις συναλλαγές χρησιμοποιώντας μια ενιαία, καθορισμένη ασφαλή συσκευή, συνήθως ένα smartphone με εγκατεστημένη μια τραπεζική εφαρμογή.
Φιλιππίνες
Τον Μάιο του 2025, η Κεντρική Αστυνομία των Φιλιππίνων (BSP) εξέδωσε εγκύκλιο με την οποία έδινε εντολή στις τράπεζες να περιορίσουν ή να σταματήσουν τη χρήση κωδικών OTP μέσω SMS και email. Αντ’ αυτού, οι τράπεζες πρέπει να υιοθετήσουν ισχυρότερες μεθόδους, όπως βιομετρική επαλήθευση ταυτότητας, δακτυλικά αποτυπώματα συσκευών ή συστήματα χωρίς κωδικό πρόσβασης.
Η προθεσμία για την πλήρη συμμόρφωση είναι ο Ιούνιος του 2026. Η κίνηση αυτή έρχεται μετά από αυξανόμενες ανησυχίες σχετικά με τους κινδύνους ασφαλείας των SMS OTP, συμπεριλαμβανομένων των υποκλοπών και των επιθέσεων κοινωνικής μηχανικής.
Ινδία
Η Κεντρική Τράπεζα της Ινδίας (RBI) ανακοίνωσε σχέδια για την εγκατάλειψη της επαλήθευσης ταυτότητας που βασίζεται σε OTP στη Δήλωση του Φεβρουαρίου 2024 σχετικά με τις πολιτικές ανάπτυξης και ρύθμισης.
Αντί να καταργήσει εντελώς την πρόσθετη επαλήθευση ταυτότητας, η RBI στοχεύει στην εφαρμογή ενός πλαισίου βασισμένου σε αρχές για την επαλήθευση ψηφιακών πληρωμών, σηματοδοτώντας μια μετατόπιση από το παραδοσιακό μοντέλο OTP.
Και στην Δύση! Ηνωμένες Πολιτείες
Οι ρυθμιστικοί φορείς στις ΗΠΑ προχωρούν επίσης στην κατάργηση της επαλήθευσης μέσω SMS:
Το Γραφείο Ευρεσιτεχνιών και Εμπορικών Σημάτων των ΗΠΑ (USPTO) διέκοψε την επαλήθευση ταυτότητας μέσω SMS και τηλεφωνικών κλήσεων από την 1η Μαΐου 2025.
Η Ρυθμιστική Αρχή Χρηματοπιστωτικού Κλάδου (FINRA) θα καταργήσει σταδιακά τα SMS OTP ως μέθοδο ελέγχου ταυτότητας έως τον Ιούλιο του 2025.
Και στην δική μας γειτονιά! Ευρωπαϊκή Ένωση
Σύμφωνα με τη Δεύτερη Οδηγία για τις Υπηρεσίες Πληρωμών (PSD2) της ΕΕ, οι κωδικοί SMS OTP δεν απαγορεύονται (για την ώρα;) πλήρως, αλλά υπόκεινται σε αυστηρούς περιορισμούς λόγω ανησυχιών για την ασφάλεια.
Το 2024, το σύστημα EU Login άρχισε να καταργεί σταδιακά τους κωδικούς OTP που βασίζονται σε SMS, με την πλήρη εφαρμογή να αναμένεται έως τα μέσα του 2025. Η ΕΕ μεταβαίνει σε πιο ασφαλείς, όπως αποκαλούνται, βιομετρικές λύσεις που βασίζονται σε εφαρμογές.
