Najważniejsze założenia rekomendacji
Rekomendacja dotycząca bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo-kredytowe znajduje się obecnie w fazie konsultacji – zainteresowane podmioty do 25 września mogą zgłaszać uwagi do projektu. Sama rekomendacja podzielona jest na 3 działy:
- zasady i organizacja procesu zarządzania i oceny ryzyka;
- szczególne środki kontroli i bezpieczeństwa w zakresie płatności internetowych;
- świadomość i edukowanie klientów oraz komunikacja z nimi.
Pierwsza część dokumentu dotyczy polityki bezpieczeństwa w bankach, SKOK-ach i pozostałych instytucjach i uwrażliwia te podmioty na kwestie zarządzania ryzykiem czy śledzenia podejrzanych transakcji.
Najbardziej istotne założenia rekomendacji z punktu widzenia klienta to:
- Konieczność weryfikowania tożsamości klienta przed dokonaniem płatności internetowej (Rekomendacja 6) – w tym punkcie rekomendacja przewiduje, że w przypadku zakładania rachunków przez przelew weryfikacyjny banki powinny wprowadzić wymóg osobistego potwierdzenia tożsamości klienta. W praktyce oznacza to zablokowanie możliwości otwierania kont przelewem, która to funkcja jest obecnie stosowana przez wiele polskich banków.
- Przed dokonaniem transakcji płatniczej (np. w Internecie) klient powinien być poinformowany o tym, jak bezpiecznie korzystać z danych autoryzacyjnych (loginu, hasła, kodu sms/hasła jednorazowego) oraz nie powinien udostępniać tych danych innym podmiotom.
- Podczas dokonywania płatności internetowych (przelewów, transakcji kartą) banki powinny stosować tzw. silne uwierzytelnienie klienta (Rekomendacja 7) – silne uwierzytelnienie polega na łącznym zastosowaniu dwóch metod autoryzacji np. hasła i kodu sms. Ma to na celu zwiększenie bezpieczeństwa transakcji i ochronę użytkowników.
- Banki powinny ograniczyć liczbę prób logowania lub uwierzytelnienia transakcji (Rekomendacja 9) – dostawy usług płatniczych powinni ustalić tu czas ważności kodów jednorazowych i postępowanie w sytuacji, gdy logowanie klienta nie przebiegło poprawnie.
- Banki powinny zapewnić klientom pomoc i wsparcie przy bezpiecznym dokonywaniu transakcji internetowych, a także komunikować się z użytkownikami w sposób umożliwiający im stwierdzenie autentyczności otrzymanych wiadomości (Rekomendacja 12) – banki i SKOK-i powinny zapewnić bezpieczny sposób komunikacji z klientami (np. telefon) i poinformować ich, że tylko tak otrzymane informacje będą wiarygodne. Rekomendacja zakłada tu także konieczność edukowania klientów o potrzebie ochrony ich poufnych danych.
- Banki powinny wprowadzić limity dla płatności internetowych oraz móc umożliwić klientom zarządzanie tymi limitami (Rekomendacja 13) – limity płatności, zarówno ilościowe, jak i jakościowe, powinny być podane do wiadomości klientów. Od banków będzie zależeć, czy umożliwią użytkownikom zarządzanie takimi limitami.
Projekt rekomendacji znajdziesz tutaj.
Ryzyko zakładania kont przelewem weryfikacyjnym
Metoda zakładania rachunków przelewem z innego banku dostępna jest w wielu instytucjach i cieszy się popularnością klientów – jest szybka, wygodna, a dostęp do konta zyskuje się od razu lub następnego dnia. Niestety ma to też swoje wady – bank „wierzy” klientowi na słowo, że jest osobą, za którą się podaje, i nie stosuje już innych metod weryfikacji tożsamości danej osoby. Ma to swoje przykre konsekwencje w postaci oszustw i nadużyć.
Przestępcy szybko znaleźli sposób na wykorzystanie takiego zakładania kont do swoich celów – nazywane jest to „metodą na słupa”. W ogłoszeniach rekrutacyjnych pojawiają się atrakcyjne oferty pracy, gdzie po początkowej „rekrutacji” poszukujący pracy zostaje przyjęty i poproszony o przesłanie swoich danych, skanu dowodu (!) i – uwaga – dokonanie przelewu na 1 zł w celu weryfikacji danych pracownika.
Proces ten przebiega mniej więcej w taki sposób:
- Oszust ma już nasze dane osobowe, więc bez problemu może założyć z ich użyciem konto bankowe przelewem.
- Konto bankowe, na które należy wpłacić pieniądze, to rachunek banku, w którym przestępca otwiera konto – jeśli dokonamy przelewu weryfikacyjnego, umowa zostanie zawarta.
- Oszust ma dostęp do nowego konta, podczas gdy poszkodowany nie wie, że ktoś założył rachunek na jego dane – na domiar złego często w tym momencie kontakt z potencjalnym „pracodawcą” się urywa.
- Po uzyskaniu dostępu do rachunku przestępca może zakładać nowe konta, zaciągnąć kredyt itd., jednak odpowiedzialność spada na nas, ponieważ to nasze dane widnieją w banku.
Taki czarny scenariusz spotkał wiele osób, które padły ofiarą oszustów na portalach z ogłoszeniami o pracę. Niektórzy wciąż nie są uwrażliwieni na ochronę swoich danych i nie czują się zaalarmowani, gdy potencjalny pracodawca prosi o dokonanie przelewu, podczas gdy powinno być to pierwszym sygnałem, że coś nie jest w porządku. Jedynym wyjściem z takiej sytuacji jest ostrożne podchodzenie do podejrzanych ogłoszeń i zastrzeganie dokumentów, jeśli już padliśmy ofiarą oszustwa.
Bezpieczeństwo przed wygodą
Już w sierpniu Związek Banków Polskich w wewnętrznym dokumencie proponował bankom, by rozpoczęły dyskusję o wycofaniu zakładania kont przelewem z uwagi na ryzyko takiego rozwiązania. Problem zauważyła również KNF i w projekcie nowej rekomendacji zamierza odgórnie zabronić takiej metody otwierania rachunków.
Nie należy zapominać, że dokument zawiera również inne istotne kwestie (np. procedury uwierzytelniania klienta czy bezpieczeństwo transakcji), jednak z punktu widzenia klienta zablokowanie zakładania kont przelewem jest szczególnie istotne. Ważniejsze od wygody i szybkości samego procesu staje się tu bezpieczeństwo i ochrona danych użytkowników i choć wnioskowanie o rachunek osobisty może się wydłużyć, to nasza tożsamość będzie lepiej chroniona.
Komentarze
(0)