Poprawa bezpieczeństwa użytkowników bankowości elektronicznej to cel nowych przepisów, które wchodzą w życie 14 września. Eksperci i KNF wzywają do szczególnej ostrożności, by przy okazji wdrażania tych regulacji nie paść ofiarą oszustwa.
Chodzi o zmiany wynikające z nowelizacji ustawy o usługach płatniczych. Wzmacniają one sposób uwierzytelniania w bankowości elektronicznej i uwierzytelniania się przy transakcjach zbliżeniowych, by ograniczyć oszustwa. Nowe przepisy zobowiązują banki do wprowadzenia dwustopniowego uwierzytelniania na etapie uzyskiwania dostępu do konta internetowego, dokonywania transakcji i płatności internetowych. Ponadto, nowe wymagania mają zabezpieczyć klientów tzw. otwartej bankowości (ang. open-banking). Dyrektywa przewiduje bowiem, że banki za zgodą klienta mają zapewnić dostęp do jego rachunków płatniczych licencjonowanym, zewnętrznym podmiotom, czyli innym bankom, twórcom programów i aplikacji finansowych, serwisom płatniczym – określanym jako TPP (third party providers).
POTRZEBNE COŚ WIĘCEJ NIŻ HASŁO
Podwyższenie poziomu zabezpieczeń transakcji elektronicznych oparte zostało o tzw. silne uwierzytelnienie klienta, która polega na dwustopniowej weryfikacji tożsamości. Bank musi przy tej okazji wykorzystać co najmniej dwa z trzech modeli potwierdzania tożsamości klienta. Pierwszy model wykorzystuje to, co klient wie: czyli hasło wielorazowe bądź PIN. Drugim modelem jest to, co mam w ręku, czyli np. karta kredytowa bądź aplikacja mobilna. Trzecim są dane biometryczne, czyli np. głos lub układ żył na dłoni.
Jedną z praktycznych zmian jest nowy sposób logowania do serwisów bankowości elektronicznej. Od soboty konieczne staje się użycie dodatkowej, obok loginu i hasła, metody autoryzacji. Wybór konkretnych rozwiązań należy do samych banków i innych instytucji płatniczych.
PIN PRZY PŁATNOŚCIACH ZBLIŻENIOWYCH
Zmienią się także zasady autoryzacji transakcji internetowych – bez fizycznego użycia karty, a także płatności zbliżeniowych, przy których częściej niż dotychczas, nie tylko przy przekroczeniu kwoty 50 zł, wymagane będzie potwierdzenie transakcji PIN-em. Terminal poprosi nas o wprowadzenie kodu przy co piątej transakcji.
„SPODZIEWAMY SIĘ FALI OSZUSTW”
Eksperci przestrzegają jednak, że paradoksalnie nowe przepisy mogą na początku dać okazję złodziejom.
– Spodziewam się fali oszustw nieco podobnych do tych, z jakimi mieliśmy do czynienia np. przy wprowadzaniu RODO, kiedy pod pretekstem aktualizacji różnych polityk prywatności od wielu ludzi wyłudzono pieniądze. Obawiam się, że zaleją nas maile przypominające wiadomości od banku i zawierające linki, pod którym będziemy zachęcani do zmiany hasła. Przestępcy wykorzystają je do wyłudzenia haseł i kradzieży pieniędzy z kont” – mówił dr Maciej Kawecki z Wyższej Szkoły Bankowej w Warszawie.
Podobnie Komisja Nadzoru Finansowego zwraca uwagę, że częstsze kontakty pracowników banków z klientami związane z wdrażaniem nowych rozwiązań mogą zostać wykorzystane przez przestępców do prób wyłudzenia poufnych informacji, w tym poprzez przeprowadzanie ataków phishingowych, a w konsekwencji do kradzieży tożsamości lub kradzieży środków finansowych.
BĄDŹMY CZUJNI
Według KNF, uzasadnione podejrzenia powinny wzbudzić wszelkiego rodzaju wiadomości mailowe, SMS oraz próby kontaktu telefonicznego powołujące się na wejście w życie nowych rozwiązań, gdzie klient proszony jest o przekazanie informacji zawierających dane wrażliwe, w szczególności: dane logowania do bankowości elektronicznej, kody autoryzacyjne i kody PIN oraz dane osobowe. Komisja doradza również ostrożność, gdy otrzyma się informację o zablokowanym koncie albo jest się proszonym o kliknięcie w przesłany mailem lub SMSem link internetowy, zmianę hasła lub innych danych do logowania za pomocą przesłanego linku internetowego.
PAP/mim