UOKiK wskazuje czynniki ryzyka
Jak zauważył UOKiK, płatności elektroniczne rozwijają się coraz szybciej i stają się dostępne dla coraz większej liczby osób, w tym także starszych, które nie radzą sobie dobrze w cyfrowym środowisku i są szczególnie podatne na nadużycia. Działania zmierzające do podniesienia bezpieczeństwa podejmowane przez dostawców usług idą w dobrym kierunku, jednocześnie urząd zauważa, że wskazane jest wypracowanie wspólnych rozwiązań systemowych i organizacyjnych, które stworzyłyby rynkowy standard.
W dokumencie czytamy między innymi:
Bezpieczeństwo transakcji online, to wspólny interes dostawców i odbiorców usług płatniczych. Niedopuszczalne jest przerzucenie całej odpowiedzialności w tym zakresie na konsumenta. Należy podkreślić, że to na dostawcach
usług spoczywa ciężar wyczerpującego udzielenia klientom informacji na temat transakcji płatniczych, w szczególności dotyczy to informacji o ryzykach. Najważniejszą rolę pełnią tu banki, które jako instytucje zaufania publicznego, powinny w sposób kompleksowy informować klientów o ryzykach. Wyjaśniać sposoby działania oszustów, a także wdrażać środki monitorowania, komunikacji i reagowania na coraz bardziej wysublimowane metody oszustw i kradzieży. Działania te muszą być prowadzone systematycznie i ewoluować równolegle z rozwojem technologii i zmianami nawyków konsumentów. To samo dotyczy katalogu czynników ryzyka i wytycznych, które mają zminimalizować ich wpływ na konsumentów, korzystających z internetowych usług
płatniczych.
Choć oczywiście bywają sytuacje, że cała odpowiedzialność za utratę pieniędzy istotnie spoczywa na kliencie, który z dużym zaangażowane omija kolejne bankowe zabezpieczenia pod dyktando oszustów, to równie często można wskazać także czynniki po stronie dostawców usług, które zwiększają poziom ryzyka. W szczególności UOKiK wskazał tutaj:
- Możliwość samodzielnego zwiększenia limitów transakcyjnych na koncie klienta z poziomu aplikacji mobilnej lub strony internetowej i utrzymywanie przez klientów wysokich limitów transakcyjnych.
- Możliwość zaciągnięcia zobowiązania finansowego z poziomu aplikacji mobilnej lub strony internetowej.
- Możliwość samodzielnej zmiany danych na koncie klienta, w tym np. zmiany metod komunikacji (np. numeru telefonu, adresu e-mail) lub danych wpływających na ocenę zdolności kredytowej z poziomu aplikacji mobilnej lub strony internetowej.
- Możliwość samodzielnego aktywowania dodatkowych funkcji z poziomu aplikacji mobilnej lub strony internetowej
- Możliwość dokonania natychmiastowego przelewu środków.
- Możliwość dokonania płatności kartowej bez fizycznego użycia karty, (CNP) niewymagająca silnego uwierzytelnienia klienta (SCA) przez odbiorcę płatności
Zalecenia UOKiK
Efektem zanalizowania przez UOKiK stosowanych przez dostawców płatności zabezpieczeń i w kontekście wskazanych czynników ryzyka jest sformułowanie szeregu zaleceń przez Urząd.
I tak UOKiK zaleca wdrożenie ciągłego monitorowania transakcji dokonywanych przez klientów. Pod uwagę należy brać przeciętne wpływy i wydatki, środki na rachunkach, typowe transakcje wykonywane przez użytkownika, oraz wszelkie inne okoliczności, które wskazywałyby na podwyższone niebezpieczeństwo fraudu, w szczególności nietypowe operacje takie jak częste podnoszenie limitów transakcyjnych poza typowe parametry powinno być dodatkowo weryfikowane. Jednym ze wskazanych sposobów jest użycie systemów opartych o SI i biometrię behawioralną (podobną metodę stosuje ING).
Kolejnym zaleceniem jest wprowadzenie okresu zwanego „cooling period”, czyli opóźnienia między zleceniem a faktycznym wykonaniem transakcji, które powinno być wdrożone w każdej sytuacji wskazującej na podwyższone ryzyko oszustwa. Dostawcy powinni także informować o wprowadzonych zmianach na koncie wieloma kanałami, na wypadek przejęcia jednego z nich przez oszustów. W szczególności dotyczy to inicjowanych przez bank komunikatów głosowych o zmianach, które trudniej zignorować niż wiadomości tekstowe.
UOKiK zaleca także, aby w przypadku konieczności kontaktu z klientem dostawca usług wprowadził każdorazowy obowiązek uwierzytelniania się pracownika. Podobne rozwiązania wykorzystujące aplikacje mobilne funkcjonują już w części banków (między innymi w BGŻ BNP Paribas i ING).
Urząd zaleca także ograniczenie dostępności niektórych usług finansowych z poziomu bankowości internetowej przez przeglądarkę i aplikacji mobilnych – chodzi tu w szczególności o ograniczenie możliwości zaciągania kredytów konsumenckich szczegółowej weryfikacji. Nadanie dostępu do takich usług powinno następować wyłącznie na wyraźne życzenie klienta i nie powinno być automatyczne.
Bardzo ważnym zaleceniem jest wdrożenie blokad logowania się z poziomu strony lub aplikacji, jeśli urządzenie jest pod kontrolą oprogramowania do zdalnego dostępu. Ten wektor ataku jest często stosowany i można go uznać za szczególnie niebezpieczny.
UOKiK zwrócił także uwagę na język komunikatów kierowanych przez dostawców usług kanałami tekstowymi i głosowymi. Powinny być proste i zrozumiałe, do tego wyraźnie identyfikujące powód kontaktu, a w przypadki transakcji wyraźnie podawać kwotę i jeśli to możliwe, adresata. Jest to o tyle istotne, że na rynku nie brak przykładów komunikacji ze strony niektórych banków, która przypomina wiadomości typowe dla oszustw.
Zalecane jest stworzenie metody szybkiego zgłoszenia nieautoryzowanej transakcji – przez specjalną infolinię, czat w aplikacji mobilnej i na stronie internetowej – informacje o sposobie kontaktu powinny być łatwo dostępne w wielu miejscach.
UOKiK zaleca wyposażenie dostępnych dla klienta kanałów dostępu w „panic button”, którego użycie powinno blokować możliwość wykonywania jakichkolwiek transakcji z rachunku klienta przez określony czas lub do momentu odblokowania w placówce dostawcy usług.
Wszystkich zaleceń jest 16, a szczegółowy wykaz dostępny jest w dokumencie UOKiK
Zobacz także: Kontrowersje wokół Facebooka. Do gry wchodzi UOKiK