Nowe zasady dostępu do rachunków bankowych

Celem zmian była więc poprawa bezpieczeństwa dokonywanych transakcji płatniczych. Chodzi tu zarówno o dostęp do konta bankowego przez internet, jak i płatności elektronicznych w tym płatności kartami płatniczymi. Jedną z ważniejszych zmian jest wprowadzenie tzw. silnego uwierzytelnienia przy korzystaniu z dostępu do rachunku on-line.

- "Uznano, że stosowane dziś zabezpieczenia np. podanie loginu i hasła to za mało. Stąd przepisy przewidują wprowadzenie dodatkowych zabezpieczeń, np. dodatkową autoryzację kodem sms, czy aplikacją mobilną. Do tego tworzy się wiele nowych możliwości potwierdzenia transakcji związanych z rozwojem technologii np. dodatkowe potwierdzenie odciskiem palca, skan oka czy twarzy" – powiedziała Izabela Dąbrowska-Antoniak, dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego.

Zmiany mogą dotyczyć zarówno samego logowania do bankowości internetowej, jak i wykonywania poszczególnych transakcji, także transakcji zbliżeniowych. 

Podwyższenie poziomu zabezpieczeń transakcji elektronicznych oparte zostało o silne uwierzytelnienie klienta. W wyniku wprowadzanych przez dostawców usług płatniczych nowych rozwiązań, zmianie uległ przede wszystkim sposób logowania do serwisów bankowości elektronicznej. Konieczne jest w szczególności użycie dodatkowej, obok loginu i hasła, metody autoryzacji. Wybór konkretnych rozwiązań pozostaje w gestii właściwych dostawców usług płatniczych, a szczegółowe informacje na ten temat dostępne są na ich stronach internetowych.

W obszarze płatności kartowych zmiany dotyczą sposobu autoryzacji transakcji internetowych – bez fizycznego użycia karty, a także płatności zbliżeniowych, przy których częściej niż dotychczas, nie tylko przy przekroczeniu kwoty 50 zł, wymagane będzie potwierdzenie transakcji PIN-em.

Uwaga na próby wyłudzania poufnych informacji w zw. z PSD2

We wrześniu banki wysyłały do klientów informacje dotyczące tych zmian. To okazja dla przestępców, którzy podszywając się banki mogą przykładowo żądać od klientów podania danych potrzebnych do logowania na specjalnie stworzonych stronach internetowych przypominających serwisy bankowe.

- "Należy zachować ostrożność i pod żadnym pozorem np. nie odpowiadać na maile z takim żądaniem; szczególnie jeśli jesteśmy w nich proszeni o zalogowanie się do naszego konta przy pomocy linku zamieszczonego w przesłanym mailu" – przestrzegła Izabela Dąbrowska-Antoniak.

Urząd Komisji Nadzoru Finansowego zwrócił uwagę, że związana z wdrażaniem nowych rozwiązań konieczność wzmożonych kontaktów ze strony dostawców usług płatniczych ze swoimi klientami może zostać wykorzystana przez przestępców do prób wyłudzenia poufnych informacji, w tym poprzez przeprowadzanie ataków phishingowych, a w konsekwencji do kradzieży tożsamości lub kradzieży środków finansowych.

W przypadku jakichkolwiek wątpliwości zaleca się bezpośredni kontakt z właściwym dostawcą usług płatniczych. 

Bezpieczniej, ale nie do końca

Eksperci Rzecznika Finansowego zwracają też uwagę, że nowe przepisy pozwalają na zwolnienie z silnego uwierzytelnienia niektórych rodzajów transakcji. Chodzi tu na przykład o przelewy wewnątrz konta, np. z konta oszczędnościowego na rachunek oszczędnościowo rozliczeniowy. Wyłączona z tego wymogu jest też procedura definiowania odbiorcy zaufanego. Analiza skarg klientów dotyczących nieautoryzowanych transakcji pokazała, że przydałoby się dodatkowe zabezpieczenie transakcji przeprowadzonych w ramach rachunku bankowego.

- "Mieliśmy przypadki w których przestępcy, którzy już dostali się do panelu klienta w bankowości elektronicznej definiowali swój rachunek jako odbiorcy zaufanego. Następnie transferowali środki z ROR, konta oszczędnościowego, wykorzystywali limity w kartach, a nawet  zaciągali tzw. pożyczki „na klik”, czyli według uproszczonej procedury. Efekt był taki, że poszkodowany klient nie tylko tracił pieniądze które posiadał, ale też miał do spłacenia dług" – opisywała Izabela Dąbrowska-Antoniak.

Jej zdaniem po wdrożeniu zasad silnego uwierzytelnienia przejęcie kontroli nad kontem będzie rzeczywiście trudniejsze. Jednak po sforsowaniu zabezpieczeń, przestępcy będą mieli nadal swobodę działania w ramach konta. Dlatego dobrze by było, żeby silne uwierzytelnienie było stosowane również przy wspominanych transakcjach.

- "Część klientów z pewnością będzie wolała, żeby ich pieniądze były bardziej bezpieczne, nawet kosztem tego, że transakcja będzie trwała trochę dłużej. Bank powinien być raczej bezpieczny, a nie szybki" – uważa Izabela Dąbrowska-Antoniak.

Szybki zwrot ukradzionych pieniędzy

Wspominane przepisy dyrektywy i ustawy zaostrzyły już wcześniej – bo w czerwcu ubiegłego roku - zasady odpowiedzialności banków w sytuacji gdy przestępcom uda się sforsować zabezpieczenia. Zgodnie z nimi bank musi zwrócić kwoty wytransferowane w ramach nieautoryzowanej przez klienta transakcji zgodnie zasadą D+1.

- "Banki w większości przypadków powinny zwracać środki następnego dnia roboczego po zgłoszeniu nieautoryzowanej transakcji. Wyjątkiem jest sytuacja, w której bank będzie miał uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta i poinformuje o tym organy ścigania" - wyjaśniła Izabela Dąbrowska-Antoniak.

Tylko jeśli w późniejszym postępowaniu wyjdzie na jaw, że klient celowo oszukał bank lub do transakcji doszło na skutek jego rażącego niedbalstwa, bank może zażądać od niego zwrotu tych środków.

- "W praktyce zapewne będzie musiał ich dochodzić w sądzie i udowadniać swoje twierdzenia. Uważam, że to właściwa kolejność, bo dziś bank jest trochę sędzią we własnej sprawie" – powiedziała Izabela Dąbrowska-Antoniak.

Zob. też: Nowe zasady logowania do bankowości elektronicznej