fot. VideoFlow / Shutterstock

Przewodniczący KNF przestrzega banki przed wysyłaniem aktywnych linków do bankowości internetowej. W liście skierowanym do sektora nadzór nakłania również do zmiany podejścia do zatwierdzania drobnych płatności online.

Na stronie internetowej Komisji Nadzoru Finansowego opublikowano list do sektora bankowego dotyczący cyberbezpieczeństwa elektronicznych kanałów dostępu. Nadzorca zauważa we wstępie, że klienci przenoszą coraz większą część swojej aktywności do sieci, ale jednocześnie pozostają w niewystarczającym stopniu świadomi czających się tam niebezpieczeństw.

„W ocenie Komisji, pomimo prowadzonych od wielu lat kampanii i działań edukacyjnych, których inicjatorami są m.in. podmioty rynku finansowego, obserwowana jest tendencja wzrostowa liczby oszustw, których ofiarami padają konsumenci, niejednokrotnie tracący oszczędności całego życia. Konkluzja ta dotyczy zarówno osób aktywnie korzystających z nowoczesnych technologii i form komunikacji, jak również osób starszych, które z usług bankowości elektronicznej korzystają sporadycznie” – czytamy w liście nadzoru.

Wszystkie płatności w sieci z silnym uwierzytelnieniem

KNF zwraca bankom uwagę na kilka problematycznych kwestii. Pierwszą są niskokwotowe płatności online realizowane bez silnego uwierzytelnienia. Przypomnijmy, że od początku 2021 r. transakcje w internecie muszą być zabezpieczane przez dwa z trzech elementów:

coś, co wiemy (np. numer klienta, hasła),

coś, co mamy (np. telefon komórkowy),

coś, czym jesteśmy (np. odcisk palca).

Wymagania wynikające z dyrektywy PSD2 mogą być w części pominięte w przypadku płatności na niskie kwoty, o niewielkim ryzyku. KNF chce jednak, aby na taką „drogę na skróty” klienci musieli się jednoznacznie zgodzić. Odpowiednia zgoda może mieć formę np. zaznaczenia opcji w serwisie bankowości internetowej. „Elementem poprzedzającym podjęcie tej decyzji powinna być akceptacja przez klientów informacji o potencjalnym ryzyku utraty środków finansowych, w tym przypadku związanym z wyłączeniem silnej autoryzacji dla transakcji niskokwotowych”. Domyślnym sposobem postępowania banków powinno być zatem wymaganie potwierdzenia silnym uwierzytelnieniem każdej transakcji.

Korespondencja bez linków

Po drugie, KNF uczula banki na konsekwencje wysyłania klientom aktywnych linków. „Organ nadzoru stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach mailowych (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów, stoi w sprzeczności z tworzonym i od lat komunikowanym klientom przekazem związanym z ryzykiem utraty danych i środków finansowych i powinno zostać wyeliminowane z praktyki na rzecz informacji statycznych (podkr. red.), nie generujących wskazanego wyżej ryzyka oszustwa lub na rzecz przekazywania klientom informacji poprzez aplikacje mobilne oraz portale bankowości elektronicznej” – czytamy w liście.

Jednocześnie nadzorca odnosi się do sposobu zabezpieczania przesyłanych i udostępnianych drogą elektroniczną dokumentów. Nierzadko wykorzystuje się jako hasła do np. wyciągów bankowych numer PESEL klienta lub inne, stosunkowo nieskomplikowane ciągi znaków bazujące na wrażliwych danych. „Mając na względzie potrzebę ograniczania niebezpiecznych z punktu widzenia organu nadzoru praktyk stosowanych przez dostawców, korespondencja mailowa zawierająca załączniki, zwłaszcza z danymi osobowymi, powinna być szyfrowana w sposób zapewniający poufność informacji, a hasło niezbędne do jej odszyfrowania powinno być przekazywane osobnym kanałem komunikacji, np. przez portal bankowości elektronicznej, aplikacje mobilną lub SMS (podkr. red.)” – wskazuje KNF.

Nadzorca podkreśla, że możliwe jest także rozwiązanie, w którym klient w bankowości internetowej sam ustala hasło do dokumentów. Inną opcją pozostaje udostępnianie plików w serwisie transakcyjnym, już po zalogowaniu.

KNF zwraca uwagę, że podniesione przez nadzór kwestie dotyczą także SKOK-ów oraz krajowych instytucji płatniczych, chociaż adresatem listu jest sektor bankowy. Sugestie KNF traktowane są poważnie przez kredytodawców – w przeszłości ich skutkiem było m.in. zniknięcie kart przedpłaconych na okaziciela czy zmiana zasad zdalnego otwierania rachunków. Klienci banków mogą zatem oczekiwać, że wkrótce wspomniane przez nadzór zmiany znajdą odzwierciedlenie w ofertach instytucji.