Komisja Nadzoru Finansowego przygotowała projekt rekomendacji dotyczącej bezpieczeństwa płatności w internecie. Jeśli wejdzie ona w życie w proponowanym kształcie, klientów niektórych banków czekać będzie istotna zmiana – płacenie online wymagać będzie tzw. silnego uwierzytelnienia, czyli np. potwierdzania operacji jednorazowym hasłem SMS.
Wprowadzenie technologii kart mikroprocesorowych utrudniło życie przestępcom kradnącym plastiki z portfeli. Jednak nowe rozwiązanie nie przyniosło widocznych zmian w przypadku płatności dokonywanych w internecie. Z ostatnich danych publikowanych przez Narodowy Bank Polski wynika, że liczba tzw. fraudów kartowych rosła dynamicznie. W II kwartale 2014 r. była ona wyższa o ponad 10 proc. niż w poprzednich trzech miesiącach. Ponad 40 proc. oszustw mieści się w kategorii „inne”, która dotyczy przede wszystkim operacji zdalnych, np. zlecanych w internecie. Ten typ przestępstw zaczyna dominować, podobnie jest w innych krajach europejskich.
Komisja Nadzoru Finansowego już w 2014 r. zaleciła bankom dostosowanie się do 1 lutego 2015 r. do zaleceń, które przygotował Europejski Bank Centralny – tzw. rekomendacji SecuRePay oraz wytycznych europejskiego nadzoru. Rekomendacja, której projekt opublikowała właśnie KNF w dużej mierze powtarza wskazówki EBC, ale dodaje także kilka dodatkowych elementów. Jeśli wejdzie w życie, dotknie nie tylko banków, ale także krajowych instytucji płatniczych, instytucji pieniądza elektronicznego oraz SKOK-ów.
Zmiana zaufanych przelewów – tylko z dodatkowymi zabezpieczeniami
W projekcie pojawia się szereg wymagań dotyczących procedur zarządzania ryzykiem stosowanych przez dostawców usług płatniczych. Dla klientów płacących w sieci najważniejszy będzie jednak narzucony przez regulatora sposób potwierdzania transakcji. Zlecając przelew, polecenie zapłaty lub tworząc zlecenie stałe konieczne będzie silne uwierzytelnienie klienta przez użycie co najmniej dwóch elementów:
- Czegoś, co wiemy (np. numeru klienta, hasła, numeru PESEL),
- Czegoś, co mamy (np. telefonu komórkowego, tokena),
- Czegoś, czym jesteśmy (np. odcisk palca).
Stosowane przy potwierdzeniu transakcji środki muszą być od siebie niezależne, a więc naruszenie jednego (np. utrata hasła) nie powinno wpływać na drugie (np. posiadanie telefonu komórkowego). Co najmniej jeden z tych elementów musi być niemożliwy do ponownego użycia i być nieodtwarzany (z wyjątkiem zabezpieczeń biometrycznych).
Dwustopniowe zabezpieczenia są już dzisiaj standardem w bankowości internetowej. KNF dodaje jednak, że dostawca usługi płatniczej może zrezygnować z silnego uwierzytelnienia w pewnych przypadkach, np. gdy zlecamy transfer do zaufanego odbiorcy (tzw. „biała lista”), ale sam dostęp do wrażliwych danych płatniczych i możliwość ich modyfikacji powinny być strzeżone dwustopniowo. Tymczasem nadal niektóre banki umożliwiają podmienianie danych zaufanych przelewów bez dodatkowej weryfikacji, co ułatwia zadanie hakerom okradającym klientów.
Silne uwierzytelnienie też przy kartach
KNF planuje także bezwzględnie wymagać silnego uwierzytelnienia przy płatnościach kartami w internecie. Wprawdzie taki wymóg teoretycznie obowiązuje od początku lutego tego roku, ale niektóre banki nie stosują się do zasad SecuRePay. Dla klientów m.in. Citi Handlowy czy BZ WBK nowe reguły nie będą oznaczały zmiany zwyczajów. Już dziś, w ramach schematu nazwanego 3D Secure, muszą oni potwierdzać płatności w sieci przepisując jednorazowe hasło SMS do formularza w przeglądarce. Jeśli rekomendacja wejdzie w życie w proponowanej formie, wielu klientów banków i SKOK-ów będzie musiało przyzwyczaić się, że oprócz karty trzeba będzie mieć pod ręką telefon.
Podobne zasady mają obowiązywać dostawców tzw. „rozwiązań portfelowych”, czyli serwisów, które umożliwiają zapisanie danych kart płatniczych (i innych instrumentów) i późniejsze prostsze opłacanie zakupów. Silne uwierzytelnienie będzie konieczne w momencie dodania karty do portfela, a także przy kolejnych transakcjach. KNF zostawia jednak pewną furtkę – karta „opakowana” w portfel lub używana bezpośrednio w sieci może obejść się bez dodatkowych zabezpieczeń przy transakcjach o niskim ryzyku (np. na małe kwoty lub gdy dostawca usługi płatniczej przeprowadzi analizę ryzyk i uzna taką drogę za odpowiednią).
KNF wchodzi w szczegóły
W wielu miejscach rekomendacja KNF sięga dość szczegółowych kwestii. W projekcie jest mowa m.in. o ograniczeniu liczby prób logowania do systemów dostawców płatności czy zawartości wiadomości z hasłami jednorazowymi (sugeruje się powiązanie ich z danymi odbiorcy lub kwotą transferu). Nadzór oczekuje także, że proces płatności zostanie wyraźnie oddzielony od procesu zakupu. Klienci mają wiedzieć, kiedy komunikują się z dostawcą usług płatniczych, a kiedy ze sprzedawcą. Oznaczać to będzie zapewne zalecenie, aby nie osadzać formularzy płatniczych bezpośrednio w serwisach e-sklepów, ale otwierać je w osobnym oknie.
Rynek płatności online jest bardzo konkurencyjny, a każdy z graczy zdaje sobie sprawę, że wpadka w dziedzinie bezpieczeństwa może oznaczać koniec biznesu. Dlatego większość zaleceń nadzoru już dawno trafiła do praktyki. Rozpoczynając konsultacje KNF otwiera się jednak na nowe propozycje. Nadzór zbiera głosy do 25 września, a więc niewykluczone, że ostateczną wersję rekomendacji będziemy mogli poznać jeszcze w tym roku.
