UKNF przestrzega przed podawaniem bankom danych do logowania
Urząd Komisji Nadzoru Finansowego ostrzega, że podając bankowi hasła do logowania do konta prowadzonego w innym banku można stracić prawo do reklamacji nieautoryzowanych transakcji. UKNF podjął odpowiednie kroki wobec banków żądających takich danych.
UKNF w poniedziałkowym komunikacie poinformował o przypadkach, w których banki - w związku ze składaniem wniosku o kredyt - proszą potencjalnych klientów o podanie danych logowania do ich rachunków prowadzonych przez inne banki. Chodzi o login czy identyfikator oraz hasło. Potrzebne są one bankowi, który ma udzielić kredytu, aby uzyskać dostęp do historii rachunku danej osoby w innym banku.
UKNF podał, że niektóre banki udostępniają też klientom funkcje pozwalające na wprowadzenie danych logowania do kont w innych bankach, co ma umożliwić wgląd we wszystkie rachunki w jednym miejscu.
"Takie praktyki banków budzą zaniepokojenie Urzędu KNF. W związku z tym, wobec banków stosujących kwestionowane praktyki podjęte zostały indywidualne działania nadzorcze zmierzające do zmiany postępowania tych banków" - poinformowano w komunikacie.
KNF zwrócił uwagę, że podawanie przez klientów danych logowania do bankowości internetowej we wskazany sposób jest ryzykowne - prowadzi do złamania przez klienta ustawy o usługach płatniczych oraz warunków umowy dotyczących korzystania z bankowości internetowej. Zobowiązują one bowiem do zachowania poufności danych logowania. "Wiąże się to z ryzykiem utraty prawa do reklamacji ewentualnych nieautoryzowanych transakcji" - ostrzega UKNF.
Urząd podkreślił, że podstawową zasadą bezpiecznego korzystania z usług bankowych i płatniczych z wykorzystaniem elektronicznych kanałów dostępu jest podawanie nazwy użytkownika i hasła do konta jedynie na stronie internetowej banku prowadzącego dany rachunek lub w udostępnianej przez niego aplikacji (np. instalowanej na telefonie). Zdaniem UKNF, praktyka niektórych banków zachęca klientów do łamania tej zasady.
"Takie postępowanie może zaprzepaścić wieloletnie działania edukacyjne środowiska bankowego uświadamiające klientom banków istotność powyższej zasady. Jest prawdopodobne, że spowoduje to zmniejszenie czujności klientów w odniesieniu do miejsc, w których wprowadzają oni swoje dane logowania, co może przyczynić się do wzrostu skuteczności ataków typu phishing i pojawienia się nowych scenariuszy ataków tego rodzaju" - napisał regulator.
Według urzędu niepożądanym pośrednim efektem może być też zmniejszenie zaufania klientów do korzystania z usług bankowych i płatniczych świadczonych przez internet.
Urząd zwrócił uwagę, że do istotnego ograniczenia ryzyka w tym zakresie mogą przyczynić się działania podejmowane przez Związek Banków Polskich. Mają one na celu wypracowanie rozwiązań pozwalających na bezpieczną, autoryzowaną przez wszystkie zaangażowane strony wymianę danych klientów.
