ZBP chwali rekomendację KNF ws. cyberprzestępczości, choć ma wątpliwości

Rekomendacja KNF nt. transakcji w internecie idzie w dobrym kierunku, ale wątpliwości budzi zapis o przerzuceniu na banki odpowiedzialności za ustalenie, czy zakładający konto jest tą osobą, za którą się podaje - uważa Piotr Balcerzak ze Związku Banków Polskich.

25.11.2015 | aktual.: 21.06.2016 10:06

Komisja Nadzoru Finansowego wydała w ubiegłym tygodniu rekomendację dotyczącą bezpieczeństwa płatności w internecie. Ma ona dotyczyć banków, SKOK-ów i innych instytucji płatniczych.

Piotr Balcerzak powiedział, że rekomendacja Komisji jest generalnie zbieżna ze stanowiskiem samych banków w tej sprawie. Choć, dodał, ze szczegółową jej oceną należy się wstrzymać, gdyż wydana ona została zaledwie kilka dni temu.

Z punktu widzenia banków istotny jest m.in. art. 6.1 rekomendacji, regulujący kontrowersyjną kwestię otwierania kont na pomocą przelewu.

Przedstawiciel ZBP ocenił, że przyjęty w rekomendacji zapis jest "kompromisowy", bo nie ma zakazu stosowania tej metody, co KNF rozważała, ale zarazem rekomendacja uniemożliwia stosowanie tzw. "łańcuszka". Polega on na zawieraniu kolejnych umów rachunku bankowego, w których tożsamość osoby aplikującej jest potwierdzana w oparciu o polecenie przelewu z innego rachunku bankowego tej osoby, który również został otwarty dokładnie w ten sam sposób. To zalecenie będzie wymagało od banków oferujących taką usługę wiedzy, czy polecenie przelewu potwierdzające tożsamość wykonywane jest z rachunku otwartego w oparciu o przelew.

Sektor bankowy, mówił Balcerzak, już teraz jest gotowy do wypełnienia tej części rekomendacji, gdyż w Związku Banków Polskich została uruchomiona baza danych w ramach Systemu SWOZ, w której będą znajdowały się rachunki bankowe otwarte w ten sposób i każdy z banków będzie miał możliwość zweryfikowania sposobu otwarcia rachunku bankowego, z którego dokonano przelewu potwierdzającego tożsamość.

"Zawieranie umowy rachunku płatniczego z wykorzystaniem przelewu z innego rachunku płatniczego jako sposobu potwierdzenia tożsamości klienta dopuszczalne jest jedynie, gdy kolejne zawarcie umowy rachunku płatniczego u innego dostawcy usług płatniczych z wykorzystaniem przelewu z otwieranego rachunku dla potwierdzania tożsamości u tego dostawcy nie będzie możliwe" - głosi tekst rekomendacji.

Dotąd bardzo popularną metodą cyberprzestępczości - jak przyznawał niedawno w rozmowie z PAP dyr. Tomasz Piwowarski z UKNF - był tzw. phishing. W jego ramach cyberprzestępcy wyłudzali poufne dane do logowania i autoryzacji przelewów.

Potem, właśnie w ramach procedury otwierania kont za pomocą przelewu, otwierali konto, na które przelewane były pieniądze skradzione klientom przy wykorzystaniu phishingu. Mechanizm otwierania takich kont, na tzw. "słupa", polegał na tym, że przestępca ogłaszał np. fikcyjną rekrutację do pracy i wskazywał, że w związku z rekrutacją potrzebuje danych osobowych zainteresowanych ofertą pracy. Zainteresowane pracą osoby przesyłały swoje dane, które były wystarczające do zdalnego założenia konta w banku.

Złodziej miał zatem dane niezbędne do założenia konta, ale by je aktywować, musiał dokonać przelewu autoryzacyjnego z konta "słupa" w innym banku.

Ale i tę przeszkodę złodzieje obchodzili, prosząc, by zainteresowany rekrutacją przelał na nowo otwarte, na podstawie ich danych osobowych, konto niewielką kwotę środków na potrzeby rzekomej rekrutacji. Gdy złodziej miał konto autoryzowane, mógł za pomocą kont otworzonych na tzw. słupa otwierać kolejne rachunki i przelewać na nie pieniądze. A potem wypłacać pieniądze z bankomatu.

Właśnie takiemu procederowi wyłudzania od "słupów" przelewów "na potrzeby rekrutacji" ma zapobiegać inny fragment art. 6.1 rekomendacji.

Zakłada on, że "dostawca usługi rachunku płatniczego zapewnia integralność procesu składania wniosku o zawarcie umowy rachunku płatniczego i złożenia dyspozycji wykonania polecenia przelewu wykorzystywanego do otwarcia rachunku płatniczego".

Zdaniem Piotra Balcerzaka z ZBP to dobry zapis, gdyż uniemożliwia rozdzielenie i wykonanie przez dwie różne osoby elementów procesu, takich jak wypełnienie wniosku o zawarcie umowy rachunku bankowego danymi klienta i złożenie dyspozycji polecenia przelewu lub innej czynności potwierdzającej tożsamość klienta.

Balcerzak zwraca jednak uwagę na inne zdanie z art. 6.1 rekomendacji: "Dostawcy usług płatniczych stosują wobec klientów odpowiednie środki bezpieczeństwa, zwłaszcza skuteczne potwierdzenie ich tożsamości przed udostępnieniem im usług płatności internetowych".

"To oznacza, że to na banku, który zawiera umowę rachunku bankowego będzie ciążyć odpowiedzialność za sprawdzenie, czy osoba fizycznie dokonująca tej czynności jest tą osobą, za którą się podaje. To z kolei może rodzić podstawy do dochodzenia roszczeń przez bank, z którego dokonano transakcji oszukańczej wobec banku, który otworzył rachunek bankowy osobie posługującej się fikcyjną tożsamością. Natomiast wątpliwa będzie możliwość skutecznego dochodzenia roszczeń z tego tytułu w sytuacji, gdy faktyczna tożsamość klienta będzie zbieżna z deklarowaną w aplikacji, ale tożsamość ta została skradziona i osoba ta została zmanipulowana w wyniku użycia socjotechniki. Wątpliwość ta wynika z faktu, że rekomendacja nie przewiduje obowiązku poinformowania klienta, że właśnie zawiera umowę rachunku bankowego. Należy zaznaczyć, że banki dokonały samoregulacji w tym obszarze i wprowadzają nowe mechanizmy, które uniemożliwią wykorzystywanie rachunków bankowych otwieranych +na przelew+ do popełniania przestępstw na szkodę
banków i ich klientów, a Rekomendacja KNF uzupełnia dobre praktyki banków w tym zakresie" - przekonywał przedstawiciel ZBP.

Cała rekomendacja KNF jest zbiorem oczekiwań w sprawie oferowania przez banki usług płatniczych przez internet i mechanizmów kontrolnych. Obejmuje takie obszary jak: zasady i organizację procesu zarządzania i oceny ryzyka; środki kontroli i bezpieczeństwa w zakresie płatności internetowych; edukowanie klientów oraz komunikację z nimi.

W rekomendacji czytamy m.in., że "dostawcy usług płatniczych powinni zapewnić spójne i zintegrowane podejście do monitorowania, postępowania w razie wystąpienia incydentów bezpieczeństwa i działań następczych, w tym skarg klientów związanych z bezpieczeństwem". Powinni też "stosować procesy zapewniające, aby wszystkie transakcje, jak również przebieg procesu polecenia zapłaty, były odpowiednio śledzone".

Rekomendacja zaleca, by "inicjowanie płatności internetowej, a także dostęp do wrażliwych danych płatniczych", były "chronione silnym uwierzytelnianiem klienta". Z kolei wrażliwe dane płatnicze (dane osobowe, PIN-y itp.) "powinny podlegać ochronie podczas przechowywania, przetwarzania lub przesyłania".

Ponadto, zakłada rekomendacja, banki powinny stosować takie mechanizmy monitorowania transakcji, które będą zapobiegać oszustwom i wykrywać je "przed wykonaniem przez dostawcę usługi płatności internetowej". "Transakcje podejrzane lub wysokiego ryzyka powinny podlegać szczególnej procedurze kontroli i oceny" - głosi rekomendacja.

Dokument zaleca też, że banki powinny stosować odpowiednią politykę edukacyjną, a także "komunikować się z klientami w sposób umożliwiający im stwierdzenie autentyczności otrzymanych wiadomości".

"Dostawcy usług płatniczych powinni potwierdzać klientom zainicjowanie płatności oraz dostarczać im we właściwym czasie informacje niezbędne do weryfikacji, czy transakcja płatnicza została poprawnie zainicjowana lub wykonana" - czytamy także w dokumencie.

W niedawnej rozmowie z PAP dyrektor Piwowarski z UKNF mówił, że ostatnio wzrasta liczba "incydentów bezpieczeństwa", związanych z bankowością internetową. Najbardziej narażone na ataki cyberprzestępców są konta bankowe posiadaczy smartfonów, korzystających z bankowości mobilnej.

"Przy korzystaniu z bankowości internetowej za pomocą tradycyjnych komputerów autoryzacja transakcji w większości przypadków jest dokonywana za pomocą telefonu, a w przypadku urządzeń mobilnych (smartfonów) mamy wszystko w jednym miejscu. Dlatego jeżeli ktoś nie zadba o bezpieczeństwo telefonu wykorzystywanego do transakcji bankowych, jest narażony na istotne ryzyko" - podkreślał Piwowarski.

Komisja Nadzoru Finansowego ostatnio przeprowadziła wśród banków ankiety na temat incydentów bezpieczeństwa IT oraz mechanizmów kontrolnych. Z ankiety wynikło, że "infrastruktura klienta" (komputery, urządzenia mobilne) to sfera, na którą jest najwięcej ataków cyberprzestępców. Przy wydawaniu rekomendacji wyniki tej ankiety zostały uwzględnione.

Źródło artykułu:PAP
Wybrane dla Ciebie
Komentarze (0)