UOKiK opracował dokument, w którym szczegółowo poucza dostawców usług internetowych. Urząd Ochrony Konkurencji i Konsumentów chce, aby klienci bankowości elektronicznej byli bezpieczni.
Bankowość elektroniczna to wygoda, ale i niebezpieczeństwo
Płatności internetowe weszły nam już w krew. W sieci załatwiamy sprawy, które kiedyś wymagały wyprawy do placówki bankowej. Z pewnością teraz możemy dokonywać transakcji dużo łatwiej niż kiedyś. Mamy wiele metod i możliwości, ale jednocześnie zwiększyła się liczba zagrożeń prowadzących do oszustw, wyłudzeń lub kradzieży.
Zadaniem dostawców usług płatniczych nie jest tylko udostępnienie klientom narzędzi i pokazanie ich funkcji, ale również przekazanie informacji na temat zabezpieczeń oraz możliwego ryzyka. Dlatego też Urząd Ochrony Konkurencji i Konsumentów przedstawił czynniki ryzyka w usługach płatniczych i opracował zalecenia dla dostawców usług, mogących ograniczyć fałszywe transakcje.
Czynniki ryzyka według UOKiK-u
UOKiK wyszczególnił sześć możliwości udzielanych konsumentom przez dostawców, które mogą doprowadzić ich do narażenia na oszustwo. Mowa tutaj np. o samodzielnym zmienianiu danych na koncie klienta, zmian metod weryfikacji, dodawaniu funkcji lub też limitów w transakcjach.
Jeśli cyberprzestępca zdobędzie informacje potrzebne do uwierzytelnienia, bez problemu może zmieniać m.in. maksymalne kwoty danego rodzaju transakcji. Urząd wspomniał również o niebezpieczeństwach płynących z możliwości zaciągania kredytu „za pomocą jednego kliknięcia”, a także o przelewach natychmiastowych oraz braku konieczności posiadania fizycznej karty.
Zalecenia dla banków, które pomogą chronić klientów
W dokumencie UOKiK znalazło się 16 punktów, które przedstawiają zalecenia dla dostawców usług płatniczych, mające pomóc w ograniczeniu oszustw. Zbiór zaleceń został opracowany przez przedstawicieli Urzędu Komisji Nadzoru Finansowego i ekspertów z sektora bankowego w oparciu o skargi przesyłane do UOKiK przez samych konsumentów.
Urząd sugeruje, aby dostawcy monitorowali na bieżąco transakcje dokonywane przez klientów, w tym wpływy, wydatki oraz zgromadzone środki, aby w porę wykryć oszustwo. UOKiK zaleca także zastosowanie funkcji opóźniającej wykonanie transakcji – tzw. cooling period. W praktyce wykryta np. przez bank ryzykowna czynność (na przykład zaciągnięcia kredytu) zostałaby odroczona do momentu jej potwierdzenia przez konsumenta.
Polski urząd antymonopolowy zachęca też do komunikatów typu voice, czyli dodatkowej formy uwierzytelnienia za pomocą połączenia telefonicznego. Sytuacja ta miałaby się tyczyć ryzykownych transakcji, zmian limitów na koncie i wniosków o kredyt. UOKiK zaleca również blokadę logowania w trakcie trwania zdalnej sesji.
Przedstawiciel firmy dostarczającej usługi powinien podlegać każdorazowemu uwierzytelnieniu. Wszelkie komunikaty przekazywane konsumentowi powinny być jasne i zrozumiałe, zawierać objaśnienia i krótkie informacje, a także być dostępne do ponownego odczytania przez minimum 13 miesięcy od wyświetlenia powiadomienia.
Zaleca się, aby dostawcy usług zapewnili dedykowaną infolinię oraz czat nieobsługiwany przez sztuczną inteligencję, gdzie klienci będą mogli w szybki sposób zgłosić nieautoryzowane transakcje. Banki powinny również dodać do swoich serwisów internetowych oraz aplikacji mobilnych specjalny przycisk (tzw. panic button), dzięki któremu użytkownik konta szybko zablokuje dostęp do transakcji na określony czas lub do czasu wizyty w placówce.
UOKiK zaleca także metodę silnego uwierzytelniania klienta (SCA) podczas transakcji, w której nie używa się fizycznej karty. Na karcie nie powinny być widoczne dane uwierzytelniające (CVC, CVV), a klient powinien mieć możliwość wygenerowania jednorazowej karty płatniczej.