Urząd pokazał, co muszą zrobić banki, by klienci byli bezpieczni. Dziwne, że nie wdrożono tego wcześniej
Instytucje finansowe powinny minimalizować ryzyko kradzieży pieniędzy czy danych – mówi prezes UOKiK i pokazuje, jak to zrobić. Urząd przygotował zalecenia, dzięki którym użytkownicy mają być lepiej chronieni. To bardzo praktyczne rozwiązania i aż dziwi, że nie są powszechnie stosowane.
- Rola dostawców usług płatniczych nie kończy się na udostępnieniu konsumentom możliwości szybkiego i wygodnego wykonania płatności. Każde nowe rozwiązanie wymaga wyedukowania klientów, nie tylko w zakresie jego funkcjonalności. Ważne jest rzetelne informowanie o ryzykach oraz nauczenie klientów tego jak ich unikać. Kluczową jednak sprawą jest praca dostawców usług płatniczych nad tym, by to ryzyko minimalizować na poziomie systemowym
- mówi prezes UOKiK Tomasz Chróstny.
UOKiK zwraca uwagę, że choć wprowadzane są już rozwiązania pozwalające zmniejszać ryzyko oszukańczych transakcji, to oszuści dalej czują się swobodnie i znajdują sposoby, że okradać klientów.
- Doceniamy podjęte w toku prowadzonych przez nas postępowań wysiłki dostawców usług płatniczych, by zwiększyć bezpieczeństwo transakcji online. Jednocześnie zwracamy uwagę, że ochrona konsumentów na tym rynku wymaga wypracowania spójnych rozwiązań systemowych i organizacyjnych, które pozwolą przekuć dobre praktyki w rynkowy standard – dodaje prezes.
Właśnie dlatego UOKiK wraz przedstawicielami Urzędu Komisji Nadzoru Finansowego oraz ekspertami z sektora bankowego przygotowali dokument zawierający stosowne zalecenia. Składa się z listy czynników ryzyka, czyli „funkcji oferowanych przez dostawców usług płatniczych, które są najczęściej wykorzystywane przez oszustów”.
Bezpieczeństwo transakcji online, to wspólny interes dostawców i odbiorców usług płatniczych. Niedopuszczalne jest przerzucenie całej odpowiedzialności w tym zakresie na konsumenta. Należy podkreślić, że to na dostawcach usług spoczywa ciężar wyczerpującego udzielenia klientom informacji na temat transakcji płatniczych, w szczególności dotyczy to informacji o ryzykach. Najważniejszą rolę pełnią tu banki, które jako instytucje zaufania publicznego, powinny w sposób kompleksowy informować klientów o ryzykach. Wyjaśniać sposoby działania oszustów, a także wdrażać środki monitorowania, komunikacji i reagowania na coraz bardziej wysublimowane metody oszustw i kradzieży. Działania te muszą być prowadzone systematycznie i ewoluować równolegle z rozwojem technologii i zmianami nawyków konsumentów. To samo dotyczy katalogu czynników ryzyka i wytycznych, które mają zminimalizować ich wpływ na konsumentów, korzystających z internetowych usług płatniczych
– zaznaczono w dokumencie.
W piśmie czytamy o „ułatwieniach”, które pozwalają oszustom wykradać środki. Wymieniono m.in. możliwość samodzielnego zwiększenia limitów transakcyjnych na koncie klienta z poziomu aplikacji mobilnej lub strony internetowej i utrzymywanie przez klientów wysokich limitów transakcyjnych czy fakt, że z poziomu aplikacji oraz strony internetowej bardzo łatwo zaciągnąć finansowe zobowiązanie. UOKiK zwrócił uwagę również na możliwość dokonania natychmiastowego przelewu środków.
"W przypadku natychmiastowego przelewu dokonanego przez osobę trzecią konsument ma mniej czasu na reakcję – w szczególności jeżeli nie otrzymuje żadnej dodatkowej informacji o takiej transakcji i nie ma świadomości, że została ona w danym momencie zlecona" – czytamy.
Problem w tym, że narzędzia, które ułatwiają życie przestępców, wprowadzone zostały przede wszystkim dla wygody klientów. Czy w takim razie trzeba z nich zrezygnować? Niekoniecznie. W zaleceniach dla dostawców usług płatniczych urząd podkreśla, że „dostawcy usług płatniczych powinni na bieżąco wdrażać wszelkie niezbędne środki zaradcze, reagując niezwłocznie na pojawiające się zagrożenia”.
Dostawca usług płatniczych powinien na bieżąco monitorować transakcje dokonywane przez klientów, uwzględniając przy tym zwyczaje konsumentów w kontekście korzystania z usług płatniczych (…) W ramach monitorowania transakcji i doboru adekwatnych zabezpieczeń antyfraudowych powinien brać w szczególności pod uwagę przeciętne wpływy, wydatki i środki zgromadzone na rachunkach środki klientów, jak również wszelkie inne okoliczności, które w ocenie dostawcy usług płatniczych mogą wskazywać na zwiększone ryzyko wystąpienia fraudu.
Za transakcje nietypowe urząd uznaje m.in. te, których wysokość odbiega od przeciętnie dokonywanych przez klienta, nagle powtarzające się w krótkim czasie liczne nisko kwotowe transakcje (co sugeruje kradzież środka płatniczego), transakcje dokonywane zaraz po wprowadzeniu zmian na koncie czy te zagraniczne, które wcześniej nie były wykonywane.
Słowem – chodzi o zdarzenia, po których od razu widać, że coś jest nie tak
Dostawcy usług płatniczych powinni ustalać i modyfikować katalog transakcji uznawanych za nietypowe lub transakcje podwyższonego ryzyka w odniesieniu do danego klienta – dodaje UOKiK.
Urząd sugeruje, że dostawca usług płatniczych powinien stosować cooling period w okolicznościach, w których „dokonana przez niego analiza ryzyka lub zalecenia prezesa UOKiK wskazują, że takie działanie jest zasadne”. Cooling period to funkcja opóźniająca wykonanie transakcji od złożenia dyspozycji w systemie przez klienta do czasu jej wykonania przez dostawcę.
Zastosowanie cooling period przy jednoczesnym przekazaniu klientowi stosownej informacji o podstawie do jego zastosowania może w niektórych przypadkach przyczynić się do ograniczenia ryzyka lub uniknięcia wystąpienia nieautoryzowanej transakcji płatniczej. Po otrzymaniu informacji o zastosowaniu cooling period konsument będzie miał odpowiedni czas na weryfikację zlecenia i podjęcie stosownej reakcji
– wyjaśnia UOKiK.
Wśród innych zaleceń UOKiK znajdziemy też weryfikację tożsamości polegającą na połączeniu z klientem, kiedy dostawca uzna, że na koncie dzieje się coś podejrzanego. Urząd sugeruje również, by limity transakcji dla nowych klientów były domyślnie ustalane na podstawie obiektywnych danych – np. średniego limitu transakcji dokonywanych przez konsumentów korzystających z danego instrumentu płatniczego. Oczywiście każdy mógłby je samodzielnie zmieniać, ale instytucja musiałaby poinformować o ryzyku. Na dodatek każda modyfikacja limitu powinna być potwierdzona rozmową z klientem, a dostawca usług płatniczych powinien stosować rozwiązanie polegające na tym, że podwyższenie limitów transakcyjnych „co do zasady obowiązuje na określony czas, po którym ich wysokość zostaje automatycznie przywrócona do poprzedniej wysokości”.
Bardzo ciekawą propozycją jest to, aby nie wszystkie funkcje były dostępne dla klienta od razu i domyślnie
Mowa tutaj choćby o opcji zawierania kredytów w aplikacji. Nie wszyscy muszą przecież z tego korzystać, a fakt, że taka możliwość istnieje bardzo pomaga oszustom.
Inną, w sumie dość oczywistą sugestią, jest blokada możliwości zalogowania się na konto, jeśli w tym czasie inne urządzenie pozostaje aktywne.
Dostawca usług płatniczych, biorąc pod uwagę możliwości techniczne, powinien na bieżąco monitorować, czy urządzenia, z których następuje próba logowania do aplikacji mobilnej lub na konto klienta dostępne z poziomu serwisu internetowego dostawcy usług płatniczych, pozostają aktywnie połączone sesją zdalną z jakimkolwiek innym urządzeniem
Wśród innych proponowanych rozwiązań znajdziemy m.in. uproszczenie komunikatów wysyłanych klientom czy możliwość szybkiego dokonania zgłoszenia oszustwa. UOKiK chce, żebyśmy mieli dostęp do czegoś w rodzaju przycisku alarmowego – po jego aktywacji następowałaby blokada wszelkich transakcji. Taka opcja przydałaby się, gdyby użytkownik zdał sobie sprawę, że mógł stać się ofiarą przekrętu i w ten sposób natychmiast odciąłby przestępców od swoich oszczędności.
Kolejne sugestie UOKiK to jednorazowe karty wirtualne, generowane na potrzeby konkretnej transakcji, czy oferowanie przez instytucje kluczy U2F.
Zalecenia mogą podlegać ewaluacji. Dostawcy usług płatniczych, mając na uwadze zidentyfikowane ryzyka, powinni stosować je, aby zapewnić maksymalną skuteczność przyjętej przez nich procedury zapobiegania nieautoryzowanym i oszukańczym transakcjom płatniczym
– podsumowuje urząd.
Lektura dokumentu jest… smutna
Sugestie wydają się być bardzo pomocne i aż dziwne, że nie są wykorzystywane przez banki czy inne instytucje. Dobrze widać, ze to wcale nie jest tak, że operatorzy nie mają się jak bronić przed działaniami cyberprzestępców. Są pod ręką rozwiązania, które skutecznie mogłyby powstrzymać próby kradzieży. Oby wreszcie zaczęto się do nich stosować.
Więcej o oszustwach piszemy na Spider's Web:
