Nasz profil LinkedIn

Bezpieczeństwo transakcji płatniczych – zalecenia

Blog

Czas potrzebny na przeczytanie: ~5 minut

W poprzednim artykule omawialiśmy wyniki raportu „Cyberbezpieczny portfel”. Bezpieczeństwo transakcji online stanowi wyzwanie – nie tylko dla branży handlowej i finansowej – ale też dla instytucji, które odpowiadają za bezpieczeństwo i prawidłowe funkcjonowanie rynku.

W październiku Prezes UOKiK opublikował rekomendacje dla dostawców usług płatniczych, których celem jest zwiększenie bezpieczeństwa płatności bezgotówkowych i ograniczenie transakcji oszukańczych. W skład grupy roboczej przygotowującej zalecenia weszli przedstawiciele KNF oraz eksperci z sektora finansowego, którzy na podstawie analizy skarg kierowanych przez konsumentów do UOKiK skategoryzowali najczęstsze transakcje oszukańcze, a następnie sformułowali niewiążące rekomendacje mające ograniczać ryzyko ich wystąpienia.

Niektóre z zaleceń są już powszechnie stosowane przez dostawców (np. monitorowanie transakcji klientów i dobór adekwatnych zabezpieczeń antyfraudowych, dodatkowa weryfikacja tożsamości polegająca na zainicjowaniu połączenia telefonicznego z klientem w przypadku transakcji nietypowych). Część z proponowanych środków jest jednak nowa, a ich wdrożenie będzie wymagało wprowadzenia nowych procedur i rozwiązań technicznych.

Poniżej omawiamy niektóre z proponowanych zaleceń:

  1. Cooling period – funkcja opóźniająca wykonanie transakcji od złożenia dyspozycji w systemie przez klienta do czasu jej wykonania przez dostawcę. To rozwiązanie wskazane jest w szczególności przy zleceniu dokonania transakcji nietypowych dla danego klienta, np. istotnym podwyższeniu limitu transakcji, zmianie danych (w tym zmianie metody komunikacji), odblokowaniu dodatkowej funkcji dostępnej z poziomu konta klienta w aplikacji mobilnej. Cooling period może być pominięty, jeśli zostanie zastosowana dodatkowa weryfikacja tożsamości klienta przez inny kanał komunikacji niż ten, w ramach którego klient dokonał polecenia lub klient uprzednio notyfikował zamiar dokonania określonej transakcji.
  2. Limity transakcji – klienci powinni mieć możliwość ustalenia limitów na dowolnym wybranym przez siebie poziomie, ale dostawca powinien poinformować konsumentów o optymalnych limitach transakcyjnych i zachęcać do samodzielnego obniżania limitów. Podwyższenie limitów transakcyjnych powinno co do zasady obowiązywać przez określony czas, po którym ich wysokość jest automatycznie przywracana do poprzedniej wysokości.
  3. Ograniczenie niektórych funkcji (w tym dotyczących kredytu konsumenckiego) z poziomu aplikacji mobilnej lub konta klienta – dostawca usług płatniczych nie powinien domyślnie udostępniać konsumentom możliwości zaciągnięcia zobowiązań finansowych z wykorzystaniem aplikacji mobilnej lub poprzez konto klienta dostępne z poziomu serwisu internetowego (tzw. kredyt na klik). Taka funkcja powinna być zawsze dostępna na wniosek konsumenta.
  4. Blokada możliwości zalogowania się do aplikacji, jeśli dane urządzenie pozostaje aktywnie połączone sesją zdalną z jakimkolwiek innym urządzeniem – jeśli dostawca usług płatniczych zidentyfikuje taką sytuację powinien zablokować dostęp do aplikacji mobilnej lub na konto klienta dostępne z poziomu serwisu internetowego dostawcy usług płatniczych, w szczególności jeśli adres IP urządzenia wskazuje na jego lokalizację poza Polską. Jednocześnie dostawca powinien skierować do konsumenta informację o wykryciu i zablokowaniu takiej próby logowania.
  5. Uwierzytelnienie pracownika dostawcy usług płatniczych – dostawca usług płatniczych powinien wprowadzić obowiązek uwierzytelnienia pracownika przy każdym kontakcie z klientem, np. poprzez wygenerowanie w aplikacji mobilnej konsumenta komunikatu PUSH i poinformowanie o tym konsumenta w trakcie połączenia, lub w inny ustalony z klientem sposób – np. z wykorzystaniem ustalonego wcześniej z klientem kodu PIN
  6. Możliwość szybkiego dokonania zgłoszenia nieautoryzowanej lub oszukańczej transakcji płatniczej przez klienta – dostawca usług płatniczych powinien wydzielić wyspecjalizowaną bezpłatną infolinię, jak również chat w aplikacji mobilnej i na stronie internetowej, przeznaczone wyłącznie do obsługi nieautoryzowanych i oszukańczych transakcji płatniczych. Numer takiej infolinii powinien być uwidoczniony na stronie internetowej w sposób umożliwiający jego intuicyjne i szybkie znalezienie. Klient powinien mieć możliwość obsługi bez nadmiernego czasu oczekiwania na połączenie lub przyjęcie zgłoszenia. Infolinia powinna zapewniać możliwość rozmowy z pracownikiem dostawcy usług płatniczych, a jeśli jest obsługiwana przez AI lub chatbot – klient powinien zostać o tym poinformowany w odpowiednim komunikacie na początku rozmowy.
  7. Przycisk panic button/emergency button – dostawca powinien udostępnić konsumentowi w aplikacji mobilnej oraz na koncie klienta dostępnym z poziomu serwisu internetowego możliwość natychmiastowej blokady dokonywania jakichkolwiek transakcji. Możliwość dokonywania transakcji powinna zostać zablokowana do czasu jej odblokowania w placówce dostawcy usług płatniczych lub przez z góry określony czas. Blokada powinna dotyczyć wyłącznie możliwości dokonywania transakcji i nie może być powiązana z blokadą kanałów komunikacji dostępnych w aplikacji mobilnej lub na koncie klienta dostępnym z poziomu serwisu internetowego.
  8. Stosowanie SCA przy transakcjach CNP – dostawcy usług płatniczych powinni dążyć do tego, aby w każdym przypadku, w którym konsument zleca dokonanie transakcji kartowej bez fizycznego użycia karty (CNP), wymagane było silne uwierzytelnienie klienta (SCA).
  9. Dane uwierzytelniające widoczne na karcie płatniczej – dostawcy usług płatniczych powinni dążyć do tego, aby na karcie nie były widoczne dane uwierzytelniające umożliwiające wykonanie transakcji płatniczej. W szczególności dotyczy to numerów CVC/CVV.
  10. Jednorazowe karty wirtualne – wskazane jest, aby dostawcy usług płatniczych oferowali klientom możliwość skorzystania z jednorazowych kart wirtualnych, generowanych na potrzeby konkretnej transakcji. Takie rozwiązanie pozwala na minimalizację ryzyka w razie wycieku danych uwierzytelniających po stronie odbiorcy płatności.
  11. Silne uwierzytelnienie – dostawca usług płatniczych powinien oferować klientom możliwość skorzystania z metod silnego uwierzytelnienia odpornych na przechwycenie sensytywnych informacji przez osoby niepowołane.
  12. Stosowanie systemów opartych na AI lub biometrii indywidualnej – dostawcy usług płatniczych powinni podejmować działania w celu wdrożenia systemów identyfikujących nietypowe aktywności na koncie klienta w serwisie internetowym lub w aplikacji mobilnej na etapie uwierzytelniania. Stosowanie systemów opartych na gromadzeniu danych behawioralnych powinno dobywać się ze wskazaniem rodzaju danych podlegających weryfikacji, za wyraźną zgodą konsumentów na przetwarzanie danych tego typu, z jasno ograniczonym celem stosowania pozyskanych danych, z wyraźnym wskazaniem podmiotów trzecich przetwarzających te dane.

Napisany przez

Katarzyna Jaworska

Opublikowany

27 listopada, 2024
Zdjęcie Artykuł Wytyczne Puokik

Zostaw pierwszy komentarz