W poprzednim artykule omawialiśmy wyniki raportu „Cyberbezpieczny portfel”. Bezpieczeństwo transakcji online stanowi wyzwanie – nie tylko dla branży handlowej i finansowej – ale też dla instytucji, które odpowiadają za bezpieczeństwo i prawidłowe funkcjonowanie rynku.
W październiku Prezes UOKiK opublikował rekomendacje dla dostawców usług płatniczych, których celem jest zwiększenie bezpieczeństwa płatności bezgotówkowych i ograniczenie transakcji oszukańczych. W skład grupy roboczej przygotowującej zalecenia weszli przedstawiciele KNF oraz eksperci z sektora finansowego, którzy na podstawie analizy skarg kierowanych przez konsumentów do UOKiK skategoryzowali najczęstsze transakcje oszukańcze, a następnie sformułowali niewiążące rekomendacje mające ograniczać ryzyko ich wystąpienia.
Niektóre z zaleceń są już powszechnie stosowane przez dostawców (np. monitorowanie transakcji klientów i dobór adekwatnych zabezpieczeń antyfraudowych, dodatkowa weryfikacja tożsamości polegająca na zainicjowaniu połączenia telefonicznego z klientem w przypadku transakcji nietypowych). Część z proponowanych środków jest jednak nowa, a ich wdrożenie będzie wymagało wprowadzenia nowych procedur i rozwiązań technicznych.
Poniżej omawiamy niektóre z proponowanych zaleceń:
- Cooling period – funkcja opóźniająca wykonanie transakcji od złożenia dyspozycji w systemie przez klienta do czasu jej wykonania przez dostawcę. To rozwiązanie wskazane jest w szczególności przy zleceniu dokonania transakcji nietypowych dla danego klienta, np. istotnym podwyższeniu limitu transakcji, zmianie danych (w tym zmianie metody komunikacji), odblokowaniu dodatkowej funkcji dostępnej z poziomu konta klienta w aplikacji mobilnej. Cooling period może być pominięty, jeśli zostanie zastosowana dodatkowa weryfikacja tożsamości klienta przez inny kanał komunikacji niż ten, w ramach którego klient dokonał polecenia lub klient uprzednio notyfikował zamiar dokonania określonej transakcji.
- Limity transakcji – klienci powinni mieć możliwość ustalenia limitów na dowolnym wybranym przez siebie poziomie, ale dostawca powinien poinformować konsumentów o optymalnych limitach transakcyjnych i zachęcać do samodzielnego obniżania limitów. Podwyższenie limitów transakcyjnych powinno co do zasady obowiązywać przez określony czas, po którym ich wysokość jest automatycznie przywracana do poprzedniej wysokości.
- Ograniczenie niektórych funkcji (w tym dotyczących kredytu konsumenckiego) z poziomu aplikacji mobilnej lub konta klienta – dostawca usług płatniczych nie powinien domyślnie udostępniać konsumentom możliwości zaciągnięcia zobowiązań finansowych z wykorzystaniem aplikacji mobilnej lub poprzez konto klienta dostępne z poziomu serwisu internetowego (tzw. kredyt na klik). Taka funkcja powinna być zawsze dostępna na wniosek konsumenta.
- Blokada możliwości zalogowania się do aplikacji, jeśli dane urządzenie pozostaje aktywnie połączone sesją zdalną z jakimkolwiek innym urządzeniem – jeśli dostawca usług płatniczych zidentyfikuje taką sytuację powinien zablokować dostęp do aplikacji mobilnej lub na konto klienta dostępne z poziomu serwisu internetowego dostawcy usług płatniczych, w szczególności jeśli adres IP urządzenia wskazuje na jego lokalizację poza Polską. Jednocześnie dostawca powinien skierować do konsumenta informację o wykryciu i zablokowaniu takiej próby logowania.
- Uwierzytelnienie pracownika dostawcy usług płatniczych – dostawca usług płatniczych powinien wprowadzić obowiązek uwierzytelnienia pracownika przy każdym kontakcie z klientem, np. poprzez wygenerowanie w aplikacji mobilnej konsumenta komunikatu PUSH i poinformowanie o tym konsumenta w trakcie połączenia, lub w inny ustalony z klientem sposób – np. z wykorzystaniem ustalonego wcześniej z klientem kodu PIN
- Możliwość szybkiego dokonania zgłoszenia nieautoryzowanej lub oszukańczej transakcji płatniczej przez klienta – dostawca usług płatniczych powinien wydzielić wyspecjalizowaną bezpłatną infolinię, jak również chat w aplikacji mobilnej i na stronie internetowej, przeznaczone wyłącznie do obsługi nieautoryzowanych i oszukańczych transakcji płatniczych. Numer takiej infolinii powinien być uwidoczniony na stronie internetowej w sposób umożliwiający jego intuicyjne i szybkie znalezienie. Klient powinien mieć możliwość obsługi bez nadmiernego czasu oczekiwania na połączenie lub przyjęcie zgłoszenia. Infolinia powinna zapewniać możliwość rozmowy z pracownikiem dostawcy usług płatniczych, a jeśli jest obsługiwana przez AI lub chatbot – klient powinien zostać o tym poinformowany w odpowiednim komunikacie na początku rozmowy.
- Przycisk panic button/emergency button – dostawca powinien udostępnić konsumentowi w aplikacji mobilnej oraz na koncie klienta dostępnym z poziomu serwisu internetowego możliwość natychmiastowej blokady dokonywania jakichkolwiek transakcji. Możliwość dokonywania transakcji powinna zostać zablokowana do czasu jej odblokowania w placówce dostawcy usług płatniczych lub przez z góry określony czas. Blokada powinna dotyczyć wyłącznie możliwości dokonywania transakcji i nie może być powiązana z blokadą kanałów komunikacji dostępnych w aplikacji mobilnej lub na koncie klienta dostępnym z poziomu serwisu internetowego.
- Stosowanie SCA przy transakcjach CNP – dostawcy usług płatniczych powinni dążyć do tego, aby w każdym przypadku, w którym konsument zleca dokonanie transakcji kartowej bez fizycznego użycia karty (CNP), wymagane było silne uwierzytelnienie klienta (SCA).
- Dane uwierzytelniające widoczne na karcie płatniczej – dostawcy usług płatniczych powinni dążyć do tego, aby na karcie nie były widoczne dane uwierzytelniające umożliwiające wykonanie transakcji płatniczej. W szczególności dotyczy to numerów CVC/CVV.
- Jednorazowe karty wirtualne – wskazane jest, aby dostawcy usług płatniczych oferowali klientom możliwość skorzystania z jednorazowych kart wirtualnych, generowanych na potrzeby konkretnej transakcji. Takie rozwiązanie pozwala na minimalizację ryzyka w razie wycieku danych uwierzytelniających po stronie odbiorcy płatności.
- Silne uwierzytelnienie – dostawca usług płatniczych powinien oferować klientom możliwość skorzystania z metod silnego uwierzytelnienia odpornych na przechwycenie sensytywnych informacji przez osoby niepowołane.
- Stosowanie systemów opartych na AI lub biometrii indywidualnej – dostawcy usług płatniczych powinni podejmować działania w celu wdrożenia systemów identyfikujących nietypowe aktywności na koncie klienta w serwisie internetowym lub w aplikacji mobilnej na etapie uwierzytelniania. Stosowanie systemów opartych na gromadzeniu danych behawioralnych powinno dobywać się ze wskazaniem rodzaju danych podlegających weryfikacji, za wyraźną zgodą konsumentów na przetwarzanie danych tego typu, z jasno ograniczonym celem stosowania pozyskanych danych, z wyraźnym wskazaniem podmiotów trzecich przetwarzających te dane.