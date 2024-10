UOKiK wskazuje czynniki ryzyka

Jak zauważył UOKiK, płatności elektroniczne rozwijają się coraz szybciej i stają się dostępne dla coraz większej liczby osób, w tym także starszych, które nie radzą sobie dobrze w cyfrowym środowisku i są szczególnie podatne na nadużycia. Działania zmierzające do podniesienia bezpieczeństwa podejmowane przez dostawców usług idą w dobrym kierunku, jednocześnie urząd zauważa, że wskazane jest wypracowanie wspólnych rozwiązań systemowych i organizacyjnych, które stworzyłyby rynkowy standard.

W dokumencie czytamy między innymi:

Bezpieczeństwo transakcji online, to wspólny interes dostawców i odbiorców usług płatniczych. Niedopuszczalne jest przerzucenie całej odpowiedzialności w tym zakresie na konsumenta. Należy podkreślić, że to na dostawcach

usług spoczywa ciężar wyczerpującego udzielenia klientom informacji na temat transakcji płatniczych, w szczególności dotyczy to informacji o ryzykach. Najważniejszą rolę pełnią tu banki, które jako instytucje zaufania publicznego, powinny w sposób kompleksowy informować klientów o ryzykach. Wyjaśniać sposoby działania oszustów, a także wdrażać środki monitorowania, komunikacji i reagowania na coraz bardziej wysublimowane metody oszustw i kradzieży. Działania te muszą być prowadzone systematycznie i ewoluować równolegle z rozwojem technologii i zmianami nawyków konsumentów. To samo dotyczy katalogu czynników ryzyka i wytycznych, które mają zminimalizować ich wpływ na konsumentów, korzystających z internetowych usług

płatniczych.

Choć oczywiście bywają sytuacje, że cała odpowiedzialność za utratę pieniędzy istotnie spoczywa na kliencie, który z dużym zaangażowane omija kolejne bankowe zabezpieczenia pod dyktando oszustów, to równie często można wskazać także czynniki po stronie dostawców usług, które zwiększają poziom ryzyka. W szczególności UOKiK wskazał tutaj:

Możliwość samodzielnego zwiększenia limitów transakcyjnych na koncie klienta z poziomu aplikacji mobilnej lub strony internetowej i utrzymywanie przez klientów wysokich limitów transakcyjnych.

Możliwość zaciągnięcia zobowiązania finansowego z poziomu aplikacji mobilnej lub strony internetowej.

Możliwość samodzielnej zmiany danych na koncie klienta, w tym np. zmiany metod komunikacji (np. numeru telefonu, adresu e-mail) lub danych wpływających na ocenę zdolności kredytowej z poziomu aplikacji mobilnej lub strony internetowej.

Możliwość samodzielnego aktywowania dodatkowych funkcji z poziomu aplikacji mobilnej lub strony internetowej

Możliwość dokonania natychmiastowego przelewu środków.

Możliwość dokonania płatności kartowej bez fizycznego użycia karty, (CNP) niewymagająca silnego uwierzytelnienia klienta (SCA) przez odbiorcę płatności

Zalecenia UOKiK

Efektem zanalizowania przez UOKiK stosowanych przez dostawców płatności zabezpieczeń i w kontekście wskazanych czynników ryzyka jest sformułowanie szeregu zaleceń przez Urząd.

I tak UOKiK zaleca wdrożenie ciągłego monitorowania transakcji dokonywanych przez klientów. Pod uwagę należy brać przeciętne wpływy i wydatki, środki na rachunkach, typowe transakcje wykonywane przez użytkownika, oraz wszelkie inne okoliczności, które wskazywałyby na podwyższone niebezpieczeństwo fraudu, w szczególności nietypowe operacje takie jak częste podnoszenie limitów transakcyjnych poza typowe parametry powinno być dodatkowo weryfikowane. Jednym ze wskazanych sposobów jest użycie systemów opartych o SI i biometrię behawioralną (podobną metodę stosuje ING).

Kolejnym zaleceniem jest wprowadzenie okresu zwanego „cooling period”, czyli opóźnienia między zleceniem a faktycznym wykonaniem transakcji, które powinno być wdrożone w każdej sytuacji wskazującej na podwyższone ryzyko oszustwa. Dostawcy powinni także informować o wprowadzonych zmianach na koncie wieloma kanałami, na wypadek przejęcia jednego z nich przez oszustów. W szczególności dotyczy to inicjowanych przez bank komunikatów głosowych o zmianach, które trudniej zignorować niż wiadomości tekstowe.

UOKiK zaleca także, aby w przypadku konieczności kontaktu z klientem dostawca usług wprowadził każdorazowy obowiązek uwierzytelniania się pracownika. Podobne rozwiązania wykorzystujące aplikacje mobilne funkcjonują już w części banków (między innymi w BGŻ BNP Paribas i ING).

Urząd zaleca także ograniczenie dostępności niektórych usług finansowych z poziomu bankowości internetowej przez przeglądarkę i aplikacji mobilnych – chodzi tu w szczególności o ograniczenie możliwości zaciągania kredytów konsumenckich szczegółowej weryfikacji. Nadanie dostępu do takich usług powinno następować wyłącznie na wyraźne życzenie klienta i nie powinno być automatyczne.

Bardzo ważnym zaleceniem jest wdrożenie blokad logowania się z poziomu strony lub aplikacji, jeśli urządzenie jest pod kontrolą oprogramowania do zdalnego dostępu. Ten wektor ataku jest często stosowany i można go uznać za szczególnie niebezpieczny.

UOKiK zwrócił także uwagę na język komunikatów kierowanych przez dostawców usług kanałami tekstowymi i głosowymi. Powinny być proste i zrozumiałe, do tego wyraźnie identyfikujące powód kontaktu, a w przypadki transakcji wyraźnie podawać kwotę i jeśli to możliwe, adresata. Jest to o tyle istotne, że na rynku nie brak przykładów komunikacji ze strony niektórych banków, która przypomina wiadomości typowe dla oszustw.

Zalecane jest stworzenie metody szybkiego zgłoszenia nieautoryzowanej transakcji – przez specjalną infolinię, czat w aplikacji mobilnej i na stronie internetowej – informacje o sposobie kontaktu powinny być łatwo dostępne w wielu miejscach.

UOKiK zaleca wyposażenie dostępnych dla klienta kanałów dostępu w „panic button”, którego użycie powinno blokować możliwość wykonywania jakichkolwiek transakcji z rachunku klienta przez określony czas lub do momentu odblokowania w placówce dostawcy usług.

Wszystkich zaleceń jest 16, a szczegółowy wykaz dostępny jest w dokumencie UOKiK

