Domyślne wyłączenie transakcji kartą w sieci, wprowadzenie opóźnienia
w realizacji niektórych operacji czy ograniczenie udzielania kredytów „na klik”
– to niektóre z zaleceń, które znalazły się w raporcie UOKiK. Rekomendacje
podyktowane są troską o ofiary oszustw, ale przy okazji mogą uderzyć w wygodę i
szybkość korzystania z bankowości internetowej i mobilnej.
Lawina oszustw i wyłudzeń wykorzystujących bankowość
elektroniczną to problem numer jeden dla wszystkich dostawców usług
płatniczych. Łatwość, z jaką możemy dziś przesyłać pieniądze ma swoją ciemną
stronę – znacznie łatwiej jest także paść ofiarą przestępców, którzy coraz
sprytniej zastawiają finansowe pułapki. O
różnych schematach ataków piszemy w ramach akcji Scamming Out.
23 października Urząd Ochrony Konkurencji i Konsumentów opublikował
zestaw zaleceń dla dostawców usług płatniczych. To owoc prac grupy roboczej, w
której uczestniczyli przedstawiciele nadzoru oraz eksperci z sektora bankowego.
Rekomendacje prezentują mechanizmy, które powinny wzmocnić bezpieczeństwo
użytkowników płatności elektronicznych i utrudnić życie e-przestępcom.
Wśród zaleceń pojawia się kilka propozycji, które stopniowo
realizują się już w praktyce. Wykorzystanie jednorazowych wirtualnych kart płatniczych,
kluczy sprzętowych U2F czy biometrii behawioralnej staje się standardem. Na
liście 16 rekomendacji jest także kilka pozycji, które mogłyby zmienić
doświadczenia użytkowników e-bankowości i zapewne wzbudzą kontrowersje.
Cooling period, czyli transakcje z opóźnionym zapłonem
Urząd proponuje wprowadzenie w kilku scenariuszach „czasu na
ochłonięcie” dla klienta. Tzw. cooling period miałby polegać na opóźnieniu
wykonania transakcji, czyli wydłużeniu czasu pomiędzy złożeniem zlecenia a
jego wykonaniem.
W rekomendacjach wskazano kilka przypadków, w których takie
podejście byłoby uzasadnione. Należą do nich m.in.:
- Istotne podniesienie limitów transakcyjnych (np.
limitu kwoty przelewu). - Następujące po sobie kolejne podniesienie
wspomnianego limitu. - Odblokowanie dodatkowej funkcji w serwisie
internetowym lub aplikacji mobilnej. - Dokonanie przelewu lub wypłaty środków z
kredytu, gdy umowa została zawarta w kanałach elektronicznych (internetowym lub
mobilnym). - Zmiana danych, w tym np. numeru telefonu.
- Zlecenie innej nietypowej dla danego klienta
transakcji.
Zalecenia nawiązują wprost do wzorów typowych dla działań
przestępców, którzy niejednokrotnie po przejęciu dostępu do konta ofiary „czyszczą”
jej rachunek, wyprowadzając pieniądze lub zaciągając zobowiązania.
Klient, w którego przypadku uruchomiony zostanie taki
finansowy próg spowalniający powinien zostać o tym jednoznacznie poinformowany,
najlepiej przy użyciu innego kanału niż kanał, w którym złożono zlecenie.
Przykładowo, gdy zechcemy zdecydowanie podnieść limit dla płatności kartowych w
aplikacji mobilnej, dostawca usługi płatniczej skontaktuje się telefonicznie,
by wskazać, że włączony został opóźniacz i podniesienie limitu nie zostało dokonane.
Kiedy będzie można obejść „spowalniacz”?
Rekomendacje prezesa UOKiK wskazują na dwa scenariusze
pozwalające na ominięcie cooling period. Pierwszym jest zastosowanie
dodatkowej weryfikacji klienta w innym kanale komunikacji niż kanał
złożenia zlecenia. Tu znalazł się jednak dodatkowy warunek, dla szczególnie „podejrzanych”
transakcji. „W przypadkach, w których zlecenie płatnicze dotyczy wysokiej kwoty
lub według dostawcy usług płatniczych dyspozycja budzi podejrzenia z innych
powodów, wskazane jest ograniczenie możliwości skrócenia cooling period do
złożenia takiej dyspozycji przez klienta w placówce dostawcy usług płatniczych
lub zastosowanie innego rozwiązania maksymalnie ograniczającego ryzyko
ingerencji osoby trzeciej (np. systemu opartego o biometrię)” – wskazano w
zaleceniach.
Drugi ze scenariuszy to uprzedzenie dostawcy usługi
płatniczej o zamiarze dokonania transakcji przekraczającej wyznaczony limit
kwotowy. Ten przypadek odnosi się do użycia cooling period w wyniku uznania
transakcji za nietypową z punktu widzenia dotychczasowych zwyczajów klienta.
Rekomendacjom towarzyszy kilka proponowanych wyłączeń.
Jednym z nich jest niestosowanie cooling period dla przelewów natychmiastowych,
jeśli klient wyraził zgodę na aktywowanie tej funkcji. Innym, użycie środków
zapewniających wysoki poziom pewności bezpieczeństwa, np. analizy danych
biometrycznych.
Funkcje wyłączone na start
Zgodnie z zaleceniami UOKiK dostawcy usług płatniczych
powinni domyślnie wyłączać dla nowych umów usługi, które cieszą się szczególną
popularnością wśród przestępców. Przykładem takiego podejścia byłoby m.in.:
- Dezaktywacja na start szybkich przelewów –
klient musiałby osobno wyrazić zgodę na ich uruchomienie. - Wyłączenie przelewów zagranicznych.
- Ustawienie limitów dla transakcji bez fizycznej
obecności karty (tzw. CNP, czyli płatności online) na poziomie zero.
„Aktywacja funkcji uprzednio niedostępnej lub samodzielnie
zablokowanej przez konsumenta powinna wiązać się z zastosowaniem cooling period”
– wskazano w rekomendacjach. Osobno potraktowano także kredyty „na klik”.
Przypomnijmy, że chodzi w tym przypadku o kredyty uruchamiane w bankowości
internetowej lub mobilnej, gdzie proces wnioskowania jest skrócony do minimum, np.
dzięki wcześniejszej ocenie ryzyka (tzw. prescoring).
Dla aktywacji funkcji szybkich kredytów potrzebna miałaby
być nie tylko osobna zgoda klientów, ale również wypłata środków powinna
zostać potwierdzona odrębnie, za pomocą innego kanału komunikacji niż
mobile lub serwis transakcyjny.
Szybka ścieżka zgłoszenia oszustwa i „panic button”
Każdy z dostawców usług płatniczych zgodnie z zaleceniami
powinien uruchomić wyspecjalizowaną, osobną infolinię na potrzeby
przyjmowania zgłoszeń o nieautoryzowanych transakcjach i oszustwach („bez
nadmiernego czasu oczekiwania na połączenie”). Dodatkowo dostępny powinien być
również czat w aplikacji mobilnej i na stronie internetowej.
Niezależnie od tego rozwiązania w aplikacji mobilnej oraz na
koncie klienta dostępnym z poziomu serwisu internetowego ma się pojawić tzw. „panic
button”. Jego wciśnięcie blokuje realizację wszystkich transakcji,
ale nie wyłącza opcji podglądu rachunku i pozostałych nietransakcyjnych funkcji
kanałów elektronicznych. Odblokowanie może mieć miejsce w placówce dostawcy
usług płatniczych lub automatycznie, po upłynięciu z góry określonego czasu.
Zalecenia to nie ustawa
W dokumencie prezentującym rekomendacje podkreślono, że realizacja
zaleceń nie może kolidować z obowiązkami wynikającymi z obowiązujących
regulacji. Przykładowo, cooling period nie unieważnia ustawowych terminów na
realizację zlecenia płatniczego. Propozycje UOKiK mają być też rozwijane wraz z
tym, jak zmieniać się będzie sytuacja na rynku usług płatniczych.
0 komentarzy