Komisja Nadzoru Finansowego chce, by banki wymagały od klientów poświadczenia o tym, że znają ryzyka związane z korzystaniem z bankowości elektronicznej. Zaleca też, by banki wzmogły działania edukacyjne i przestały oszczędzać na zabezpieczeniach.
Dotarliśmy do pisma, które Wojciech Kwaśniak, wiceszef Komisji Nadzoru Finansowego, wystosował do bankowców. Zaleca bankom, by nie oszczędzały na zabezpieczeniach, a w swoich działaniach stosowały metodę „security first” (przede wszystkim bezpieczeństwo). Uzasadnienia biznesowe czy kosztowe nie powinny przy tym wpływać na rzetelność oceny ryzyka. Cały czas pojawiają się bowiem nowe niebezpieczeństwa, a straty reputacyjne mają charakter długotrwały i mogą znacznie przekroczyć oczekiwane, krótkoterminowe zyski.
W dokumencie możemy przeczytać, że klient już na etapie wnioskowania o dostęp do elektronicznych kanałów powinien być poinformowany o potencjalnych ryzykach. Powinien też pisemnie poświadczyć, że rozumie zagrożenia i będzie stosował się do określonych przez bank zasad bezpieczeństwa. Banki powinny natomiast regularnie dokonywać przeglądu regulaminów pod kątem zapisów dotyczących obowiązków i odpowiedzialności klientów. Zapisy te powinny uwzględniać aktualną linię orzecznictwa sądowego.
Zdaniem nadzoru, banki wciąż niedostatecznie informują klientów o ryzykach ataków wykorzystujących phishing. Banki powinny zamieszczać wyraźne informacje na stronach logowania do bankowości internetowej. „Bardzo często banki wykorzystują dostępną tam przestrzeń w celach reklamowych czy lokowania produktu, natomiast, w opinii nadzoru, w odpowiednim stopniu powinny być tam komunikowane również treści związane z bezpieczeństwem korzystania z elektronicznych kanałów dostępu do usług bankowych” – pisze Kwaśniak.
Zapis o konieczności podpisania oświadczenia wydaje się szczególnie ważny. Taki dokument będzie bowiem stanowił dla banku podkładkę na to, że klient został poinformowany o ryzykach, ale nie zastosował się do zaleceń. Dzięki temu bank będzie mógł na przykład odrzucić reklamację. Pojawia się natomiast pytanie, jak zastosować takie zapisy na przykład w zakresie nowych usług dostarczanych zdalnie (np. poprzez bankowość mobilną) i jak informować o nowych typach ryzyka.
W ostatnich miesiącach phishing stał się zjawiskiem masowym. Nie ma tygodnia bez kolejnej próby ataku skierowanej do klientów największych banków. Problem potwierdzają też statystyki policji. W 2015 roku odnotowano 5023 przestępstwa o charakterze bankowym, z czego 1117 dotyczyło e-bankowości. Z tej liczby 119 przypadków oznaczono dodatkowym znacznikiem: phishing. Jest to wzrost o 100 proc. w porównaniu do roku 2014. Jedynym sposobem na powstrzymanie skuteczności tego typu ataków są kampanie edukacyjne.