Do 1 lutego banki miały czas na wdrożenie dodatkowych zabezpieczeń przy transakcjach internetowych realizowanych za pomocą kart płatniczych. Taką datę wyznaczyła Komisja Nadzoru Finansowego, która zaleciła bankom, by dostosowały się do wytycznych Europejskiego Banku Centralnego (EBC) wyrażonych w „Rekomendacjach dotyczących bezpieczeństwa płatności internetowych„.
Dokument zaleca, by banki stosowały tzw. silne uwierzytelnianie klienta. W rekomendacji pod tym pojęciem kryje się następujący opis:
„Silne uwierzytelnianie klienta jest procedurą opierającą się na dwóch lub więcej spośród następujących elementów klasyfikowanych jako wiedza, posiadanie i cechy klienta:
-
coś, co jedynie użytkownik wie, np. statyczne hasło, kod, osobisty numer identyfikacyjny;
-
coś, co jedynie użytkownik posiada, np. token, karta smart, telefon komórkowy;
-
coś, czym użytkownik jest, np. w oparciu o cechy biometryczne, takie jak odcisk palca.
Dodatkowo wybrane elementy muszą być wzajemnie niezależne, tj. naruszenie bezpieczeństwa jednego nie naraża innego (innych). Co najmniej jeden z elementów musi być niemożliwy do ponownego użycia i niemożliwy do zreplikowana (z wyjątkiem cech klienta), jak również niemożliwy do niejawnego, nieautoryzowanego pozyskania przez internet. Procedura silnego uwierzytelniania powinna być zaprojektowana w sposób zapewniający poufność danych uwierzytelniających.”
Chodzi o to, by do przeprowadzenia transakcji internetowej nie wystarczała jedynie karta płatnicza. Tak jest dzisiaj – wszystkie niezbędne informacje do wykonania transakcji kartą znajdują się na awersie i rewersie: nazwisko, numer karty, data ważności i kod CVC/CVV. Jeśli złodziej wyjmie nam kartę z portfela, może za jej pomocą wykonać transakcję na nasz koszt. Na marginesie warto dodać, że dużo się mówi o możliwych fraudach na kartach zbliżeniowych, ale to właśnie transakcje MO/TO/IO (Mail Order / Telephone Order / Internet Order) stanowią największy odsetek fraudów. Z danych NBP wynika, że na koniec II kw. 2014 roku oszustwa klasyfikowane w tej kategorii odpowiadały za 35,5 proc. wszystkich transakcji oszukańczych. (Źródło: Ocena funkcjonowania polskiego systemu płatniczego w I półroczu 2014).
Także z danych Europejskiego Banku Centralnego wynika, że odsetek „fraudów” na kartach najmocniej rośnie właśnie w kategorii transakcji internetowych. W 2012 roku (nowszych danych nie podano) kradzieże środków z kart bez fizycznego użycia plastików, czyli tzw. transakcje „card not present” odpowiadały za 60 proc. wszystkich kradzieży kartowych na monitorowanych europejskich rynkach. Szczegóły można zobaczyć na poniższym wykresie:
Źródło: EBC
Pole czerwone to transakcje „CNP” czyli bez fizycznego udziału karty. Kolorem zielonym oznaczono transakcje POS.
Silnie uwierzytelnia usługa 3D Secure
KFN zaleca więc wprowadzenie silnego uwierzytelniania, które ograniczy skalę oszukańczych transakcji w internecie. Taki standard spełnia na przykład usługa 3D Secure, która wymaga podczas płatności dodatkowego kodu SMS. Oferuje ją kilka banków, m.in. Bank Pekao SA, Citi Handlowy, BNP Paribas Bank czy ING Bank Śląski.
Usługę mogą też aktywować klienci PKO Banku Polskiego. – Bank finalizuje prace mające na celu obligatoryjne włączenie dla wszystkich kart płatniczych wydawanych przez bank usługi 3-D Secure – dodatkowej metody zabezpieczającej transakcje dokonywane kartą w sklepach internetowych – mówi Grzegorz Culepa z biura prasowego banku. – Klienci indywidualni posiadający karty PKO mają obecnie możliwość samodzielnego uruchomienia usługi 3-D Secure. Mogą ją aktywować w serwisie iPKO lub korzystając z pomocy konsultanta z serwisu telefonicznego PKO – wyjaśnia.
W trakcie wdrażania usługi jest Getin Bank. Zostanie ona udostępniona klientom w drugim kwartale 2015 roku. O planach wdrożenie mówią też Deutche Bank, Bank Pocztowy. Oba banki zapewniają, że na razie na bieżąco monitorują wszelkie transakcje i w przypadku podejrzanych transakcji kontaktują się z klientami.
Banki mają inne zabezpieczenia przed fraudami
Biuro prasowe mBanku poinformowało mnie, że obecnie bank nie posiada rozwiązania opartego o technologie 3D Secure, ale standardy w zakresie bezpieczeństwa płatności w interencie są zgodne z wymogami organizacji płatniczych Visa i MasterCard. Bank posiada natomiast szereg innych mechanizmów, które chronią klientów przed oszustwami z tytułu transakcji w internecie takich jak m.in.: limity, powiadomienia SMS czy karty wirtualne.
Większość banków nie odpowiedziała na moje pytanie, więc najprawdopodobniej też nie zdążyły wdrożyć dodatkowych mechanizmów zabezpieczających. Co w takiej sytuacji? – Banki które nie zdążą wdrożyć wytycznych zobowiązane będą do przedstawienia uzasadnienia, np. związanego z wysokimi kosztami wdrożenia przedmiotowych rozwiązań lub koniecznością renegocjowania umów zawartych przez dostawców usług płatniczych z zewnętrznymi podmiotami. W takich przypadkach KNF oczekuje jednak, że ryzykiem wynikającym z niewdrożenia danego rozwiązania nie będą obciążani klienci instytucji finansowych – zapowiadał pod koniec ubiegłego roku Łukasz Dajnowicz, rzecznik prasowy KNF.
KNF sprawdzi, czy banki zastosowały się do zaleceń
Odpowiedzialność zdecydował się przejąć na siebie Credit Agricole. – Rekomendacja KNF nakazuje bankom przyjąć na siebie ryzyko nieautoryzowanych transakcji lub wdrożyć 3d Securea. Credit Agricole wybrał to pierwsze rozwiązanie, gdyż już od dłuższego czasu przyjmuje takie ryzyko na siebie – poinformowało mnie biuro prasowe banku.
Prawdopodobnie część banków zdecyduje się na podobny krok. Pod koniec ubiegłego roku niektóre media pisały, że od lutego 2015 nie będziemy mogli płacić kartami w internecie. Wówczas na łamach „Gazety Pomorskiej” zwracałem jednak uwagę, że taki scenariusz jest nierealny. – Wydaje się mało prawdopodobne, by banki uniemożliwiły klientom dokonywania płatności kartami w sieci. Prędzej wezmą na siebie ryzyko fałszywych transakcji do czasu zaimplementowania nowych rozwiązań. Warto też pamiętać, że Polski rynek płatności online jest dość specyficzny. Zdecydowana większość z nas płaci za zakupy w internecie zwykłymi przelewami lub tzw. przelewami pay-by-link. Transakcje kartowe w sieci są u nas zdecydowanie mniej popularne – mówiłem dla gazety.
KNF przeprowadzi inspekcje, by upewnić się, czy banki dostosowały się do wytycznych EBC.