KNF jednogłośnie wydała Rekomendację dotyczącą bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo-kredytowe.
Celem Rekomendacji jest ujednolicenie zakresu minimalnych wymogów dotyczących bezpieczeństwa płatności internetowych w związku ze świadczeniem usług płatniczych oferowanych przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo-kredytowe przez internet.
Rekomendacja, stanowiąca zbiór oczekiwań KNF wobec dostawców usług płatniczych w zakresie adekwatnych i bezpiecznych zasad oferowania rozwiązań umożliwiających płatności internetowe oraz odpowiednich mechanizmów kontrolnych w tym zakresie, przenosi do krajowego porządku regulacyjnego standardy europejskie, w szczególności wytyczne w sprawie bezpieczeństwa płatności internetowych (EBA/GL/2014/12) wydane przez Europejski Urząd Nadzoru Bankowego (EBA), które zastąpiły wcześniejsze rekomendacje dotyczące bezpieczeństwa płatności internetowych wydane przez Europejskie Forum ds. Bezpieczeństwa Płatności Detalicznych (SecurePay).
Rekomendacja KNF obejmuje następujące obszary:
- zasady i organizację procesu zarządzania i oceny ryzyka,
- szczególne środki kontroli i bezpieczeństwa w zakresie płatności internetowych,
- świadomość i edukowanie klientów oraz komunikację z nimi.
Projekt rekomendacji był przedmiotem konsultacji publicznych, w szczególności z Narodowym Bankiem Polskim, bankami, krajowymi instytucjami płatniczymi, Związkiem Banków Polskich, Krajowym Związkiem Banków Spółdzielczych, Krajową Spółdzielczą Kasą Oszczędnościowo – Kredytową oraz Polską Organizacją Niebankowych Instytucji Płatności.
Wdrożenie Rekomendacji będzie przedmiotem weryfikacji nadzorczej, w szczególności w trakcie przeprowadzanych czynności kontrolnych i procesu oceny nadzorczej BION.
KNF oczekuje, że Rekomendacja będzie stosowana począwszy od dnia następującego po dniu opublikowania jej w Dzienniku Urzędowym KNF, z wyjątkiem:
- obowiązku, o którym mowa w Rekomendacji 6.2. tiret 2 i 7 w odniesieniu do zakazu ujawniania (udostępniania) danych logowania, który powinien być stosowany nie później niż od dnia 21 grudnia 2015 r.,
- obowiązku, o którym mowa w Rekomendacji 6.1. i obowiązku w zakresie polityki edukacyjnej, o której mowa w Rekomendacji 12, które powinny być stosowane nie później niż od dnia 1 lipca 2016 r.
KNF