Kilka dni temu KNF opublikowała tekst rekomendacji dotyczącej bezpieczeństwa płatności internetowych. Wbrew początkowym oczekiwaniom, nie zakazała bankom stosowania metody otwierania kont na przelew. Ograniczyła jednak możliwość tworzenia tzw. łańcuszków. Piotr Balcerzak z ZBP mówi, że banki mają już narzędzia do wyłapywania kont otwieranych przelewem, a przyjęte w dokumencie rozwiązania są „kompromisowe”.
Cytowany przez PAP Piotr Balcerzak ze Związku Banków Polskich uważa, że rekomendacja Komisji jest generalnie zbieżna ze stanowiskiem samych banków, a przyjęte tam zapisy dotyczące otwierania kont przelewem są „kompromisowe”. Przypomnijmy, Komisja Nadzoru Finansowego w projekcie rekomendacji zalecała bankom, by w ogóle wycofały się z tej procedury i osobiście potwierdzały tożsamość klienta. W ostatecznym kształcie rekomendacji nadzór złagodził swój ton. Pozwolił bankom stosować procedurę otwierania kont przelewem, ale pod jednym warunkiem. Konto otworzone przelewem nie może posłużyć do otworzenia następnego rachunku z wykorzystaniem tej procedury. Taki zapis miałby uniemożliwić klonowanie kolejnych kont przy wykorzystaniu jednej skradzionej tożsamości.
W mediach pojawiły się opinie, że w praktyce oznacza to koniec kont na przelew. Chociażby ze względu na trudność jaką może sprawiać dokładne weryfikowanie, czy za pomocą konta na przelew nie otwiera się kolejnego rachunku. Zwracałem wówczas uwagę, że niekoniecznie, bo banki dysponują narzędziami, które mogłyby wychwytywać określone frazy. Piotr Balcerzak mówi, że w Związku Banków Polskich została uruchomiona baza danych w ramach Systemu SWOZ (System Wymiany Ostrzeżeń o Zagrożeniach), w której będą znajdowały się informacje o rachunkach otwartych za pomocą przelewu. Każdy z banków będzie więc mógł zweryfikować sposób otwarcia rachunku bankowego, z którego dokonano przelewu potwierdzającego tożsamość.
Źródło: Alior Bank
Wątpliwości przedstawiciela Związku Banków Polskich budzi natomiast inny zapis w rekomendacji: „Dostawcy usług płatniczych stosują wobec klientów odpowiednie środki bezpieczeństwa, zwłaszcza skuteczne potwierdzenie ich tożsamości przed udostępnieniem im usług płatności internetowych”. Jego zdaniem oznacza to przerzucenie na bank odpowiedzialności za sprawdzenie, czy osoba fizycznie zakładająca konto jest tą osobą, za którą się podaje. Problem pojawi się w momencie, gdy nowy klient jest rzeczywiście osobą za którą się podaje, ale nie wie o tym, że zakłada konto bo został zmanipulowany przy użyciu socjotechniki. – Rekomendacja nie przewiduje obowiązku poinformowania klienta, że właśnie zawiera umowę rachunku bankowego – mówi cytowany przez PAP Piotr Balcerzak.
I tu wracamy do wątku, który poruszałem już przy poprzednich tekstach na ten temat: banki powinny obowiązkowo stosować w tytule przelewu weryfikacyjnego frazę „przelew aktywujący konto osobiste w banku XXX” (lub podobną). Tak zresztą zalecał bankom również Związek Banków Polskich. Niestety nie wszystkie banki stosują się do takiego zalecenia. Opisywałem niedawno przypadek jednego z klientów, który został oszukany metodą na przelew. Tytuł przelewu, który zlecił na prośbę oszusta wyglądał następująco (podstawiłem inne cyfry): 12345 ZAW. UMOWY RACH. OFIN./PES 123456/DOW. ABC123/NR WN. 12345. Przyznał, że nie wczytał się w ten ciąg znaków. Nie miał więc świadomości, że otworzył konto w Orange Finanse.
Usługa otwierania kont za pomocą przelewu budziła wiele kontrowersji w środowisku bankowym. Jej zasadniczą zaletą jest szybki i wygodny proces aktywacji rachunku. Niestety w procesie tym bank nie ma żadnego kontaktu fizycznego z osobą zakładającą ROR. Procedura zaczęła być więc nagminnie wykorzystywana przez oszustów, którzy wyłudzali dane osobowe i zakładali konta na słupy. Najpopularniejszą metodą było zamieszczanie ogłoszenie o poszukiwaniu pracownika, a kiedy zgłosił się potencjalny kandydat żądanie wykonania przelewu na wskazany rachunek. Przelew ten aktywował konto w banku założone na nieświadomego tego faktu potencjalnego pracownika. Oszuści podszywali się głównie pod małe kancelarie i szukali osób do „przepisywania tekstów”. Ale zdarzały się też bardziej bezczelne próby wyłudzeń. Opisywaliśmy na łamach Bankier.pl sprawę fałszywej filii międzynarodowej korporacji, która służyła do kradzieży tożsamości.
Ostatecznie sprawa stała się na tyle poważna, że ZBP zalecił bankom rozpoczęcie rozmów na temat wycofania tej usługi z użycia. Chwilę później sprawą zajęła się KNF, a efektem jej prac jest ostatnia rekomendacja. Dokument nabierze mocy prawnej po opublikowaniu go w dzienniku urzędowym KNF.