Forum Usług Płatniczych 2025 o cyberbezpieczeństwie i zwalczaniu cyberoszustw
Paweł Szulik, radca prawny Zespołu Bezpieczeństwa Banków w Związku Banków Polskich (ZBP) przedstawił rozporządzenie o cyfrowej odporności operacyjnej DORA, w tym wymogi dla branży płatniczej. Jak stwierdził, nowe wymogi mogą stanowić szansę na rozwinięcie pewnych przewag konkurencyjnych, które mają instytucje bankowe.
Ekspert ZBP przypomniał, że rozporządzenie obowiązuje już od 17 stycznia 2025 roku, a jego głównym celem jest zapewnienie, by szeroko pojęte instytucje systemu finansowego były przygotowane na różnego rodzaju kryzysy technologiczne, ataki cybernetyczne wymierzone w ich infrastrukturę. Rozporządzenie także dotyczy budowania odporności cyfrowej.
Paweł Szulik podkreślił, że pierwszym wymogiem, który wynika z DORA, jest zarządzanie swoim ryzykiem operacyjnym. Przedstawił działania ZBP podejmowane w związku z DORA, w tym projekt wspólnych audytów dostawców ICT. Audyty te powinny badać poziom ryzyka oraz odporności cyfrowej, które są związane z danym dostawcą.
Wyzwaniem dla sektora bankowego jest zapewnienie efektywnego procesu wyznaczania dostawców, którzy w danym okresie powinni podlegać audytowi oraz ich regularne przeprowadzanie w taki sposób, aby nie zakłócić świadczenia usług oraz ich bieżącej działalności.
Dlatego też Związek Banków Polskich oraz Komitet Cyberbezpieczeństwa Banków uruchomili projekt „Wspólne audyty dostawców usług ICT”.
eIDAS – jak wpłynie na bezpieczeństwo płatności?
Na tak postawione pytanie odpowiedział Krzysztof Sodowski, Product Owner w ING Banku Śląskim. W jego ocenie znaczenie dla płatności w eIDAS II ma dodanie transgraniczności do akceptacji tożsamości elektronicznej. Jest to wymóg obligatoryjny dla banków.
Przedstawiciel ING wspomniał także o aplikacjach, które mogą służyć takiej weryfikacji, jeśli tylko przeszły przez proces certyfikacji. To oznacza, że np. mObywatel będzie musiał konkurować na rynku z innymi aplikacjami do weryfikacji użytkowników.
Komisja Europejska uznała, że w Europie konieczny jest łatwy elektroniczny dostęp do wspólnego cyfrowego rynku, który zamierza budować.
Ekspert mówił również o portfelach, jakie mogą być dostępne na rynku oraz o tym, że może też powstać referencyjny portfel elektroniczny związany z tożsamością cyfrową przygotowany przez Komisję Europejską.
Portfele mogą też mieć możliwość realizacji płatności poza aplikacją bankową. Portfele do tożsamości cyfrowej mają mieć najwyższy poziom zabezpieczeń uniemożliwiający podrobienie tożsamości.
Związek Banków Polskich bierze aktywny udział w procesie wdrożenia eIDAS w Polsce. Powołano Grupę ds. eIDAS przy ZBP.
Czytaj także: Konkurencyjność i bezpieczeństwo usług płatniczych
Cyberedukacja może pomóc w walce z wyłudzaniem danych osobowych i cyberoszustwami
„Historia (nie) jednego oszustwa”, tak zatytułowali swoje wystąpienie Małgorzata Domagała, Vice president, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację oraz Łukasz Krzykwa, Director, Products & Solutions, C&I w polskim oddziale Mastercard Europe.
Przedstawili przykład możliwego oszustwa, w którym przestępcy pod pretekstem udziału w konkursie na zdjęcie psa wyłudzają dane związane z logowaniem do portalu społecznościowego, numer PESEL, numer dowodu osobistego, numer karty kredytowej itp.
Wskazali na rażące błędu użytkowników, które w prezentowanych przykładzie doprowadziły do ich okradzenia przez cyberprzestępców.
Małgorzata Domagała i Łukasz Krzykwa podkreślili, że w celu ograniczenie przestępstw polegających na fraudach z wykorzystaniem skradzionych danych osobowych wszystkie podmioty uczestniczące w ekosystemie płatności cyfrowych powinny ze sobą współdziałać.
Podali przykład takiej współpracy instytucji w Wielkiej Brytanii. Dzięki tej współpracy z największymi bankami i przeanalizowaniu ponad 10 mld transakcji było możliwe zwiększenie o 21 procent wykrywalności oszustw, prób wyłudzeń oraz prania pieniędzy.
Eksperci Mastercard mówili skutecznym korzystaniu z identyfikacji użytkowników za pomocą biometrii behawioralnej.
