Nowa Rekomendacja Komisji Nadzoru Finansowego ws. bezpieczeństwa elektronicznych transakcji płatniczych

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

W dniu 17 listopada br., KNF, mając na uwadze podnoszenie poziomu bezpieczeństwa transakcji płatniczych, opublikowała nowe zalecenia dla dostawców usług płatniczych świadczących je za pośrednictwem internetu. Zostały one pozytywnie przyjęte przez Związek Banków Polskich, jako sprzyjające interesom, zarówno instytucji finansowych, jak i klientom banków. Wskazał jednocześnie, że Rekomendacja stanowi istotne uzupełnienie dotychczasowych dobrych praktyk banków w tym zakresie.

Eksperci ZBP, zwrócili uwagę na brak zastosowania wprost zasady comply or explain (działanie zgodnie z zasadami, a jeśli nie stosuje się jakieś reguły, to należy o tym poinformować regulatora podając powód nie stosowania danej reguły), funkcjonującej w wytycznych European Banking Authority (EBA), w oparciu o które opracowano regulację krajową.

Dla banków ważną kwestią może być brak wydłużonego vacatio legis, czyli terminu upływającego od przyjęcia rekomendacji do jej wejścia w życie. W tym momencie, będzie ona obowiązująca od chwili opublikowania jej w Dzienniku Urzędowym KNF, lecz z dwoma wyjątkami: zakazu udostępniania danych logowania (powinien być zastosowany najpóźniej od dnia 21 grudnia br.) oraz otwierania rachunków bankowych w oparciu o potwierdzenie tożsamości klienta poprzez polecenie przelewu z jego innego rachunku bankowego i obowiązku w zakresie polityki edukacyjnej (powinien być zastosowany najpóźniej od dnia 1 lipca 2016 r.).

Przy tej drugiej kwestii należy także zwrócić uwagę na szczegółową rekomendację 6.1., która określa warunki zawierania umowy rachunku płatniczego z wykorzystaniem przelewu z innego rachunku płatniczego jako sposobu potwierdzenia tożsamości klienta. Co ważne, KNF przedstawiło rozwiązanie kompromisowe, nie zakazując stosowania tej metody, jednocześnie jednak określiła zbiór trzech obowiązkowych reguł postępowania.

Dotyczą one m.in. odpowiedzialności banku przy zawieraniu umowy rachunku w zakresie weryfikacji zgodności tożsamości osoby z dokumentami przedstawionymi pracownikowi banku. Zasada ta może rodzić podstawy do dochodzenia roszczeń przez bank, z którego dokonano transakcji oszukańczej, wobec banku, który faktycznie otworzył rachunek bankowy. Skuteczność takich działań może być jednak wątpliwa, gdy tożsamość klienta będzie zgodna z tą deklarowaną w aplikacji, ale została ona wcześniej np. zmanipulowania z użyciem socjotechniki, bowiem rekomendacja nie przewiduje obowiązku poinformowania klienta, że właśnie zawiera umowę rachunku bankowego. W tym obszarze, na znaczeniu zyskuje działanie samoregulacyjne banków, które w rekomendacji ZBP z 21 lipca br., zostały zobowiązane do zasad uniemożliwiających wykorzystywanie rachunków bankowych otwieranych "na przelew" do popełniania przestępstw na szkodę banków i ich klientów.

Druga reguła ma dotyczyć ograniczenia możliwości stosowania tzw. "łańcuszka", czyli zawierania kolejnych umów rachunku bankowego, w których tożsamość osoby aplikującej jest potwierdzana zaledwie  w oparciu o polecenie przelewu z innego rachunku bankowego tej osoby. Realizacja tej części rekomendacji, będzie oparta o System SWOZ uruchomiony przez ZBP,  gdzie znajdą się numery rachunków bankowych, otwartych w ten sposób. Dzięki temu,  każdy z banków będzie miał możliwość dokładnego zweryfikowania sposobu otwarcia rachunku, z którego dokonano przelewu potwierdzającego tożsamość.

Trzecia z zasad odnosi się do obowiązku zapewnienia integralności procesu składania wniosku o zawarcie umowy rachunku płatniczego i złożenia dyspozycji wykonania polecenia przelewu.

Zapis ten stanowi ważną podstawę do uniemożliwienia wykonania przez różne osoby elementów tego samego procesu jak np. wypełnienia wniosku o zawarcie umowy rachunku bankowego danymi klienta i przeprowadzenie czynności potwierdzającej tożsamość klienta. Rozwiązanie te zostało już także wprowadzone i stosowane przez banki na mocy rekomendacji ZBP z 17 grudnia 2013 r.

Związek Banków Polskich zadeklarował pełną gotowość do dalszych prac na rzecz podnoszenia poziomu bezpieczeństwa obrotu bezgotówkowego, w tym usług płatniczych za pośrednictwem internetu.

Źródło: Związek Banków Polskich