PSD2 – pytania o cyberataki

Nowa dyrektywa w dużej mierze odnosi się do nowych i innowacyjnych podmiotów oferujących usługi finansowe w internecie, tzw. Third Party Providers (TPP). Pojawienie się nowego rodzaju graczy, zaliczanych do tzw. fintechów, wymusiło konieczność legislacyjnego odniesienia się do ich oferty i charakteru prowadzonej działalności. Wdrożenie PSD 2 ma na celu nie tylko uporządkowanie i uregulowanie prawnej sytuacji nowych podmiotów typu TPP i ich relacji z tradycyjnymi dostawcami usług płatniczych. Zauważenie i włączenie TPP do szerszego ładu ma służyć również zapewnieniu bezpieczeństwa płatności i ochronie konsumentów.

– Dyrektywa w sprawie usług płatniczych (w skrócie PSD, 2007/64/WE) z 2007 roku nie obejmowała swoim zakresem podmiotów TPP. Stało się tak z prostej przyczyny – tego typu rozwiązania w tym czasie dopiero się kształtowały. Bardzo dynamiczny rozwój niezależnych pośredników i ich rosnąca popularność sprawiły, że powstała konieczność modyfikacji istniejącego prawa. Stąd rewizji uległa PSD, tak aby dostosować regulacje do nowej rzeczywistości i podmiotów, które weszły na rynek – informuje Georg Schardt, Managing Director, Sofort.

Nowe podmioty

Wśród nowych rozwiązań z pewnością należy wyróżnić dwa typy tzw. Third Party Providers. Pierwszy z nich typu AIS (tzw. „Account Information Services”) specjalizuje się w usługach polegających na gromadzeniu i porządkowaniu danych z różnych kont bankowych klienta w jednym miejscu. Drugi typ to tzw. PIS („Payment Initiation Service Providers”). Są to pośrednicy techniczni, którzy zajmują się inicjowaniem przelewów bankowych. Podmioty tego typu w znaczny sposób przyczyniają się usprawniania i ułatwiania dokonywania wszelkich płatności w Internecie. Z jednej strony maksymalnie automatyzują i upraszczają cały proces finalizacji przelewu, ale także gwarantują wygodę i bezpieczeństwo. Innowacyjne metody płatności oznaczają także niższe koszty obsługi transferów, co w pozytywny sposób może przyczynić się do kształtowania się cen towarów i usług nabywanych online.

– Tymczasem według proponowanych zapisów to bank odpowiada za uwierzytelnienie klienta. To podmiot trzeci inicjuje płatność, ale bank ją uwierzytelnia. Przez podmiot trzeci przechodzą dane, ale to bank je weryfikuje. Rodzi to nowe zagrożenia. Jednym z nich może być atak cyberprzestępców nie na strony banków, jak to jest dzisiaj, ale na zupełnie nowy rodzaj podmiotów, które dopiero zaczynają działalność, więc często nie mają doświadczenia. Mogą mieć też ograniczone nakłady na testy i zabezpieczenia – zauważa Dariusz Wojtas, Head of Product Management, IMPAQ.

Dlatego, zdaniem Dariusza Wojtasa, trzeba mieć na uwadze, że być może nowe procedury nie zabezpieczą skutecznie przed wszystkimi rodzajami ataków. Te, które znamy ciągle będą mogły zachodzić i będą groźne, za to pojawią się nowe. Trudno posądzić, że nowe firmy świadczące usługi typu TPP  będą chciały oszukiwać, ale dzięki dopuszczeniu ich do rynku pojawią się nowe rodzaje ryzyk.

– Skoro całość kontaktu podczas płatności będzie odbywała się pomiędzy pośrednikiem obsługujących płatność a klientem, to bank może nawet się nie dowiedzieć o trwającym cyber ataku. Ale wyemituje kod potwierdzający dla oszukańczej transakcji, bo taka jest procedura i co więcej ją potwierdzi. Dlatego ważne jest, żeby podmioty trzecie miały u siebie systemy zarządzania ryzykiem dla transakcji i  monitorowały je – twierdzi Dariusz Wojtas.

PSD2 może zmienić w istotny sposób fundamenty relacji bezpieczeństwa pomiędzy klientem a bankiem. Przede wszystkim w relacji tej pojawią się strony trzecie, które mogą mieć znacząco niższe standardy bezpieczeństwa niż te, które stosuje się w sprawdzonych systemach bankowych. Pociągnie to za sobą szereg zmian w zakresie metod dostępu do rachunku bankowego, a także sposobów jego ochrony.

Więcej o stanie przygotowań polskiej gospodarki do spełnienie warunków rozporządzenia PSD 2 w grudniowym numerze miesięcznika finansowego BANK.