Raport Specjalny | Cyberbezpieczeństwo | Nowe wyzwania na coraz bardziej otwartym rynku finansowym
Poprawa bezpieczeństwa operacji płatniczych była jednym z głównych celów aktualnie obowiązującej dyrektywy PSD2. Wprowadziła ona na rynek europejski obowiązek stosowania dwuskładnikowego uwierzytelniania transakcji elektronicznych oraz odpowiedzialność dostawców usług płatniczych za transakcje wykonane bez prawidłowego uwierzytelnienia. Na mocy PSD2 ograniczono też istotnie możliwość stosowania tzw. screen scrapingu. Opublikowany w połowie ub.r. projekt rozporządzenia PSR, które co do zasady zastąpi dotychczasowe regulacje w kwestiach cyberbezpieczeństwa i odpowiedzialności dostawcy usług płatniczych względem konsumenta, zakłada wzmocnienie pozycji tego ostatniego, przy jednoczesnym zobowiązaniu instytucji finansowych do stosowania dodatkowych narzędzi i procedur bezpieczeństwa.
Sam IBAN już nie wystarczy
Jedną z istotniejszych zmian w stosunku do aktualnego stanu prawnego, przewidzianą w projekcie PSR, byłby obowiązek weryfikacji zgodności numeru konta z pozostałymi danymi zadeklarowanymi w zleceniu przelewu przez jego nadawcę. Obecnie takie informacje, jak imię i nazwisko lub nazwa odbiorcy transferu oraz jego adres mają charakter uzupełniający, a ich rozbieżność z faktycznymi danymi adresata nie stanowi przesłanki do kwestionowania transakcji. Zmiana tego stanu rzeczy oznaczałaby w pewnym sensie powrót do sytuacji sprzed upowszechnienia bankowości elektronicznej, kiedy to kasjer w bankowym okienku wymagał od zleceniodawcy przelewu podania pełnych danych jego odbiorcy. Według twórców projektu rozporządzenia, pozwoliłoby to na ograniczenie kampanii phishingowych, których istotą jest zmanipulowanie ofiary, by ta dokonała płatności na konto należące do sprawców, w przeświadczeniu, że reguluje rachunek za energię elektryczną, gaz bądź abonament telefoniczny.
Problem ten dotyczy nie tylko klientów indywidualnych – celowane cyberataki wymierzone są również w podmioty gospodarcze, a także jednostki samorządu terytorialnego. Przestępcy z reguły przesyłają znakomicie sfingowany e-mail, imitujący korespondencję od dostawcy usług współpracującego z daną jednostką, w którym informują o zmianie numeru rachunku bankowego. Pogłębiona weryfikacja odbiorcy przelewu na podstawie wszystkich danych zawartych w poleceniu zapłaty faktycznie mogłaby udaremnić wiele fraudów, równocześnie jednak stawiając niełatwe zadanie przed sektorem płatniczym. Wielu klientów, zwłaszcza indywidualnych, wpisuje nazwę odbiorcy z większymi lub mniejszymi błędami bądź w ogóle jej nie podaje, ograniczając się do adnotacji w rodzaju „prąd”, „gaz”, „czynsz” itp., które co do zasady winny znaleźć się w tytule operacji. Chcąc pogodzić nowe wymogi w zakresie przeciwdziałania fraudom z dotychczasowymi nawykami konsumentów, dostawcy usług ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI