14 września banki zmienią sposób dostępu do rachunków bankowych przez internet. Nowe rozwiązania mają poprawić bezpieczeństwo klientów. Jednak nadal należy zachować ostrożność przy korzystaniu z bankowości elektronicznej.
Zmiany wynikają dyrektywy PSD2 i wdrażających ją przepisów ustawy o usługach płatniczych. Celem była poprawa bezpieczeństwa dokonywanych transakcji płatniczych. Chodzi tu zarówno o dostęp do konta bankowego przez internet, jak i płatności elektronicznych w tym płatności kartami płatniczymi. Jedną z ważniejszych zmian jest wprowadzenie tzw. silnego uwierzytelnienia przy korzystaniu z dostępu do rachunku on-line.
– Uznano, że stosowane dziś zabezpieczenia np. podanie loginu i hasła to za mało. Stąd przepisy przewidują wprowadzenie dodatkowych zabezpieczeń, np. dodatkową autoryzację kodem sms, czy aplikacją mobilną. Do tego tworzy się wiele nowych możliwości potwierdzenia transakcji związanych z rozwojem technologii np. dodatkowe potwierdzenie odciskiem palca, skan oka czy twarzy – mówi Izabela Dąbrowska-Antoniak, dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego.
Zmiany mogą dotyczyć zarówno samego logowania do bankowości internetowej, jaki i wykonywania poszczególnych transakcji, także transakcji zbliżeniowych. Dodaje, że obecnie banki wysyłają do klientów informacje dotyczące tych zmian. To okazja dla przestępców, którzy podszywając się banki mogą przykładowo żądać od klientów podania danych potrzebnych do logowania na specjalnie stworzonych stronach internetowych przypominających serwisy bankowe.
– Należy zachować ostrożność i pod żadnym pozorem np. nie odpowiadać na maile z takim żądaniem. Szczególnie jeśli jesteśmy w nich proszeni o zalogowanie się do naszego konta przy pomocy linku zamieszczonego w przesłanym mailu. – przestrzega Izabela Dąbrowska-Antoniak.
Przypomina, że ostrzeżenie w tym zakresie wydała kilka dni temu również Komisja Nadzoru Finansowego.
Bezpieczniej, ale nie do końca
Eksperci Rzecznika Finansowego zwracają też uwagę, że nowe przepisy pozwalają na zwolnienie z silnego uwierzytelnienia niektórych rodzajów transakcji. Chodzi tu na przykład o przelewy wewnątrz konta np. z konta oszczędnościowego na rachunek oszczędnościowo rozliczeniowy. Wyłączona z tego wymogu jest też procedura definiowania odbiorcy zaufanego. Analiza skarg klientów dotyczących nieautoryzowanych transakcji pokazała, że przydałoby się dodatkowe zabezpieczenie transakcji przeprowadzonych w ramach rachunku bankowego.
– Mieliśmy przypadki w których przestępcy, którzy już dostali się do panelu klienta w bankowości elektronicznej definiowali swój rachunek jako odbiorcy zaufanego. Następnie transferowali środki z ROR, konta oszczędnościowego, wykorzystywali limity w kartach, a nawet zaciągali tzw. pożyczki „na klik”, czyli według uproszczonej procedury. Efekt był taki, że poszkodowany klient nie tylko tracił pieniądze które posiadał, ale też miał do spłacenia dług – opisuje Izabela Dąbrowska-Antoniak.
Jej zdaniem po wdrożeniu zasad silnego uwierzytelnienia przejęcie kontroli nad kontem będzie rzeczywiście trudniejsze. Jednak po sforsowaniu zabezpieczeń, przestępcy będą mieli nadal swobodę działania w ramach konta. Dlatego dobrze by było, żeby silne uwierzytelnienie było stosowane również przy wspominanych transakcjach.
– Część klientów z pewnością będzie wolała, żeby ich pieniądze były bardziej bezpieczne, nawet kosztem tego, że transakcja będzie trwała trochę dłużej. Bank powinien być raczej bezpieczny, a nie szybki – uważa Izabela Dąbrowska-Antoniak.
Szybki zwrot ukradzionych pieniędzy
Wspominane przepisy dyrektywy i ustawy zaostrzyły już wcześniej – bo w czerwcu ubiegłego roku – zasady odpowiedzialności banków w sytuacji gdy przestępcom uda się sforsować zabezpieczenia. Zgodnie z nimi bank musi zwrócić kwoty wytransferowane w ramach nieautoryzowanej przez klienta transakcji zgodnie zasadą D+1.
– Banki w większości przypadków powinny zwracać środki następnego dnia roboczego po zgłoszeniu nieautoryzowanej transakcji. Wyjątkiem jest sytuacja, w której bank będzie miał uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta i poinformuje o tym organy ścigania.- wyjaśnia Izabela Dąbrowska-Antoniak.
Tylko jeśli w późniejszym postępowaniu wyjdzie na jaw, że klient celowo oszukał bank lub do transakcji doszło na skutek jego rażącego niedbalstwa, bank może zażądać od niego zwrotu tych środków.
– W praktyce zapewne będzie musiał ich dochodzić w sądzie i udowadniać swoje twierdzenia. Uważam, że to właściwa kolejność, bo dziś bank jest trochę sędzią we własnej sprawie – mówi Izabela Dąbrowska-Antoniak.