UE pracuje nad wytycznymi dla banków ws. lepszego zapewnienia bezpieczeństwa usług płatniczych, zwłaszcza płatności online. Wymagane będzie m.in. wprowadzenie skuteczniejszych metod uwierzytelniania klienta.
Dzisiaj, aby dokonać przelewu online bądź zapłacić w sieci kartą, zwykle wystarczy wprowadzić numer karty, datę ważności i znajdujący się na odwrocie karty trzycyfrowy kod CVV (Card Verification Number). Jest to najczęściej wykorzystywany system, choć zdaniem ekspertów mało bezpieczny.
- Jeśli złodziejowi uda się zdobyć numer naszej karty kredytowej, to potrzebuje jedynie odpowiedniego programu komputerowego, dzięki któremu zdobędzie datę wygaśnięcia karty, a nawet CVV - mówi jeden z unijnych urzędników.
Co prawda od kilku lat europejskie banki korzystają z tokenów lub czytników kart generujących specjalny kod, który należy wprowadzić, by zakończyć transakcję online. Wciąż jednak nie wszystkie banki oferują tego typu usługi.
To ma się jednak zmienić. W listopadzie ubiegłego roku Parlament Europejski i Rada UE przyjęły drugą dyrektywę w sprawie usług płatniczych (Payment Services Directive 2). W ramach tej dyrektywy powierzono Europejskiemu Urzędowi Nadzoru Bankowego (EUNB) "zadanie opracowania wytycznych oraz przygotowania projektu regulacyjnych standardów technicznych dotyczących aspektów bezpieczeństwa związanych z usługami płatniczymi".
Wytyczne przygotowane przez EUNB zostaną oficjalnie przedstawione w lutym br., ale już wiadomo, że nacisk zostanie położony przede wszystkim na silne uwierzytelnianie klienta, tzw. Strong Customer Authentication (SCA).
- Wszystkie banki, a także sklepy online musiałyby korzystać z mechanizmu SCA w odniesieniu do transakcji elektronicznych, także dokonywanych za pośrednictwem telefonów komórkowych. W praktyce oznaczałoby to uwierzytelnianie klienta na podstawie co najmniej dwóch elementów, jak np. coś, co znane jest wyłącznie użytkownikowi, np. kod PIN; coś, co tylko on posiada, np. karta, i jakaś indywidualna cecha klienta, np. odcisk palca czy identyfikacja głosu - tłumaczy urzędnik UE.
Nie wszystkim te rozwiązania przypadły do gustu. "Banki i duże platformy zajmujące się sprzedażą online silnie lobbują, żeby EUNB wprowadziło jak najwięcej wyjątków w przepisach. Argumentują, że nowe regulacje będą zbyt kłopotliwe i że sprawią, że konsumenci przestaną kupować w sieci. Proponują wprowadzenie metody opartej na ocenie ryzyka. Tak, żeby to bank lub sprzedawca oceniał, czy transakcja jest wiarygodna (np. na podstawie adresu IP) i na tej postawie ją akceptował lub nie. My uważamy, że surowsze przepisy są potrzebne" - mówi PAP Jean Allix z Europejskiej organizacji Konsumenckiej (BEUC).
Dodaje, że przykładem na to, że dodatkowe zabezpieczenia się sprawdzają, jest Holandia, gdzie już ok. 60 proc. konsumentów korzysta z systemu płatności iDEAL, który zapewnia silne uwierzytelnienie klienta. - Dzisiaj to najczęściej wybierana forma płatności w Holandii. A liczba przestępstw związanych z płatnościami online gwałtownie w tym kraju spadła - mowi Allix.
Dzisiaj banki często uspokajają klientów, że nie mają oni powodu do zmartwień, bo w przypadku ewidentnego oszustwa ich pieniądze zostaną zwrócone. BEUC zauważa jednak, że cały proces jest bardzo uciążliwy. Przede wszystkim to często na kliencie spoczywa obowiązek udowodnienia, że padł ofiarą przestępstwa, a bank może odmówić zwrotu środków jeśli uzna, że konsument nie zabezpieczył odpowiednio swojej karty lub konta. Ponadto często w takich przypadkach karta zostaje zablokowana przez kilka dni.
Fundusze przeznaczone na zwrot skradzionych pieniędzy trzeba skądś wziąć, a to nie zawsze jest łatwe. I tak np. w listopadzie ubiegłego roku brytyjski internetowy bank Tesco po raz pierwszy padł ofiarą internetowych złodziei, którzy okradli konta 9 tys. klientów banku, każdego na kwotę 270 funtów, co dało w sumie kwotę 2 mln 430 tys. funtów.
W 2013 r. straty poniesione w wyniku oszustw związanych z transakcjami elektronicznymi wyniosły 1,44 mld euro. Szacuje się, że w 2015 r. w UE 71 proc. spraw o oszustwa bankowe dotyczyło płatności internetowych. W Wielkiej Brytanii w 2015 r. 1,2 mln osób padło ofiarą oszustw związanych z płatnościami online; liczba poszkodowanych wzrosła o 20 proc. w porównaniu z rokiem wcześniejszym.
Europejski Urząd Nadzoru Bankowego przedstawi proponowane przez siebie przepisy w lutym.
