Zalecenia w tej sprawie przewodniczący Komisji Nadzoru Finansowego zawarł w liście skierowanym do sektora bankowego. - Obserwowany jest dynamiczny rozwój elektronicznych kanałów dostępu do usług bankowych - szczególnie teraz w dobie pandemii - gdzie nieprofesjonalni uczestnicy rynku przenoszą swoją aktywność z tradycyjnych form kontaktu i współpracy z dostawcami tych usług na rzecz kontaktu drogą elektroniczną. Ale oprócz oczywistych korzyści dla klienta związanych z możliwością efektywnego zarządzania finansami poprzez m.in. redukcję czasu i kosztów związanych z kontaktami z bankiem, taka praktyka niesie za sobą również szereg ryzyk mających wpływ na bezpieczeństwo środków finansowych klientów - napisał Jacek Jastrzębski, szef KNF.

Coraz więcej oszustw finansowych

W ocenie Komisji, pomimo prowadzonych od wielu lat kampanii i działań edukacyjnych, których inicjatorami są m.in. podmioty rynku finansowego, obserwowana jest tendencja wzrostowa liczby oszustw, których ofiarami padają konsumenci, niejednokrotnie tracący oszczędności całego życia. Według KNF to dotyczy zarówno osób aktywnie korzystających z nowoczesnych technologii i form komunikacji, jak również osób starszych, które z usług bankowości elektronicznej korzystają sporadycznie.

 

Cyberbezpieczeństwo

Cezary Banasiński, Marcin Rojszczak

Sprawdź  


- Dlatego też banki stosując zasadę "security first", czyli bezpieczeństwo przede wszystkim, powinny prowadzić pogłębione analizy ryzyka, które uwzględnią nie tylko bezpieczeństwo środowiska teleinformatycznego zapewnianego przez dostawców, ale również ryzyka związane z korzystaniem z usług finansowych przez klientów. Takie analizy powinny też dotyczyć warunków świadczenia usług zdalnych - czytamy w liście.

Niebezpieczne odstępstwa od zasad 

Według jego autora dostawcy usług bankowych powinni mieć świadomość, że podejmowane przez nich indywidualne inicjatywy, które w ich ocenie nie wpływają negatywnie na poziom ryzyka w obszarze prowadzonej działalności biznesowej, w tym także na bezpieczeństwo środków finansowych klientów, w kontekście całego rynku finansowego i w konsekwencji wszystkich klientów tego rynku, mogą już takie ryzyko generować i stanowić czynnik ryzyka systemowego w obszarze cyberbezpieczeństwa. - W kontekście powyższego, zaniepokojenie Komisji budzą obserwowane w ostatnim czasie działania dostawców mogące negatywnie wpływać na profil i poziom ryzyka związanego z bezpieczeństwem danych oraz środków finansowych klientów - twierdzi Jastrzębski. I przypomina, że zgodnie z przepisami europejskimi, dopuszczalne jest wyłączenie stosowania silnego uwierzytelnienia w przypadku konkretnej płatności niskokwotowej, w oparciu o indywidualną ocenę ryzyka, z uwzględnieniem właściwych w tym zakresie przepisów RTS.

Czytaj: Strategia Cyberbezpieczeństwa ma zwiększyć odporność krajowych systemów na zagrożenia>>
 

Osłabienie zabezpieczeń tylko za zgodą klienta

Przewodniczący KNF oczekuje, że rozwiązania wpływające na bezpieczeństwo środków finansowych klientów, a za takie uznaje decyzje o możliwości niestosowania silnego uwierzytelnienia w odniesieniu do zdalnych elektronicznych transakcji płatniczych, które dostawca uznaje za charakteryzujące się niskim poziomem ryzyka zgodnie z mechanizmami monitorowania transakcji, będą wdrażane jedynie w sposób pozostawiający klientom celową i świadomą decyzję, podjętą z wykorzystaniem elektronicznego kanału dostępu lub innej zdefiniowanej w umowie z klientem formy komunikacji, o generalnym wyłączeniu silnego uwierzytelniania dla wszystkich transakcji niskokwotowych w proponowanym przez dostawcę zakresie. 

Szef KNF podkreśla, że przed podjęciem takiej decyzji, klient banku powinien zaakceptować informację o potencjalnym ryzyku utraty środków finansowych, w tym przypadku związanym z wyłączeniem silnej autoryzacji dla transakcji niskokwotowych. I dodaje, że uwzględniając stosowanie zasady "security first", nadzór oczekuje wdrożenia w systemie transakcyjnym funkcjonalności dającej klientowi możliwość ustawienia potwierdzenia silnym uwierzytelnieniem każdej płatności.