Domyślne wyłączenie transakcji kartą w sieci, wprowadzenie opóźnienia w realizacji niektórych operacji czy ograniczenie udzielania kredytów „na klik” – to niektóre z zaleceń, które znalazły się w raporcie UOKiK. Rekomendacje podyktowane są troską o ofiary oszustw, ale przy okazji mogą uderzyć w wygodę i szybkość korzystania z bankowości internetowej i mobilnej.
Lawina oszustw i wyłudzeń wykorzystujących bankowość elektroniczną to problem numer jeden dla wszystkich dostawców usług płatniczych. Łatwość, z jaką możemy dziś przesyłać pieniądze ma swoją ciemną stronę – znacznie łatwiej jest także paść ofiarą przestępców, którzy coraz sprytniej zastawiają finansowe pułapki. O różnych schematach ataków piszemy w ramach akcji Scamming Out.
23 października Urząd Ochrony Konkurencji i Konsumentów opublikował zestaw zaleceń dla dostawców usług płatniczych. To owoc prac grupy roboczej, w której uczestniczyli przedstawiciele nadzoru oraz eksperci z sektora bankowego. Rekomendacje prezentują mechanizmy, które powinny wzmocnić bezpieczeństwo użytkowników płatności elektronicznych i utrudnić życie e-przestępcom.
Wśród zaleceń pojawia się kilka propozycji, które stopniowo realizują się już w praktyce. Wykorzystanie jednorazowych wirtualnych kart płatniczych, kluczy sprzętowych U2F czy biometrii behawioralnej staje się standardem. Na liście 16 rekomendacji jest także kilka pozycji, które mogłyby zmienić doświadczenia użytkowników e-bankowości i zapewne wzbudzą kontrowersje.
Cooling period, czyli transakcje z opóźnionym zapłonem
Urząd proponuje wprowadzenie w kilku scenariuszach „czasu na ochłonięcie” dla klienta. Tzw. cooling period miałby polegać na opóźnieniu wykonania transakcji, czyli wydłużeniu czasu pomiędzy złożeniem zlecenia a jego wykonaniem.
W rekomendacjach wskazano kilka przypadków, w których takie podejście byłoby uzasadnione. Należą do nich m.in.:
- Istotne podniesienie limitów transakcyjnych (np. limitu kwoty przelewu).
- Następujące po sobie kolejne podniesienie wspomnianego limitu.
- Odblokowanie dodatkowej funkcji w serwisie internetowym lub aplikacji mobilnej.
- Dokonanie przelewu lub wypłaty środków z kredytu, gdy umowa została zawarta w kanałach elektronicznych (internetowym lub mobilnym).
- Zmiana danych, w tym np. numeru telefonu.
- Zlecenie innej nietypowej dla danego klienta transakcji.
Zalecenia nawiązują wprost do wzorów typowych dla działań przestępców, którzy niejednokrotnie po przejęciu dostępu do konta ofiary „czyszczą” jej rachunek, wyprowadzając pieniądze lub zaciągając zobowiązania.
Klient, w którego przypadku uruchomiony zostanie taki finansowy próg spowalniający powinien zostać o tym jednoznacznie poinformowany, najlepiej przy użyciu innego kanału niż kanał, w którym złożono zlecenie. Przykładowo, gdy zechcemy zdecydowanie podnieść limit dla płatności kartowych w aplikacji mobilnej, dostawca usługi płatniczej skontaktuje się telefonicznie, by wskazać, że włączony został opóźniacz i podniesienie limitu nie zostało dokonane.
Kiedy będzie można obejść „spowalniacz”?
Rekomendacje prezesa UOKiK wskazują na dwa scenariusze pozwalające na ominięcie cooling period. Pierwszym jest zastosowanie dodatkowej weryfikacji klienta w innym kanale komunikacji niż kanał złożenia zlecenia. Tu znalazł się jednak dodatkowy warunek, dla szczególnie „podejrzanych” transakcji. „W przypadkach, w których zlecenie płatnicze dotyczy wysokiej kwoty lub według dostawcy usług płatniczych dyspozycja budzi podejrzenia z innych powodów, wskazane jest ograniczenie możliwości skrócenia cooling period do złożenia takiej dyspozycji przez klienta w placówce dostawcy usług płatniczych lub zastosowanie innego rozwiązania maksymalnie ograniczającego ryzyko ingerencji osoby trzeciej (np. systemu opartego o biometrię)” – wskazano w zaleceniach.
Drugi ze scenariuszy to uprzedzenie dostawcy usługi płatniczej o zamiarze dokonania transakcji przekraczającej wyznaczony limit kwotowy. Ten przypadek odnosi się do użycia cooling period w wyniku uznania transakcji za nietypową z punktu widzenia dotychczasowych zwyczajów klienta.
Rekomendacjom towarzyszy kilka proponowanych wyłączeń. Jednym z nich jest niestosowanie cooling period dla przelewów natychmiastowych, jeśli klient wyraził zgodę na aktywowanie tej funkcji. Innym, użycie środków zapewniających wysoki poziom pewności bezpieczeństwa, np. analizy danych biometrycznych.
Funkcje wyłączone na start
Zgodnie z zaleceniami UOKiK dostawcy usług płatniczych powinni domyślnie wyłączać dla nowych umów usługi, które cieszą się szczególną popularnością wśród przestępców. Przykładem takiego podejścia byłoby m.in.:
- Dezaktywacja na start szybkich przelewów – klient musiałby osobno wyrazić zgodę na ich uruchomienie.
- Wyłączenie przelewów zagranicznych.
- Ustawienie limitów dla transakcji bez fizycznej obecności karty (tzw. CNP, czyli płatności online) na poziomie zero.
„Aktywacja funkcji uprzednio niedostępnej lub samodzielnie zablokowanej przez konsumenta powinna wiązać się z zastosowaniem cooling period” – wskazano w rekomendacjach. Osobno potraktowano także kredyty „na klik”. Przypomnijmy, że chodzi w tym przypadku o kredyty uruchamiane w bankowości internetowej lub mobilnej, gdzie proces wnioskowania jest skrócony do minimum, np. dzięki wcześniejszej ocenie ryzyka (tzw. prescoring).
Dla aktywacji funkcji szybkich kredytów potrzebna miałaby być nie tylko osobna zgoda klientów, ale również wypłata środków powinna zostać potwierdzona odrębnie, za pomocą innego kanału komunikacji niż mobile lub serwis transakcyjny.
Szybka ścieżka zgłoszenia oszustwa i „panic button"
Każdy z dostawców usług płatniczych zgodnie z zaleceniami powinien uruchomić wyspecjalizowaną, osobną infolinię na potrzeby przyjmowania zgłoszeń o nieautoryzowanych transakcjach i oszustwach („bez nadmiernego czasu oczekiwania na połączenie”). Dodatkowo dostępny powinien być również czat w aplikacji mobilnej i na stronie internetowej.
Niezależnie od tego rozwiązania w aplikacji mobilnej oraz na koncie klienta dostępnym z poziomu serwisu internetowego ma się pojawić tzw. „panic button". Jego wciśnięcie blokuje realizację wszystkich transakcji, ale nie wyłącza opcji podglądu rachunku i pozostałych nietransakcyjnych funkcji kanałów elektronicznych. Odblokowanie może mieć miejsce w placówce dostawcy usług płatniczych lub automatycznie, po upłynięciu z góry określonego czasu.
Zalecenia to nie ustawa
W dokumencie prezentującym rekomendacje podkreślono, że realizacja zaleceń nie może kolidować z obowiązkami wynikającymi z obowiązujących regulacji. Przykładowo, cooling period nie unieważnia ustawowych terminów na realizację zlecenia płatniczego. Propozycje UOKiK mają być też rozwijane wraz z tym, jak zmieniać się będzie sytuacja na rynku usług płatniczych.
