Taki efekt mogą mieć przepisy, nad którymi pracuje Komisja Europejska, a które mają być uchwalone jeszcze w tym roku
Chodzi o dwa akty prawne: dyrektywę PSD II oraz unijne rozporządzenie o ochronie danych osobowych. Jak mówi Michał Mostowik, prawnik z kancelarii dLK Korus Okoń, na podstawie tego pierwszego dokumentu banki będą zobowiązane zgłaszać do Komisji Nadzoru Finansowego wszystkie poważne incydenty informatyczne. Innymi słowy będą musiały informować KNF, że padły ofiarą cyberataku.
Drugi z wymienionych dokumentów wprowadzi obowiązek zgłaszania do Generalnego Inspektora Ochrony Danych Osobowych wycieku danych klientów. Banki będą musiały zgłaszać nawet samo uzyskanie dostępu do tych danych przez osoby postronne.
Przeczytaj także: Znajomy z Facebooka prosi o pożyczkę? Nie dajcie się nabrać
W rezultacie ukrycie skompromitowania systemów bankowych będzie bardzo trudne. Próbujące to robić instytucje narażą się na wysokie kary. Poza tym, zgodnie z nowymi przepisami będą zobowiązane do poinformowania o zaistnieniu takich sytuacji również klientów, których mogło to dotyczyć. A to niesie ze sobą zagrożenie utraty reputacji.
Obecnie obowiązujące przepisy kładą nacisk przede wszystkim na to, by nie dopuścić do tzw. incydentów informatycznych. Najwyraźniej jednak wydarzenia, które miały miejsce w ostatnim czasie, uświadomiły unijnym urzędnikom, że wszystkim niebezpieczeństwom nie da się zapobiec i trzeba uregulować zasady postępowania po ich zaistnieniu.
Bankowcy, z którymi rozmawiałem, na razie bagatelizują znaczenie nowych przepisów. Podają przykład rynku telekomunikacyjnego, gdzie podobne regulacje obowiązują od dawna i nie mają negatywnego wpływu na tę branżę.
Przeczytaj także: Uwaga na spam z ZUS-u
Wydaje mi się jednak, że rachunek telefoniczny to nie to samo co rachunek bankowy. Gdy wyjdzie na jaw, że cyberprzestępcy potrafią złamać zabezpieczenia banków, klienci mogą nagle dojść do wniosku, że płacenie kartą czy korzystanie z banku w internecie wcale nie jest takie bezpieczne.
Na miejscu banków już dziś zastanowiłbym się więc nad tym, w jaki sposób komunikować klientom ataki hakerów wg zasad wprowadzanych przez nowe przepisy. Czasu jest jeszcze sporo. Jeżeli oba dokumenty zostaną uchwalone w tym roku, zaczną obowiązywać w 2018 roku.
Więcej na ten temat piszę w dzisiejszym Dzienniku Gazecie Prawnej. Zapraszam do lektury.