Instytucja skupiła się m.in. na silnym uwierzytelnianiu płatności oraz bezpiecznej komunikacji z klientami
Komisja Nadzoru Finansowego skierowała do instytucji działających w sektorze bankowy list, w którym poświęciła uwagę kwestiom cyberbezpieczeństwa. Podmiot przekonuje w nim, że rozwój elektronicznych rozwiązań finansowych to nie tylko korzyści dla klientów i usługodawców, ale też ryzyko, z którego należy sobie zdawać sprawę. Tymczasem świadomość konsumentów w kwestii zagrożeń w cyberprzestrzeni pozostaje niska, a firmom działającym na tym rynku zdarza się postępować w taki sposób, który niepotrzebnie zwiększa ryzyko.
W swoim komunikacie KNF zwraca uwagę m.in. na zagrożenie ze strony przestępców wykorzystujących metody phishingowe. Używają oni maili czy wiadomości SMS zawierających linki prowadzące np. na fałszywe strony bankowości internetowej. Klienci są uczulani, by ich nie otwierać, bo może to grozić utratą danych czy pieniędzy z kont. Tymczasem część banków wysyła do klientów aktywne linki do stron internetowych – niedawno mogliście przeczytać w serwisie cashless.pl, że takie rozwiązanie wprowadza Santander. KNF przekonuje, że takie praktyki powinny być wyeliminowane, gdyż sprzyjają dezinformacji.
Kolejny problem stanowi sposób, w jaki zabezpieczana jest komunikacja z klientem, prowadzona za pomocą poczty elektronicznej. Przekazywane za jej pośrednictwem załączniki zabezpieczane są prostymi hasłami, które da się odgadnąć (stanowią np. część numeru PESEL czy numeru telefonu). Organ przekonuje zatem, że korespondencja ta powinna być odpowiednio szyfrowana, a hasło należy podawać osobną drogą – aplikacją, serwisem internetowym czy SMS-em. Rozwiązaniem wartym rozpatrzenia jest też umożliwianie klientowi ustawienia w e-bankowości indywidualnego hasła do załączników przekazywanych drogą mailową.
W liście przyjrzano się również zagadnieniu silnego uwierzytelniania klienta w przypadku płatności niskokwotowej. Organ nadzoru uznał, że pominięcie dodatkowej autoryzacji przy wszystkich transakcjach o małej wartości powinno być możliwe tylko wtedy, gdy klient sobie tego zażyczy. A nim do tego dojdzie, usługodawca powinien go poinformować o potencjalnym ryzyku utraty środków finansowych. Jednocześnie KNF oczekuje wprowadzenia w systemie transakcyjnym funkcjonalności dającej klientowi możliwość ustawienia potwierdzenia silnym uwierzytelnieniem każdej płatności.
Pełną treść listu znajdziecie pod tym adresem.