Dynamiczny rozwój technologii cyfrowych, a w szczególności upowszechnienie bankowości elektronicznej i aplikacji mobilnych, zrewolucjonizował sposób, w jaki zarządzamy swoimi finansami. Wzrost popularności tych rozwiązań przyniósł ze sobą szereg korzyści dla konsumentów, takich jak wygoda, oszczędność czasu i większa dostępność usług finansowych.
Niestety, równolegle z tymi zaletami pojawiły się nowe zagrożenia związane z bezpieczeństwem transakcji online. Oszustów wykorzystujących luki w zabezpieczeniach systemów informatycznych i stosujących coraz bardziej wyrafinowane metody socjotechniki, aby wyłudzić dane osobowe i środki finansowe od nieświadomych użytkowników.
W dobie cyfryzacji, bezpieczeństwo transakcji online stało się kluczowym wyzwaniem dla dostawców usług płatniczych. Wzrost popularności płatności cyfrowych niesie ze sobą nowe ryzyka, które wymagają skutecznych rozwiązań. Prezes UOKiK, we współpracy z Komisją Nadzoru Finansowego oraz eksperci z sektora bankowego, opracował zalecenia mające na celu ochronę konsumentów przed oszustwami.
W niniejszym artykule dokonamy analizy kluczowych czynników ryzyka w obszarze usług płatniczych oraz zaprezentujemy rekomendacje Prezesa Urzędu Ochrony Konkurencji i Konsumentów dla dostawców tych usług, mające na celu zwiększenie bezpieczeństwa konsumentów w cyfrowym świecie finansów.
Kluczowe informacje warte zapamiętania – Zalecenia UOKiK dla dostawców usług płatniczych w walce z oszustwami:
- Zintegrowane środki bezpieczeństwa: Dostawcy usług płatniczych powinni wdrażać różnorodne środki zaradcze, takie jak silne uwierzytelnienie klienta (SCA) i systemy oparte na sztucznej inteligencji, aby skutecznie chronić przed oszustwami
- Proaktywne monitorowanie: Regularne monitorowanie transakcji i identyfikacja nietypowych działań są kluczowe dla zapobiegania nieautoryzowanym transakcjom. Dostawcy powinni dostosowywać swoje systemy do zmieniających się zagrożeń.
- Edukacja i informowanie klientów: Klienci powinni być informowani o ryzykach związanych z utrzymywaniem wysokich limitów transakcyjnych oraz o możliwościach samodzielnego ograniczania funkcji w aplikacjach mobilnych.
- Elastyczność i adaptacja: Zalecenia Prezesa UOKiK są elastyczne i mogą być modyfikowane w odpowiedzi na nowe zagrożenia. Dostawcy powinni stosować je dynamicznie, aby zapewnić maksymalną skuteczność.
Czynniki ryzyka w usługach płatniczych
Konsumenci często nie są świadomi ryzyk związanych z nowymi technologiami. Sprawy, które kiedyś wymagały wizyty w banku, teraz załatwiane są online, co zwiększa ryzyko nieautoryzowanych transakcji.
Współczesne systemy bankowości elektronicznej i płatności mobilnych oferują szeroki wachlarz funkcji, które – choć ułatwiają codzienne zarządzanie finansami – mogą jednocześnie stwarzać potencjalne zagrożenia dla bezpieczeństwa konsumentów.
Na podstawie analizy skarg konsumentów oraz doświadczeń sektora bankowego, Prezes UOKiK zidentyfikował szereg czynników ryzyka w usługach płatniczych, które są najczęściej wykorzystywane przez oszustów do przeprowadzania ataków.
Zidentyfikowane czynniki ryzyka obejmują funkcje udostępniane klientom przez dostawców usług płatniczych, które są często wykorzystywane do oszustw. Analiza skarg konsumentów oraz współpraca z dostawcami usług płatniczych pozwoliły na stworzenie listy najczęściej występujących zagrożeń.
Do kluczowych czynników ryzyka należą:
- Możliwość samodzielnego zwiększania limitów transakcyjnych: Utrzymywanie wysokich limitów transakcyjnych na kontach bankowych, w połączeniu z brakiem odpowiednich mechanizmów bezpieczeństwa, stwarza ryzyko utraty znacznych kwot w przypadku przejęcia kontroli nad kontem przez osoby nieuprawnione.
- Możliwość zaciągnięcia zobowiązania finansowego z poziomu aplikacji mobilnej lub strony internetowej: Uproszczone procedury oceny zdolności kredytowej i łatwy dostęp do kredytów konsumenckich online (tzw. „kredyty na klik”) mogą prowadzić do zaciągnięcia zobowiązań finansowych bez wiedzy i zgody właściciela konta.
- Możliwość samodzielnej zmiany danych na koncie klienta: Możliwość modyfikacji danych kontaktowych, takich jak numer telefonu czy adres e-mail, bez odpowiedniej weryfikacji tożsamości, ułatwia oszustom przejęcie kontroli nad kontem i uniemożliwia dostawcy usług płatniczych kontakt z klientem.
- Możliwość samodzielnego aktywowania dodatkowych funkcji: Aktywacja usług takich jak przelewy natychmiastowe czy płatności zbliżeniowe, bez odpowiednich zabezpieczeń, może zwiększać ryzyko nieautoryzowanych transakcji.
- Możliwość dokonania natychmiastowego przelewu środków: Przelewy natychmiastowe, choć wygodne, skracają czas reakcji klienta w przypadku nieautoryzowanej transakcji i utrudniają odzyskanie środków.
- Możliwość dokonania płatności kartowej bez fizycznego użycia karty (CNP) niewymagająca silnego uwierzytelnienia klienta (SCA): Brak wymogu stosowania SCA przy transakcjach CNP zwiększa ryzyko fraudów, ponieważ do przeprowadzenia transakcji wystarczy znajomość danych widocznych na karcie płatniczej.
Powyższe czynniki ryzyka nie stanowią katalogu zamkniętego, a dynamiczny rozwój technologii i pojawianie się nowych metod oszustw wymagają ciągłego monitorowania sytuacji i dostosowywania środków bezpieczeństwa do zmieniających się warunków.
Wraz z postępem technologicznym i rosnącą popularnością usług płatniczych online, zmieniają się nawyki finansowe konsumentów. Coraz więcej osób korzysta z bankowości internetowej i aplikacji mobilnych, co niesie ze sobą nowe wyzwania związane z bezpieczeństwem transakcji.
Bezpieczeństwo transakcji online to wspólny interes dostawców i odbiorców usług płatniczych. Dostawcy powinni informować klientów o ryzykach i wdrażać środki monitorowania oraz reagowania na oszustwa. Współpraca z konsumentami i ciągła adaptacja do zmieniających się zagrożeń są kluczowe dla zapewnienia bezpieczeństwa.
Zalecenia UOKiK dla dostawców usług płatniczych
Prezes UOKiK opracował szereg zaleceń mających na celu zwiększenie bezpieczeństwa transakcji płatniczych i ochronę konsumentów przed oszustwami. Te zalecenia mają na celu stworzenie spójnych i skutecznych standardów bezpieczeństwa, które chronią konsumentów i zwiększają zaufanie do usług płatniczych.
Monitorowanie transakcji
Monitorowanie transakcji jest kluczowym elementem w zapobieganiu oszukańczym działaniom w usługach płatniczych. Prezes UOKiK zaleca, aby dostawcy usług płatniczych wdrażali skuteczne systemy monitorowania, które uwzględniają zwyczaje płatnicze klientów.
Monitorowanie transakcji pozwala na szybkie wykrycie i reakcję na nietypowe działania, co jest kluczowe w zapobieganiu oszustwom. Dzięki temu dostawcy mogą zapewnić równowagę między płynnością obrotu a bezpieczeństwem finansowym klientów.
Dostawcy usług płatniczych powinni na bieżąco monitorować transakcje dokonywane przez klientów, uwzględniając ich indywidualne wzorce i zachowania. Systemy monitoringu powinny identyfikować transakcje nietypowe, takie jak jednorazowe transakcje o wysokości odbiegającej od normy, zbiegi transakcji niskokwotowych lub transakcje dokonywane po zmianie danych na koncie klienta. W przypadku wykrycia podejrzanej aktywności, dostawca usług płatniczych powinien podjąć odpowiednie kroki w celu weryfikacji transakcji i ochrony klienta.
Kluczowe aspekty monitorowania
- Definiowanie transakcji typowych i nietypowych:
- Transakcje typowe to te, które mieszczą się w ramach zwyczajowych działań klienta, np. regularne płatności o podobnej wartości.
- Transakcje nietypowe mogą obejmować jednorazowe transakcje o znacznie wyższej wartości niż zwykle, zbiegi transakcji niskokwotowych w krótkim czasie, czy transakcje zagraniczne, jeśli klient wcześniej takich nie wykonywał.
- Identyfikacja transakcji podwyższonego ryzyka:
- Transakcje dokonywane wkrótce po aktywacji aplikacji mobilnej lub po zmianach na koncie klienta.
- Transakcje klientów, którzy nie wyrazili zgody na ochronę z wykorzystaniem systemów analizy danych behawioralnych.
- Dostosowanie systemów antyfraudowych:
- Systemy powinny być elastyczne i dostosowywać się do zmieniających się wzorców zachowań klientów.
- Ważne jest, aby systemy te były w stanie szybko reagować na potencjalne zagrożenia.
Cooling period
Cooling period to mechanizm opóźniający wykonanie transakcji, który daje klientowi czas na weryfikację zlecenia i reakcję w przypadku podejrzenia oszustwa. Prezes UOKiK zaleca stosowanie cooling period w sytuacjach, w których analiza ryzyka wskazuje na potencjalne zagrożenie. Rozwiązanie to powinno być stosowane w szczególności w przypadku zleceń takich jak: istotne podwyższenie limitu transakcji, odblokowanie dodatkowej funkcji, zmiana danych kontaktowych, wypłata środków z kredytu zaciągniętego online lub zlecenie innej transakcji nietypowej dla danego klienta. Dostawca usług płatniczych powinien informować klienta o zastosowaniu cooling period innym kanałem komunikacji niż ten, w ramach którego klient dokonał zlecenia.
Zastosowanie cooling period
- Informowanie klienta: Klient powinien być poinformowany o zastosowaniu cooling period oraz o powodach jego wprowadzenia. Dzięki temu ma czas na weryfikację zlecenia i podjęcie odpowiednich działań.
- Przykłady zastosowania:
- Podwyższenie limitu transakcji.
- Odblokowanie dodatkowej funkcji w aplikacji mobilnej lub serwisie internetowym.
- Zmiana danych kontaktowych, takich jak numer telefonu.
- Wyjątki: Cooling period może być pominięty, jeśli zastosowano dodatkową weryfikację tożsamości klienta innym kanałem komunikacji.
Korzyści z cooling period
- Bezpieczeństwo: Daje czas na wykrycie i zapobieżenie potencjalnym oszustwom.
- Weryfikacja: Umożliwia klientowi potwierdzenie transakcji innym kanałem, co zwiększa bezpieczeństwo.
Dodatkowe środki
- Alternatywne metody: W przypadku, gdy cooling period nie jest możliwy, dostawcy mogą stosować inne środki, takie jak analiza danych biometrycznych.
Komunikaty voice
Komunikaty głosowe (voice) stanowią skuteczną formę dodatkowej weryfikacji tożsamości klienta i potwierdzenia transakcji. Urząd Ochrony Konkurencji i Konsumentów rekomenduje stosowanie komunikatów voice w szczególności w przypadku transakcji o podwyższonym ryzyku, takich jak: istotne podwyższenie limitu transakcji, aktywacja nowej funkcji lub transakcje odbiegające od typowych wzorców klienta.
Komunikaty voice to narzędzie zwiększające bezpieczeństwo transakcji poprzez dodatkowe potwierdzenie istotnych zmian na koncie klienta. Oto kluczowe aspekty:
- Potwierdzenie zmian: Komunikaty głosowe są używane do potwierdzania istotnych działań, takich jak podwyższenie limitów transakcyjnych.
- Bezpieczeństwo: Dzięki komunikatom voice, klienci mogą być informowani o zleceniach, co pozwala na szybką reakcję w przypadku nieautoryzowanych działań.
- Alternatywne kanały: Informacje powinny być przekazywane innym kanałem niż ten, w którym dokonano zlecenia, aby zwiększyć skuteczność zabezpieczeń.
Limity transakcji
Dostawcy usług płatniczych powinni ustalać optymalne limity transakcyjne dla klientów, biorąc pod uwagę ich indywidualne potrzeby i przeciętne wydatki. Klienci powinni być informowani o ryzykach związanych z utrzymywaniem wysokich limitów transakcyjnych oraz zachęcani do ich obniżania. Istotne podwyższenie limitu transakcyjnego powinno wiązać się z dodatkową weryfikacją tożsamości klienta, np. poprzez komunikat voice lub kontakt telefoniczny.
Limity transakcyjne są kluczowym elementem zarządzania ryzykiem w usługach płatniczych. Oto, co warto wiedzieć:
- Ustalanie limitów: Limity powinny być ustalane na podstawie obiektywnych danych, takich jak średnie transakcje dokonywane przez klientów.
- Informowanie klientów: Klienci powinni być informowani o ryzykach związanych z wysokimi limitami i mieć możliwość ich samodzielnego dostosowania.
- Dodatkowe potwierdzenia: Istotne podwyższenie limitu powinno być potwierdzane za pomocą komunikatów voice lub innych form dodatkowego uwierzytelnienia.
- Automatyczne przywracanie: Podwyższenie limitów powinno obowiązywać na określony czas, po którym wracają do poprzedniego poziomu, chyba że klient potwierdzi chęć ich utrzymania.
Te środki mają na celu zwiększenie bezpieczeństwa i ochronę klientów przed nieautoryzowanymi transakcjami.
Ograniczenie funkcjonalności usług płatniczych
Dostawcy usług płatniczych powinni ograniczyć dostęp do funkcji, które są najczęściej wykorzystywane do przeprowadzania nieautoryzowanych transakcji. W szczególności dotyczy to funkcji dostępnych w aplikacjach mobilnych lub na kontach klientów dostępnych z poziomu serwisu internetowego, takich jak: szybkie przelewy, przelewy zagraniczne czy płatności kartowe bez fizycznego użycia karty (CNP). Aktywacja tych funkcji powinna wymagać wyraźnej zgody klienta oraz powinna być poprzedzona informacją o potencjalnych zagrożeniach.
Ograniczenie niektórych funkcji w usługach płatniczych jest kluczowym elementem w zapobieganiu nieautoryzowanym i oszukańczym transakcjom. Urząd Ochrony Konkurencji i Konsumentów zaleca, aby dostawcy usług płatniczych podejmowali konkretne działania w tym zakresie.
Kluczowe zalecenia
- Monitorowanie funkcji i produktów: Dostawcy powinni regularnie analizować funkcje i produkty dostępne dla konsumentów, które mogą być wykorzystywane do oszustw.
- Domyślna dezaktywacja: Nowe umowy nie powinny domyślnie aktywować funkcji, które mogą być narażone na oszustwa, takich jak szybkie przelewy czy kredyty konsumenckie dostępne z poziomu aplikacji mobilnej.
- Wyraźna zgoda konsumenta: Aktywacja funkcji powinna wymagać wyraźnej zgody konsumenta, a procedura jej uzyskania powinna minimalizować ryzyko aktywacji przez osoby trzecie.
- Możliwość samodzielnego ograniczenia: Konsumenci powinni mieć możliwość samodzielnego ograniczenia funkcji w aplikacji mobilnej lub serwisie internetowym.
- Informowanie o ryzykach: Przed udostępnieniem funkcji, dostawcy powinni informować klientów o ryzykach związanych z nieautoryzowanym dostępem.
- Cooling period: Aktywacja funkcji powinna być objęta cooling period, a informacja o aktywacji powinna być przekazywana innym kanałem niż ten, w którym dokonano zlecenia.
- Kredyty konsumenckie: Funkcja „kredyt na klik” powinna być dostępna tylko na wyraźny wniosek konsumenta i objęta dodatkowymi środkami bezpieczeństwa.
Blokada możliwości logowania się do aplikacji mobilnej lub konta klienta dostępnego z poziomu serwisu internetowego, jeśli dane urządzenie pozostaje aktywnie połączone sesją zdalną z jakimkolwiek innym urządzeniem
Dostawcy usług płatniczych powinni monitorować próby logowania się do aplikacji mobilnych lub kont klientów dostępnych z poziomu serwisu internetowego z urządzeń, które pozostają aktywnie połączone sesją zdalną z innym urządzeniem. W przypadku wykrycia takiej sytuacji, dostawca usług płatniczych powinien zablokować dostęp do konta i powiadomić o tym klienta.
- Monitorowanie połączeń zdalnych: Dostawcy powinni monitorować, czy urządzenia używane do logowania są połączone z innymi urządzeniami sesją zdalną. W przypadku wykrycia takiej sytuacji, dostęp do aplikacji mobilnej lub konta klienta powinien być zablokowany, zwłaszcza jeśli adres IP wskazuje na lokalizację poza Polską.
- Informowanie klienta: Klienci powinni być informowani o próbach logowania z nieautoryzowanych urządzeń i mieć możliwość wyrażenia zgody na takie logowanie.
- Dodatkowe środki bezpieczeństwa: W procesie logowania, szczególnie w przypadku połączeń zdalnych, powinny być stosowane dodatkowe środki bezpieczeństwa.
Uwierzytelnienie pracownika dostawcy usług płatniczych
Dostawcy usług płatniczych powinni wprowadzić obowiązek uwierzytelnienia się pracownika przy każdym kontakcie z klientem. Sposób uwierzytelnienia może być uzależniony od funkcji konta dostępnego z poziomu serwisu internetowego lub aplikacji mobilnej. Uwierzytelnienie się przez pracownika powinno następować automatycznie po zainicjowaniu kontaktu przez dostawcę – nie powinno być uzależnione od żądania klienta.
- Pracownicy dostawców usług płatniczych powinni być automatycznie uwierzytelniani przy każdym kontakcie z klientem.
- Uwierzytelnienie nie powinno zależeć od żądania klienta, co zwiększa bezpieczeństwo i zaufanie do procesu.
- Możliwe jest stosowanie różnych metod uwierzytelnienia, takich jak komunikaty PUSH, kody PIN, hasła lub opisy wzorów graficznych.
Treść komunikatów kierowanych do klientów
Wszelkie komunikaty kierowane do klientów powinny być zrozumiałe i proste. W szczególności dotyczy to komunikatów dotyczących transakcji, wniosków lub dyspozycji. Dostawca usług płatniczych powinien stosować proste i zrozumiałe pojęcia, wyraźnie identyfikujące charakter wykonywanej transakcji, takie jak np. „przelew wychodzący”, „zmiana adresu korespondencyjnego” czy „zmiana kanału komunikacji”.
Możliwość odtworzenia treści komunikatów przez klientów
Klienci powinni mieć możliwość odtworzenia treści wszystkich komunikatów kierowanych do nich przez dostawcę usług płatniczych przez okres nie krótszy niż 13 miesięcy. Komunikaty mogą być udostępniane np. za pośrednictwem aplikacji mobilnej lub konta klienta dostępnego w serwisie internetowym.
Możliwość szybkiego zgłoszenia nieautoryzowanej lub oszukańczej transakcji płatniczej przez klienta
Szybkie zgłaszanie nieautoryzowanych transakcji jest kluczowym elementem w ochronie konsumentów przed oszustwami.
Dostawcy usług płatniczych powinni zapewnić klientom możliwość szybkiego i łatwego zgłoszenia nieautoryzowanej lub oszukańczej transakcji płatniczej. W tym celu powinni wydzielić specjalną, bezpłatną infolinię oraz udostępnić czat w aplikacji mobilnej i na stronie internetowej.
- Numer infolinii powinien być łatwo dostępny na stronie internetowej, w aplikacji mobilnej oraz na koncie klienta.
- Informacje o numerze infolinii powinny być widoczne i łatwe do znalezienia, np. poprzez pogrubioną czcionkę lub wyróżniającą się szatę graficzną.
- Infolinia powinna umożliwiać bezpośredni kontakt z pracownikiem, a w przypadku obsługi przez AI, konsument powinien być o tym poinformowany.
- Konsument powinien mieć możliwość szybkiego przełączenia do konsultanta.
Wymagania i zalecenia
- Bez nadmiernego oczekiwania: Konsument zgłaszający nieautoryzowaną transakcję powinien być obsłużony bez długiego czasu oczekiwania.
- Brak przełączania: Pracownicy infolinii nie powinni przełączać klientów na inne linie, co zapewnia szybkie i skuteczne rozwiązanie problemu.
Przycisk Panic Button
Dostawcy usług płatniczych powinni udostępnić klientom w aplikacji mobilnej oraz na koncie klienta dostępnym z poziomu serwisu internetowego możliwość natychmiastowej blokady dokonywania jakichkolwiek transakcji w przypadku podejrzenia oszustwa – tzw. panic button. Funkcja ta powinna być dostępna niezależnie od innych rozwiązań. Po skorzystaniu z panic button możliwość dokonywania transakcji powinna pozostać zablokowana do czasu odblokowania jej w placówce dostawcy usług płatniczych lub przez z góry określony czas. Oto szczegóły dotyczące tego mechanizmu:
Zastosowanie
- Szybka reakcja: Umożliwia klientom natychmiastowe działanie w przypadku podejrzenia nieautoryzowanej transakcji.
- Bezpieczeństwo: Zawiesza możliwość dokonywania transakcji, co chroni środki klienta przed dalszymi oszustwami.
Wymagania
- Dostępność: Funkcja powinna być łatwo dostępna w aplikacji mobilnej oraz na koncie klienta w serwisie internetowym.
- Komunikacja: Po aktywacji przycisku, klient powinien być informowany o statusie blokady i możliwościach jej odblokowania.
- Reaktywacja: Transakcje mogą być odblokowane w placówce dostawcy lub po określonym czasie.
Silne Uwierzytelnienie Klienta (SCA)
Silne uwierzytelnienie klienta jest niezbędne do ochrony przed oszustwami w transakcjach płatniczych. Dostawcy usług płatniczych powinni wdrażać SCA w sposób zgodny z najnowszymi standardami bezpieczeństwa, aby zapewnić maksymalną ochronę swoim klientom.
Dostawcy usług płatniczych powinni dążyć do tego, aby w każdym przypadku, w którym konsument zleca dokonanie transakcji kartowej bez fizycznego użycia karty (CNP), wymagane było silne uwierzytelnienie klienta (SCA).
- Obowiązkowe stosowanie:
- SCA powinno być stosowane przy każdej transakcji kartowej CNP, aby zminimalizować ryzyko oszustw.
- Elementy uwierzytelnienia:
- SCA wymaga co najmniej dwóch z trzech elementów: wiedzy (coś, co wie tylko użytkownik, np. hasło), posiadania (coś, co ma tylko użytkownik, np. telefon) i cechy (coś, czym jest użytkownik, np. odcisk palca).
Korzyści z SCA
- Zwiększone Bezpieczeństwo: SCA znacząco zmniejsza ryzyko nieautoryzowanych transakcji, chroniąc zarówno konsumentów, jak i dostawców usług płatniczych.
- Zaufanie Klientów: Stosowanie SCA buduje zaufanie klientów do usług płatniczych, zapewniając im większe poczucie bezpieczeństwa.
Dane uwierzytelniające widoczne na karcie płatniczej
Dostawcy usług płatniczych powinni dążyć do tego, aby na karcie nie były widoczne dane uwierzytelniające umożliwiające wykonanie transakcji płatniczej z jej wykorzystaniem. W szczególności dotyczy to numerów CVC/CVV umieszczanych na karcie płatniczej.
Jednorazowe karty wirtualne
Dostawcy usług płatniczych powinni oferować klientom możliwość skorzystania z jednorazowych kart wirtualnych, generowanych na potrzeby konkretnej transakcji. Rozwiązanie to pozwala na minimalizację ryzyka w przypadku wycieku danych uwierzytelniających po stronie odbiorcy płatności.
Klucz sprzętowy U2F
Dostawcy usług płatniczych powinni oferować klientom możliwość skorzystania z metod silnego uwierzytelniania odpornych na przechwycenie sensytywnych informacji przez osoby niepowołane, np. uwierzytelnienie za pomocą kluczy sprzętowych U2F (Universal 2nd Factor).
Stosowanie systemów opartych na sztucznej inteligencji lub biometrii behawioralnej
Dostawcy usług płatniczych powinni wdrażać systemy oparte na sztucznej inteligencji lub biometrii behawioralnej w celu identyfikacji nietypowych aktywności na koncie klienta. Stosowanie systemów opartych na biometrii behawioralnej powinno odbywać się za wyraźną zgodą klienta oraz z jasno określonym celem weryfikacji uwierzytelnienia i zakresem przetwarzanych danych.
- Identyfikacja nietypowych aktywności: Systemy te są wykorzystywane do identyfikacji nietypowych aktywności na koncie klienta, zarówno w serwisie internetowym, jak i w aplikacji mobilnej.
- Zgoda konsumenta: Stosowanie systemów opartych na danych behawioralnych wymaga wyraźnej zgody konsumentów na przetwarzanie ich danych.
- Ograniczony cel: Dane pozyskane w ten sposób mogą być używane wyłącznie do weryfikacji prawidłowości uwierzytelnienia.
- Wskazanie podmiotów trzecich: Konsumenci muszą być informowani o podmiotach trzecich, które przetwarzają ich dane osobowe.
Korzyści z Wdrożenia
- Zwiększone bezpieczeństwo: Innowacyjne technologie pozwalają na szybsze i dokładniejsze wykrywanie potencjalnych oszustw.
- Ułatwienie uwierzytelnienia: W przypadku zgody konsumenta, systemy te mogą ułatwić korzystanie z funkcji wymagających dodatkowego uwierzytelnienia.
Uwagi końcowe
Wdrożenie powyższych zaleceń nie zwalnia dostawców usług płatniczych z innych obowiązków wynikających z przepisów prawa, w szczególności ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych. Zalecenia nie wyłączają również stosowania innych środków zaradczych i mechanizmów bezpieczeństwa w przypadku pojawienia się czynników ryzyka innych niż wskazane w tym dokumencie.
Wdrożenie zaleceń Prezesa UOKiK dla dostawców usług płatniczych ma na celu zwiększenie bezpieczeństwa transakcji i ochronę konsumentów przed oszustwami:
Zgodność z Przepisami – nieograniczone obowiązki: Zalecenia nie ograniczają ani nie wyłączają obowiązków dostawców wynikających z innych przepisów, takich jak ustawa o usługach płatniczych.
Elastyczność i ewaluacja – dostosowanie do ryzyka: Zalecenia mogą być modyfikowane w odpowiedzi na nowe zagrożenia. Dostawcy powinni stosować je elastycznie, aby zapewnić maksymalną skuteczność.
Wdrażanie środków zaradczych – reakcja na zagrożenia: Dostawcy powinni niezwłocznie wdrażać wszelkie niezbędne środki zaradcze w odpowiedzi na pojawiające się zagrożenia.
Poziom bezpieczeństwa – równoważne rozwiązania: Zalecenia nie wykluczają stosowania innych środków, które zapewniają równoważny lub wyższy poziom bezpieczeństwa.
Wnioski
Dostawcy usług płatniczych powinni regularnie oceniać i dostosowywać swoje procedury, aby skutecznie zapobiegać nieautoryzowanym i oszukańczym transakcjom, jednocześnie spełniając wymogi prawne i reagując na nowe wyzwania.
Bezpieczeństwo transakcji online to wyzwanie dla całego sektora finansowego i wymaga współpracy wszystkich zainteresowanych stron. Dostawcy usług płatniczych ponoszą szczególną odpowiedzialność za ochronę klientów przed oszustwami i nieautoryzowanymi transakcjami. Wdrożenie rekomendacji Prezesa UOKiK to ważny krok w kierunku zwiększenia bezpieczeństwa transakcji online i budowania zaufania do cyfrowych usług finansowych. klientami.