Nad wypracowaniem zbioru zasad mających ograniczyć ryzyko transakcji oszukańczych pracowała powołana przez UOKiK grupa robocza
Urząd Ochrony Konkurencji i Konsumentów poinformował o efektach prac specjalnej grupy roboczej, w skład której weszli przedstawiciele m.in. Urzędu Komisji Nadzoru Finansowego oraz eksperci z sektora bankowego. Celem grupy było wypracowanie zaleceń dla dostawców usług płatniczych, które mają ograniczyć ryzyko transakcji oszukańczych.
– Rola dostawców usług płatniczych nie kończy się na udostępnieniu konsumentom możliwości szybkiego i wygodnego wykonania płatności. Każde nowe rozwiązanie wymaga wyedukowania klientów, nie tylko w zakresie jego funkcjonalności. Ważne jest rzetelne informowanie o ryzykach oraz nauczenie klientów tego, jak ich unikać. Kluczową jednak sprawą jest praca dostawców usług płatniczych nad tym, by to ryzyko minimalizować na poziomie systemowym – powiedział Tomasz Chróstny, prezes UOKiK.
Owocem prac grupy przy UOKiK jest lista 16 "zaleceń bezpieczeństwa" dla dostawców usług płatniczych. Znalazło się na niej monitorowanie transakcji klientów i odpowiednie dostosowanie środków technicznych do zwyczajów płatniczych poszczególnych klientów. Dzięki temu można wytypować nietypowe transakcje i w porę je zablokować. "Cooling period" to z kolei polecana funkcja opóźniająca wykonanie podejrzanej transakcji.
Urząd rekomenduje też telefoniczny kontakt z klientem, by upewnić się, czy faktycznie zainicjował on daną transakcję płatniczą. Zaleca się ustawienie domyślnych limitów transakcyjnych dla nowych klientów na podstawie obiektywnych danych, np. średniego limitu transakcji dokonywanych przez konsumentów korzystających z danego instrumentu płatniczego.
UOKiK sugeruje też, by domyślnie niektóre usługi (podatne na fraudy) były zablokowane, a ich udostępnienie odbywało się na podstawie wyraźniej zgody klienta. Rekomenduje blokadę funkcji zalogowania się do aplikacji mobilnej lub na konto w serwisie internetowym, jeśli dane urządzenie jest aktywnie połączone sesją zdalną z jakimkolwiek innym urządzeniem.
Ponadto dostawca usług płatniczych powinien wprowadzić obowiązek uwierzytelnienia się pracownika przy każdym kontakcie z klientem, a wszelkie komunikaty kierowane do konsumentów: głosowe, w SMS-ach, czy w wiadomościach push były zrozumiałe i proste. Urząd uważa, że komunikaty wysyłane w ramach procesu autoryzacji klient powinien móc odtworzyć w każdym momencie przez okres nie krótszy niż 13 miesięcy. Grupa robocza zaleca też, by dostawca usług płatniczych wydzielił specjalną, bezpłatną infolinię oraz czat w aplikacji mobilnej i na stronie internetowej, przeznaczone wyłącznie do obsługi zgłoszeń nieautoryzowanych i oszukańczych transakcji płatniczych.
Kolejnym rozwiązaniem oferowanym przez dostawców usług płatniczych powinien być tzw. "panic button", czyli rozwiązanie pozwalające konsumentowi natychmiast zablokować dokonywanie jakichkolwiek transakcji. Blokada powinna pozostać aktywna do czasu jej odblokowania w placówce dostawcy usług płatniczych lub przez z góry określony czas.
UOKiK zaleca też, by banki czy fintechy w każdym przypadku, w którym konsument zleca dokonanie transakcji kartowej bez fizycznego użycia karty (transakcje CNP), stosowały silne uwierzytelnienie klienta (SCA). Urząd postuluje, by na kartach płatniczych nie były widoczne dane umożliwiające wykonanie transakcji płatniczej, wskazując m.in. numery CVC/CVV. Zachęca też do rozpowszechnienia jednorazowych kart wirtualnych, które generowane są na potrzeby konkretnej transakcji.
Dostawca usług płatniczych powinien też oferować klientom uwierzytelnienie za pomocą kluczy sprzętowych U2F (Universal 2nd Factor), czyli zewnętrznych urządzeń, służących do uwierzytelnienia użytkownika na urządzeniu, z którego zleca on wykonanie transakcji płatniczej. Ostatnią – 16. rekomendacją grupy roboczej przy UOKiK – jest stosowanie przez dostawców usług płatniczych systemów opartych na sztucznej inteligencji lub biometrii behawioralnej.
Fot. Maciej Bednarek
