Już nie dostęp do konta przez internet, lecz usługi bankowe oferowane za pomocą telefonicznych kanałów komunikacji stają się słabym punktem zdalnej bankowości. Niestety, w erze pandemii banki umożliwiają wykonywanie coraz większej palety operacji przez telefon
Gdy przychodzimy do banku osobiście, musimy się „wylegitymować” dowodem osobistym. Wchodząc na konto bankowe przez internet coraz częściej wykorzystujemy identyfikację biometryczną – potwierdzamy tożsamość odciskiem palca i dodatkowo loginem oraz hasłem. Przelew też coraz częściej wymaga autoryzacji biometrycznej, czyli nie tylko zalogowania się na konto, ale też posiadania przy sobie zarejestrowanego w banku smartfona.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Przyznam szczerze, że korzystając w moim banku z mobilnej autoryzacji transakcji internetowych czuję się bezpiecznie. W odróżnieniu od autoryzowania transakcji przez SMS wysyłany z banku nie ponoszę ryzyka, że ktoś „włamie się” do mojego smartfona, „przejmie” SMS-a, a następnie – znając mój login i hasło – ukradnie mi pieniądze.
W przypadku autoryzacji za pomocą aplikacji mobilnej, taki ktoś musiałby mieć w ręku mojego smartfona i potwierdzić transakcję moim odciskiem palca. Dlatego namawiam wszystkich znajomych korzystających z bankowości elektronicznej – zmieńcie sposób autoryzowania transakcji z SMS-ów na autoryzację mobilną, biometryczną.
W zasadzie jedyną potencjalną luką w tym systemie może być sytuacja, w której złodziej włamie się na moje konto internetowe (znając login i hasło) oraz spróbuje „podmienić” w ustawieniach konta numer smartfona, z którym sprzęgnięte jest moje konto. Ale porządnie zabezpieczony bank każdą taką dyspozycję klienta zweryfikuje i potwierdzi (choć niestety przypadki takich kradzieży się zdarzały).
Tym, co mnie bardziej niepokoi, jest oferowanie usług za pośrednictwem telefonicznych centrów obsługi klienta. Czyli słynnych infolinii bankowych, na które można zadzwonić, żeby zlecić przelew, albo złożyć jakiś wniosek.
Tutaj nie ma ani pokazywania dowodu osobistego, ale weryfikacji biometrycznej. Podaje się tylko kod PIN i odpowiada na pytanie weryfikacyjne, np. o nazwisko panieńskie matki. Ponieważ nie są to dane, których nie da się ustalić, to właśnie przez telefon złodzieje chętnie okradają nas z pieniędzy.
Kilka dni temu głośno było o sprawie kradzieży, do której doszło w taki sposób, że oszust zadzwonił do jednego z banków i przedstawił się jako właściciel rachunku. Poinformował pracownika, że ma problem z uzyskaniem dostępu do konta, przeszedł przez kilka pytań weryfikujących i poprosił o zmianę numeru telefonu, na który mają przychodzić SMS-y autoryzacyjne.
Po kilku dniach prawowity właściciel konta zorientował się, że nie może zalogować się do banku, zaś potem okazało się, że z rachunku zniknęło mu 150.000 zł. Jak się domyślacie, złodziej – po zmianie numeru telefonu zarejestrowanego w banku – zalogował się w imieniu ofiary na jej konto, zmienił hasło do kolejnego logowania, zlecił przelew i autoryzował go SMS-em przesłanym na nowy numer telefonu.
To pokazuje, że dziś słabym punktem w dostępie do banku jest seriws obsługi telefonicznej. Kiedyś – w czasach przedinternetowych – to była podstawowa forma zdalnego kontaktu z bankiem. Dziś, gdy mamy do dyspozycji bankowość internetową lub mobilną, serwisy telefoniczne są archaizmem. Niektóre banki, jak np. ING Śląski – w ogóle je wyłączają.
Z drugiej jednak strony pandemia powoduje, że inne banki rozszerzają obsługę klientów przez telefon, uznając, że jest to mniejsze zło w stosunku do sytuacji, gdyby ci klienci mieli przyjść do banku osobiście.
Czytaj też: Pracownik banku apeluje, żeby nie przychodzić do oddziału z błahymi sprawami. „My też się boimy”
Wiadomo, że nie dotyczy to klientów, którzy korzystają z bankowości internetowej lub mobilnej – według badań Mastercard, w ubiegłym roku co najmniej raz w tygodniu serwisu bankowości internetowej lub aplikacji mobilnej używało 56% Polaków – ale dla wykluczonych cyfrowo klientów możliwość zadzwonienia do banku i załatwienia swojej sprawy zdalnie może być jedyną alternatywą dla wizyty w placówce.
Santander Bank – trzeci największy bank w Polsce – w ostatnich dniach informował, że wprowadza dla klientów, którzy nie korzystają z bankowości internetowej, możliwość wykonania za pośrednictwem infolinii takich czynności jak m.in. złożenie wniosku o kartę debetową, zmiana numeru telefonu do potwierdzania transakcji internetowych, czy zmiana limitu przelewów zlecanych zdalnie.
Z komunikatu nie wynika jakie będą zasady weryfikacji klientów obsługiwanych przez telefon, ale mam nadzieję, że nie wystarczy numer PESEL, PIN do serwisu telefonicznego i nazwisko panieńskie matki. Jakiś czas temu Santander testował biometrię głosową w kontaktach z klientami – być może to jest czas, by tę strategię rozwinąć.
Santander ogranicza możliwość wykorzystania większej otwartości „telefonicznej” przez złodziei, bo nowe funkcje udostępnia tylko osobom, które nie korzystają w banku z żadnej elektronicznej formy dostępu do pieniędzy – bankowości internetowej, ani mobilnej. W tym kontekście nie ma ryzyka, że złodzieje potraktują nowe funkcje jako „bramę”, by dostać się do pieniędzy klienta.
Być może jestem mało empatyczny i zbyt naiwny (bo nie umiem wyobrazić sobie sytuację, gdy zostaję bez możliwości kontaktu z bankiem i z np. niedziałającą kartą na drugim końcu świata), ale byłbym skłonny zabronić używania bankowości telefonicznej – a przynajmniej jej narzędzi „transakcyjnych” – w opcji innej, niż z użyciem biometrii głosowej.
Jeśli dzwoniąca do banku osoba będzie musiała „wylegitymować się” nie tylko numerem PESEL, PIN-em do serwisu telefonicznego i nazwiskiem panieńskim matki, lecz również swoim głosem – ryzyko wykorzystania tego kanału dostępu do banku do złych rzeczy zostanie ograniczone do minimum.
Wiem, że pojawią się pod tym wpisem krytyczne głosy przeciwników biometrii, którzy powiedzą, że skompromitowany (wykradziony z bazy biometrycznej) wzór odcisku palca lub głosu oznacza dużo poważniejsze szkody, niż np. wykradzenie listy PIN-ów (każdy kod można zmienić, a odcisku palca nie), ale mimo wszystko uważam, że biometryczna weryfikacja klienta jest nieuchronną przyszłością.
Z tego, co wiem, do biometrycznej bazy trafiają tylko fragmenty wzorca np. odcisku palca, co oznacza, że jego kradzież nie musi oznaczać, że palec już jest do amputacji. Można pobrać kolejną próbkę, a poprzedni wzorzec „zastrzec”.
Czytaj też: Zrobiła duże zakupy, wychodzi ze sklepu, a tutaj… telefon z banku. O co chodzi?
——————————
POSŁUCHAJ NAJNOWSZEGO ODCINKA PODCASTU „FINANSOWE SENSACJE TYGODNIA”
W tym odcinku Finansowych Sensacji Tygodnia zastanawiamy się nad przyszłością płatności po erze koronawirusa. Co pandemia oznacza dla Polski bezgotówkowej i jakie zmiany spowoduje w naszych głowach jeśli chodzi o zwyczaje zakupowe? Rozmawiamy o tym z Witoldem Siekierzyńskim z firmy eService, zajmującej się rozliczaniem transakcji bezgotówkowych. Spis treści odcinka:
od 6:45 – na jaką pomoc może liczyć przedsiębiorca, który akceptuje karty, ale stracił dochody?
od 15:28 – dlaczego klienci nie mogą odzyskać pieniędzy w procedurze chargeback od linii lotniczych czy hoteli?
od 20:30 – a jeśli ktoś chciałby zacząć przyjmować płatności kartą? jak nie dać się nabić w butelkę?
od 35:54 – dlaczego nie wszędzie można zapłacić zbliżeniowo z nowym limitem do 100 zł?
od 41:05 – czy pandemia zmieni nasze płatnicze przyzwyczajenia?
——————————
