Nasz czytelnik zauważył, że Bank Pekao i ING nie stosują silnego uwierzytelnienia podczas logowania do bankowości elektronicznej, przez co wystawiają klientów na niebezpieczeństwo cyberataków. Ale czy faktycznie banki łamią zasady PSD2, czyli unijnej dyrektywy o usługach płatniczych?
Co chwilę opisujemy historie naszych czytelników, którzy padli ofiarami internetowych oszustów. Choć w ostatnim czasie cyberataki na klientów banków stały się plagą, to złodzieje od zawsze próbowali sforsować bankowe zabezpieczenia i wykorzystać naszą naiwność i łatwowierność (ataki z wykorzystaniem socjotechniki).
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Dlatego kilka lat temu w Unii Europejskiej stworzono regulacje, dzięki którym korzystanie z bankowości elektronicznej miało stać się bezpieczniejsze. Chodzi o dyrektywę PSD2 o usługach płatniczych, która zaczęła obowiązywać w drugiej połowie 2019 r.
Wprowadziła ona m.in. silne uwierzytelnienie, które w uproszczeniu polega na tym, że dostępu do naszych rachunków bankowych strzegą nie tylko login i hasło. Banki wymagają, by w procesie logowania do bankowości elektronicznej czy potwierdzania transakcji (np. przelewu) użyty został np. kod przesłany SMS-em lub potwierdzenie w bankowości mobilnej.
Dzięki PSD2 bezpieczniej powinniśmy czuć się też podczas zakupów. Płacąc kartą zbliżeniowo, nie trzeba podawać kodu PIN przy transakcjach do 100 zł. Ale system – przy co piątej „bezpinowej” transakcji – i tak wymusi wpisanie kodu.
Pan Hubert oskarża: Pekao i ING nie przestrzegają zasad PSD2
Czy wszystkie banki stosują zasady PSD2? Nasz czytelnik uważa, że nie. Korzysta z usług kilku banków, m.in. PKO BP, BNP Paribas, Getin Noble Bank, Citi Handlowego, które stawia za wzór.
„Przy logowaniu przez bankowość internetową te banki przesyłają na telefon, w formie powiadomienia push, prośbę o zaakceptowanie logowania w bankowości mobilnej – to tzw. autoryzacja mobilna. I tu nie mam uwag. Bezpieczeństwo na wysokim poziomie. Mam jednak produkty również w innych bankach, gdzie podejście jest zupełnie odmienne”
– pisze pan Hubert. Ma na myśli Bank Pekao i ING Bank.
„Jedynym zabezpieczeniem podczas logowania do bankowości elektronicznej jest maskowanie hasła i to koniec. Maskowanie nie jest żadnym zabezpieczeniem nawet dla średnio rozgarniętego złodzieja. Podwójne uwierzytelnienie potrzebne jest przy pierwszym logowaniu, co też zrobiłem, a potem tylko raz na trzy miesiące!”
Pan Hubert wylicza, na jakie zagrożenia narażony jest klient, którego konto chronione jest tylko hasłem. Po złamaniu tego zabezpieczenia złodziej może: sprawdzić historię rachunku, poznać miejsce pracy, zarobki, adres zamieszkania, co i gdzie kupujemy itd.
„Taki zbiór informacji może pozwolić na kradzież tożsamości czy pieniędzy. Banki mają za nic nasze bezpieczeństwo. A potem przy kradzieży pieniędzy wskazują palcem na nas, że to nasza wina”
Bankowcy odpowiadają: przestrzegamy zasad PSD2
Dodatkowe wymogi wynikające z dyrektywy PSD2 oznaczają, że klient więcej czasu niż wcześniej musi poświęcić np. na zlecenie przelewu. I nie każdemu to się podoba. Dlatego niektóre banki – chcąc być w zgodzie z przepisami, a z drugiej strony, żeby za bardzo nie utrudnić klientom życia – wykorzystują wymogi w wersji „minimum”.
Wywołałem do tablicy Bank Pekao i ING Bank, a więc banki, które podpadły panu Hubertowi. Jak tłumaczą fakt, że ich poziom zabezpieczeń jest niższy niż w innych bankach? A może wcale nie jest niższy, tylko inaczej zaprojektowany? ING Bank zapewnia, że jego zabezpieczenia są zgodne z wymaganiami dyrektywy PSD2. A dyrektywa zezwala na stosowanie odstępstw od użycia silnego uwierzytelnienia.
„Wymóg użycia silnego uwierzytelnienia przy logowaniu do bankowości elektronicznej dotyczy pierwszego użycia, a następnie musi być ono wykorzystane minimum co 90 dni. Natomiast przy autoryzacji transakcji finansowych oraz innych dyspozycji niosących ryzyko popełnienia oszustwa, stosujemy silne uwierzytelnienie zawsze, poza wyjątkami dopuszczonymi w PSD2”
– wyjaśnia Magdalena Ostrowska z biura prasowego ING Banku. Wyjątki dotyczą transakcji cyklicznych, zaufanych odbiorców, transakcji pomiędzy rachunkami własnymi klienta oraz niskokwotowych. Dodaje, że bank stosuje inne zabezpieczenia, o których klient może nie wiedzieć, bo działają one w tle.
„Silnik analizujący cechy transakcji, wychwytujący anomalie i podejrzane działania, może wydawać rekomendacje, celem zastosowania dodatkowego zabezpieczenia, zablokowania wykonania transakcji lub zablokowania dostępu do bankowości elektronicznej klienta. Ponadto reagujemy na bieżąco na pojawiające się na rynku zagrożenia ze strony cyberprzestępców. Dostosowujemy stosowane zabezpieczenia tak, aby blokować działania przestępców, stale zmieniających modus operandi”.
Bank Pekao stawia na monitoring anomalii
Jak na zarzuty postawione przez pana Huberta odpowiada Bank Pekao?
„Istnieją prawne oraz techniczne możliwości, aby tzw. silne uwierzytelnienie zastąpić rozwiązaniami, które są tak samo skuteczne, a równocześnie przyjazne dla klienta. Nie uprawnia to do twierdzenia, że taki dobór zabezpieczeń jest niezgodny z dyrektywą PSD2 czy też mniej bezpieczny”
– mówi Paweł Jurek, rzecznik prasowy banku. Wyjaśnia, że zgodnie z zasadami opisanymi w dyrektywie dostawca usług płatniczych nie ma obligatoryjnej konieczności stosowania każdorazowo logowania z silnym uwierzytelnieniem i Bank Pekao skorzystał z tego rozwiązania.
„Logowanie z silnym uwierzytelnieniem w Banku Pekao jest wymagane wyłącznie podczas pierwszego logowania do bankowości elektronicznej oraz nie rzadziej niż raz na 90 dni od ostatniego logowania z silnym uwierzytelnieniem”.
Żeby pogodzić wygodę z bezpieczeństwem klientów, Pekao postanowił m.in. na monitoring anomalii, np. wykrywanie logowania z innego urządzenia niż urządzenia dodane przez klienta do listy urządzeń zaufanych.
Paweł Jurek tłumaczy, że bank w sposób ciągły monitoruje bezpieczeństwo aplikacji, w tym logowania klientów w celu wykrywania wszystkich odstępstw, które mogą nieść negatywne skutki związane zarówno z dostępem do danych wrażliwych, jak i środków zgromadzonych przez klienta. W przypadku wykrycia odstępstw operacje mogą być kierowane do dodatkowej weryfikacji telefonicznej.
Bankowcy: klienci sami dają się okradać
Banki Pekao i ING zwracają uwagę na to, że nawet najlepsze zabezpieczenia przed cyberprzestępcami staną się bezwartościowe, jeśli klient nie będzie przestrzegał elementarnych zasad bezpieczeństwa.
„Zdecydowana większość ataków opiera się obecnie o działania socjotechniczne. Zmanipulowani z użyciem phishingu, smishing czy spoofingu klienci ujawniają dane autoryzujące niezależnie od kanału czy faktora silnego uwierzytelnienia. A przy fraudach inwestycyjnych pod wpływem sugestii przestępców często sami wykonują transakcje”
– mówi Magdalena Ostrowska z ING, a Paweł Jurek z Pekao dodaje, że większość przypadków związanych z działaniami przestępczymi w serwisach bankowości elektronicznej jest pokłosiem ataków socjotechnicznych, w wyniku których klienci sami podają dane do logowania i autoryzują dyspozycje.
Nie ma racji pan Hubert twierdząc, że banki nie przestrzegają zasad dyrektywy PSD2 dotyczących silnego uwierzytelnienia przy logowaniu do bankowości elektronicznej. Ale czy akurat ten aspekt związany z bezpieczeństwem jest najważniejszy? Bankowcy (i nie chodzi tylko o Pekao i ING) często podkreślają, że mają systemy, które potrafią wyłapać zachowania nietypowe dla danego klienta i zablokować lub wstrzymać do wyjaśnienia podejrzane transakcje.
Z analizowanych przeze mnie spraw naszych czytelników zwykle ten element zabezpieczeń nie działa. Niedawno pisała do mnie pani Anna, która w wyniku cyberataku straciła kilka tysięcy złotych. Z bankowości elektronicznej korzystała „od wielkiego dzwonu”, głównie po to, żeby sprawdzić stan konta. Choć podłożyła się oszustom, to ma żal do banku, że nie wykrył niepasujących do jej profilu transakcji, czyli zakupów w środku nocy w ukraińskim sklepie internetowym.
Mamy PSD2, ale cyberataków stale przybywa. Czy potrzebna nam jest kolejna odsłona przepisów o usługach płatniczych? A może jest tak, jak mówią bankowcy, że to klienci są sobie winni, bo dają się jak dzieci podpuszczać złodziejom?
——————–
Nowy podcast „Finansowe sensacje tygodnia”. Gość specjalny: Jan Grzegorz Prądzyński
W tym odcinku podcastu „Finansowe sensacje tygodnia” rozmawiamy o teraźniejszości i przyszłości ubezpieczeń. O co chodzi w konflikcie firm ubezpieczeniowych z częścią warsztatów w sprawie kosztów napraw naszych aut? Czy ceny polis samochodowych dotknie inflacja? Czy to dobrze, że za punkty karne będziemy płacili wyższe składki za samochodowe OC? Jak ubezpieczyciele mogą pomóc w poprawie jakości świadczonych przez państwo usług zdrowotnych? Czy cyfryzacja ubezpieczeń wytnie zawód agenta i brokera? Czy nadchodzi era ubezpieczeń „katastroficznych”? Co najbardziej uwiera dziś branżę ubezpieczeniową? O tym wszystkim dyskutujemy z Janem Grzegorzem Prądzyńskim, szefem Polskiej Izby Ubezpieczeń. Zapraszam do posłuchania pod tym linkiem.
Podcast „Finansowe sensacje tygodnia” znalazł się ostatnio w zestawieniu 10 najpopularniejszych podcastów newsowych na platformie Spotify. A możecie go słuchać także na Google Podcast, Apple Podcast oraz na kilku innych, popularnych platformach podcastowych
Źródło zdjęcia: Pixabay
