W związku z trwającymi pracami nad nowelizacją Dyrektywy o usługach płatniczych, zwanej dalej PSD, Rada Bankowości Elektronicznej Związku Banków Polskich pragnie przedstawić stanowisko dotyczące projektowanego dostępu dla podmiotów trzecich do rachunku bankowego w celu realizacji transakcji płatniczej zleconej przez klienta, za pośrednictwem internetowego serwisu transakcyjnego ww. podmiotów.
Dostrzegając w projektowanej regulacji generalną potrzebę wypracowania odpowiednich ram prawnych dla nowego typu usług płatniczych Rada wyraża głębokie zaniepokojenie zaproponowaną w projekcie nowelizacji PSD koncepcją sposobu ich funkcjonowania. Obowiązkiem RBE ZBP jest także wskazanie potencjalnych skutków wdrożenia zaproponowanego modelu zarówno dla klientów, dostawców prowadzących rachunki płatnicze, jak i całego systemu płatniczego.
Informacje poufne związane z procesem identyfikacji i uwierzytelnienia tożsamości klientów stanowią dzisiaj klucz dostępu do usług bankowości elektronicznej. Zachowanie ich w całkowitej poufności przez klientów stanowi podstawowy element bezpieczeństwa. Od początku funkcjonowania bankowości elektronicznej w Polsce zasada nieujawniania loginu i hasła oraz ewentualnych dodatkowych informacji potwierdzających tożsamość klienta znajdowała odzwierciedlenie nie tylko w obowiązującym powszechnie prawie, ale stanowiła podstawę budowania pozytywnej świadomości klientów w ramach prowadzonej przez banki edukacji finansowej. Jak dotychczasowa praktyka pokazała, złamanie tej zasady przez klientów było nierozerwalnie związane ze stratami ponoszonymi przez nich wskutek nieuprawnionego posłużenia się przez osoby niepowołane instrumentem płatniczym, jakim jest w tym przypadku procedura dostępu do bankowości internetowej. Nowelizacja PSD zawiera w tym zakresie szereg propozycji, które będą szkodliwe dla klientów i spowodują ograniczenie możliwości skutecznej ochrony środków zdeponowanych na rachunkach bankowych z dostępem przez zdalne kanały.
Oprócz polskiego sektora bankowego oraz Komisji Nadzoru Finansowego czuwającej nad stabilnością sektora finansowego, do przedstawionych propozycji w tym zakresie odniósł się również Europejski Bank Centralny oraz Europejski Urząd Nadzoru Bankowego (W opinii EBC i EBA, w celu zapewnienia bezpieczeństwa i zachowania wysokiego poziomu ochrony danych użytkowników, nie należy zezwalać na udostępnianie przez użytkowników danych do logowania podmiotom trzecim. Konsument nie będzie bowiem świadomy czy udostępnia swoje dane licencjonowanemu podmiotowi trzeciemu czy też fikcyjnemu podmiotowi działającemu w celach przestępczych). Zbudowanie przez lata nawyku ochrony tych informacji stanowi aktualnie jeden z elementów europejskiej kultury płatniczej. Dlatego też złamanie tej najważniejszej zasady w projekcie dyrektywy zasługuje na ostrą krytykę i stanowi przykład działania destruktywnego dla bezpieczeństwa systemu płatniczego. Klienci banków nie powinni być bowiem zachęcani do ujawniania loginu i hasła podmiotom innym niż ich banki, które prowadzą ich rachunki.
Praktyka taka, zgodnie z obowiązującymi przepisami i umowami między klientem a bankiem, jest dziś w Polsce zakazana. W chwili obecnej funkcjonują już na polskim rynku podmioty, które oferując szybkie płatności pozyskując od klientów informacje identyfikująco-uwierzytelniające ich tożsamość. Rada Bankowości Elektronicznej ZBP wyraziła swój głęboki niepokój publikując na stronie internetowej Związku Banków Polskich komunikat z dnia 31 maja 2012 r. w sprawie Ujawniania informacji wrażliwych serwisom oferującym szybkie płatności. Również Komisja Nadzoru Finansowego wyraziła swoje obawy wobec takich praktyk publikując na swoich stronach internetowych Ostrzeżenie przed dopuszczaniem pośredników do rachunku bankowego w płatnościach internetowych z dnia 18 listopada 2013 r. Urząd Komisji Nadzoru Finansowego dostrzegł również taką niepokojącą tendencję wśród banków, które oferując możliwość uzyskania szybkiego produktu kredytowego pozyskiwały loginy i hasła aplikujących klientów do ich rachunków bankowych w innych bankach w celu zdalnego pobrania historii obrotów. Również w tym przypadku Komisja Nadzoru Finansowego wystosowała komunikat: Ryzyko związane z podawaniem innemu bankowi danych do logowania do rachunku bankowego z dnia 14 lipca 2014 r.
Dlatego też Rada Bankowości Elektronicznej ZBP pragnie po raz kolejny zasygnalizować, iż usługi dostępu do informacji i inicjacji transakcji płatniczej powinny odbywać się w taki sposób, aby dane do logowania nie były ujawniane podmiotom trzecim. W opinii Rady naruszenie zasady nieujawniania spersonalizowanych danych do logowania wykreuje dodatkowe nieakceptowalne ryzyko, w szczególności ułatwi ataki hackerskie skutkujące kradzieżą środków zdeponowanych w bankach. W takich okolicznością wszelkie zgłaszane przez klientów reklamacje dotyczące nieautoryzowanych transakcji nie będą mogły być rozpatrywane na korzyść klientów. Zjawisko to będzie miało charakter ogólnoeuropejski. Klienci będą o wiele bardziej narażeniu na zjawisko m.in. phishingu, któremu dziś skutecznie można zapobiegać między innymi dzięki samym klientom, którzy posiadają świadomość konieczności zachowania poufności spersonalizowanych danych.
Wprowadzenie dodatkowych wymogów nakładanych na podmioty trzecie i banki w zakresie wzmocnionego uwierzytelniania oraz szyfrowania nie wyeliminuje ryzyka podszywania się pod autoryzowany podmiot trzeci w celu przechwycenia danych do logowania. Jedynym rozwiązaniem jest zmiana filozofii regulacji poprzez wprowadzenie zakazu dzielenia się z podmiotami trzecimi spersonalizowanymi danymi do logowania. Jednocześnie RBE ZBP chce podkreślić, iż banki gotowe są na współpracę z podmiotami trzecimi w celu wypracowania korzystnego dla klientów rozwiązania gwarantującego wysoki poziom bezpieczeństwa przy jednoczesnym promowaniu innowacji płatniczej. Rozwiązania, które nie będzie jednocześnie wymuszało ujawnienia podmiotowi trzeciemu danych do logowania.
W opinii Rady Bankowości Elektronicznej ZBP nadrzędnym celem każdej regulacji dotyczącej rachunków płatniczych powinno być zapewnienie wysokiego poziomu bezpieczeństwa klientom oraz środkom finansowym zdeponowanym na rachunkach bankowych. Priorytetem prawodawcy zarówno europejskiego, jak i krajowego, winno być wzmacnianie zaufania klientów do sektora bankowego i budowanie rozwiązań – w tym prawnych – chroniących klientów przed atakami cyberprzestępców. Wspieranie nowych instrumentów płatniczych nie powinno jednocześnie obniżać bezpieczeństwa systemu i generować ryzyka na nieakceptowalnym poziomie, którego materializacja będzie oznaczała dla klientów banków straty finansowe.
Źródło: www.zbp.pl