Możliwość realizacji transakcji jednym kliknięciem w bankowości elektronicznej czy przez przyłożenie karty do terminala płatniczego jest bardzo wygodna, ale i niebezpieczna. Bardzo łatwo o sytuację, gdy ktoś wykona operację bez wiedzy i akceptacji prawowitego właściciela pieniędzy. Dla zwiększenia bezpieczeństwa i zminimalizowania liczby oszustw wprowadzono procedury silnego uwierzytelniania. Wymagają one, by zostały zastosowane co najmniej dwa sposoby weryfikacji tożsamości użytkownika.
Rozwój technologii to nie tylko ułatwienia w codziennym życiu (np. bankowość elektroniczna, możliwość załatwienia wielu spraw urzędowych na odległość), ale i liczne zagrożenia. Cyberprzestępcy czyhają na nieostrożnych użytkowników, zastawiają na nich przeróżne pułapki, byle tylko zdobyć dane, które umożliwią im przejęcie kontroli nad kontem bankowym ofiary a później wyprowadzenie zgromadzonych na nim środków. Równie niebezpieczna jest kradzież tożsamości, która umożliwia oszustom wykonanie różnych czynności, podszywając się pod konkretną osobę, np. zaciągnięcie kredytu, podpisanie umowy o korzystanie z usług telekomunikacyjnych, telewizji kablowej itp.
Skutki braku ostrożności
W pierwszym przypadku poszkodowany dość szybko dowiaduje się, że padł ofiarą przestępstwa, wystarczy, by sprawdził stan swojego rachunku. W drugim o zaciągniętych na jego dane zobowiązaniach lub podpisanych umowach może dowiedzieć się ze znacznym opóźnieniem, kiedy kredytodawca lub dostawca usług rozpocznie procedurę windykacji należności lub nawet dopiero na etapie egzekucji komorniczej.
Dlatego tak ważne jest, by nikomu nie udostępniać poufnych danych, których posiadanie umożliwi dokonanie przestępstwa i pilnowanie dokumentu tożsamości, a w razie jego utraty szybkie zgłoszenie tego faktu do Systemu Dokumenty Zastrzeżone. Troska o cyberbezpieczeństwo to przede wszystkim zadanie korzystającego z nowoczesnych technologii, ale znaczenie mają też działania dostawcy usług elektronicznych. Przestrzeganie przez niego standardów, które utrudniają oszustom działania buduje jego pozytywny wizerunek, jako firmy troszczącej się o swoich klientów.
SCA na straży bezpieczeństwa
Jednym z przejawów tej troski jest stosowania silnego uwierzytelnienia, czyli standardów SCA, z języka angielskiego: strong customer authentication, co oznacza zastosowanie dwuetapowego procesu weryfikacji tożsamości użytkownika. Wykorzystanie co najmniej dwóch z trzech poniższych kategorii pozwala na maksymalną ochronę poufności danych:
Wiedza, czyli coś, co wie tylko użytkownik. W tej grupie mieści się kod PIN do karty płatniczej lub aplikacji mobilnej, kod Blik, hasło służące do logowania do bankowości elektronicznej lub telefonicznej, odpowiedzi na pytania weryfikacyjne (z tym sposobem na ogół spotykamy się podczas weryfikacji tożsamości w trakcie rozmowy z infolinią). Tego typu elementem nie jest login/identyfikator klienta, gdyż jest on zapisany w umowie i tym samym bardzo łatwo go poznać.
Posiadanie, czyli coś, co posiada jedynie użytkownik, np. sama karta płatnicza, komputer lub telefon zapisane jako urządzenia zaufane wraz ze sparowaną aplikacją bankową, kod sms przesłany na numer telefonu podany przez użytkownika przy podpisywaniu umowy. W tej grupie mieści się m.in. wymóg uruchomienia blokady ekranu telefonu przy zainstalowaniu na nim aplikacji Google Pay, chęć skorzystania z niej oznacza konieczność odblokowania urządzenia.
Cecha klienta, czyli coś, czym tylko użytkownik jest. W tej kategorii mieszczą się różne elementy biometrii, czyli cechy fizyczne klienta. Może to być odcisk jego palca (touch id) w zakresie linii papilarnych lub układu naczyń krwionośnych, wizerunek twarzy (face id), próbka głosu czy scan tęczówki oka.
Wymogi i odstępstwa
Wymóg silnego uwierzytelnienia został wprowadzony dyrektywą Komisji Europejskiej dotyczącą usług płatniczych (tzw. dyrektywa PSD2). Dodatkowe potwierdzenie uprawnień do wykonania danej operacji wymagane jest, gdy podejmowane działania oznaczają próbę uzyskania informacji o stanie finansów (np. logowanie do bankowości internetowej lub aplikacji mobilnej), dysponowanie pieniędzmi zgromadzonymi na rachunku (m.in. przelew internetowy, płatność w sklepie internetowym lub punkcie stacjonarnym) lub inne czynności związane z finansami (np. uruchomienie płatności cyklicznych, zmiana urządzenia zaufanego, zapisanie nowego odbiorcy zaufanego). Można się też spotkać z sytuacją, że dodatkowe potwierdzenie będzie wymagane, jeśli od ostatniej operacji upłynęło więcej niż 3 miesiące.
Od powyższych reguł istnieją pewne wyjątki. Najczęściej spotykany to brak wymogu autoryzacji transakcji, której kwota nie przekracza 100 zł. Silne uwierzytelnienie będzie jednak wymagane po przekroczeniu limitów ilościowych (5 kolejnych płatności zbliżeniowych) lub kwotowych (po wykonaniu transakcji przekraczających kwotę określoną przez wydawcę karty płatniczej, maksymalnie 150 euro). Wykonanie operacji z potwierdzeniem zeruje licznik wspomnianych limitów.
Dodatkowe potwierdzenie operacji nie jest też konieczne w terminalach samoobsługowych związanych z opłatami za transport (np. opłata za autostradę lub parking, zakup biletu komunikacji miejskiej) oraz przy płatnościach wykonywanych z urządzeń zaufanych (np. kodem Blik).
Formą zabezpieczenia przed oszustami jest również określony czas na potwierdzenie operacji (po jego upływie trzeba generować nowy kod Blik lub poprosić o wysłanie kolejnego sms-a autoryzacyjnego) oraz dopuszczalny czas bezczynności w bankowości elektronicznej (po jego upływie następuje automatyczne wylogowanie).
Podstawą jest zachowanie poufności
Istotą silnego uwierzytelnienia jest zasada, że elementy użyte do potwierdzenia tożsamości są niezależne od siebie, naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Dlatego tak ważne jest przestrzeganie podstawowych reguł bezpieczeństwa; choćby tej, by nikomu nie ujawniać kodu PIN ani nie zapisywać go na samej karcie lub karteczce noszonej wraz z nią w portfelu. Złamanie tej zasady sprawi, że kradzież portfela będzie oznaczała utratę dwóch niezależnych elementów silnego uwierzytelnia: karty (wykluczenie wiarygodności elementu z grupy posiadanie) oraz kodu PIN (element z kategorii wiedza), wykorzystywanych w trakcie dokonywania płatności. W takiej sytuacji trudno będzie odzyskać utracone pieniądze powołując się na procedurę chargeback (ochrona posiadacza karty przed nieuprawnionymi transakcjami). Wystawca karty może zasłonić się twierdzeniem, że doszło do rażącego niedbalstwa, że poszkodowany sam przyczynił się do szkody.
Na co dzień popełniamy wiele drobnych błędów w zakresie bezpieczeństwa, o których przestępcy dobrze wiedzą i skrupulatnie z nich korzystamy. Najczęściej spotykane, to hasło składające się z kolejnych cyfr lub liter (stąd wymuszanie, by hasła do bankowości elektronicznej zawierały małą i wielką literę oraz znak szczególny), kod PIN będący datą urodzin posiadacza karty lub kogoś z jego bliskich czy bezrefleksyjne klikanie w linki mające prowadzić na stronę internetową z atrakcyjną promocją lub wygraną, a tak naprawdę kontrolowane przez oszustów, którzy przejmują kontrolę nad urządzeniem, zdobywają dane do logowania do bankowości elektronicznej.
Warto mieć świadomość, że kolejne zabezpieczenia wprowadzane przez instytucje finansowe nie są po to, by utrudnić nam życie, skomplikować dostęp do pieniędzy, ale by chronić nasze zasoby przed przestępcami, więc nie powinniśmy niweczyć tych wysiłków lekkomyślnymi działaniami.