Dzisiaj, aby dokonać przelewu online bądź zapłacić w sieci kartą, zwykle wystarczy wprowadzić numer karty, datę ważności i znajdujący się na odwrocie karty trzycyfrowy kod CVV (Card Verification Number). Jest to najczęściej wykorzystywany system, choć zdaniem ekspertów mało bezpieczny.
- Jeśli złodziejowi uda się zdobyć numer naszej karty kredytowej, to potrzebuje jedynie odpowiedniego programu komputerowego, dzięki któremu zdobędzie datę wygaśnięcia karty, a nawet CVV – mówi jeden z unijnych urzędników.
Co prawda od kilku lat europejskie banki korzystają z tokenów lub czytników kart generujących specjalny kod, który należy wprowadzić, by zakończyć transakcję online. Wciąż jednak nie wszystkie banki oferują tego typu usługi.
Druga dyrektywa w sprawie usług płatniczych
To ma się jednak zmienić. W listopadzie ubiegłego roku Parlament Europejski i Rada UE przyjęły drugą dyrektywę w sprawie usług płatniczych (Payment Services Directive 2). W ramach tej dyrektywy powierzono Europejskiemu Urzędowi Nadzoru Bankowego (EUNB) „zadanie opracowania wytycznych oraz przygotowania projektu regulacyjnych standardów technicznych dotyczących aspektów bezpieczeństwa związanych z usługami płatniczymi”.
Wytyczne przygotowane przez EUNB zostaną oficjalnie przedstawione w lutym br., ale już wiadomo, że nacisk zostanie położony przede wszystkim na silne uwierzytelnianie klienta, tzw. Strong Customer Authentication (SCA).
- Wszystkie banki, a także sklepy online musiałyby korzystać z mechanizmu SCA w odniesieniu do transakcji elektronicznych, także dokonywanych za pośrednictwem telefonów komórkowych. W praktyce oznaczałoby to uwierzytelnianie klienta na podstawie co najmniej dwóch elementów, jak np. coś, co znane jest wyłącznie użytkownikowi, np. kod PIN; coś, co tylko on posiada, np. karta, i jakaś indywidualna cecha klienta, np. odcisk palca czy identyfikacja głosu – tłumaczy urzędnik UE.
Nie wszystkim te rozwiązania przypadły do gustu. - Banki i duże platformy zajmujące się sprzedażą online silnie lobbują, żeby EUNB wprowadziło jak najwięcej wyjątków w przepisach. Argumentują, że nowe regulacje będą zbyt kłopotliwe i że sprawią, że konsumenci przestaną kupować w sieci. Proponują wprowadzenie metody opartej na ocenie ryzyka. Tak, żeby to bank lub sprzedawca oceniał, czy transakcja jest wiarygodna (np. na podstawie adresu IP) i na tej postawie ją akceptował lub nie. My uważamy, że surowsze przepisy są potrzebne – mówi Jean Allix z Europejskiej organizacji Konsumenckiej (BEUC).
Dodatkowe zabezpieczenia się sprawdzają
Dodaje, że przykładem na to, że dodatkowe zabezpieczenia się sprawdzają, jest Holandia, gdzie już ok. 60 proc. konsumentów korzysta z systemu płatności iDEAL, który zapewnia silne uwierzytelnienie klienta. - Dzisiaj to najczęściej wybierana forma płatności w Holandii. A liczba przestępstw związanych z płatnościami online gwałtownie w tym kraju spadła – mówi Allix.
Dzisiaj banki często uspokajają klientów, że nie mają oni powodu do zmartwień, bo w przypadku ewidentnego oszustwa ich pieniądze zostaną zwrócone. BEUC zauważa jednak, że cały proces jest bardzo uciążliwy. Przede wszystkim to często na kliencie spoczywa obowiązek udowodnienia, że padł ofiarą przestępstwa, a bank może odmówić zwrotu środków jeśli uzna, że konsument nie zabezpieczył odpowiednio swojej karty lub konta. Ponadto często w takich przypadkach karta zostaje zablokowana przez kilka dni.
Fundusze przeznaczone na zwrot skradzionych pieniędzy trzeba skądś wziąć, a to nie zawsze jest łatwe. I tak np. w listopadzie ubiegłego roku brytyjski internetowy bank Tesco po raz pierwszy padł ofiarą internetowych złodziei, którzy okradli konta 9 tys. klientów banku, każdego na kwotę 270 funtów, co dało w sumie kwotę 2 mln 430 tys. funtów.
PAP, awi