Czy niektóre banki zablokują możliwość płacenia kartami w internecie? Takie konsekwencje mogą mieć opóźnienia we wdrożeniu najnowszych rekomendacji Komisji Nadzoru Finansowego. Zaleca ona, by płatności plastikami w internecie zabezpieczone były tzw. silnym uwierzytelnianiem klienta. Pod tą nazwą kryje się procedura opierająca się na co najmniej dwóch elementach autoryzacyjnych. Wśród nich może być hasło statyczne, hasło jednorazowe otrzymywane np. SMS-em oraz biometria, czyli np. odcisk palca.
Dziś kartami większości banków można zapłacić, podając dane zapisane na plastiku, czyli jego numer i datę ważności, oraz trzy ostatnie cyfry kodu znajdującego się na rewersie. A taki sposób autoryzacji nie spełnia wymogów rekomendacji KNF. Banki muszą więc go zmienić, i to przed końcem stycznia przyszłego roku. Taki czas dał im nadzór na wdrożenie rekomendacji. – Nie przewidziano możliwości jego przedłużenia – deklaruje Łukasz Dajnowicz z biura prasowego KNF.
Czasu jest więc niewiele, a właściwie nie ma go w ogóle, jeżeli weźmie się pod uwagę, że opis sposobu autoryzacji transakcji powinien zostać zawarty w regulaminie użytkowania kart. A ten można zmienić najpóźniej na dwa miesiące przed wejściem zmian w życie. Który bank nie zrobił tego do dziś, 1 lutego nie będzie gotowy z nowym sposobem autoryzacji płatności.
Reklama
Obecnie kilka instytucji (m.in. Millennium, Śląski i Citi Handlowy) spełnia już wymogi KNF w zakresie dwuelementowego zabezpieczania, a kilka innych prowadzi prace nad jego wdrożeniem (np. Raiffeisen Polbank). Chodzi o system 3DSecure. Dzięki niemu użytkownik karty dokonując płatności kartą w sieci, na pewnym etapie transakcji proszony jest o podanie kodu jednorazowego, wysłanego do niego SMS-em na numer telefonu zarejestrowanego w systemie bankowym. W podobny sposób większość użytkowników bankowości internetowej autoryzuje przelewy zewnętrzne. Jednak system ten nie zyskał popularności i większość banków nie postawiła na niego. Bankowcy mówią nieoficjalnie, że jest drogi, skomplikowany we wdrożeniu oraz nieprzychylny użytkownikowi, bo wydłuża proces zakupów. – Nie znam jednak innego, który mógłby obecnie spełnić wymogi rekomendacji – mówi Paweł Widawski, sekretarz Rady Wydawców Kart Bankowych działającej przy Związku Banków Polskich.
Czy zatem banki zablokują możliwość wykonywania płatności kartami w internecie? – Obecnie prowadzimy prace nad dostosowaniem się do wymogów KNF – informuje enigmatycznie Krzysztof Olszewski, rzecznik prasowy mBanku. Z kolei przedstawiciel ZBP zapewnia, że prowadzone są konsultacje z KNF, których celem jest wypracowanie rozwiązania pozwalającego bankom na działanie zgodnie z rekomendacjami. Ale skoro wiadomo, że duża część banków nie zdąży z wprowadzeniem nowego systemu, to prawdopodobnie ZBP liczy na możliwość odstępstwa od tych wytycznych. Nieoficjalnie mówi się, że może osiągnąć ten cel, jeżeli wykaże, że koszty implementowania rekomendacji są zbyt drogie w stosunku do korzyści, jakie mogą przynieść. Jednak w takim wypadku banki musiały zaproponować coś w zamian, np. automatycznie zerować limity na transakcje internetowe.
Zdaniem Dajnowicza odstępstwa będą możliwe tylko w uzasadnionych przypadkach. I poniosą za sobą konsekwencje. – Nadzór będzie oczekiwał, że ryzykiem wynikającym z niewdrożenia danego rozwiązania nie będą obciążani klienci – powiedział przedstawiciel KNF. Oznacza to, że bank będzie musiał wziąć na siebie wszelkie koszty związane z transakcjami internetowymi kwestionowanymi przez użytkowników kart, a autoryzowanymi w sposób inny, niż przewidują to rekomendacje KNF.
Jak bezpiecznie wydawać w sieci
Dziś płacąc kartą w internecie, autoryzujemy transakcję, podając ostatnie trzy cyfry kodu znajdującego się na rewersie karty płatniczej. Kod ten, wraz z danymi karty takimi jak jej numer oraz data ważności, w łatwy sposób może zostać odczytany przez osoby niepowołane, np. z nagrań monitoringu w sklepach stacjonarnych. Informacje te są wystarczające do tego, by przeprowadzić transakcję w sklepie internetowym. Właściciel karty naraża się na kradzież pieniędzy także w sytuacji, gdy gubi plastik. To dlatego KNF nakłania banki do wdrożenia systemu, który by przed takim ryzykiem chronił. Jednak już dziś użytkownicy kart mogą samodzielnie i bezpłatnie zabezpieczyć się przed fraudami internetowymi. Większość banków w swoich internetowych systemach transakcyjnych umożliwia bowiem zarządzanie limitami transakcyjnymi, w tym na operacje internetowe. Wystarczy więc obniżyć limity na transakcje w sieci do zera, by nawet po utracie karty nie bać się o własne pieniądze. W przypadku gdy użytkownik karty chce zapłacić za zakupy w internecie, może na krótko podnieść limity, dokonać płatności, a później ponownie je obniżyć.