Choć nowoczesne technologie są w stanie dość skutecznie chronić użytkownika, najważniejsze znaczenie wciąż ma świadomość społeczna odnośnie zagrożeń w sieci. Na chwilę obecną żaden algorytm nie jest w stanie w pełni powstrzymać zmanipulowanego klienta instytucji finansowej przed przelaniem środków na rzekomo lukratywną inwestycję na rynku forex lub kryptowalutowym ani wyeliminować przypadków podszywania się sprawców pod naszych znajomych z użyciem zhakowanych kont na portalach społecznościowych – przestrzega w swym artykule Konrad Machowski.
Globalny wolumen płatności elektronicznych w roku bieżącym osiągnie wartość 11,55 bln USD, a w kolejnych latach można się spodziewać niemal dziesięcioprocentowej tendencji wzrostowej – oceniają analitycy niemieckiej firmy Statista. Siłą napędową pozostaje rynek e-commerce; tylko w roku 2024 łączna wartość transakcji bezgotówkowych online szacowana jest na 7,63 bln USD. Do kanałów cyfrowych przechodzić będą użytkownicy preferujący tradycyjne formy płatności – według prognoz Accenture, w ciągu najbliższych 10 lat migracja ta wygeneruje dodatkowe 48 bln USD w obrocie bezgotówkowym.
Proces, którego przyspieszenie przypadło na okres pandemii COVID-19, determinowany jest postępującą digitalizacją całej gospodarki, ale i pojawianiem się nowych schematów płatniczych, łączących intuicyjność wykonywania operacji z najwyższym poziomem ochrony przed oszustwami. Problem w tym, iż za rozwojem technologii płatniczych nie nadąża świadomość konsumentów, również w zakresie bezpieczeństwa posługiwania się instrumentami bezgotówkowymi.
„Aż dwie trzecie ankietowanych ekspertów z instytucji finansowych ocenia, iż największym wyzwaniem dla rynku jest brak świadomości klientów na temat zagrożeń, na które mogą się natknąć” – przestrzegają autorzy najświeższej edycji raportu, poświęconego nadużyciom na szkodę branży finansowej i jej klientów, realizowanego cyklicznie od roku 2009 przez Związek Przedsiębiorstw Finansowych w Polsce oraz EY Polska. Tymczasem szkody, wyrządzone przez cyberoszustów przybierają zastraszające rozmiary. Badania przeprowadzone przez IBM wykazały, iż tylko w minionym roku jednostkowy koszt naruszenia bezpieczeństwa danych w branży finansowej oscylował wokół 4,45 mln USD, co oznacza piętnastoprocentowy wzrost na przestrzeni zaledwie trzech lat!
Nieautoryzowane transakcje problemem nr 1
Nieautoryzowane transakcje już po raz drugi znalazły się na szczycie listy zagrożeń, wskazywanych przez uczestników badania ZPF i EY Polska. Na problem ten zwracają uwagę szczególnie przedstawiciele banków lokalnych oraz spółdzielczych kas oszczędnościowo-kredytowych, jednak i w bankowości komercyjnej widać wysoką i stale rosnącą świadomość ryzyka, związanego z oszustwami płatniczymi. Na przestrzeni minionych 12 miesięcy problem zwiększył się w 2/3 analizowanych instytucji finansowych, przy czym trend ten częściej obserwowany był w bankowości uniwersalnej (70% wskazań) aniżeli w lokalnych instytucjach finansowych i SKOK-ach (57% odpowiedzi twierdzących). Dla porównania, rosnące ryzyko cyberataku odnotowało jedynie 41% badanych, a w co trzeciej instytucji coraz większe wyzwanie stanowią oszustwa z użyciem kart kredytowych. Dane te wskazują, iż z punktu widzenia cyberbezpieczeństwa absolutnie najważniejsze znaczenie ma obszar płatności elektronicznych. Za taką hierarchią przemawia też ewolucja prawa unijnego, konsekwentnie przenosząca odpowiedzialność za nieprzemyślane zachowania konsumentów na dostawców usług płatniczych, czego najświeższym przykładem może być zapis odnośnie transakcji nieautoryzowanych w procedowanym właśnie rozporządzeniu PSR.
Tymczasem polskie banki komercyjne sukcesywnie zdobywają doświadczenie w odpieraniu cyberataków i fraudów kredytowych. 40% uczestników badania, przeprowadzonego przez ZPF i EY Polska uważa, iż ich bank jest bardzo dobrze przygotowany na walkę z nieautoryzowanymi transakcjami, podczas gdy w przypadku cyberataków twierdzi tak 70% respondentów, a w odniesieniu do fraudów kredytowych aż 80%. Kolejnych 40% badanych ocenia gotowość reprezentowanej przez nich instytucji do przeciwdziałania oszukańczym transakcjom płatniczym jako dobrą, co jest sygnałem optymistycznym.
Biometria i AI przeciw e-złodziejom
Działania podejmowane przez dostawców usług płatniczych w celu zwiększenia bezpieczeństwa płatności można podzielić na dwie kategorie. Wdrażane są technologie zabezpieczające zarówno w produktach nowych, jak i funkcjonujących na rynku. Działania te mogą być stymulowane regulacyjnie, przykładem stosowanie silnej autentykacji klienta w oparciu o dyrektywę PSD2, najczęściej jednak przesłanką jest rozwój technologii płatniczych. Upowszechnienie aplikacji mobilnych przyczyniło się do wycofywania się banków z zatwierdzania transakcji kodem SMS, który z uwagi na możliwość zduplikowania karty SIM nie spełniał kryteriów silnego uwierzytelnienia, zwłaszcza w przypadkach kiedy sprawcy skłonili swą ofiarę do instalacji tzw. zdalnego pulpitu.
Wysoki poziom bezpieczeństwa autentykacji z użyciem bankowości mobilnej to efekt szyfrowanej komunikacji i niemożności wykonania duplikatu konkretnej kopii aplikacji. W niektórych bankach można aktywować mobilne powiadomienia o zdarzeniach z użyciem konta lub instrumentów płatniczych użytkownika, dzięki czemu dowie się on o próbie płatności z wykorzystaniem przechwyconych danych karty płatniczej lub usiłowaniu zaciągnięcia kredytu przez oszusta. Dostęp do bankowości mobilnej w większości przypadków możliwy jest z użyciem autentykacji biometrycznej (cechy „to, kim jesteś”), co dla potencjalnego przestępcy jest znacznie trudniejsze do obejścia niż przechwycenie loginu, hasła czy innego elementu z kategorii „to, co wiesz”.
Uwierzytelnianie biometryczne staje się niezależną formułą finalizowania transakcji płatniczych, czego przykładem najnowsza inicjatywa Mastercard, Empiku i rodzimego fintechu PayEye, udostepniającego technologię autentykacji poprzez skanowanie twarzy i tęczówki oka. Od czerwca br. w pięciu wybranych salonach Empiku klienci mogli zapłacić za dokonane zakupy… w okamgnieniu. Inicjatywa realizowana jest w ramach programu testowego Mastercard Biometric Checkout, którego celem jest wypracowanie schematów płatniczych zapewniających łatwość finalizowania transakcji przy dotrzymaniu wyśrubowanych standardów bezpieczeństwa.
Organizacje płatnicze coraz częściej sięgają po AI i uczenie maszynowe, co zapewnia coraz większą skuteczność identyfikacji podejrzanych zachowań. Potwierdziły to wyniki projektu pilotażowego, realizowanego w latach 2023-24 przez Visa we współpracy z brytyjskim operatorem płatności natychmiastowych Pay.uk. „Model był w stanie poprawnie zidentyfikować 54% transakcji oszukańczych, których nie wychwyciły zaawansowane systemy wykrywania oszustw wdrożone w bankach. Oznacza to, iż sprawdzone rozwiązania Visa z obszaru predyktywnej sztucznej inteligencji stanowią istotny element tego rozwijającego się obszaru i mogłyby pomóc zaoszczędzić brytyjskim konsumentom, firmom i gospodarce aż 330 milionów funtów” – podkreślono w komunikacie opublikowanym w czerwcu br. po zakończeniu testowej fazy przedsięwzięcia.
Pomyśl, zanim zaczniesz działać
Choć nowoczesne technologie są w stanie dość skutecznie chronić użytkownika, najważniejsze znaczenie wciąż ma świadomość społeczna odnośnie zagrożeń w sieci. Na chwilę obecną żaden algorytm nie jest w stanie w pełni powstrzymać zmanipulowanego klienta instytucji finansowej przed przelaniem środków na rzekomo lukratywną inwestycję na rynku forex lub kryptowalutowym ani wyeliminować przypadków podszywania się sprawców pod naszych znajomych z użyciem zhakowanych kont na portalach społecznościowych. Sporym wsparciem w walce z tego typu przestępczością jest analiza behawioralna, jednak tu pojawiają się bariery, wynikające z nieprzemyślanej interpretacji przepisów o ochronie danych osobowych, czego konsekwencją jest konieczność uzyskiwania zgody od każdego z użytkowników usług płatniczych na wykorzystanie metod behawioralnych w celu ochrony przed oszustwami.
Dlatego tak olbrzymie znaczenie mają kampanie, uświadamiające ryzyka, z jakimi możemy spotkać się podczas transakcji online. Działania w tym obszarze podejmuje zarówno bank centralny, nadzór finansowy, Policja, jak również Związek Banków Polskich i poszczególne instytucje finansowe czy operatorzy płatności. „Sprawdź, zanim zaczniesz działać. Zabezpiecz swoje urządzenia i dane. Aktualizuj oprogramowanie i swoją wiedzę” – te trzy wskazówki daje Polakom NBP, przypominając, by nie podejmować pochopnych decyzji pod wpływem emocji.
„Bezpieczeństwo posiadanych przez Ciebie urządzeń oraz pieniędzy w znacznym stopniu jest uzależnione od stopnia Twojej świadomości na temat zasad bezpiecznego korzystania z płatności elektronicznych” – zapisano w samouczku, opublikowanym przez bank centralny przed gorączką zakupów poprzedzającą ubiegłoroczne święta Bożego Narodzenia.
Centralne Biuro Zwalczania Cyberprzestępczości Komendy Głównej Policji przypomina Polakom, jak funkcjonują bramki płatności elektronicznych i jak zidentyfikować strony podszywające się pod oficjalnych operatorów. „Aby tego uniknąć, zawsze należy weryfikować adres strony internetowej, na jakiej jesteśmy. jeżeli zawiera jakiekolwiek błędy, literówki, znaki specjalne lub litery z innego alfabetu (np. cyrylicy) – zrezygnuj z płatności” – apelują stróże prawa.
O tym, by nie klikać w niepewne linki, a także dokładnie czytać treść SMS-ów z kodem do zatwierdzania płatności czy nie reagować na informacje o rzekomej niedopłacie za aktywowane właśnie ogłoszenie, przypomina wspólna kampania Bankowego Centrum Cyberbezpieczeństwa ZBP i Policji. „Nieprzestrzeganie powyższych zasad może stanowić dla ciebie zawód, rozczarowanie dla Twoich bliskich oraz straty finansowe” – podkreślono w materiale edukacyjnym.
Akcje edukacyjne prowadzą też operatorzy poszczególnych systemów płatności, jak choćby BLIK, w tym przypadku przekaz koncentruje się na specyficznych zagrożeniach, w rodzaju oszustów podszywających się pod naszych znajomych lub członków rodziny celem wyłudzenia przelewu na telefon.
