Banki przed skokiem w technologie i w koszty

IKO - bankowość mobilna PKO BP (zdj. PKO BP)

– Rekomendacja D nie przełożyła się dla nas na podwyżkę kosztów – powiedział Obserwatorowi Finansowemu Mateusz Morawiecki, prezes BZ WBK, którego bank integruje właśnie Kredyt Bank i dokonuje migracji klientów do systemu informatycznego BZ WBK.

Po co więc rekomendacja D została wprowadzona? Komisja Nadzoru Finansowego uzasadnia to tym, że stara jej wersja, wydana ponad 10 lat temu, już się zdezaktualizowała. Tak daleko poszedł rozwój technologiczny i tak wzrosło znaczenie technologii informatycznych dla działalności banków. KNF zaleca też, żeby traktować ją jako uzupełnienie Rekomendacji M dotyczącej ryzyka operacyjnego, ponieważ mówi o tym, jak nie narazić banku na niewydolne systemy, awaryjność, możliwość utraty danych czy nieautoryzowane transakcje.

Faktycznie, stara rekomendacja D zawierała stwierdzenia, które dziś wydają się trochę anachroniczne. Napisano w niej na przykład, iż „władze banku są odpowiedzialne za decyzję czy bank będzie świadczył usługi bankowości elektronicznej”. Powstała ona w czasach, gdy kierunek drogi, jaką poszły usługi elektroniczne nie był jeszcze oczywisty, a świadczenie dokonywania płatności przez Internet można było traktować jako ewentualny dodatek do właściwej obsługi klienta w oddziale.

Dziś to konieczność. Jednak teraz, kiedy takie usługi stały się normą, banki stoją przed nowymi wyzwaniami, które pogodzić muszą ze strategią i profilem ryzyka. Rozważają jak dalece angażować się w „bankowość społecznościową” i bankowość mobilną, która prawdopodobnie za klika lat będzie standardem. Czy tak się stanie –  w dużej mierze zależy od samych banków.

Najważniejsze zalecenia nadzoru

KNF na 60 stronach rekomendacji wydała mnóstwo szczegółowych zaleceń dotyczących systemów informatycznych i ich bezpieczeństwa, obsługujących je ludzi i ich dostępu do danych, dostawców systemów i relacji banku z dostawcami. Szczegółowość niektórych instrukcji, a równocześnie ich oczywistość, przypomina podręcznik BHP: „W pomieszczeniach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, nie powinno się umieszczać materiałów łatwopalnych lub – w przypadku takiej konieczności – odpowiednio je zabezpieczać (np. w szafach gwarantujących ochronę przeciwpożarową)” – pisze KNF.

Prawdopodobnie dlatego, przynajmniej w przypadku czołówki banków, rekomendacja nie robi wielkiego wrażenia i nie powoduje podjęcia gorączkowych obliczeń – ma być wprowadzona do końca przyszłego roku. Ile w końcu może kosztować zakup odpowiednich szaf przeciwpożarowych, żeby pozamiatać do nich słomę poniewierającą się na podłogach serwerowni. Nie to jest jednak w rekomendacji tej najbardziej istotne.

Ważne jest to, że rekomendacja zmusza zarządy do ponownego przemyślenia, czy używane środowisko teleinformatyczne efektywnie i bezpiecznie wspiera działalność banku. Wzywa je do opracowania i wdrożenia strategii obejmującej obszar technologii i ich bezpieczeństwa spójnej ze strategią działania banku. Nakazuje sformalizowanie wszelkich procedur związanych z tworzeniem systemów i sieci, zlecaniem prac, a także dostępem do technologii i baz danych. Wskazuje, że banki powinny podejść do tych kwestii poprzez tworzenie architektury systemu, a nie poprzez rozwiązania tymczasowe, powstające na zasadzie „doklejania”, czy też „łatania” kolejnymi aplikacjami lub funkcjonalnościami istniejące już środowisko. I chyba nadszedł właściwy moment, żeby banki to właśnie przemyślały. Poprzednia rekomendacja wydana została u progu wejścia w epokę teleinformatyczną. Obecna ogłoszona została przed kolejnym technologicznym skokiem.

Płatności mobilne to nie tylko zabawa

Skok przyniosą zapewne płatności mobilne. Kierunek zmian podtrzymuje silny marketingowy przekaz formułowany zarówno przez producentów smartfonów, firmy technologiczne, jak i same banki. Te ostatnie spóźniły się na internetową rewolucję, dopuściły do rynku licznych konkurentów i chcą teraz udowodnić swoim właścicielom, że stoją w pierwszym szeregu.

Świetlana przyszłość ma też jednak swoje cienie. Jakie? Pokazuje to raport amerykańskiej Rezerwy Federalnej o płatnościach mobilnych i zmianach w zwyczajach konsumenckich.

Raport ogłoszony w marcu powstał na podstawie badań GfK przeprowadzonych na próbie reprezentatywnej 2600 osób w listopadzie 2012 roku. Wynika z niego, że 87 proc. amerykańskiej populacji korzysta z telefonów komórkowych, a ponad połowę z tych urządzeń stanowiły smartfony. 87 proc. ich właścicieli miało dostęp do Internetu. 28 proc. posiadaczy telefonów komórkowych korzystało w ciągu roku poprzedzającego badania z bankowości mobilnej. Poprzednie badanie z grudnia 2011 roku pokazywało, że było to 21 proc. Natomiast spośród właścicieli smartfonów 48 proc. dokonywało przez nie operacji bankowych, gdy rok wcześniej było to 42 proc. Dodatkowo 10 proc. badanych planuje to w ciągu roku.

„Mobilne bankowanie” polega na razie głównie na przeglądaniu rachunku i stanu salda. W zeszłym roku odsetek robiących opłaty za pośrednictwem smartfonów wśród ich posiadaczy zmniejszył się do 42 proc. z 47 proc. Odsetek „płacących smartfonem” za zakupy wzrósł co prawda z 1 do 6 proc., ale nadal jest śladowy i niewiele przekracza błąd statystyczny. Dlaczego?

„Postrzeganie ograniczonej przydatności i obawy o bezpieczeństwo to nadal główne przeszkody przyjęcia się mobilnych usług finansowych” – napisał Fed w raporcie. Najczęściej wymienianymi powodami nie korzystania zarówno z płatności mobilnych, jak i mobilnej bankowości są obawy o bezpieczeństwo stosowanej technologii – wynika z badania. To przestroga dla naszych banków, które działają na dodatek w populacji znacznie mniej wyposażonej w smartfony.

Kwestie bezpieczeństwa przesądzają o tym, że bardzo daleka jest jeszcze droga do stworzenia jednego standardu e-portfela. Więcej o tym można przeczytać tutaj.

Komórka to narzędzie zbyt mało bezpieczne

Bankowość mobilna tworzy znacznie większe ryzyko nieuprawnionego dostępu do konta, czy też „kradzieży tożsamości”, niż tradycyjna już bankowość internetowa. W procedurze jest kilka ogniw pośredniczących więcej, a na dodatek słabszych i bardziej narażonych na atak przestępców. Najmniejszym jeszcze problemem jest kradzież telefonu. Można go wyposażyć w oprogramowanie, które – uruchomione za pośrednictwem Internetu – pozwala właścicielowi skradzionego urządzenia skasować w nim wszystkie dane, a więc także te służące do autoryzacji kontaktu z bankiem. W przypadku kradzieży można oczywiście też zadzwonić do banku i zablokować swój rachunek lub zablokować kartę SIM u operatora. Tak czy inaczej złodziej ma pewną przewagę czasu. A smartfona znacznie łatwiej stracić niż stojącego na biurku peceta.

Kolejne słabe ogniwo, wrażliwe na atak hakerski, to sam telefon. Korzystanie z usług mobilnych daje możliwość przysłania do smartfona mailem, sms-em lub mms-em wirusa lub programu szpiegowskiego. Są takie programy, które mogą śledzić nawet „smugę” pozostawianą przez palec przy wpisywaniu kodu dostępu. Inne, oprócz samego zczytywania i transferu danych, mogą przejąć kontrolę nad smartfonem, uczynić z niego zombie, ale też za pośrednictwem zarażonego urządzenia przeprowadzić włamanie na rachunek posiadacza lub do banku. Następnym słabym ogniwem w sieci komórkowej jest stacja przekazująca sygnał. Atak hakerski może po prostu przejąć transmitowane przez nią dane.

Wszystko to stwarza dla klienta większe ryzyko, niż gdy siedzi przed własnym komputerem. Na dodatek dość niejasne jest wciąż otoczenie prawne. Bo o ile w przypadku zgubienia lub kradzieży karty kredytowej prawo stanowi jasno, jaką część odpowiedzialności za straty ponosi jej posiadacz, a jaką bank, to w przypadku utraty kradzieży lub włamania do smartfona żadnych takich postanowień nie ma. Zatem – domyślać się można – że całe ryzyko obciąża klienta.

Podobnie zresztą rzecz ma się z włamaniami do sieci. Wprawdzie Rekomendacja D podkreśla, że w przypadku zlecania usług na zewnątrz, a taką jest transmisja danych przez sieć telefonii komórkowej, bank powinien z dostawcą podpisać umowę, która gwarantowałaby pełne bezpieczeństwo, a sam ponosi odpowiedzialność jak w przypadku usługi świadczonej samodzielnie, jednak nie ma pewności, czy ostatecznie za skutki użycia danych ukradzionych operatorowi nie zapłaciłby klient. Rekomendacja stwierdza, że „bank powinien sprawować kontrolę nad działalnością usługodawcy w zakresie świadczonych przez niego usług” ale tak naprawdę ma on niewielki wpływ na dobór standardów szyfrowania danych przez operatorów.

Czego nadzorca nie powiedział

Póki rozmaite kwestie związane ze świadczeniem usług mobilnych nie zostaną rozstrzygnięte prawnie, klient nie będzie miał poczucia bezpieczeństwa. Zapewne KNF nie chciała wychodzić przed ustawodawcę i nie poruszyła tych kluczowych kwestii. Ale to słabość rekomendacji. Mówi ona wprawdzie, że bank powinien przekazać klientom wiedzę o zagrożeniach, jakie wiążą się z wykorzystaniem różnych kanałów i stosowaniu skutecznych sposobów zabezpieczania się przed nimi, ale jak na razie żaden bank oferujący mobilne aplikacje nie postawił tych kwestii jasno. Zresztą niektóre z nich zdają sobie z zagrożeń sprawę i oferują produkty „okrojone” lub pilotażowe, umożliwiające np. zapłatę za zakupy w sklepie, ale już nie przelanie pieniędzy z konta na inny rachunek.

Póki rynek nie będzie postrzegany jako bezpieczny, będzie rozwijał się opornie i część bankowców to rozumie. Rozumieją oni też, że koszty bezpieczeństwa będą wysokie. Prawdopodobnie dość dokładnie policzył je największy polski bank, PKO BP, i zaproponował innym stworzenie „autostrady infrastrukturalnej”, co pozwoliłoby się kosztami dzielić, zamiast ponosić je na własną rękę. Według nieoficjalnych informacji, jeśli banki do tego projektu nie przystąpią, bank sam zdecyduje się na założenie spółki z firmą informatyczną, która będzie pracować nad projektem.

– Na pewno technologie są i będą dużą częścią kosztów banków nie tylko ze względu na bezpieczeństwo, ale także jako sposób dotarcia do klienta – powiedział Obserwatorowi Finansowemu Zbigniew Jagiełło, prezes PKO BP.

Rekomendacja D nie nakłada na banki obowiązków, które spowodują wzrost kosztów. Banki nie mają zatem powodów tym razem do narzekań na nadzorcę. Same będą musiały zdecydować o kosztach i je ponieść. A będą one pewnie większe, jeśli do architektury usług mobilnych banki nie podejdą od strony bezpieczeństwa klienta.

Jacek Ramotowski

IKO - bankowość mobilna PKO BP (zdj. PKO BP)

Zamknij pokaz zdjęć