Wygoda w banku może kosztować bezpieczeństwo  

02.12.2016
Konkurencyjność rynku, innowacje technologiczne, wygoda klienta i jego bezpieczeństwo – te cztery hasła streszczają cele unijnej dyrektywy regulującej usługi płatnicze, czyli PSD 2. Nie jest pewne czy cele te są do pogodzenia. Nowa dyrektywa może sprawić, że polskie banki będą mniej bezpieczne.


Żeby dobrze zrozumieć intencje dyrektywy, trzeba przyjrzeć się choć pobieżnie sytuacji sektora bankowego w Europie, która w wielu aspektach znacznie różni się od tego, czego doświadczamy w Polsce. Fakt, że w Polsce przelew złożony rano, po południu trafia na rachunek odbiorcy nie jest w innych krajach europejskich czymś oczywistym. W niektórych z nich potrafi wędrować nawet kilka dni.

Szybkość płatności jest dla banków kosztem, bowiem muszą one budować i integrować ze sobą elektroniczne systemy. Polskie banki koszty te już poniosły i ponoszą nadal, rozwijając bankowość mobilną, podczas gdy po kryzysie wiele innych instytucji w Europie nie jest w stanie ich udźwignąć.

Równocześnie do niedawna wysokość opłat za realizowanie płatności, w tym opłaty interchange, zachęcała wiele większych i mniejszych firm technologicznych do włączenia się do obiegu pieniądza. Powstały różne modele biznesowe, których celem jest dostarczanie klientowi usług wygodniejszych, szybszych i tańszych. Chodzi o zbudowanie dzięki temu większej skali, zasięgu, przywiązania klienta i – co nie najmniej ważne – pozyskania informacji, jakich on o sobie udostępnia, gdy płaci elektronicznie.

Największe znaczenie mają jednak rozwój handlu w Internecie, czyli e-commerce, oraz płatności mobilne. Kupno w tradycyjnym stacjonarnym sklepie ma jedną zasadniczą przewagę nad kupnem przez Internet – widzimy towar, dotykamy go, płacimy i wtedy jest nasz.

W Polsce banki i sklepy internetowe rozwinęły metodę pay-by-link, z której – według danych PayU – korzysta 80 proc. płacących on-line. Przelew jest natychmiast księgowany i może nastąpić wysyłka. Kiedy jednak przelew na rachunek sklepu wędruje, zamiast przemknąć szybko jak myśl, potrzebny jest pośrednik w jego realizacji. Według danych Europejskiego Banku Centralnego, instytucji niebankowych zajmujących się w Unii Europejskiej usługami płatności było na koniec zeszłego roku ponad 8 tysięcy.

W płatnościach mobilnych chodzi natomiast o to, żeby transakcję zrealizować natychmiast, z każdego miejsca i o każdej porze. I tu zaczął się największy wyścig – o szybkość, łatwość, konwersję, czyli odsetek zaakceptowanych transakcji oraz o pozytywne doświadczenie klienta. Sposobem na zdobycie przewagi w tym wyścigu jest wprowadzanie nowych technologii, a to właśnie PSD 2 ma wspierać.

Kluczowe znaczenie RTS-ów

Dyrektywa PSD 2 weszła w życie w styczniu 2016 roku, a do prawa krajowego ma być wprowadzona od 13 stycznia 2018 r. Najważniejsza jednak nie jest ona sama, tylko standardy techniczne (RTS), które ma ostatecznie wydać Europejski Urząd Nadzoru Bankowego (EBA). Standardy te przypiszą odpowiednią wagę priorytetom.

Bezpieczeństwo płatności ma zapewnić zasada silnego uwierzytelnienia. PSD 2 nie pierwsza się do tego przymierza. Już wcześniej, w 2012 roku EBC wydał zalecenia dotyczące bezpieczeństwa płatności w Internecie. Nadzory krajowe wprowadzały je albo nie. Najbardziej konsekwentny był nadzór bankowy w Polsce, który wydał odpowiednią rekomendację. Ponieważ nie wszędzie zastosowano się do wskazań EBC, Komisji Europejskiej chodziło o ustanowienie twardych reguł w miejsce miękkich zaleceń.

EBA mająca przygotować RTS, czyli kluczową wykładnię dyrektywy, już dwa razy konsultowała jej projekt. Po raz pierwszy niezwłocznie po uchwaleniu dyrektywy w 2015 roku poddała pod dyskusję swoje wstępne stanowisko W październiku zakończyły się drugie konsultacje i oczekuje się, że EBA wkrótce ogłosi RTS-y i to w ostatecznym kształcie. Powinny one zostać opublikowane nie później niż na rok przed wejściem w życie dyrektywy, czyli w styczniu 2017 r.

Żeby RTS-y nabrały mocy prawnej, konieczne jest, by Komisja Europejska zaaprobowała je najdalej w kwietniu 2017 roku. W ten sposób weszłyby w życie po 18 miesiącach, czyli pod koniec 2019 roku. O ile nie będzie opóźnień, gdyż dyskusja jest niezwykle ożywiona. Na konsultacje nadesłano ponad 200 opinii najeżonych argumentami. Banki bronią w nich swoich pozycji, które zbudowały dzięki wyłącznej wiedzy o rachunkach własnych klientów. Nowi gracze chcą pozycje te podkopać i zająć w ten sposób terytorium, na którym panują jeszcze banki.

Konkurencja niejedno ma imię

EBA najsilniej postawiła na to, żeby na rynku płatności zaistniała silna konkurencja. Ponieważ znakomita część europejskich banków nie jest w stanie zapewnić klientom szybkiej realizacji transakcji, trzeba do rynku jak najszerzej dopuścić nowych graczy. To tak zwani third party providers (TPP), którzy w imieniu klienta będą mogli uzyskać dostęp do jego rachunku przez przeznaczony do tego celu interfejs, zwany API, otwarty dla wszystkich zewnętrznych podmiotów. Banki będą miały obowiązek taki interfejs stworzyć.

– W RTS widać dużą presję na wygodę i konkurencyjność – mówił podczas listopadowego Kongresu Bankowości Detalicznej w Warszawie Tomasz Piwowarski, dyrektor w Komisji Nadzoru Finansowego.

Pozostaje kwestia kluczowa: jeśli TPP będzie miał dostęp do rachunku klienta, to w jakim zakresie i na jakich zasadach? Przedstawiciele polskiego nadzoru i sektora bankowego mówią: wprowadzone u nas standardy są optymalne, gdyż łączą wysokie wymagania dotyczące bezpieczeństwa, zapewniają konkurencyjność i motywują do technologicznego wyścigu.

– Obawiamy się, żeby poprzez wprowadzenie nowych usług, wejście graczy, których standardy mogą się różnić od naszych, owe niższe standardy mogą przenikać do nas pod płaszczykiem PSD 2 – dodał Tomasz Piwowarski.

Wprowadzenie obowiązku „wystawienia” przez bank API ma – oprócz otwarcia rynku na konkurencję – jeszcze jeden istotny skutek uboczny. Do tej pory każdy TPP, który chciał realizować płatności w imieniu klienta, musiał dogadać się z bankiem i zawrzeć z nim umowę. Umowa taka obejmowała między innymi zasady podziału odpowiedzialności za pieniądze klienta na wypadek wyłudzenia.

Po wejściu w życie PSD 2 każdy TPP będzie mógł „podłączyć się” do bankowego API bez obowiązku zawierania z nim umowy. A równocześnie dyrektywa mówi wyraźnie, że odpowiedzialność za pieniądze klienta ponosi bank. Oznacza to, że jeśli dojdzie do fraudu z winy TPP, bank będzie musiał oddać pieniądze klientowi, a potem dopiero dowodzić, że to TPP powinien mu je zwrócić. To stawia banki w trudniejszej sytuacji niż były do tej pory.

– Po wprowadzeniu PSD 2 nie będzie zasad umownych pomiędzy TPP a prowadzącymi rachunki. Może to powodować napięcia – mówił podczas Kongresu Maciej Biniek, członek zarządu PayU, dostawcy usług płatniczych.

Dlaczego ze strony dostawców usług płatniczych PIS i integratorów wiedzy o rachunkach bankowych AIS jest tak duża presja na to, żeby klient mógł im udostępniać swoje dane? Bo to droga do oferowania mu swoich produktów.

– Dysponując historią płatności, można ocenić bardzo precyzyjnie sytuację klienta. Bank widzi historię rachunku i może oceniać klienta. Gdy ta przewaga się skończy, konkurencja będzie rosła – mówił Mariusz Cholewa, prezes Biura Informacji Kredytowej.

Banki niejednokrotnie powołują się na troskę o bezpieczeństwo klienta, a równocześnie walczą o to, żeby nie były zmuszone do dzielenia się wiedzą o nim, nawet wtedy, gdy on sam tego chce. W ten sposób utrudniają wejście na rynek konkurentom.

– Główne zagrożenie dla banków to spadek ich roli jako właścicieli wiedzy o kliencie – mówił Dariusz Szkaradek, partner w Deloitte.

Słabości silnego uwierzytelnienia

Aby zapewnić bezpieczeństwo płatności, PSD 2 wprowadza zasadę silnego uwierzytelnienia klienta (SCA), która w Polsce jest zresztą stosowana już od lat. Do zasady silnego uwierzytelnienia mają się stosować wszyscy dostawcy usług, a więc prócz instytucji prowadzących rachunek (ASPSP) także PIS i AIS.

Zasada silnego uwierzytelnienia polega na identyfikacji klienta na podstawie przynajmniej dwóch z trzech możliwych kategorii – właściwej tylko jemu wiedzy, wyłącznego posiadania czegoś i pewnej jego indywidualnej cechy. Są to personalised security credentials (PSC), które będziemy nazywać – za bankowcami – credentialami.

I tak kategorię wyłącznej wiedzy spełnia hasło do logowania, znane tylko klientowi, kategorię posiadania – jednorazowy kod przysłany przez bank do potwierdzenia danej transakcji, kategorię indywidualnych cech – cechy biometryczne, na przykład odcisk palca. Silne  uwierzytelnienie ma zapewnić, że jego elementy są niezależne od siebie, a więc naruszenie jednego nie podważa wiarygodności pozostałych. Ma być skonstruowane w taki sposób, żeby chronić poufność danych uwierzytelniających.

Od silnego uwierzytelnienia jest kilka wyłączeń. Jedno z nich, zwane „dynamic linking”, polega na tym, że przesyłamy pieniądze do zdefiniowanego odbiorcy lub zdefiniowaną wcześniej kwotę. Są też wyłączenia niskich kwot transakcji.

Zdecydowana większość banków uczestniczących w konsultacjach EBA jest zdania, że nie powinna ona przedstawiać szczegółowej listy wyłączeń, a pozostawić to własnej analizie ryzyka dokonywanej przez uczestników rynku. Takie też propozycje przedstawił Europejski Kongres Finansowy po konsultacjach z polskim środowiskiem bankowym. Tymczasem firmy świadczące usługi płatnicze wyraziły zdecydowane poparcie dla precyzyjnej i ograniczonej listy wyłączeń.

Rosnącemu wolumenowi płatności elektronicznych towarzyszy cyberprzestępczość. Przestępcy poszukują najsłabszych ogniw w różnych systemach i słabości te wykorzystują do kradzieży. Teoretycznie więc silne uwierzytelnienie powinno ograniczyć szansę na udany atak i na wyłudzenie pieniędzy.

Wiadomo już, że tak nie jest, i że silne uwierzytelnienie całkowicie nie chroni, gdyż przestępcy stosują coraz bardziej skuteczne metody kradzieży danych uwierzytelniających, a więc credentiali. Kluczowe jest tutaj to, kto ma do nich  dostęp. Projekt RTS zezwala, żeby klient banku udostępnił swoje credentiale innemu podmiotowi mającemu świadczyć dla niego usługi. I tu właśnie pojawiają się zasadnicze wątpliwości, czy standardy wystarczająco troszczą się o bezpieczeństwo.

Nie jest bowiem pewne, czy instytucje pozabankowe będą w stanie równie dobrze chronić dane klienta, jak robią to banki. Przynajmniej w Polsce banki zrobiły naprawdę duże postępy w ochronie wrażliwych danych. Uwierzytelnienie tożsamości przez bank ma szansę stać się podstawową drogą dostępu do usług administracji publicznej poprzez tzw. Zaufany Profil.

– Jeśli wejdą w posiadanie tych danych niewielkie firmy, niekoniecznie mające systemy ich ochrony, może się zrobić trochę przerażająco – mówił Mariusz Cholewa.

– Jeżeli złamiemy zasadę, że tylko klient i bank mają dostęp do rachunku, złamiemy wszystkie zasady. To przyniosłoby negatywne skutki dla świata cyfrowego.

Credentiale powinny pozostać tajne. Standardy techniczne nie są na tyle jednoznaczne, żeby to potwierdzić – dodał Piotr Alicki, prezes Krajowej Izby Rozliczeniowej.

Cienie screen scrapingu

W Polsce obowiązuje reguła, że bez względu na to, kto jest inicjatorem płatności czy w niej pośredniczy, sama transakcja jest autoryzowana wyłącznie przez klienta w systemie transakcyjnym banku. Żaden pośrednik nie zna hasła ani loginu klienta, ani też kodu zatwierdzającego transakcję, wysyłanego przez bank, bez względu na system czy technologie jej realizacji.

– Mamy rozwiązania, które z sukcesem funkcjonują od wielu lat. Bardzo bym sobie życzył, żeby status quo z polskiego rynku zostało zachowane, bo daje zaufanie i spowodowało dobre rozwiązania systemowe – mówił Feliks Szyszkowiak, członek zarządu BZ WBK.

W wielu krajach Unii rozpowszechnił się natomiast screen scraping. Kilka lat temu zaczęło korzystać z niego kilka polskich instytucji kredytowych i dość szybko zakazała im tego KNF. Screen scraping polega na tym, że klient udostępnia innemu bankowi (lub np. PIS) swoje credentiale i zgadza się na to, żeby ten w jego imieniu i w powierzonym mu zakresie posługiwał się jego rachunkiem. W Polsce chodziło o ściąganie danych z rachunku klienta na przykład przy przedstawieniu mu oferty refinansowania kredytu.

– Metody analogiczne do screen scrapingu odpowiadają za ponad połowę prób przestępczych – mówił Piotr Alicki.

Wygląda na to, że RTS-y mogą usankcjonować posługiwanie się bardzo niebezpiecznym narzędziem. Jeśli zostanie ono uprawomocnione, bank nie będzie wiedział, czy używa go ktoś, kto wykonuje usługę dla klienta, czy ktoś, kto kradnie pieniądze.

Wbrew intencjom dyrektywy, żeby dostawcy usług płatniczych oferowali klientom jak najprostsze i najbardziej przyjazne rozwiązania, projekt RTS-ów, gdyby wszedł w życie w obecnym kształcie, mógłby bardzo utrudnić rozwój płatności mobilnych. EBA uważa, że konieczne jest rozdzielenie kanału, jakim klient komunikuje się z bankiem, od tego, którym otrzymuje kod do zatwierdzenia transakcji.

O co tu chodzi? Gdy siedzimy przed komputerem stacjonarnym i składamy dyspozycję przelewu w internetowym serwisie banku otrzymujemy kod do autoryzacji transakcji, najczęściej SMS-em (niektóre banki stosują jeszcze kartki-zdrapki). To właśnie dwa osobne kanały – połączenie przez przeglądarkę i połączenie telekomunikacyjne.

Inaczej jest jednak, gdy korzystamy z aplikacji mobilnej. Łączymy się przez nią z bankiem i składamy dyspozycję, a równocześnie dostajemy kod do autoryzacji na to samo urządzenie. Specjaliści od walki z cyberprzestępczością uważają, że posługiwanie się jednym urządzeniem do obu tych czynności w znaczący sposób zwiększa prawdopodobieństwo sukcesu przestępcy. Ale gdyby standardy zostały wprowadzone w aktualnym brzmieniu, łatwość płatności telefonem zostałaby bardzo ograniczona.

Tymczasem właśnie w płatnościach mobilnych gra toczy się o to, żeby konsument mógł zapłacić, wykonując jak najmniej czynności. Nawet, żeby nie musiał przepisywać sześciocyfrowego kodu. Karty bezstykowe wyznaczają tu granicę łatwości i wygody, do której wszyscy operatorzy płatności dążą.

EKF zaproponował, żeby zasady odrębności kanałów mogły być łagodzone w zależności od polityki zarządzania ryzykiem dostawcy płatności, a także żeby zasady silnego uwierzytelnienia były mniej restrykcyjne w przypadku płatności one-click i płatności powtarzalnych. Uważa, że konieczne jest natomiast wprowadzenie zasady logicznej autoryzacji urządzenia, co potwierdzałoby, że jest ono przypisane do konkretnej osoby.

KNF chce, żeby EBA, tworząc standardy, pozostawiła władzom krajowym przynajmniej część decyzji dotyczących ustanawiania reguł bezpieczeństwa na konkretnym rynku.

– Udostępnianie danych o rachunku – tak. Ale credentiale zostają na infrastrukturze bankowej – mówił Tomasz Piwowarski. – Jesteśmy w stanie wypracować podejście związane z dostępem do rachunku, które jest bezpieczne i nie podważa zaufania do sektora bankowego – dodał.


Tagi


Artykuły powiązane