Bezpieczeństwo: Bezpieczeństwo rynku płatności wymaga jednolitych standardów

NBS 2018/05

Z Dariuszem Kozłowskim, wiceprezesem Centrum Prawa Bankowego i Informacji, rozmawiał Karol Jerzy Mórawski.

Implementacja dyrektywy PSD2 stanowi jedno z najistotniejszych wydarzeń na europejskim rynku finansowym. Wiele mówi się o ryzykach, jakie mogą się pojawić w związku z wejściem na rynek tzw. podmiotów trzecich. Czy istnieje możliwość zapobiegania tego rodzaju zagrożeniom, biorąc pod uwagę zasadniczy cel, jakim jest otwarcie rynku finansowego?

– Warunkiem niezbędnym otwarcia rynku usług finansowych na podmioty PSP (payment service provider) powinno być przynajmniej utrzymanie ryzyka na dotychczasowym poziomie. Aby to zrealizować, konieczne jest ujednolicenie przepisów dla wszystkich podmiotów inicjujących, pośredniczących lub wykonujących operacje finansowe. W przypadku usług płatniczych sektor bankowy we wszystkich krajach Wspólnoty co do zasady podlega ścisłym regulacjom i kontroli ze strony organów nadzoru. Podobne rygory powinny zatem dotyczyć PSP, czyli tzw. podmiotów trzecich, upoważnionych do funkcjonowania na rynku płatności na podstawie dyrektywy PSD2. Przyjęcie różnych standardów dla instytucji bankowych i pozostałych przedsiębiorców świadczących usługi płatnicze ma zachęcić podmioty mniej regulowane do większej innowacyjności. Miejmy nadzieję, że finalnie taka otwartość nie dokona się kosztem obniżenia poziomu bezpieczeństwa usług finansowych.

Można się spodziewać, że mniejsze wymogi regulacyjne będą przez startupy „wykorzystywane” bardziej w kierunku uelastycznienia własnego biznesu i agresywnych form pozyskiwania klientów aniżeli inwestowania w bezpieczeństwo swych produktów. Efektem takiego podejścia może być rosnąca asymetria odpowiedzialności pomiędzy różnymi podmiotami świadczącymi podobne usługi, na niekorzyść sektora bankowego, który to finalnie będzie ponosić najpoważniejsze konsekwencje ryzykownych czy wręcz fraudowych transakcji. Jeśli dodatkowo nie zostaną wypracowane odpowiednie reguły weryfikacji PSP, dotyczące choćby stosowania przez nich: procedur awaryjnych, najlepszych praktyk produkcji, zabezpieczania i zarządzania posprzedażowego aplikacji, reagowania na błędy, czy też ciągłego „łatania” pojawiających się podatności, to będziemy mieli do czynienia z poważnym ryzykiem natury systemowej.

Już dzisiaj dochodzi do infiltracji rynku aplikacji mobilnych przez cyberprzestępców, czego najświeższym przykładem jest oferowane całkiem niedawno w sklepie Google Play narzędzie „Bankowość uniwersalna Polska”, rzekomo zapewniające dostęp do rachunków bankowych 20 polskich banków. Tymczasem aplikacja ta wystawiona została przez oszustów, a jej jedynym zadaniem było pozyskiwanie loginów i haseł do bankowości internetowej. Zanim udało się wycofać ten niebezpieczny produkt z obrotu, doszło do ponad 160 pobrań. Czy można zatem stwierdzić, że problem został w stu procentach wyeliminowany? Oczywiście nie. Feralna aplikacja w każdej chwili może pojawić się z powrotem na rynku, np. w serwisach typu pear2pear, wrzucona przez kogoś z czystej nieświadomości. Co prawda, przestępcze serwery, z których korzystała „Bankowość uniwersalna Polska”, zostały zablokowane, jednak nie jesteśmy w stanie w 100% stwierdzić, czy aplikacja nie posiada jakichś dodatkowych funkcji, pozwalających na przekierowanie ruchu na inne serwery po pewnym czasie. To doskonały przykład niebezpieczeństw, jakie mogą się pojawić na rynku płatności w momencie, kiedy nie ma spójnej koncepcji dotyczącej zasad funkcjonowania i bezpieczeństwa.

Zagrożenia dla klientów bankowości elektronicznej pochodzą również od nich samych. Większość konsumentów nie dochowuje minimalnych standardów bezpieczeństwa w sieci, jak zmienić ten stan rzeczy?

– Na chwilę obecną nie istnieje żaden przepis obligujący klientów banków do stosowania przynajmniej minimalnych zabezpieczeń urządzeń służących do tzw. bankowania, tj. choćby posiadanie uaktualnionego systemu operacyjnego (automatyczne aktualizacje dostępnych poprawek wypuszczonych przez producenta) czy też aktywnego i uaktualnionego o najnowsze sygnatury wirusów programu antywirusowego, niezapisywania loginów i haseł w pamięci komputerów i urządzeń mobilnych, czy też logowania się z urządzeń zaufanych, a nie z kafejek internetowych. Bank nie posiada żadnych prawnych możliwości weryfikacji stopnia zabezpieczeń urządzeń klientów oraz narzucania im tego rodzaju wymagań pod rygorem odebrania dostępów do bankowości internetowej czy też mobilnej. Jedynym dostępnym obecnie narzędziem jest edukacja klientów. Przeciwdziałanie zagrożeniom związanym z korzystaniem z sieci powinno być również powinnością operatorów dostarczających medium komunikacyjnego. Wydaje się zasadne, aby warunkiem zawarcia umowy o świadczenie usługi dostępu do internetu było złożenie przez konsumenta stosownego oświadczenia odnośnie korzystania z zabezpieczeń wskazanych przez dostawcę usług i zgodnych z listą przygotowaną np. przez organ nadzoru. Dodatkowo operator powinien mieć możliwość kontrolowania, czy użytkownik wywiązuje się z podjętych zobowiązań, pod rygorem wypowiedzenia umowy. Operator telekomunikacyjny, w przeciwieństwie do banku, mógłby to fizycznie sprawdzić, rzecz jednak w tym, by zapewnić mu stosowne umocowania w obowiązującym prawie. Nie ma najmniejszych wątpliwości, iż nawet taki podstawowy poziom zabezpieczenia urządzeń należących do klientów, będących wszak najsłabszym ogniwem bankowości elektronicznej, powstrzymałby skutecznie pokaźną część zagrożeń. Ważnym elementem jest też ciągłe podnoszenie świadomości użytkowników. Sektor finansowy od wielu już lat prowadzi stosowne akcje informacyjne, których zauważalnym efektem jest systematyczny wzrost liczby klientów aktywnie przeciwdziałających niebezpieczeństwom pojawiającym się w internecie.

Coraz częściej myśli się o elektronicznym uwierzytelnianiu przy użyciu danych biometrycznych. Co stoi na przeszkodzie, byśmy posługiwali się palcem zamiast dowodem osobistym?

– Patrząc w przyszłość, jest to jak najbardziej słuszny kierunek. Wielość posiadanych przez konsumentów kont bankowych, kont w różnych serwisach internetowych, kart kredytowych, kart dostępowych i innych urządzeń wymagających uwierzytelnienia powoduje naturalną skłonność klientów do zapisywania danych uwierzytelniających, ich upraszczania oraz stosowania jednego zestawu danych do wszystkich serwisów. To oczywiście ma istotny wpływ na ich bezpieczeństwo w sieci. Jeżeli umożliwimy klientowi, by sam dla siebie stanowił uwierzytelnienie, wówczas eliminujemy wiele dodatkowych instrumentów w postaci kart, tokenów, haseł, loginów i numerów PIN – a przecież każdy z tych elementów może zostać przechwycony przez złodzieja. Tym niemniej na drodze do powszechnej autentyfikacji biometrycznej pojawia się przeszkoda natury generalnej, w postaci braku baz danych biometrycznych obywateli, które mogłyby służyć do takiej weryfikacji tożsamości. Wraz z pojawieniem się branżowych baz biometrycznych, bo na powstanie rejestru centralnego prawdopodobnie nie będzie zgody GIODO, na pewno wymagane będzie utworzenie centralnego huba z możliwością wymiany informacji pomiędzy hubami branżowymi. Temu wszystkiemu musi towarzyszyć określenie odpowiedniej koncepcji pobierania i przetwarzania danych biometrycznych, tak by były one jednoznaczne i pewne pod względem weryfikacji, i by nie stworzyć możliwości kreowania wirtualnych lub fałszywych tożsamości. Przygotowanie takich narzędzi nie stanowi żadnego wyzwania pod względem technologicznym ani też organizacyjnym, jedyną barierą pozostaje zatem brak stosownych przepisów. Trzeba również brać pod uwagę reakcję społeczną. Duży opór przed autentyfikacją biometryczną sprawiłby, że bazy nie byłyby kompletne – tymczasem system miałby sens jedynie wówczas, gdy miałby charakter powszechny.

Przejdźmy do bardziej standardowych form uwierzytelniania. Trwają prace nad ustawą o dokumentach publicznych, czy ich efekty zaspokoją oczekiwania banków?

– Historia uporządkowania obszaru dokumentów publicznych trwa już bez mała 10 lat i jak dotąd nie zanotowano żadnych sukcesów. Nowy projekt ustawy o dokumentach publicznych jest obecnie przedmiotem prac komisji sejmowych. Jeżeli nie zostaną zgłoszone do niego żadne uwagi, najpewniej trafi on pod obrady parlamentu, jest zatem szansa, żeby ta ustawa została zatwierdzona jeszcze w tym półroczu. Istotnym rozwiązaniem jest wyodrębnienie trzech kategorii dokumentów publicznych, w zależności od ich znaczenia dla bezpieczeństwa państwa, obrotu prawnego i gospodarczego oraz określenie minimalnego poziomu zabezpieczeń dla każdej z tych kategorii. Ustawa też precyzuje sposób produkcji i emisji takich dokumentów. W przypadku dokumentów istotnych z punktu widzenia bezpieczeństwa państwa, czyli dokumentów I kategorii (na przykład dowodów osobistych i paszportów) producentem będzie Polska Wytwórnia Papierów Wartościowych jako jedyny podmiot spełniający wszystkie postawione przez regulatora wymagania jakościowe oraz zapewniający bezpieczeństwa produkcji. Dokumenty w pozostałych kategoriach mogą wykonywać również inne podmioty, po spełnieniu minimalnych wymagań określonych w przepisach. Niestety, istnieje poważne ryzyko, że wskazanie w ustawie PWPW jako monopolisty może zostać zakwestionowane przez Trybunał Europejski, co znacząco może opóźnić wdrożenie ustawy. Podobna sprawa toczyła się już przed TSUE przeciwko Austrii, gdzie Trybunał orzekł, że przepisy rangi krajowej nie mogą wprost wskazywać podmiotu, któremu zostanie udzielony monopol.

Spore wątpliwości budzi również brak przepisów dotyczących penalizacji posiadania tzw. dokumentów kolekcjonerskich, czyli wiernych imitacji autentycznych dokumentów tożsamości. Co prawda ich użycie oraz produkcja tego typu dokumentów niespełniających wymogów postawionych w tej ustawie będzie karalne, jednak samo ich posiadanie pozostanie dopuszczalne. To oznacza tylko jedno: fałszerze przeniosą swój proceder do krajów trzecich, natomiast policja w dalszym ciągu pozostanie bezradna w przypadku znalezienia takiego dokumentu, jeśli tylko nie został on użyty. Problematyczne może być także dopuszczenie do obiegu „dokumentów kolekcjonerskich”, które wg ustawy są mniejsze niż 75% lub większe niż 120% w stosunku do oryginału. Ustawodawca skoncentrował się najpewniej na rynku polskim, gdzie wymiary dokumentów tożsamości są doskonale znane. Tymczasem za granicą, w tym również w krajach członkowskich Unii, wiedza ta nie musi być powszechna. Oficjalnie wytwarzane repliki dokumentów (pomniejszone lub powiększone na wzór oryginału) mogą być wykorzystane do różnorodnych wyłudzeń, np. samochodów, sprzętu turystycznego z wypożyczalni czy też w hotelach. Wydaje się zasadne, że dla bezpieczeństwa obrotu gospodarczego, dopuszczenie wiernych imitacji oficjalnie obowiązujących dokumentów tożsamości nie powinno mieć miejsca, nawet w sytuacji, kiedy są one pomniejszone lub powiększone. W tym przypadku trudno mówić o proporcjonalności prawa, gdy uzasadnieniem dopuszczenia do obrotu jest to, że dla kaprysu ktoś chce wyrobić imitację dokumentu tożsamości dla dziecka lub zwierzęcia domowego.

Udostępnij artykuł: