Rynek Finansowy: Atak z trzeciej strony

BANK 2017/12

Bardzo istotna dla sektora finansowego i środowiska e-commerce dyrektywa PSD2 ma przyczynić się do rozwoju, integracji i zwiększenia bezpieczeństwa w handlu elektronicznym w Unii Europejskiej. Niestety, może też wprowadzić nowe pole działania dla cyberprzestępców.

Marcin Podleśny

Nowa dyrektywa w dużej mierze odnosi się do nowych i innowacyjnych podmiotów oferujących usługi finansowe w internecie, tzw. Third Party Providers (TPP). Pojawienie się nowego rodzaju graczy, zaliczanych do tzw. fintechów, wymusiło konieczność legislacyjnego odniesienia się do ich oferty i charakteru prowadzonej działalności. Wdrożenie PSD2 ma na celu nie tylko uporządkowanie i uregulowanie prawnej sytuacji nowych podmiotów typu TPP i ich relacji z tradycyjnymi dostawcami usług płatniczych. Zauważenie i włączenie TPP do szerszego ładu ma służyć również zapewnieniu bezpieczeństwa płatności i ochronie konsumentów. Europejski Urząd Nadzoru Bankowego (EUNB) został dedykowany do wypracowania standardu w tym zakresie. Ma on wypracować konkretne, obiektywne i wspólne standardy bezpieczeństwa. Oznacza to także równe szanse i niwelację występującej na niektórych rynkach dyskryminacji firm oferujących nowe rozwiązania.

Czym jest TPP i dlaczego konieczne były zmiany w prawie UE? Third Party Providers, w przypadku płatności internetowych, to zewnętrzne, niezależne podmioty oferujące usługi z zakresu transferów środków. Są to stosunkowo nowe firmy z branży fintech, które są w stanie zaproponować innowacyjne rozwiązania w obszarze usług finansowych, np. takich jak płatności czy zarządzanie finansami osobistymi. Nowe rozwiązania, oprócz zwiększania jakości dostępnych możliwości, pozytywnie wpływają też na wzrost konkurencyjności i rozwój sektora jako takiego.

– Dyrektywa w sprawie usług płatniczych (w skrócie PSD, 2007/64/WE) z 2007 r. nie obejmowała swoim zakresem podmiotów TPP. Stało się tak z prostej przyczyny – tego typu rozwiązania w tym czasie dopiero się kształtowały. Bardzo dynamiczny rozwój niezależnych pośredników i ich rosnąca popularność sprawiły, że powstała konieczność modyfikacji istniejącego prawa. Stąd rewizji uległa PSD, tak aby dostosować regulacje do nowej rzeczywistości i podmiotów, które weszły na rynek – informuje Georg Schardt, Managing Director w Sofort.

Nowe podmioty

Wśród nowych rozwiązań z pewnością należy wyróżnić dwa typy tzw. Third Party Providers. Pierwszy z nich typu AISP (tzw. Account Information Services Providers) specjalizuje się w usługach polegających na gromadzeniu i porządkowaniu danych z różnych kont bankowych klienta w jednym miejscu. Oznacza to, że korzystając z jednego narzędzia, można mieć wgląd na ekranie w swoje rachunki znajdujące się w kilku bankach. Rozwiązanie to pomaga zachować kontrolę oraz ułatwia zarządzanie zgromadzonymi środkami czy domowym budżetem. Użytkownik nie musi się logować po kolei na swoje konta, które mogą mieć różne przeznaczenie i być rozsiane po kilku instytucjach. Dzięki AISP, ma wszystko obok siebie przed oczami. Drugi typ to tzw. PISP (Payment Initiation Service Providers). Są to pośrednicy techniczni, którzy zajmują się inicjowaniem przelewów bankowych. Podmioty tego typu w znaczny sposób przyczyniają się usprawniania i ułatwiania dokonywania wszelkich płatności w internecie. Maksymalnie automatyzują i upraszczają cały proces finalizacji przelewu, ale także gwarantują wygodę i bezpieczeństwo. Innowacyjne metody płatności oznaczają także niższe koszty obsługi transferów, co w pozytywny sposób może przyczynić się do kształtowania się cen towarów i usług nabywanych online.

– Tymczasem według proponowanych zapisów to bank odpowiada za uwierzytelnienie klienta. Podmiot trzeci inicjuje płatność, ale bank ją uwierzytelnia. Przez podmiot trzeci przechodzą dane, ale to bank je weryfikuje. Rodzi to nowe zagrożenia. Jednym z nich może być atak cyberprzestępców nie na strony banków, jak to jest dzisiaj, ale na zupełnie nowy rodzaj podmiotów, które dopiero zaczynają działalność, więc często nie mają doświadczenia. Mogą mieć też ograniczone nakłady na testy i zabezpieczenia – zauważa Dariusz Wojtas, Head of Product Management, IMPAQ.

Dlatego, zdaniem Dariusza Wojtasa, trzeba mieć na uwadze, że być może nowe procedury nie zabezpieczą skutecznie przed wszystkimi rodzajami ataków. Te, które znamy ciągle będą mogły zachodzić i będą groźne, za to pojawią się nowe. Trudno posądzić, że nowe firmy świadczące usługi typu TPP będą chciały oszukiwać, ale dzięki dopuszczeniu ich do rynku pojawią się nowe rodzaje ryzyk.

– Skoro całość kontaktu podczas płatności będzie odbywała się pomiędzy pośrednikiem obsługujących płatność a klientem, to bank może nawet się nie dowiedzieć o trwającym cyberataku. Ale wyemituje kod potwierdzający dla oszukańczej transakcji, bo taka jest procedura i co więcej ją potwierdzi. Dlatego ważne jest, żeby podmioty trzecie miały u siebie systemy zarządzania ryzykiem dla transakcji i monitorowały je – twierdzi Dariusz Wojtas.

Cezary Piekarski, dyrektor Departamentu Bezpieczeństwa w Banku Millennium, jest zdania, że wprowadzenie PSD2 paradoksalnie może nie zmienić zbyt wiele w zakresie praktycznych obowiązków realizowanych przez banki w obszarze zapewnienia bezpieczeństwa środków klientów. Jednocześnie może zmienić w istotny sposób fundamenty relacji bezpieczeństwa pomiędzy klientem a bankiem. Przede wszystkim w relacji tej pojawią się strony trzecie, które mogą mieć znacząco niższe standardy bezpieczeństwa niż te, które stosuje się w sprawdzonych systemach bankowych. Pociągnie to za sobą szereg zmian w zakresie metod dostępu do rachunku bankowego, a także sposobów jego ochrony.

– Pojawienie się w dwustronnej dotychczas relacji klient-bank strony trzeciej będzie niosło dla klientów banków istotne ryzyko. Rewolucja ta będzie wymagała dużej zmiany modelu uwierzytelnienia i autoryzacji transakcji w ramach API, tak aby ograniczać dostępność transakcji jedynie do tych, które rzeczywiście chce wykonać klient. Preferowana przez niektórych uczestników rynku metoda screen scrapping (lub inaczej credential sharing) doprowadza do kuriozalnej sytuacji, w której klient chcący zasilić konto telefoniczne przy pomocy takiej strony trzeciej, chcąc nie chcąc udostępnia jej możliwość np. logowania do ePUAP. Zapewnienie API umożliwiającego dużą kontrolę uprawnień przez użytkowników, a także skuteczna walka o mądre regulacje w zakresie screen scrapping, są jednymi z podstawowych zadań dla sektora bankowego – przekonuje Cezary Piekarski.

Poczekamy, zobaczymy

Dlaczego zatem Unia Europejska wspiera koncepcję TPP? Unormowanie i określenie pozycji w systemie prawnym niezależnych dostawców usług finansowych w internecie zostało spowodowane kilkoma czynnikami. Przede wszystkim zadecydował o tym fakt, że one istnieją, stale się rozwijają, a z ich usług korzystają miliony obywateli UE. Boom nowych rozwiązań spowodował swoisty zamęt i konieczność odgórnego zarysowania regulacji wprowadzających ład w nowej rzeczywistości. To przyczyna naturalna i zrozumiała, lecz istnieją jeszcze inne czynniki uzasadniające wdrożenie nowej dyrektywy w sprawie usług płatniczych. Jednym z nich jest chęć pobudzania konkurencyjności w e-commerce.

Dariusz Wojtas zauważa, że w Unii Europejskiej rynek jest regulowany i wydaje się, że regulacje otwierające bankowość wyprzedzają potrzeby graczy rynkowych. To podejście zupełnie odwrotne niż w krajach azjatyckich. W Chinach to rynek płatności wyprzedza regulacje bankowe. W 2016 r. chińscy pośrednicy płatności przetransferowali 2,9 tryliona dolarów. Tam banki uczą się i kopiują rozwiązania od fintechów.

– Nowi gracze oferują często lepsze, szybsze, wygodniejsze i co ważne – tańsze rozwiązania, co w naturalny sposób spowoduje ożywanie gry rynkowej na zdrowych, równych zasadach. Dzięki temu handel w sieci będzie jeszcze atrakcyjniejszy nie tylko cenowo, lecz będzie prostszy w obsłudze i bardziej przyjazny. E-commerce z każdym rokiem staje poważniejszą składową PKB poszczególnych państw członkowskich, a także jest jednym z kół napędowych europejskich gospodarek. Stąd w tym względzie PSD2 i zapewnienie dostatecznie chronionej pozycji dla TPP ma te procesy tylko wesprzeć – twierdzi Georg Schardt.

Jeśli chodzi o PSD2, to temat jest trudny do przewidzenia, a nawet do komentowania, gdyż wciąż nie jest zatwierdzona techniczna specyfikacja dotycząca wdrożenia wymogów dyrektywy. Trudno więc snuć plany dotyczące funkcjonowania rynku finansowego w nowych realiach, gdy one tak do końca jeszcze nie są znane.

– Niewątpliwie będzie to największa od wielu lat zmiana w sektorze bankowym, otwierająca zupełnie nowe możliwości obsługi klientów, ale także stawiająca niespotykane wcześniej wyzwania związane z bezpieczeństwem transakcji i danych klientów. Szykujemy się do tej zmiany i rozważamy różne rozwiązania. Jednak jest jeszcze zbyt wcześnie, byśmy mogli mówić o jakichkolwiek konkretach – informuje Przemysław Przybylski, rzecznik prasowy Banku Credit Agricole.