Zdaniem nadzoru, banki wciąż niedostatecznie informują klientów o ryzykach ataków wykorzystujących phishing (metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji – np. danych logowania, szczegółów karty kredytowej – lub nakłonienia ofiary do określonych działań). Dlatego banki powinny zamieszczać wyraźne informacje na stronach logowania do bankowości internetowej
„Bardzo często banki wykorzystują dostępną tam przestrzeń w celach reklamowych czy lokowania produktu, natomiast, w opinii nadzoru, w odpowiednim stopniu powinny być tam komunikowane również treści związane z bezpieczeństwem korzystania z elektronicznych kanałów dostępu do usług bankowych” – czytamy w piśmie do bankowców, do którego dotarł Bankier.pl. Jego autorem jest Wojciech Kwaśniak, wiceszef KNF.
Czytaj również: Atak hakerów na klientów banku
Zaleca on bankom, by nie oszczędzały na zabezpieczeniach, a w swoich działaniach stosowały metodę „security first” (przede wszystkim bezpieczeństwo). Uzasadnienia biznesowe czy kosztowe nie powinny przy tym wpływać na rzetelność oceny ryzyka. Cały czas pojawiają się bowiem nowe ryzyka, a utrata reputacji, związana z ich oszukańczym wykorzystaniem, ma charakter długotrwały i może znacznie przekroczyć oczekiwane, krótkoterminowe zyski.
W dokumencie znajduje się także zalecenie, by banki regularnie dokonywały przeglądu zapisów w regulaminach, które dotyczą obowiązków i odpowiedzialności klientów. Zapisy te powinny uwzględniać aktualną linię orzecznictwa sądowego.
Zdaniem wiceszefa KNF, banki już na etapie składania przez klienta wniosku o dostęp do elektronicznych kanałów powinny edukować i sprawdzać świadomość klienta dotyczącą bezpiecznego korzystania i potencjalnych ryzyk. Co więcej, klient powinien pisemnie poświadczyć, że rozumie ryzyka i będzie stosował się do określonych przez bank zasad bezpieczeństwa.
Zobacz także: Atak hakerski na klientów banku ING
Ta ostatnia kwestia wydaje się z punktu widzenia klientów kluczowa. Oznacza bowiem, że w przypadku udanego ataku phishingowego, bank będzie miał „podkładkę” świadczącą o tym, iż klient znał takie ryzyko, ale nie zastosował się do zasad bezpieczeństwa. A to oznacza, że bank może negatywnie rozpatrzyć jego zgłoszenie reklamacyjne.
Ze statystyk policji wynika, że w 2015 roku odnotowano 5023 przestępstwa o charakterze bankowym, z czego 1117 dotyczyło e-bankowości. 119 przypadków oznaczono dodatkowym znacznikiem: phishing. Jest to wzrost o 100 proc. w porównaniu do roku 2014.
Źródło: Bankier.pl, oprac. MK
Podcasty
Playlisty tematyczne
