KNF, tak jak zapowiadała, opublikowała dziś projekt rekomendacji dotyczącej bezpieczeństwa transakcji płatniczych w internecie. Możecie go znaleźć tutaj.
W piśmie przewodnim komisja podkreśla, że projekt jest zgodny ze wskazówkami zawartymi wcześniej w dokumentach przygotowanych przez instytucje europejskie w tym zakresie, a więc przede wszystkim w rekomendacji Secure Pay oraz w wytycznych Europejskiego Urzędu Nadzoru Bankowego. KNF podkreśla jednak, że w niektórych elementach jej rekomendacja wzmacnia postanowienia unijne.
Projekt rekomendacji nakazuje więc bankom stosowanie tzw. silnego uwierzytelnienia przy dokonywaniu transakcji płatniczych przez klientów. Oznacza to konieczność stosowania przynajmniej dwóch zabezpieczeń przy autoryzacji płatności w internecie. W praktyce, aby móc oferować płatności internetowe kartami, banki będą musiały wdrożyć tzw. system 3D Secure, dzięki któremu płatności autoryzuje się hasłem SMS-owym na tej samej zasadzie, jak przelewy w systemie internetowym.
To nic nowego, bo wytyczne unijne już od dawna tego wymagają. Trwają jednak spory prawników, na ile są one obowiązujące dla instytucji działających w Polsce. Po wejściu w życie rekomendacji KNF tych wątpliwości już nie będzie – banki będą musiały się do nich dostosować. W projekcie rekomendacji jest również mowa o konieczności informowania klientów, że nie mogą ujawniać podmiotom trzecim danych potrzebnych do logowania na konto.
Projekt rekomendacji KNF nakazuje również bankom wprowadzenie limitów transakcji internetowych oraz ograniczenia maksymalnej liczby nieudanych logowań, po wyczerpaniu którego dostęp klienta do rachunku poprzez sieć ma być blokowany.
Komisja pisze także, że w swojej rekomendacji nie stosuje szczegółowego opisu poszczególnych rozwiązań, co oznacza, że banki i inne instytucje płatnicze mają swobodę w podejmowaniu działań, które mają doprowadzić do spełnienia wymogów rekomendacji.
Z projektu wynika, że rekomendacje nie dotyczą innych transakcji, niż transakcje płatnicze, a więc np. usług maklerskich czy zawierania umów za pośrednictwem internetu. Wytyczne nadzoru nie muszą być również stosowane do transakcji mobilnych, przeprowadzanych inaczej niż za pośrednictwem przeglądarki internetowej oraz do operacji wykonywanych za pośrednictwem wiadomości SMS.
