Bezpieczeństwo w finansowej sieci

Rafał Skiba: Regulacje prawne starają się nadążać za rozwojem e-finansów. Ale tam gdzie są pieniądze, zawsze będzie istnieć pewne ryzyko.

15.03.2013

Czyta się kilka minut

 / Fot. Paul Giamou / CORBIS
/ Fot. Paul Giamou / CORBIS

KRZYSZTOF SOBCZAK: Czy wszystkie bankomaty są bezpieczne?
RAFAŁ SKIBA: Gdy mamy obawy co do bezpieczeństwa, to korzystajmy z urządzeń znanych nam międzynarodowych banków. W różnych częściach świata możemy spotkać się z rozmaitymi zagrożeniami. Jeśli mamy wątpliwości, realizujmy nasze płatności za pośrednictwem uznanych organizacji płatniczych czy banków.
Teraz już niemal każdy nosi w portfelu co najmniej jedną kartę płatniczą. Czy to bezpieczne narzędzie, czy te transakcje są dobrze od strony prawnej zabezpieczone?
Aktualnie w naszym prawie kwestie ryzyka związanego z płatnościami z użyciem kart płatniczych reguluje ustawa o usługach płatniczych. Jej przepisy są korzystne dla użytkowników kart. Ustawa ta przyjmuje generalną zasadę, że ryzyko związane z nieautoryzowanymi transakcjami spoczywa na wydawcy karty.
Na czym to ryzyko polega?
Nieautoryzowane transakcje to wszystkie przypadki, kiedy płatność kartą nie została zaakceptowana przez uprawnionego użytkownika karty w sposób określony w umowie z jej wydawcą. Może to nastąpić w sytuacji, gdy karta zostanie przez nas utracona, np. zgubiona, gdy nam ją skradziono, ale także wtedy, gdy ktoś zdobył dane dotyczące naszej karty i posłużył się nimi. Pamiętajmy, by chronić karty, zachowując ostrożność przy ich używaniu. Na użytkowniku karty spoczywa obowiązek podjęcia środków w celu jej zabezpieczenia, należytego przechowywania i nieudostępniania osobom nieuprawnionym.
Zaraz po otrzymaniu trzeba kartę podpisać. Nigdy nie zapisujmy numeru PIN na karcie, nie przechowujmy go razem z nią. Najlepiej go zapamiętać. Nie udostępniajmy karty i jej PIN-u innym osobom. Płaćmy kartą w sposób dyskretny, by ktoś nie podpatrzył wprowadzanego kodu. Nie traćmy karty z oczu podczas wykonywania transakcji. Chrońmy kartę przed kradzieżą szczególnie w miejscach publicznych. Zabierajmy wszelkie potwierdzenia transakcji czy to zakończonych wykonaniem płatności, czy odmową. Sprawdzajmy także kwotę transakcji na jej potwierdzeniu.
Chodzi o to, że na tych wydrukach są cechy naszej karty, które mogą ułatwić jej wykorzystanie?
Tak, tam są dane naszej karty, które mogą być wykorzystane, a więc nie należy pozbywać się ich w miejscach publicznych. Do takiego abecadła środków ostrożności trzeba też dodać zalecenie, aby mieć zapisany, w telefonie lub w podręcznym notesie, numer telefonu do centrum obsługi wydawcy karty, by móc szybko zastrzec utraconą kartę lub wyjaśnić inne problemy.
Jak szybko należy to zrobić?
Jak najszybciej, bo ma to kluczowe znaczenie dla bezpieczeństwa naszych pieniędzy. Zgodnie z ustawą mamy obowiązek zgłosić to niezwłocznie po stwierdzeniu utraty, kradzieży czy też nieuprawnionego użycia naszej karty. Po zastrzeżeniu karty my jako jej użytkownik nie ponosimy odpowiedzialności za nieautoryzowane transakcje, za wyjątkiem sytuacji, gdy doprowadziliśmy do tego umyślnie.
Czyli?
Na przykład, gdy udostępniliśmy innej osobie naszą kartę, jej dane, albo gdy dopuściliśmy się rażącego niedbalstwa w związku ze spoczywającym na nas obowiązkiem ochrony karty i jej zabezpieczeń. Przy czym okoliczności niekorzystnie obciążające użytkownika karty powinien udowodnić wydawca karty.
A jak jest z tą odpowiedzialnością do momentu zastrzeżenia?
Zgodnie z ustawą do czasu zastrzeżenia karty ponosimy jako jej użytkownicy odpowiedzialność za nieautoryzowane transakcje do równowartości 150 euro. To rozwiązanie ma dyscyplinować nas do tego, aby nie zwlekać z zastrzeżeniem karty. Należy zrobić to natychmiast, gdy zorientujemy się, że ją utraciliśmy, albo gdy zauważymy, że doszło do nieautoryzowanej transakcji z jej użyciem. Dlatego trzeba regularnie przeglądać zestawienie transakcji wykonanych kartą. Zgodnie z ustawą nieprzekraczalny termin na zgłoszenie to 13 miesięcy od dnia obciążenia nas transakcją. Jeśli nie zrobimy tego w tym czasie, nasze roszczenie wobec wydawcy karty wygaśnie. Poza tym trzeba też pamiętać, że jeżeli będziemy zwlekać z zastrzeżeniem karty, a w tym czasie ktoś będzie dokonywał płatności z jej użyciem, to możemy spotkać się z zarzutem, że swoją opieszałością przyczyniliśmy się do powstania szkody.
Rozumiem, że zastrzeżenie następuje wtedy, gdy zadzwoniłem i poinformowałem.
Tak, ale pamiętajmy również, że w niektórych bankach możemy zablokować kartę także za pośrednictwem systemu bankowości elektronicznej, którego jesteśmy użytkownikiem. Wydawca karty ma obowiązek zapewnienia stałej dostępności odpowiednich środków służących do dokonania zgłoszenia przez użytkownika karty, czyli non stop przez 365 dni w roku. Zawsze musimy mieć możliwość zgłoszenia problemów z naszą kartą. Jeśli wydawca karty nam tego nie umożliwi, to będzie ponosił odpowiedzialność za transakcje, nawet gdybyśmy karty nie zastrzegli z uwagi na brak takiej możliwości. Nie dotyczy to sytuacji, gdy jako użytkownik karty do nieautoryzowanych transakcji doprowadziliśmy umyślnie.
W razie sporu dowodem byłby biling, pokazujący, że próbowałem się połączyć?
W określonych okolicznościach mógłby to być dowód przemawiający na naszą korzyść. Przy zastrzeganiu kart trzeba też pamiętać, że to wydawca karty ma obowiązek stworzenia procedury pozwalającej na udowodnienie dokonania zgłoszenia.
Co się dzieje po zastrzeżeniu?
Po zastrzeżeniu za nieautoryzowane transakcje odpowiada już wyłącznie wydawca karty. To on ma obowiązek natychmiastowego zablokowania karty i wyłączenia jej z użytku.
Przy tradycyjnych kartach wiemy, że należy je chronić, a płacąc w sklepie, trzeba wprowadzać PIN możliwie dyskretnie. Ale w przypadku dość powszechnych już kart zbliżeniowych, przy małych transakcjach nic nie trzeba wpisywać. Kartę przykładamy do czytnika i już jest zapłacone. Tyle że złodziej też tak może zrobić.
Do kart zbliżeniowych, przeznaczonych w założeniu do wykonywania niewielkich płatności, w przypadku nieautoryzowanych transakcji stosuje się te same zasady, o których przed chwilą rozmawialiśmy. W praktyce różnica dotyczy sposobu autoryzacji transakcji – przy transakcjach zbliżeniowych nie ma wymogu wprowadzania kodu PIN. Jak się okazało, problem z tymi płatnościami polega na tym, że część z nich wykonywana jest w trybie offline, czyli bez połączenia się z systemem płatniczym wydawcy karty w momencie dokonywania płatności. Nawet jeśli karta zostanie zastrzeżona, to nie można wykluczyć, że nadal mogą być realizowane transakcje z jej użyciem. W każdym wypadku, gdy stracimy taką kartę, trzeba jak najszybciej ją zastrzec. Jeśli będziemy mieli dowód, że w określonym czasie dokonaliśmy stosownego zgłoszenia to, co do zasady, od tego momentu nie odpowiadamy za transakcje. Pamiętajmy także, że posługując się kartami płatniczymi, możemy wykupić ubezpieczenie chroniące nas przed skutkami nieautoryzowanych transakcji. Warto z tej opcji korzystać.
Niektórzy wydawcy ograniczają dzienną liczbę płatności. Czy banki mają taki obowiązek?
Wydawca karty ma obowiązek zapewnić, aby był to bezpieczny instrument płatniczy dla jego użytkownika, a służące temu zabezpieczenia były skuteczne. Przy kartach zbliżeniowych limity dzienne również pełnią rolę zabezpieczenia i jeśli są przewidziane w umowie z klientem, to powinny skutecznie go chronić. Zwracajmy na to uwagę i pytajmy o taką możliwość swój bank. Ponadto niektóre banki stosują wymóg, aby losowo wybrane płatności zbliżeniowe co jakiś czas były potwierdzone wprowadzeniem kodu PIN.
Urząd Ochrony Konkurencji i Konsumentów upominał wydawców kart, że nie mogą np. przerzucać na klientów ryzyka związanego z awarią własnego systemu informatycznego czy bankomatu.
Dostarczając klientowi narzędzi płatniczych w formie karty płatniczej czy ­e-konta, wydawca ma obowiązek zadbać o to, by klient mógł z nich bezpiecznie korzystać.
Co ma robić właściciel rachunku, któremu mimo prawidłowego wprowadzenia kodu PIN bankomat nie wypłaci pieniędzy?
Natychmiast należy zadzwonić do operatora bankomatu i postępować zgodnie z jego instrukcjami. Stosowny numer telefonu można znaleźć z reguły na każdym bankomacie. Generalnie jednak nowoczesne bankomaty to całkiem bezpieczne dla użytkownika urządzenia.
Bankomaty są coraz doskonalsze, ale czy wybieranie z nich pieniędzy jest też bezpieczniejsze?
Oczywiście, także dzięki temu, że aktualnie dominują już karty z chipami. Parę lat temu dość powszechnym przestępstwem był tzw. skimming, polegający na tym, że przestępcy montowali na bankomacie urządzenia mające na celu odczytanie i skopiowanie danych z paska karty. Dane z karty chipowej znacznie trudniej skopiować. Do bezpieczeństwa transakcji w bankomatach przyczynia się też fakt, że większość z tych urządzeń ma zamontowane kamery.
Jakie są zasady posługiwania się i zabezpieczenia w przypadku rachunków internetowych?
System bankowości elektronicznej oraz procedury związane z korzystaniem z niego to także instrument płatniczy, do którego stosuje się te same zasady dotyczące autoryzacji transakcji i ryzyka przeprowadzenia nieautoryzowanych operacji. Bank, który nam go udostępnia, ma obowiązek stosować odpowiednie zabezpieczenia chroniące klienta. Klient korzystający z bankowości elektronicznej dysponuje swoim loginem, hasłami, w odpowiedni sposób potwierdza transakcje, czyli autoryzuje je z wykorzystaniem tokenów, kart kodów, esemesów wysyłanych na wskazany numer. Bank powinien dbać o skuteczność zabezpieczeń i je weryfikować. Klient zaś ma obowiązek korzystania z bankowości elektronicznej we właściwy sposób, z podjęciem środków, które mają na celu zapobiegnięcie naruszeniu zabezpieczeń. Do systemu bankowości elektronicznej powinniśmy logować się tylko z zaufanych komputerów, które mają stosowne oprzyrządowanie w postaci aktualnych programów antywirusowych oraz zapór sieciowych, tzw. firewalli. Nie wolno udostępniać naszych kodów PIN czy innych haseł osobom nieuprawnionym. Zawsze należy poprawnie się wylogować z systemu po zakończeniu sesji. Zagrożenia przy e-kontach, podobne jak przy kartach płatniczych, związane są przede wszystkim z wykonaniem nieautoryzowanych transakcji.
Czy obrót na e-kontach jest bezpieczny? Jeśli wpłacamy na swój lub inny rachunek pieniądze, to możemy być pewni, że one trafią we właściwe miejsce?
Jeśli nie dojdzie do pomyłki po naszej stronie lub do awarii systemu, to ryzyko takiego zdarzenia jest niewielkie. Banki stosują określone standardy, wykorzystując szyfrujące algorytmy, by taka operacja była bezpieczna. Aby zwiększyć nasze bezpieczeństwo, logując się do systemu bankowości elektronicznej, sprawdzajmy, czy adres strony serwisu do logowania w przeglądarce rozpoczyna się od literek https, wskazujących na bezpieczny protokół używany w tym celu, a także czy w naszej przeglądarce pojawił się symbol kłódki. Warto zawsze najechać kursorem na tę kłódkę i zweryfikować, czy certyfikat bezpieczeństwa został wydany dla naszego banku. Logując się do bankowości elektronicznej, należy postępować zgodnie z instrukcjami podanymi przez bank.
Słyszymy co jakiś czas o atakach cyberprzestępców na różne systemy informatyczne, także na bankowe. Czy to jest realne zagrożenie dla posiadacza e-rachunku?
Systemy informatyczne banków są jednymi z najbezpieczniejszych w sieci. Dla klienta poważniejszym problemem od ataków na systemy banku są próby wyłudzania od niego poufnych informacji, które mogą być później wykorzystane do przeprowadzenia nieautoryzowanych transakcji na jego rachunku. Jeśli dojdzie do tego z winy umyślnej klienta lub na skutek jego rażącego niedbalstwa w zachowaniu bezpieczeństwa, podobnie jak w przypadku kart płatniczych, może on odpowiadać za nieautoryzowane transakcje w pełnej wysokości. Oczywiście bank musi to udowodnić. Dlatego należy natychmiast zgłaszać w banku wszelkie nieuprawnione użycie lub dostęp do naszego e-konta, a także próby wyłudzenia od nas jego zabezpieczeń.
Popularne stają się zakupy internetowe. Mają one wiele zalet, ale są też bardziej ryzykowne niż w tradycyjnym sklepie. Pieniądze wpłacamy, a potem może się zdarzyć, że towaru nie dostaniemy. Jak się przed tym zabezpieczać?
Jednym ze sposobów jest robienie zakupów tylko u uznanych, godnych zaufania sprzedawców. Są wśród nich też mniej znane sklepy, które wprowadziły u siebie pewne standardy obsługi klienta, i posiadające stosowne certyfikaty np. Euro Label czy Trusted Shops. Tacy sprzedawcy są sprawdzani, muszą spełniać odpowiednie warunki techniczne, stosują minimalne wymogi wynikające z kodeksu dobrych praktyk. Jeśli więc sklep ma taki certyfikat, to możemy sądzić, że mamy do czynienia z zaufanym sprzedawcą. Poza tym, kupując w sieci, tak jak w świecie realnym, zawsze bądźmy ostrożni, gdy widzimy nadzwyczaj atrakcyjną ofertę, np. gdy dany towar jest dwa razy tańszy niż na rynku. To może oznaczać, że mamy do czynienia z oszustem. Jeśli pojawią się jakieś wątpliwości, sprawdzajmy dane sprzedawcy. Powinny być one podane na jego stronie i zawierać pełną nazwę firmy, jej adres, dane rejestrowe, dane kontaktowe, w tym numer telefonu. Jeśli jest on podany, możemy zadzwonić i spytać o interesujące nas informacje oraz próbować weryfikować sprzedawcę i jego ofertę. Gdy strona sprzedawcy nie zawiera takich danych, a podany jest np. jedynie adres mailowy, lepiej nie kupować w takim miejscu. Poważni sprzedawcy nie ukrywają informacji na swój temat. W sytuacji gdy zapłaciliśmy, a zamówiony towar nie przychodzi, płacąc kartą, nie jesteśmy w beznadziejnym położeniu. Z pomocą przychodzi nam procedura chargeback. Możemy wtedy złożyć reklamację u wydawcy naszej karty i mamy szansę na odzyskanie pieniędzy na podstawie regulacji organizacji płatniczych, za pośrednictwem których zrealizowaliśmy transakcję.
A co z tym nieuczciwym sprzedawcą?
W pierwszym rzędzie powinniśmy podjąć próbę nawiązania kontaktu z takim sprzedawcą oraz samodzielnie spróbować wyjaśnić sprawę, by odzyskać pieniądze. Jeśli to się nie powiedzie, trzeba złożyć reklamację u naszego wydawcy karty. Dalej sprawą zajmuje się już bank, agent rozliczeniowy i organizacja płatnicza. Ponadto nieuczciwy sprzedawca ponosi odpowiedzialność cywilną i karną.
Co robić, jeśli dostaliśmy zamówiony towar, ale nie jest on taki, jak oczekiwaliśmy, lub jest wadliwy?
Również wówczas możliwe jest zastosowanie procedury chargeback. W przypadku problemów możemy zwrócić się także o pomoc do instytucji wspierających i pomagających konsumentom. Z problemami związanymi z zakupami internetowymi w krajach Unii Europejskiej możemy np. zwracać się do Europejskiego Centrum Konsumenckiego. Poza tym nie zapominajmy, że w przypadku zakupów w sieci także korzystamy z ogólnych przepisów dotyczących ochrony konsumentów, jak przy tradycyjnych zakupach. Przy konsumenckiej sprzedaży na odległość możemy w ciągu 10 dni od zawarcia umowy odstąpić od niej bez podawania przyczyn, składając stosowne oświadczenie, i odesłać zakupiony w ten sposób towar.
Do tego potrzebny jest adres sprzedawcy.
Również tutaj widzimy, jak ważne są zweryfikowane dane o sprzedawcy.
Czy sposób płacenia kartą przy takich zakupach ma znaczenie z punktu widzenia bezpieczeństwa?
Przy płaceniu kartą poziom naszego bezpieczeństwa podnosi się dzięki możliwości zastosowania wspomnianej już procedury chargeback. Płacąc kartą w sieci, pamiętajmy, że do transakcji internetowych służy nie PIN, lecz kod CVV2/CVC2, znajdujący się na jej odwrocie lub na końcu numeru karty. Naszemu bezpieczeństwu sprzyja także fakt, że sklep nie ma wglądu do numerów i danych karty. Transakcja przeprowadzana jest za pośrednictwem centrum autoryzacyjno-rozliczeniowego z wykorzystaniem protokołów szyfrujących. Po wybraniu w sklepie internetowym płatności kartą jesteśmy przekierowywani do strony agenta rozliczeniowego, a następnie na stronę centrum autoryzacyjnego i tam dokonujemy płatności. Nie ma więc obowiązku czy potrzeby podawania danych naszej karty sprzedawcy. Zabezpiecza nas to przed przechwyceniem tych danych przez nieuczciwego sprzedawcę.
Przy zakupach internetowych zwykle jest możliwość wyboru sposobu płatności – kartą lub przelewem z rachunku. Co Pan by rekomendował z punktu widzenia bezpieczeństwa?
Ciekawym rozwiązaniem są karty przedpłacone przeznaczone jedynie do płatności internetowych. Karty takie można zasilić ze swojego konta stosowną kwotą pieniędzy, taką, jakiej potrzebujemy do wykonania transakcji. Nie ryzykujemy więcej niż sumą, jaką doładowaliśmy kartę. Dobrym rozwiązaniem są także karty płatnicze z zabezpieczeniem w technologii 3DS, czyli 3D Secure. Rozwiązanie to, stosowane przez niektórych wydawców kart, polega na tym, że kiedy chcemy sfinalizować transakcję, to jesteśmy odsyłani do naszej bankowości elektronicznej, gdzie musimy się zalogować i podać końcowe hasło, z reguły – tak jak przy płatnościach – bezpośrednio z konta. Podając hasło, ostatecznie autoryzujemy transakcję.
To jeszcze nie jest standardowa usługa.
W niektórych bankach ten standard jest już dostępny.
Pojawiają się nowe rozwiązania techniczne, za tym idą nowe narzędzia dotyczące płatności i rozliczeń, a więc i nowe zagrożenia. Czy polskie i europejskie prawo za tym nadąża?
Regulacje prawne starają się nadążać za rozwojem tej dziedziny i nie pozostawać za bardzo w tyle. Jeśli wraz z rozwojem technologii pojawiają się nowe zagrożenia, to obowiązkiem ustawodawcy jest zareagować w odpowiedni sposób. Trzeba jednak zauważyć, że twórcy nowych rozwiązań dla bankowości elektronicznej stosują coraz lepsze formy i sposoby zabezpieczeń. Chodzi np. o testowanie rozwiązań opartych na czytnikach biometrycznych. Po drugiej stronie barykady są przestępcy, którzy nie ustają w wysiłkach, aby wprowadzane zabezpieczenia przełamać lub ominąć. Tam, gdzie są pieniądze, zawsze będzie istnieć pewne ryzyko.
Ale obie te grupy potrafią działać szybko, co nie zawsze można powiedzieć o autorach niezbędnych zmian w przepisach.
Postronny obserwator może odnieść takie wrażenie. Dlatego ważne jest także zachowanie samych banków i instytucji nadzoru. Reakcją na nowe zagrożenia powinny być także zmiany w procedurach i standardach rynkowych mających zastosowanie do wykonywania transakcji. Upowszechnianie i rozwijanie bezpiecznych form płatności bezgotówkowych leży w interesie zarówno instytucji finansowych, jak i ich klientów. 

RAFAŁ SKIBA jest radcą prawnym w komercyjnym banku, prowadzi bloga „Pieniądze i Prawo”.

Dziękujemy, że nas czytasz!

Wykupienie dostępu pozwoli Ci czytać artykuły wysokiej jakości i wspierać niezależne dziennikarstwo w wymagających dla wydawców czasach. Rośnij z nami! Pełna oferta →

Dostęp 10/10

  • 10 dni dostępu - poznaj nas
  • Natychmiastowy dostęp
  • Ogromne archiwum
  • Zapamiętaj i czytaj później
  • Autorskie newslettery premium
  • Także w formatach PDF, EPUB i MOBI
10,00 zł

Dostęp kwartalny

Kwartalny dostęp do TygodnikPowszechny.pl
  • Natychmiastowy dostęp
  • 92 dni dostępu = aż 13 numerów Tygodnika
  • Ogromne archiwum
  • Zapamiętaj i czytaj później
  • Autorskie newslettery premium
  • Także w formatach PDF, EPUB i MOBI
89,90 zł
© Wszelkie prawa w tym prawa autorów i wydawcy zastrzeżone. Jakiekolwiek dalsze rozpowszechnianie artykułów i innych części czasopisma bez zgody wydawcy zabronione [nota wydawnicza]. Jeśli na końcu artykułu znajduje się znak ℗, wówczas istnieje możliwość przedruku po zakupieniu licencji od Wydawcy [kontakt z Wydawcą]

Artykuł pochodzi z numeru TP 12/2013