Законопроєктом №4364 «Про платіжні послуги» пропонується:
– визначити загальні засади функціонування платіжних систем в Україні; встановити правила надання платіжних послуг та засади державного регулювання платіжного ринку;
– адаптувати законодавство України до законодавства ЄС та сформувати правову підставу для інтеграції платіжної системи України з платіжною системою ЄС; посилити захист прав користувачів платіжних послуг, забезпечивши:
- прозорість надання платіжних послуг та повноту інформації стосовно умов їх надання;
- чіткий розподіл прав та обов’язків користувачів та надавачів платіжних послуг;
- встановлення вимог до управління ризиками надавачів платіжних послуг та аутентифікації користувача.
Звучить гарно, але що це означатиме на практиці? Зокрема, цим законопроєктом зобов’яжуть банки встановлювати посилену автентифікацію власників карток - платників, отримувачів платежу та самої платіжної операції. Вимоги, що, як і коли перевіряти, встановлюватиме НБУ.
Для чого і якої ще інформації банкам не вистачає для надання послуг та контролю за їх виконанням?
Обережно, шахраї!
«...29 січня я отримав смс-повідомлення про списання з його карткового рахунку 4 тис грн. Цього ж дня звернувся на лінію клієнтської підтримки до банку та повідомив, що жодних транзакцій не замовляв. Наступного дня особисто звернувся до відділення банку для подачі заяви про шахрайське списання коштів з його картки...»
«...5 жовтня близько 22 год 30 хв на мій номер телефону було надіслано смс-повідомлення з одноразовим паролем для входу до аккаунту банківського сервісу. Я одразу звернувся на цілодобовий телефон підтримки клієнтів та повідомив про вказаний факт. Цього ж дня без мого відома по картковому рахунку було збільшено кредитний ліміт до 2 000 грн та до 10 000 грн...»
«... банком мені було видано картку для оплат. Про свої дані нікому не розповідала, доступу до банківського сайту (мобільного додатку) стороннім на надавала, мобільний не губила.
Використовувала як фінансовий телефон сім-карту, але з березня перестала ним користуватись. Згодом мені стало відомо, що моїми картками користувались, знімали кошти, використовували вклади з копілки, перераховували кошти на інші карти за допомогою LiqPay. З цими фактами звернулась в поліцію....»
Як часто ми чуємо схожі історії від надавачів банківських послуг?! Звісно, з минулого року з прийняттям Закону №361 ситуація дуже змінилась, особливо щодо ідентифікації та верифікації клієнтів при відкритті рахунків та користуванні ними. Проте проблеми з шахраями, з огляду на кількість звернень до мобільних операторів та на лінії клієнтської підтримки банків, це остаточно не вирішило. Підтверджує це й судова практика.
І ось законотворці взялись вирішити цю проблему на законодавчому рівні. Зокрема, 19.02.2021 року прийнято у першому читанні проєкт Закону про платіжні послуги.
Що пропонується у Законі для захисту клієнтів?
По-перше, планується саме банківські установи зобов’язати запровадити систему захисту інформації при виконанні платіжних операцій та персоніфікованих облікових даних на всіх етапах її формування, оброблення, передавання та зберігання.
По-друге, зобов’язати банки розробити та застосовувати елементи посиленої автентифікації для захисту доступу до банківських операцій, інших сервісів від несанкціонованого доступу та не розголошення/конфіденційності даних як користувача, так і певного платіжного засобу.
По-третє, під час ініціювання платіжної операції пропонується зобов’язати банки встановлювати посилену автентифікацію шляхом динамічного пов’язування суми платіжної операції і конкретного отримувача суми платежу (тобто автентифікація має стосуватись як ініціатора, так і отримувача платежу за карткою). Хоча деякі платіжні системи та банки вже використовують динамічний код – надісланий на фінансовий номер цифровий ідентифікатор дійсний протягом короткого часу.
Зауважимо, що на сьогодні багато банків використовують автентифікацію платежу шляхом надсилання одноразового ідентифікатора на фінансовий (мобільний) номер власника картки. Причому це не залежить від того, чи йдеться про картку банку з мобільним додатком, чи мобільного банку в телефоні.
Цікаво те, що навіть коли ми говоримо про один й то самий банк, то далеко не всі операції вимагають одноразового паролю (ідентифікатора) – окремі операції зі списання коштів відбуваються без додаткового підтвердження з боку власника картки, про що останній дізнається або з самого додатку, або з смс-повідомлення на фінансовий номер (чат-боту, Viber тощо).
Самі ж банки по-різному пояснюють такі дії – постійні платежі, невеликі суми тощо.
Деякі банківські мобільні додатки мають спрощену процедуру підвищення кредитного ліміту за використанням того ж самого одноразового паролю (цифрового ідентифікатора).
Загалом, це продиктовано й діями самих користувачів – у разі потреби збільшити кредитний ліміт чи терміново перевести кошти (дітям, батькам і т.п.) ми не терплячі до тривалих процедур автентифікації з боку банків. Власнику картки потрібно щоби все було якнайшвидше та найпростіше. Про посилені заходи безпеки ми часто думаємо згодом та подекуди буває вже запізно.
Звісно, всю відповідальність, на думку власника картки, мають нести самі банки – вони розробили мобільні додатки, надали можливість користуватись їхніми сервісами, отже, мають подбати про посилені заходи захисту як даних користувача, так і його картки та самої платіжної операції чи іншого фінансового сервісу, і відповідати за несанкціоновані власником картки платіжні операції.
Втім, банки роблять багато чого для захисту коштів своїх клієнтів. Наприклад, деколи під час чергового входу до мобільного додатку пропонується змінити пароль, якщо він використовується більше року часу. Але як часто клієнти цим нехтують!
Вище ми навели ситуацію, коли фізособа отримувала картку та прив’язувала її до певного номеру мобільного оператора (фінансового номеру). Але, коли відмовилась ним користуватись (це може бути з різних причин, у т.ч. й у разі втрати сім-карти) забувала змінити фінансовий номер. А це вже прояв безпечності самого клієнта, хоча звинуватити у розголошенні його даних тут доволі складно. Втім, й змушувати відповідати банки чи мобільні оператори у таких або інших подібних випадках також не варто.
Після набрання чинності коментованого законопроєкту ситуація зміниться – законодавці вирішили зобов’язати банки надавати послуги лише після автентифікації клієнта шляхом встановлення та підтвердження особи користувача платіжних послуг та/або належності саме користувачу платіжного інструменту (карти, мобільного додатку тощо) до виконання/надання платіжної послуги. При цьому йдеться й про перевірку персоналізованих облікових даних власника/користувача картки.
Як перевірятимуть персональні дані клієнтів? Це має визначити НБУ
З набранням чинності Закону №361 ми всі відчули посилені вимоги з перевірки клієнтів банків щодо підтвердження даних. Банки доволі часто вимагають надати копію паспорта (ID-картки), податкового номера тощо. І в окремих випадках банки вдаються до радикальних заходів – погрожують заблокувати картку або тимчасово блокують можливість здійснення платежів (переказу коштів тощо).
Чи зміниться ця ситуація у гіршу сторону і до яких дій будуть вдаватись більшість банків, покаже час. Адже щодо посиленої автентифікації, то тут всіх очікує сюрприз: ця процедура за замовчуванням вважатиметься обов’язковою.
Довідково. Посилена автентифікація – процедура автентифікації, яка передбачає використання двох чи більше елементів, що належать до різних категорій:
- знань (володіння інформацією (даними), що відома лише користувачу);
- володінь (застосування предмета матеріального світу, яким володіє лише користувач);
- притаманність ((перевірка біометричних даних або інших властивостей (рис, характеристик), притаманних лише користувачу та які відрізняють його від інших користувачів).
Як вона проводитиметься, коли її можна буде не проводити – встановлюватиме НБУ!
Втім, пропонується застосовувати посилену автентифікацію обов’язково у випадках:
- отримання доступу до рахунку за допомогою засобів дистанційної комунікації через нову точку доступу або новий пристрій;
- ініціювання платіжної операції;
- будь-яких інших дій за допомогою засобів електронної взаємодії, що мають ознаки вчинення сторонніми особами шахрайських дій чи інших неправомірних дій.
Але навіть у разі прийняття цього Закону з таким вимогами посиленої автентифікації, власникам карток не варто забувати про звичайні міри безпеки. Зокрема, пам’ятати кодове слово і нікому його не повідомляти, змінювати пароль мобільного додатку, змінювати пароль до картки при користуванні терміналами та банкоматами, не зберігати в телефоні фото картки тощо. Навіть тоді, коли мобільні додатки та банки пропонують клієнтам динамічний CVC-код, який може змінюватись, зокрема, раз на годину.
Загалом, все, що пропонується у законопроєкті, вже втілено багатьма банками та платіжними сервісами. Наразі це все пропонується закріпити на рівні Закону як обов’язкові вимоги. Але, враховуючи, що правила гри буде диктувати НБУ, як швидко ми побачимо результати такого захисту клієнтів та платіжних операцій та які обов’язкові вимоги при цьому виникнуть, покаже лише час.
