Bezpieczeństwo bankowości internetowej staje się dużym problemem już nie tylko w krajach anglosaskich, ale również i w Polsce. W odróżnieniu od na przykład USA, dla polskich instytucji finansowych podstawowym problemem nie jest jednak ryzyko operacyjne, ale przede wszystkim ryzyko utraty wizerunku.
A wizerunek – jak wiadomo rzecz dość trudna do wymierzenia i wyliczenia, a przede wszystkim do odzyskania, jeśli się go już raz “straci”. A wiadomo, że w bankowości ma to niebagatelne znaczenie przy podejmowaniu przez klientów decyzji finansowych. Gwałtowny rozwój bankowości internetowej w Polsce spowodował coraz większe problemy z zapewnieniem klientom bezpieczeństwa. Jak się okazuje – mimo, że same systemy bankowe są doskonale zabezpieczone – problem leży gdzie indziej. Klienci chętnie korzystają z internetu, który niewątpliwie ułatwia im życie – tyle, że nie do końca potrafią z niego korzystać. Co więcej banki są w tym przypadku bezradne – nawet w przypadku zastosowania zasady “coś co mam – np. kartę kodów jednorazowych i coś co znam – np. hasło służące do logowania się do systemu”. W rzeczywistości da się to jednak obejść – i przestępcy to zaczęli wykorzystywać . Tylko w modelowym świecie klienci nie podają swoich danych osobom, które dzwonią i przedstawiają się jako pracownicy banków. Z badań przeprowadzonych np. w Wielkiej Brytanii wynika, że ok. 21% klientów podaje co najmniej podstawowe dane na temat ich rachunku bankowego. W Polsce na całe szczęście nie ma aż takiego problemu z kradzieżą tożsamości, ale zapewne liczba klientów potencjalnie narażonych na wyłudzenie wrażliwych informacji – też będzie wysoka.
Zdając sobie z tego sprawę wszystkie rodzime banki zaczęły ostatnio na swoich stronach internetowych zmasowane akcje edukacyjne na temat zachowania bezpieczeństwa w internecie. I tak jednak pozostanie grupa dość odpornych na taką wiedzę klientów. Co robić w takiej sytuacji? Zwłaszcza, że bank nie może odpowiadać za brak zabezpieczeń na komputerze, z którego użytkownik łączy się z systemem transakcyjnym. Niby nie może, ale patrząc na informacje pojawiające się w mediach wynika, że jednak powinien. Kłania się tutaj nie tylko edukacja końcowych klientów, ale również samych dziennikarzy, którzy są swego rodzaju przekaźnikami pomiędzy rynkiem a konsumentami. Niestety mało kto zauważa, że przestępca okrada w tym akurat przypadku nie bank, a klienta – inaczej niż przy tradycyjnym napadzie na placówkę, gdzie nie znikają pieniądze z konkretnego rachunku. Jednym słowem – uświadamianie i edukowanie to jedno, a drugie to stworzenie jeszcze bezpieczniejszego systemu, który uniemożliwi włamanie na rachunek nawet najbardziej odpornego na informację klienta. Warunkiem koniecznym musi być jednak łatwość korzystania. Praktycznie 100% zabezpieczenie dostępu jest możliwe, ale trzeba pamiętać o kosztach, a przede wszystkim o wygodzie korzystania.
Ostatnio powszechnie wdrażanym w Polsce, nowym system zabezpieczeń stają się kody SMSowe. Jednym słowem rezygnuje się z wszelkiego rodzaju tokenów czy haseł jednorazowych zapisanych na kartkach, na rzecz kodów, które przychodzą do klienta dokładnie w momencie zaistnienia płatności. Od jakiegoś czasu SMS Kody ma w swojej ofercie BZ WBK i Bank BPH. Do jego grona dochodzi własne mBank – w przyszłym roku zapewne MultiBank.
System oparty na krótkich wiadomościach tekstowych ma oczywiście pewne wady – jest ograniczony zasięgiem sieci i panującym w niej natężeniem ruchu – jednak w większości przypadków sprawdza się doskonale. Nowy system zabezpieczeń do niedawna testowali pracownicy mBanku, od 13 grudnia będą go mogło testować pierwsze tysiąc osób, które wypełnią specjalny formularz umieszczony na stronach banku. Nam udało się już przetestować nowy system – i podobnie jak w przypadku rozwiązania w BPH czy BZ WBK – możemy powiedzieć jedno – działa świetnie! SMSy przychodzą od razu – z dokładnym opisem operacji (numer, data i opis – np definicja przelewu z rach. XXXXXXXX na rach. YYYYYYYY) i 8 cyfrowym kodem jednorazowym). Jeśli SMS nie przyjdzie, bo na przykład jesteśmy poza zasięgiem sieci – pozostaje dodatkowa możliwość – przesunięcie autoryzacji do internetowej poczekalni i potwierdzenie transakcji przez kanał IVR – wystarczy zalogować się w standardowy sposób – i już – nie trzeba nic potem wpisywać. Co najważniejsze – w odróżnieniu od konkurencji – hasła SMSowe są w mBanku bezpłatne.
Przejście z TANów na kody SMSowe jest bardzo proste – wystarczy potwierdzić taką chęć i na podany we wniosku przy zakładaniu numer komórki przychodzi SMS z prośbą o podanie – i tu ciekawostka – pierwszego niewykorzystanego hasła jednorazowego z dotychczasowej listy haseł jednorazowych. Dopiero po takiej autoryzacji można w pełni korzystać z haseł SMSowych.
mBankowy sposób na bezpieczeństwo z całą pewnością będzie cieszyć się dużym powodzeniem. O ile o kodach w BZ WBK (pierwsze 5 w miesiącu bezpłatnie), czy w BPH (liczba bezpłatnych zależnie od wersji konta Sezam – ale coś ok. 10) było raczej cicho – to tutaj przewidujemy, że ze względu na liczbę klientów – może być znacznie głośniej. Z całą pewnością na nowo rozpocznie to wyścig o prymat bezpieczeństwa, a mBank dołączy tym samym znów do grona liderów. I dobrze, bo bycie pionierem do czegoś w końcu zobowiązuje...
Nowy system zabezpieczeń będzie dostępny dla wszystkich klientów prawdopodobnie na początku nowego roku. Oczywiście – jeśli powiodą się testy – trzeba pamiętać, że tych klientów mBank ma już całkiem sporo, co oznacza, że wykorzystywana infrastruktura będzie musiała wytrzymać duży ruch.
Jak się też nieoficjalnie dowiedzieliśmy – hasła SMSowe są wstępnym etapem do bardziej zaawansowanej (i zapewne oczekiwanej) funkcji – znanej też z innych banków, a mianowicie alarmów SMSowych. Na to jednak trzeba będzie jeszcze trochę poczekać.
Łukasz Radomski
Wiadomość pochodzi z sekcji Hyde Park serwisu PRNews.pl
