Τι αλλάζει στις online τραπεζικές συναλλαγές

Προθεσμία 6 μηνών θα δίνει στις τράπεζες η διάταξη για τις ηλεκτρονικές απάτες (phishing) που περιλαμβάνεται σε νομοσχέδιο του υπουργείου Ανάπτυξης, προκειμένου αυτές να εφαρμόσουν πρόσθετα επίπεδα ασφαλείας κατά τις συναλλαγές των πελατών τους μέσω internet ή mobile banking με χρήση του τραπεζικού τους λογαριασμού ή της χρεωστικής και πιστωτικής τους κάρτας.

Η εφαρμογή πρόσθετων επιπέδων ασφαλείας θα δώσει τη δυνατότητα στις τράπεζες να απαλλαγούν από την ευθύνη να αποζημιώνουν τον πελάτη τους για ποσά άνω των 1.000 ευρώ που θα υπεξαιρούνται από τους λογαριασμούς ή τα μέσα πληρωμών που χρησιμοποιούν, όπως οι χρεωστικές ή πιστωτικές κάρτες κατά τη διενέργεια μιας ηλεκτρονικής συναλλαγής, ακόμη και στις περιπτώσεις βαριάς αμέλειας. Η προθεσμία θα τεθεί σε ισχύ από την ψήφιση της σχετικής διάταξης στην οποία το υπουργείο Ανάπτυξης επέμεινε στη συνάντηση που έγινε την Παρασκευή με το προεδρείο της Ελληνικής Ενωσης Τραπεζών και βάσει της οποίας οι τράπεζες θα πρέπει να αποζημιώνουν τους πελάτες τους για την απώλεια χρημάτων άνω των 1.000 ευρώ που είναι αποτέλεσμα ηλεκτρονικής απάτης από αμέλεια.

Πρακτικά η διάταξη του υπουργείου Ανάπτυξης θα υποχρεώσει ουσιαστικά τις τράπεζες να προσαρμοστούν ταχύτερα στο 3 factors authentication, δηλαδή την υποχρέωση να πιστοποιούν μια συναλλαγή με 3 κριτήρια αντί των 2 που προβλέπονται σήμερα, δηλαδή του pin και κωδικού μιας χρήσης (OTP – one time password) ή του password και του OTP, που είναι πλέον απαραίτητο για κάθε συναλλαγή, έτσι ώστε οι συναλλαγές αυτές να θεωρούνται «εξουσιοδοτημένες».

Το ξάφρισμα των λογαριασμών και η άντληση των στοιχείων των προσωπικών λογαριασμών με «εξουσιοδοτημένο» τρόπο μέσω email (phishing), sms (smishing) ή τηλεφώνου (vishing) λαμβάνει πλέον μορφή μάστιγας και, σύμφωνα με στοιχεία που δημοσιεύουν μεγάλοι οργανισμοί στο εξωτερικό, υπερβαίνει τις παλιές μεθόδους υποκλοπής των στοιχείων, π.χ., της κάρτας. Οι επιτήδειοι δεν χρησιμοποιούν μόνο τη μέθοδο της αποστολής παραπλανητικών emails ή sms μέσω των οποίων προτρέπουν τους χρήστες να «κλικάρουν» ένα link για να μεταφερθούν στην τράπεζά τους και να λύσουν το πρόβλημα, που συνήθως είναι το μπλοκάρισμα του λογαριασμού τους. Εξαιρετικά διαδεδομένη το τελευταίο διάστημα είναι η πρακτική τού να παίρνουν απευθείας τηλέφωνο τον ανυποψίαστο πολίτη και, παριστάνοντας δημοσίους λειτουργούς ή ακόμη και φοροτεχνικούς, που ισχυρίζονται ότι μπορούν να βοηθήσουν στην υποβολή του αιτήματος για ένα επίδομα, καταφέρνοντας έτσι να αποσπάσουν τα στοιχεία του λογαριασμού του. Λιγότερο συνηθισμένη αλλά όχι σπάνια πρακτική είναι η υποκλοπή της sim κάρτας (sim swap), πρακτική μέσω της οποίας αποκτούν τη δυνατότητα να ελέγχουν τον αριθμό του κινητού και να λαμβάνουν κωδικούς για οποιονδήποτε από τους λογαριασμούς του κατόχου του κινητού.

Η εφαρμογή του μέτρου θα δώσει τη δυνατότητα στις τράπεζες να απαλλαγούν από την ευθύνη αποζημιώσεων για ποσά άνω των 1.000 ευρώ που θα υπεξαιρούνται.

Αντιμέτωπο με πληθώρα παρόμοιων καταγγελιών το υπουργείο Ανάπτυξης συμπεριέλαβε διάταξη σε νομοσχέδιο που υποχρέωνε τις τράπεζες να αναλάβουν να αποζημιώνουν τους πελάτες που πέφτουν θύματα παρόμοιων περιστατικών απάτης για το σύνολο του ποσού που υπεξαιρείται άνω των 1.000 ευρώ. Η διάταξη δημιούργησε κύμα ανησυχίας και διαμαρτυρίας από τις τράπεζες που προέβαλλαν –το βάσιμο– επιχείρημα ότι κάτι τέτοιο όχι απλώς δεν θα μείωνε τα περιστατικά απάτης, αλλά αντίθετα θα άνοιγε τον δρόμο σε επιτήδειους ώστε να «κάνουν επάγγελμα» παρόμοιες μορφές υπεξαίρεσης, γνωρίζοντας ότι η τράπεζα θα τους αποζημιώσει απεριόριστα, δηλαδή για το σύνολο της «απώλειας», άνω του 1.000 ευρώ.

Μια τέτοια «ανεξέλεγκτη» επιβάρυνση των τραπεζών θα λειτουργούσε ως τροχοπέδη στην παρατηρούμενη διεύρυνση των ηλεκτρονικών συναλλαγών και δεν αποκλείεται να οδηγούσε τις τράπεζες να επιβάλουν όρια στο ύψος των ηλεκτρονικών συναλλαγών, όπως οι αγορές μέσω Διαδικτύου, προκειμένου να αποτραπεί η μονομερής ανάληψη του κόστους της υπεξαίρεσης ακόμη και εάν ο καταναλωτής λειτουργούσε με βαριά αμέλεια, δηλαδή έδινε τους κωδικούς του σε κάποιον, που από την άλλη γραμμή της τηλεφωνικής συσκευής ισχυριζόταν ότι ήταν φοροτεχνικός ή υπάλληλος του ΕΦΚΑ που στόχο έχει να καθοδηγήσει τον ανυποψίαστο συνταξιούχο στην υποβολή ενός αιτήματος. Εξίσου ανησυχητική θα ήταν και η προοπτική του να πρέπει να σπάσει κάποιος μια συναλλαγή π.χ. των 2.000, των 3.000 ευρώ κ.ο.κ. σε δύο, τρεις ή περισσότερες πληρωμές προκειμένου να αγοράσει μια ηλεκτρική συσκευή από το Διαδίκτυο. Αντίστοιχα, σε ουσιαστική κατάργηση των μεταφορών χρημάτων θα μπορούσε να οδηγήσει η υποχρέωση των τραπεζών να επικοινωνούν με κάθε πελάτη τους που θα ήθελε να μεταφέρει χρήματα άνω των 1.000 ευρώ προκειμένου να αποκλειστεί η πιθανότητα υπεξαίρεσης από τρίτο και η επιβάρυνση της τράπεζας.

Οι λύσεις που εξετάζουν οι τράπεζες και θα πρέπει να εφαρμοστούν εντός εξαμήνου είναι τεχνικές και προβλέπουν πρόσθετα επίπεδα ασφαλείας κατά τη διενέργεια μιας ηλεκτρονικής συναλλαγής, πέραν του password ή του κωδικού μιας χρήσης, δηλαδή του OTP. Εναλλακτική λύση μπορεί να είναι η χρήση ενός πρόσθετου OTP, η χρήση ενός κωδικού QR Code που θα έρχεται στο κινητό όταν κάποιος επιχειρεί μια συναλλαγή μέσω internet ή mobile banking, η επαλήλθεση του IBAN (IBAN verification) ή το confirmation of Payee, που αποτελεί την πλέον σύγχρονη μέθοδο για να διασφαλίσει κάποιος ότι τα χρήματα που στέλνει μέσω τραπεζικού λογαριασμού θα φτάσουν πράγματι στο IBAN του δικαιούχου και δεν θα οδηγηθούν σε έναν άγνωστο τραπεζικό λογαριασμό, ενός προσώπου που λειτουργεί ως «βαποράκι» μιας τοπικής ή διεθνούς σπείρας που βάζει χέρι σε τραπεζικούς λογαριασμούς ανύποπτων καταναλωτών.

Το IBAN verification ή το confirmation of Payee (εφαρμόζεται ήδη σε χώρες όπως η Μεγάλη Βρετανία) δεν είναι παρά η επαλήθευση τη στιγμή της συναλλαγής, ότι ο λογαριασμός στον οποίο κατευθύνονται τα χρήματα ανήκει πράγματι σε αυτόν που τα στέλνουμε π.χ. στο φροντιστήριο που επιθυμούμε ή στον επαγγελματία που θέλουμε να πληρώσουμε και όχι σε κάποιο εξωτικό λογαριασμό, του οποίου τον κάτοχο δεν είμαστε σε θέση να εξακριβώσουμε την κρίσιμη στιγμή της συναλλαγής. Σήμερα μια περιορισμένη ένδειξη με τα αρχικά και τελικά γράμματα του δικαιούχου ενός λογαριασμού (π.χ. ΑΑ*** ΒΒ***) παρέχονται μόνο εάν η συναλλαγή γίνεται σε λογαριασμό της ίδιας τράπεζας και όχι εάν στείλουμε χρήματα από την τράπεζα Α στην τράπεζα Β. Η τεχνική του confirmation of Payee επιτρέπει να εμφανίζεται ευκρινώς πριν από την εκτέλεση της συναλλαγής το όνομα ή η επωνυμία –εάν πρόκειται για επιχείρηση– του δικαιούχου του λογαριασμού, περιορίζοντας έτσι τη δυνατότητα απάτης ακόμη και όταν ο συναλλασσόμενος έχει «αφελώς» δώσει όχι μόνο τα στοιχεία του λογαριασμού, αλλά και το password ή το OTP που έστειλε η τράπεζα. Εάν παρ’ όλα αυτά υποπέσει σε τριπλό σφάλμα, δηλαδή παραδώσει και τα τρία μοναδικά κριτήρια που η τράπεζα παραχώρησε για τη διασφάλιση της συναλλαγής, τότε ουδέν λάθος θα αναγνωρίζεται μετά την απομάκρυνση από το ταμείο.

By Συντάκτης

ΣΧΕΤΙΚΑ