W odpowiedzi na wystąpienie doktora Wojciecha Wiewiórkowskiego, Generalnego Inspektora Ochrony Danych Osobowych, Komisja Nadzoru Finansowego wydała dokument “Analiza poziomu bezpieczeństwa kart zbliżeniowych z punktu widzenia ich posiadaczy”. Trzydziestostronicowe pismo, które możecie w całości pobrać ze strony KNF, wyjaśnia parę z wątpliwości, jakie użytkownicy mają względem bezstykowych środków płatniczych.
W dokumencie tym Komisja Nadzoru Finansowego – poza definiowaniem płatności zbliżeniowych i tym podobnych, ogólnych wstępów – wylicza scenariusze możliwego, niepożądanego użycia karty, a także prawa i obowiązki obu stron transakcji w świetle Dyrektywy 2007/64/WE Parlamentu Europejskiego i Rady z 13 listopada 2007 roku i wdrażającą ją ustawę z 19 sierpnia 2011 o usługach płatniczych (UUP).
Pozytywnie wypada ocenić rozprawienie się z kilkoma mitami dotyczącymi tego rodzaju płatności. KNF przyzynaje, że rzeczywiście, możliwe jest wykorzystanie dwóch telefonów wyposażonych w technologię NFC w celu obciążenia karty nieświadomej osoby przebywającej np. w autobusie. Podobnie wykorzystanie trojanów mobilnych w celu przejęcia danych z karty. We wszystkich tych scenariuszach istotne jest jednak, że są to operacje bardzo trudne do zorganizowania, za to możliwe tylko w teorii, a zysk może nie być wart podjętych wysiłków.
Chyba najważniejsze z punktu widzenia konsumenta wnioski KNF to: bank ma obowiązek udowodnienia autoryzacji płatności, jeśli klient będzie podawać tę autoryzację w wątpliwość. Ponadto to na dostawcy usługi ciąży odpowiedzialność za umożliwienie nieautoryzowanej transakcji. Oznacza to, że w przypadku zmian w stanie konta, za które nie odpowiada konsument, bank ma obowiązek przywrócić jego stan do tego sprzed operacji. Oczywiście istnieje kilka okoliczności, które muszą mieć miejsce: naturalnie utrata karty musi być zgłoszona, a do jej użycia przez nieuprawnioną osobę nie może dojść wskutek “rażącego niedbalstwa”.
Zdaniem Komisji, fakt, że placówki nie pozostawiają wyboru swym klientom co do tego, czy karta ma zawierać moduł zbliżeniowy, “budzi wątpliwości”. W podobnym – to jest mało stanowczym – tonie KNF pisze o modyfikacji umów z bankiem dotyczących mikropłatności, których Komisja “przewiduje możliwość”.
Niepokojące są też niektóre z doniesień badanych banków: nie każda transakcja zbliżeniowa jest autoryzowana online, według jednej z placówek 99% operacji odbywa się w tym trybie. Inny z kolei podkreśla, że z racji samej natury płatności bezstykowej udowodnienie jej nieautoryzowanego korzystania jest niemożliwe. Czy konsument w razie kradzieży i użycia karty jest zdany na siebie? Niekoniecznie.
Cieszą kolejne zapisy analizy Komisji, które zobowiązują banki do umożliwiania klientom swobodnego wyboru w korzystaniu – lub nie – z transakcji bezstykowych i do wykorzystywania dostępnych środków zabezpieczających dostępnych dla technologii zbliżeniowej. Ponadto, wydając karty z modułem bezstykowym, banki mają informować klientów o ewentualnych zagrożeniach. KNF również sugeruje placówkom dokonanie kontroli przebiegu reklamacji w razie nieautoryzowanych płatności.
Banki ze swojej strony podkreślają, że nieautoryzowane transakcje zbliżeniowe stanowią część liczoną w dziesiętnych procentu, a karty wyposażone w bezstykową funkcję są tak samo bezpieczne, jak karty jej pozbawione. Skargi płynące z działania tej funkcji to również znikomy odsetek.
Po opublikowaniu tego dokumentu bardzo dużo zależy od Generalnego Inspektora Ochrony Danych Osobowych. Można odnieść wrażenie, że Komisja Nadzoru Finansowego w dość stonowanych słowach pisze o tym, co się powinno, a czego nie można. Z drugiej strony, Komisja nie ma też odpowiedniej do tego mocy. Czy polskie banki umożliwią swym klientom powrót do tradycyjnych kart, które do zatwierdzenia transakcji wymagają kodu PIN? Zapewne znajdzie się grupa konsumentów nieufnie podchodzących do nowych technologii w obrocie pieniądzem. Tradycyjny kantor przedkładają nad kupno waluty online, każdą transakcję bezgotówkową chcą zatwierdzić podpisem lub kodem PIN, a zamiast przelewów internetowych wolą wizytę przy okienku. Niezależnie od nastawienia do tego rodzaju postawy, banki powinny wolę swych klientów respektować.
Po wakacjach prace rozpocznie grupa robocza, której zadaniem będzie ponowna ocena zagrożeń i zaproponowanie bankom odpowiednich rozwiązań. Analiza KNF, wraz z raportem Związku Banków Polskich powinny zapewnić solidną podstawę badań. Zatem wydaje się, że przyszłość transakcji zbliżeniowych w Polsce poznamy jeszcze w tym roku.