PSD2, Open Banking Ochrona przed wyłudzeniami Dariusz Wojtas, Head of Product Management, IMPAQ
Ewolucja dostępu do rachunku Internet aplikacje webowe aplikacje desktopowe aplikacje mobilne Integracja różnych systemów karty płatnicze pay by link screen scraping systemy portfeli przedpłaconych Open Banking wg PSD2 Regulowane usługi Ustandaryzowane API Równe prawa dla wszystkich Określenie obowiązków stron Określenie odpowiedzialności Obniżenie progu wejścia dla nowych podmiotów 2
PSD2 Regulowane usługi PIS Payment Initiation Service usługa inicjowania transakcji AIS Account Information Service usługa dostępu do informacji o rachunku 3
PSD2 Otwarty standard publiczne API nie screen scraping Ustandaryzowane API Różne inicjatywy Polish API STET (Francja) Open Banking (Wielka Brytania) Berlin Group 4
PSD2 Równe prawa dla wszystkich Usługodawca nie musi mieć żadnej umowy z Bankiem, wystarczy fakt posiadania odpowiedniej licencji w organie nadzorczym (KNF) Bank nie może ograniczać dostępu do rachunku dla usługodawcy PIS/AIS, jeśli takiej zgody udzielił mu klient Transakcje zlecane za pośrednictwem PIS nie mogą być realizowane z niższym priorytetem niż transakcje własne 5
PSD2 Określenie odpowiedzialności Płatnika / Klienta Odpowiedzialność dla nieautoryzowanej transakcji płatniczej do 50 EUR Usługodawcy Płatnik nie będzie ponosił odpowiedzialności, jeżeli nie mógł sobie zdawać sprawy z utraty, kradzieży lub sprzeniewierzenia instrumentu płatniczego Na dostawcy spoczywać będzie ciężar udowodnienia złej wiary płatnika Płatnik zawsze będzie miał prawo wystąpić z roszczeniem o zwrot do swojego dostawcy usług płatniczych, prowadzącego rachunek; pozostanie to bez wpływu na kwestię podziału odpowiedzialności pomiędzy dostawcami usług płatniczych 6
PSD2 Określenie obowiązków Konieczność wprowadzenia ulepszonych środków bezpieczeństwa Mechanizmy przeciwdziałania praniu pieniędzy Procedura monitorowania incydentów i rozpatrywania skarg Odpowiedź na reklamacje pisemnie w ciągu 15 dni roboczych Raportowanie o incydentach i zagrożeniach do organów nadzorczych do użytkowników danego dostawcy usług Co rok raportowanie do organów nadzorczych o ocenie ryzyk operacyjnych, bezpieczeństwa i adekwatności środków ograniczających ryzyko Obowiązkowe ubezpieczenie 7
PSD2 Obniżenie progu wejścia Wprowadzenie małej instytucji płatniczej (MIP) osoba fizyczna, osoba prawna lub jednostka org. niebędąca osobą prawną działalność wyłącznie na terytorium Polski wpis do rejestru małych instytucji płatniczych obrót miesięczny do 1 500 000 euro opłaty za nadzór do 0,025% całkowitej kwoty transakcji 8
BEZPIECZEŃSTWO 9
Bezpieczeństwo PSD2 nie określa standardów technicznych. Te powstają w tej chwili jako niezależny dokument RTS Regulatory Technical Standards Aktualnie kolejny draft Wersja finalna spodziewana jesienią 2018 Od tego momentu 18 miesięcy na dostosowanie się 10
Bezpieczeństwo Strong Customer Authentication wg RTS potwierdzenie operacji wymaga co najmniej dwóch z trzech niezależnych od siebie rodzajów uwierzytelnienia wiedzy dostępnej tylko klientowi (np. numer klienta, PIN, hasło) czegoś przez niego posiadanego (np. token sprzętowy, smartfon) cech klienta (np. odcisku palca, wzoru tęczówki, elektrokardiogramu) 11
Bezpieczeństwo Dynamic linking wg RTS dodatkowe wymaganie dla SCA płatnik musi być świadom akceptowanej kwoty wygenerowany jednorazowy kod potwierdzający będzie powiązany z akceptowaną kwotą jakakolwiek zmiana kwoty skutkuje utratą ważności kodu 12
Bezpieczeństwo Dla SCA określono wyjątki w określonych dyrektywą sytuacjach parkingi/autostrady dla płatności zdalnych do 30 EUR (kumulacja poprzednich to 100 EUR, maks 5 transakcji bez SCA) dla płatności sobie (payments to self) jeśli pozwoli na to ocena ryzyka dokonana przez dostawcę usług PIS 13
Bezpieczeństwo Analiza ryzyka transakcji dopuszczona dla transakcji z zakresu 100-500 EUR zależna od wskaźnika fraudów dostawcy usług PIS referencyjnego wskaźnika fraudów wymaga narzędzi do oceny ryzyka w czasie rzeczywistym wymaga cyklicznego przeglądu wskaźników ryzyka przez kwalifikowanych audytorów 14
Bezpieczeństwo Rachunek zaufany - przelew na rachunek zaufany może być realizowany bez wymogów SCA Listę takich rachunków może prowadzić bank Nie może ich prowadzić dostawca usługi PIS 15
Płatność bezstykowa Płatność bezstykowa - może być realizowana bez wymogów SCA Jeśli pojedyncza transakcja nie przekracza 50 EUR Od ostatniej bezstykowej transakcji potwierdzonej SCA dla instrumentu płatniczego nie wydano łącznie więcej niż 150 EUR dokonano mniej niż 5 kolejnych indywidualnych płatności 16
RYZYKA 17
Ryzyka techniczne To bank odpowiada za uwierzytelnienie klienta, nie dostawcy usług PIS/AIS ale to dostawca usługi PIS decyduje o tym co będzie uwierzytelniane inicjując transakcję. usługodawca PIS inicjuje transakcję ale składniki uwierzytelnienia weryfikuje Bank Atak na dostawcę usługi może więc dać przestępcom owe możliwości. 18
Ryzyka techniczne Strong Customer Authentication nie daje gwarancji ochrony przed Phishingiem Malware Atakami typu Man-in-the-middle Atakami typu Man-in-the browser 19
Ryzyka techniczne Jeśli dokonano skutecznego ataku na klienta Klient nie jest niczego świadom Dostawca PIS sądzi, że otrzymał właściwe parametry Bank uwierzytelnia transakcję mając dostęp do sfałszowanej transakcji i prawidłowych kodów od użytkownika do niej 20
Ryzyka biznesowe PSD2 a handel w Internecie Klient wyrażając zgodę na płatność poprzez usługę PIS dokonuje natychmiastowego transferu ze swojego rachunku na rachunek odbiorcy (sprzedawcy / usługodawcy) Jednocześnie inne regulacje dają Klientowi prawo do reklamacji usługi przez określony czas Kto ponosi koszty reklamacji? 21
OCHRONA 22
Ocena ryzyka transakcji Ocena ryzyka transakcji (bezwarunkowa) Dostawca usług PIS jest zobowiązany wdrożyć mechanizmy monitorowania transakcji w celu detekcji oszustw Analiza ryzyka obejmuje co najmniej Porównanie z typowym zachowaniem płatnika Listę skompromitowanych składników uwierzytelnienia Kwotę każdej z transakcji Porównanie ze znanymi scenariuszami wyłudzeń Próbę detekcji malware w procesie uwierzytelnienia 23
Ocena ryzyka transakcji Ocena ryzyka transakcji (w przypadku rezygnacji z SCA) Jeśli dostawca usług PIS zdecyduje się na pominięcie SCA, musi dokonać oceny ryzyka, która obejmie co najmniej: Porównanie z historycznym zachowaniem klienta Porównanie z historycznym zachowaniem innych użytkowników Lokalizację płatnika i odbiorcy w momencie dokonania transakcji Szukaniem anomalii w zachowaniu płatnika Log dokumentujący działanie urządzenia lub oprogramowania użytego do dokonania transakcji, jeśli dostarcza je strona trzecia 24
Malware RTS nie wymaga wprost specjalnego narzędzia do detekcji malware, nie określa jak dostawca usług ma się zabezpieczać na tym polu. RTS ogranicza się do wymagania by: usługodawcy zapewnili mechanizmy monitorowania transakcji obejmujące co najmniej: [ ] sygnały infekcji sesji uwierzytelniania przez malware 25
OPEN BANKING NA ŚWIECIE 26
Chiny Rynek zmonopolizowany przez usługi platform WeChat (WeChat Pay) Alibaba (Alipay) W 2016 dokonano za ich pośrednictwem płatności na kwotę 2,9 tryliona USD Usługodawcy ci wystawiają własne API Sektor finansowy stara się kopiować rozwiązania tych i podobnych firm Tysiące podmiotów świadczących usługi finansowe, duża skala wyłudzeń Państwo chce uregulować ten obszar Raport Better Than Cash Alliance, fundusz ONZ, kwiecień 2017) 27
Indie Open Banking Unified Payments Interface (UPI) publiczne API National Payment Corporation of India wystawia bridge dla UPI API i odpowiada za komunikację pomiędzy bankami Płatności inicjowane bezpośrednio z rachunku płatnika Aadhaar największa na świecie baza biometryczna (w 2017 ponad 1,1 mld zarejestrowanych użytkowników) UPI + Aadhaar podstawa dla wielu innowacyjnych usług Autentykacja podobna do SCA wymaganego przez PSD2 28
Wielka Brytania Nie przyjęła wcześniej zaleceń EBA dla PSD1 Zdecydowała się przyjąć zalecenia PSD2 (bo obowiązkowe dla całej UE) Wprowadzi własny Open Banking Standard W pierwszym etapie wymusi udostępnienie tego API na 9 największych bankach (ponad 90% rynku) dla licencjonowanych usługodawców 29
Australia W lipcu 2017 rząd Australii zapowiedział przygotowanie strategii dla Systemu otwartej bankowości (Open Banking regime) Raport dla możliwych rozwiązań spodziewany przed końcem 2017 Decyzję podjęto po analizie kroków podjętych przez UE i Wielką Brytanię 30
AntiFraud Hub Zapobieganie praniu brudnych pieniędzy i finansowaniu terroryzmu Zapobieganie nadużyciom wewnętrznym Zapobieganie wyłudzeniom kredytowym i leasingowym Ochrona aplikacji w kanale internetowym Ochrona antyfraudowa transakcji bankowych 31
Dziękuję za uwagę! Dariusz Wojtas Head of Product Management +48 606 327 582; dariusz.wojtas@impaqgroup.com IMPAQ Sp. z o.o Ul. Wołoska 24, wejście B 02-675 Warszawa POLAND LUBLIN, POZNAN, WARSAW GREAT BRITAIN SWITZERLAND ROMANIA AUSTRIA