2. Internet
• aplikacje webowe
• aplikacje desktopowe
• aplikacje mobilne
Integracja różnych systemów
• karty płatnicze
• pay by link
• screen scraping
• systemy portfeli przedpłaconych
Open Banking wg PSD2
• Regulowane usługi
• Ustandaryzowane API
• Równe prawa dla wszystkich
• Określenie obowiązków stron
• Określenie odpowiedzialności
• Obniżenie progu wejścia dla
nowych podmiotów
Ewolucja dostępu do rachunku
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami2
3. PSD2
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
usługa inicjowania transakcji usługa dostępu do informacji o rachunku
Payment Initiation Service Account Information Service
PIS AIS
Regulowane usługi
3
4. „Otwarty standard”
• publiczne API
• nie „screen scraping”
Różne inicjatywy
• Polish API
• STET (Francja)
• Open Banking (Wielka Brytania)
• Berlin Group
PSD2
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Ustandaryzowane API
4
5. • Usługodawca nie musi mieć żadnej umowy z Bankiem, wystarczy
fakt posiadania odpowiedniej licencji w organie nadzorczym (KNF)
• Bank nie może ograniczać dostępu do rachunku dla usługodawcy
PIS/AIS, jeśli takiej zgody udzielił mu klient
• Transakcje zlecane za pośrednictwem PIS nie mogą być
realizowane z niższym priorytetem niż „transakcje własne”
PSD2
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Równe prawa dla wszystkich
5
6. Płatnika / Klienta
• Odpowiedzialność dla nieautoryzowanej transakcji płatniczej – do 50 EUR
Usługodawcy
• Płatnik nie będzie ponosił odpowiedzialności, jeżeli nie mógł sobie zdawać
sprawy z utraty, kradzieży lub sprzeniewierzenia instrumentu płatniczego
• Na dostawcy spoczywać będzie ciężar udowodnienia złej wiary płatnika
• Płatnik zawsze będzie miał prawo wystąpić z roszczeniem o zwrot do swojego
dostawcy usług płatniczych, prowadzącego rachunek; pozostanie to bez wpływu
na kwestię podziału odpowiedzialności pomiędzy dostawcami usług płatniczych
PSD2
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Określenie odpowiedzialności
6
7. • Konieczność wprowadzenia ulepszonych środków bezpieczeństwa
• Mechanizmy przeciwdziałania praniu pieniędzy
• Procedura monitorowania incydentów i rozpatrywania skarg
• Odpowiedź na reklamacje – pisemnie w ciągu 15 dni roboczych
• Raportowanie o incydentach i zagrożeniach
• do organów nadzorczych
• do użytkowników danego dostawcy usług
• Co rok raportowanie do organów nadzorczych o ocenie ryzyk operacyjnych,
bezpieczeństwa i adekwatności środków ograniczających ryzyko
• Obowiązkowe ubezpieczenie
PSD2
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Określenie obowiązków
7
8. Wprowadzenie małej instytucji płatniczej (MIP)
• osoba fizyczna, osoba prawna lub jednostka org.
niebędąca osobą prawną
• działalność wyłącznie na terytorium Polski
• wpis do rejestru małych instytucji płatniczych
• obrót miesięczny do 1 500 000 euro
• opłaty „za nadzór” do 0,025% całkowitej kwoty transakcji
PSD2
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Obniżenie progu wejścia
8
10. PSD2 nie określa standardów technicznych.
Te powstają w tej chwili jako niezależny dokument
• RTS – Regulatory Technical Standards
• Aktualnie kolejny draft
• Wersja finalna spodziewana jesienią 2018
• Od tego momentu 18 miesięcy na dostosowanie się
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Bezpieczeństwo
10
11. Strong Customer Authentication wg RTS
– potwierdzenie operacji wymaga co najmniej
dwóch z trzech niezależnych od siebie rodzajów
uwierzytelnienia
• wiedzy dostępnej tylko klientowi (np. numer klienta,
PIN, hasło)
• czegoś przez niego posiadanego (np. token
sprzętowy, smartfon)
• cech klienta (np. odcisku palca, wzoru tęczówki,
elektrokardiogramu)
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Bezpieczeństwo
11
12. Dynamic linking wg RTS
– dodatkowe wymaganie dla SCA
• płatnik musi być świadom akceptowanej kwoty
• wygenerowany jednorazowy kod potwierdzający
będzie powiązany z akceptowaną kwotą
• jakakolwiek zmiana kwoty skutkuje utratą ważności
kodu
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Bezpieczeństwo
12
13. Dla SCA określono wyjątki
• w określonych dyrektywą sytuacjach
• parkingi/autostrady
• dla płatności zdalnych do 30 EUR (kumulacja
poprzednich to 100 EUR, maks 5 transakcji bez SCA)
• dla płatności „sobie” (payments to self)
• jeśli pozwoli na to ocena ryzyka dokonana przez
dostawcę usług PIS
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Bezpieczeństwo
13
14. Analiza ryzyka transakcji
• dopuszczona dla transakcji z zakresu 100-500 EUR
• zależna od
• wskaźnika fraudów dostawcy usług PIS
• referencyjnego wskaźnika fraudów
• wymaga narzędzi do oceny ryzyka w czasie
rzeczywistym
• wymaga cyklicznego przeglądu wskaźników ryzyka
przez kwalifikowanych audytorów
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Bezpieczeństwo
14
15. Rachunek zaufany
- przelew na „rachunek zaufany” może być
realizowany bez wymogów SCA
• Listę takich rachunków może prowadzić bank
• Nie może ich prowadzić dostawca usługi PIS
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Bezpieczeństwo
15
16. Płatność bezstykowa
- może być realizowana bez wymogów SCA
• Jeśli pojedyncza transakcja nie przekracza 50 EUR
• Od ostatniej bezstykowej transakcji potwierdzonej
SCA dla instrumentu płatniczego
• nie wydano łącznie więcej niż 150 EUR
• dokonano mniej niż 5 kolejnych indywidualnych płatności
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Płatność bezstykowa
16
18. • To bank odpowiada za uwierzytelnienie
klienta, nie dostawcy usług PIS/AIS
• … ale to dostawca usługi PIS decyduje o tym
co będzie uwierzytelniane inicjując transakcję.
• usługodawca PIS inicjuje transakcję
• ale składniki uwierzytelnienia weryfikuje Bank
Atak na dostawcę usługi może więc dać
przestępcom owe możliwości.
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Ryzyka „techniczne”
18
19. Strong Customer Authentication nie daje
gwarancji ochrony przed
• Phishingiem
• Malware
• Atakami typu Man-in-the-middle
• Atakami typu Man-in-the browser
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Ryzyka „techniczne”
19
20. Jeśli dokonano skutecznego ataku na klienta
• Klient nie jest niczego świadom
• Dostawca PIS sądzi, że otrzymał właściwe parametry
• Bank uwierzytelnia transakcję mając dostęp do
sfałszowanej transakcji i prawidłowych kodów od
użytkownika do niej
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Ryzyka „techniczne”
20
21. • PSD2 a handel w Internecie
• Klient wyrażając zgodę na płatność poprzez usługę PIS
dokonuje natychmiastowego transferu ze swojego
rachunku na rachunek odbiorcy (sprzedawcy /
usługodawcy)
• Jednocześnie inne regulacje dają Klientowi prawo do
reklamacji usługi przez określony czas
• Kto ponosi koszty reklamacji?
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
Ryzyka „biznesowe”
21
23. 2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami23
Ocena ryzyka transakcji
Ocena ryzyka transakcji (bezwarunkowa)
• Dostawca usług PIS jest zobowiązany wdrożyć
mechanizmy monitorowania transakcji w celu detekcji
oszustw
• Analiza ryzyka obejmuje co najmniej
• Porównanie z typowym zachowaniem płatnika
• Listę skompromitowanych składników uwierzytelnienia
• Kwotę każdej z transakcji
• Porównanie ze znanymi scenariuszami wyłudzeń
• Próbę detekcji malware w procesie uwierzytelnienia
24. 2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami24
Ocena ryzyka transakcji
Ocena ryzyka transakcji (w przypadku rezygnacji z SCA)
Jeśli dostawca usług PIS zdecyduje się na pominięcie SCA,
musi dokonać oceny ryzyka, która obejmie co najmniej:
• Porównanie z historycznym zachowaniem klienta
• Porównanie z historycznym zachowaniem innych
użytkowników
• Lokalizację płatnika i odbiorcy w momencie dokonania
transakcji
• Szukaniem anomalii w zachowaniu płatnika
• Log dokumentujący działanie urządzenia lub oprogramowania
użytego do dokonania transakcji, jeśli dostarcza je strona
trzecia
25. 2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami25
Malware
RTS nie wymaga wprost specjalnego narzędzia do detekcji
malware, nie określa jak dostawca usług ma się
zabezpieczać na tym polu.
RTS ogranicza się do wymagania by:
• „usługodawcy zapewnili mechanizmy monitorowania
transakcji obejmujące co najmniej: […] sygnały infekcji sesji
uwierzytelniania przez malware”
27. 2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami27
Chiny
Rynek zmonopolizowany przez usługi platform
• WeChat (WeChat Pay)
• Alibaba (Alipay)
• W 2016 dokonano za ich pośrednictwem płatności na kwotę 2,9
tryliona USD
• Usługodawcy ci wystawiają własne API
• Sektor finansowy stara się kopiować rozwiązania tych i
podobnych firm
• Tysiące podmiotów świadczących usługi finansowe, duża skala
wyłudzeń
• Państwo chce uregulować ten obszar
Raport „Better Than Cash Alliance”, fundusz ONZ, kwiecień 2017)
28. 2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami28
Indie
• Open Banking
• Unified Payments Interface (UPI) – publiczne API
• National Payment Corporation of India – wystawia bridge dla
UPI API i odpowiada za komunikację pomiędzy bankami
• Płatności inicjowane bezpośrednio z rachunku płatnika
• Aadhaar – największa na świecie baza biometryczna (w 2017
ponad 1,1 mld zarejestrowanych użytkowników)
• UPI + Aadhaar podstawa dla wielu innowacyjnych usług
• Autentykacja podobna do SCA wymaganego przez PSD2
29. 2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami29
Wielka Brytania
• Nie przyjęła wcześniej zaleceń EBA dla PSD1
• Zdecydowała się przyjąć zalecenia PSD2 (bo
obowiązkowe dla całej UE)
• Wprowadzi własny „Open Banking Standard”
• W pierwszym etapie wymusi udostępnienie tego API na 9
największych bankach (ponad 90% rynku) dla
licencjonowanych usługodawców
30. 2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami30
Australia
• W lipcu 2017 rząd Australii zapowiedział przygotowanie
strategii dla Systemu otwartej bankowości (Open
Banking regime)
• Raport dla możliwych rozwiązań spodziewany przed
końcem 2017
• Decyzję podjęto po analizie kroków podjętych przez UE i
Wielką Brytanię
31. 2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
AntiFraud Hub
• Zapobieganie praniu brudnych pieniędzy
i finansowaniu terroryzmu
• Zapobieganie nadużyciom wewnętrznym
• Zapobieganie wyłudzeniom kredytowym
i leasingowym
• Ochrona aplikacji w kanale internetowym
• Ochrona antyfraudowa transakcji bankowych
31
32. Dariusz Wojtas
Head of Product Management
+48 606 327 582; dariusz.wojtas@impaqgroup.com
Dziękuję za uwagę!
Ul. Wołoska 24, wejście B
02-675 Warszawa
IMPAQ Sp. z o.o
POLAND – LUBLIN, POZNAN, WARSAW | GREAT BRITAIN | SWITZERLAND | ROMANIA | AUSTRIA
Editor's Notes
PIS – dostawca usługi może wydać polecenie dokonania przelewu z rachunku klienta
Szansa dla nowych podmiotów pośredniczących w płatnościach za usługi i towary
Szansa dla zupełnie nowych rodzajów usług
Karty sklepowe, karty paliwowe
Dostawcy tych usług nie będą wchodzić na żadnym etapie w posiadanie środków pieniężnych klienta – wydają tylko polecenie dokonania przelewu bezpośrednio z rachunku klienta
AIS – dostawca usługi może mieć dostęp do pełnej historii rachunku klienta
Klient może poddać swoją zdolność finansową, np. starając się o kredyt czy pożyczkę
Regulator nie mówi jak to API ma wyglądać. Zostawił to rynkowi.
Otwarte API ma ograniczyć koszty zarówno banków jak i usługodawców (TPP)
Wady screen scrapingu
Dane użytkownika były przekazywane stronie trzeciej
Serwis trzeci działał w imieniu użytkownika, nie informując banku o tym że to automat
Budziło to wątpliwości zarówno klientów jak i banków w razie reklamacji
Dotychczas każdy podmiot który operował na API Banku – wpierw musiał mieć umowę z Bankiem.
A umowa regulowała m.in. Zakresy odpowiedzialności.
Teraz klient
Pomimo udziału dostawcy PIS w transakcji płatniczej, płatnik zawsze będzie miał prawo wystąpić z roszczeniem o zwrot do swojego dostawcy usług płatniczych, prowadzącego rachunek; pozostanie to bez wpływu na kwestię podziału odpowiedzialności pomiędzy dostawcami usług płatniczych
Jeżeli incydent ma lub może mieć wpływ na interesy finansowe użytkowników, wymagane będzie również niezwłoczne powiadomienie użytkowników danego dostawcy, wraz ze skazaniem wszystkich dostępnych środków, które mogą oni podjąć w celu ograniczenia negatywnych skutków incydentu.
Ubezpieczenie - ubezpieczenie odpowiedzialności z tytułu prowadzenia działalności zawodowej lub inna porównywalna gwarancja na wypadek odpowiedzialności
Na koniec slajdu pytanie: Czy to zapewnia bezpieczeństwo?
Złamanie jednego z tych rodzajów uwierzytelnienia nie osłabia pozostałych.
Na koniec slajdu pytanie: Czy to zapewnia bezpieczeństwo?
Złamanie jednego z tych rodzajów uwierzytelnienia nie osłabia pozostałych.
Na koniec slajdu pytanie: Czy to zapewnia bezpieczeństwo?
Złamanie jednego z tych rodzajów uwierzytelnienia nie osłabia pozostałych.
Referencyjny wskaźnik fraudów
Referencyjny wskaźnik fraudów
In addition, the RTS now require PSPs to monitor all of their fraud rates as well as the performance of the transaction-risk analysis method used, which must additionally be independently assessed by qualified auditors. Furthermore, the PSP must report any change related to the use of this exemption to the national authorities. The reference fraud rates should be reviewed on a regular basis and updated based on the fraud reporting under Article 96(6) PSD
Referencyjny wskaźnik fraudów
In addition, the RTS now require PSPs to monitor all of their fraud rates as well as the performance of the transaction-risk analysis method used, which must additionally be independently assessed by qualified auditors. Furthermore, the PSP must report any change related to the use of this exemption to the national authorities. The reference fraud rates should be reviewed on a regular basis and updated based on the fraud reporting under Article 96(6) PSD
Referencyjny wskaźnik fraudów
In addition, the RTS now require PSPs to monitor all of their fraud rates as well as the performance of the transaction-risk analysis method used, which must additionally be independently assessed by qualified auditors. Furthermore, the PSP must report any change related to the use of this exemption to the national authorities. The reference fraud rates should be reviewed on a regular basis and updated based on the fraud reporting under Article 96(6) PSD
Phishing
https://www.youtube.com/watch?v=UBjEfpfZ8w0
Około 4 minuty, mowa o tym, że one-time-password można skutecznie obchodzić w wielu sytuacjach
https://fexco.com/fexco/news/psd2-online-payment-security/#
https://blog.irdeto.com/2017/03/08/the-european-banking-authority-warns-against-man-in-the-middle-attacks/
https://irdeto.com/payments-and-banking/the-biggest-cyber-threat-youve-never-heard-of.html
Phishing
https://www.youtube.com/watch?v=UBjEfpfZ8w0
Około 4 minuty, mowa o tym, że one-time-password można skutecznie obchodzić w wielu sytuacjach
https://fexco.com/fexco/news/psd2-online-payment-security/#
https://blog.irdeto.com/2017/03/08/the-european-banking-authority-warns-against-man-in-the-middle-attacks/
https://irdeto.com/payments-and-banking/the-biggest-cyber-threat-youve-never-heard-of.html
Klient z Polski zamawia towar w Hiszpanii.
W przypadku „tradycyjnej” płatności kartą kredytową, rozliczenie następowało z pewnym opóźnieniem.
Teraz opłata realizowana jest przelewem, w ramach PSD2 (inicjowanie opłaty z rachunku).
Ale towar nie dotarł. Usługa nie została więc zrealizowana.
Kto ponosi koszty reklamacji?