PSD2 Open Banking - ochrona przed wyłudzeniami

2017-12-13Dariusz Wojtas, Head of Product Management, IMPAQ
PSD2, Open Banking
Ochrona przed wyłudzeniami

Internet
• aplikacje webowe
• aplikacje desktopowe
• aplikacje mobilne
Integracja różnych systemów
• karty płatnicze
• pay by link
• screen scraping
• systemy portfeli przedpłaconych
Open Banking wg PSD2
• Regulowane usługi
• Ustandaryzowane API
• Równe prawa dla wszystkich
• Określenie obowiązków stron
• Określenie odpowiedzialności
• Obniżenie progu wejścia dla
nowych podmiotów
Ewolucja dostępu do rachunku
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami2

PSD2
2017-12-13PSD2, Open Banking, ochrona przed wyłudzeniami
usługa inicjowania transakcji usługa dostępu do informacji o rachunku
Payment Initiation Service Account Information Service
PIS AIS
Regulowane usługi
3

„Otwarty standard”
• publiczne API
• nie „screen scraping”
Różne inicjatywy
• Polish API
• STET (Francja)
• Open Banking (Wielka Brytania)
• Berlin Group
PSD2
Ustandaryzowane API
4

• Usługodawca nie musi mieć żadnej umowy z Bankiem, wystarczy
fakt posiadania odpowiedniej licencji w organie nadzorczym (KNF)
• Bank nie może ograniczać dostępu do rachunku dla usługodawcy
PIS/AIS, jeśli takiej zgody udzielił mu klient
• Transakcje zlecane za pośrednictwem PIS nie mogą być
realizowane z niższym priorytetem niż „transakcje własne”
PSD2
Równe prawa dla wszystkich
5

Płatnika / Klienta
• Odpowiedzialność dla nieautoryzowanej transakcji płatniczej – do 50 EUR
Usługodawcy
• Płatnik nie będzie ponosił odpowiedzialności, jeżeli nie mógł sobie zdawać
sprawy z utraty, kradzieży lub sprzeniewierzenia instrumentu płatniczego
• Na dostawcy spoczywać będzie ciężar udowodnienia złej wiary płatnika
• Płatnik zawsze będzie miał prawo wystąpić z roszczeniem o zwrot do swojego
dostawcy usług płatniczych, prowadzącego rachunek; pozostanie to bez wpływu
na kwestię podziału odpowiedzialności pomiędzy dostawcami usług płatniczych
PSD2
Określenie odpowiedzialności
6

• Konieczność wprowadzenia ulepszonych środków bezpieczeństwa
• Mechanizmy przeciwdziałania praniu pieniędzy
• Procedura monitorowania incydentów i rozpatrywania skarg
• Odpowiedź na reklamacje – pisemnie w ciągu 15 dni roboczych
• Raportowanie o incydentach i zagrożeniach
• do organów nadzorczych
• do użytkowników danego dostawcy usług
• Co rok raportowanie do organów nadzorczych o ocenie ryzyk operacyjnych,
bezpieczeństwa i adekwatności środków ograniczających ryzyko
• Obowiązkowe ubezpieczenie
PSD2
Określenie obowiązków
7

Wprowadzenie małej instytucji płatniczej (MIP)
• osoba fizyczna, osoba prawna lub jednostka org.
niebędąca osobą prawną
• działalność wyłącznie na terytorium Polski
• wpis do rejestru małych instytucji płatniczych
• obrót miesięczny do 1 500 000 euro
• opłaty „za nadzór” do 0,025% całkowitej kwoty transakcji
PSD2
Obniżenie progu wejścia
8

BEZPIECZEŃSTWO
9

PSD2 nie określa standardów technicznych.
Te powstają w tej chwili jako niezależny dokument
• RTS – Regulatory Technical Standards
• Aktualnie kolejny draft
• Wersja finalna spodziewana jesienią 2018
• Od tego momentu 18 miesięcy na dostosowanie się
Bezpieczeństwo
10

Strong Customer Authentication wg RTS
– potwierdzenie operacji wymaga co najmniej
dwóch z trzech niezależnych od siebie rodzajów
uwierzytelnienia
• wiedzy dostępnej tylko klientowi (np. numer klienta,
PIN, hasło)
• czegoś przez niego posiadanego (np. token
sprzętowy, smartfon)
• cech klienta (np. odcisku palca, wzoru tęczówki,
elektrokardiogramu)
Bezpieczeństwo
11

Dynamic linking wg RTS
– dodatkowe wymaganie dla SCA
• płatnik musi być świadom akceptowanej kwoty
• wygenerowany jednorazowy kod potwierdzający
będzie powiązany z akceptowaną kwotą
• jakakolwiek zmiana kwoty skutkuje utratą ważności
kodu
Bezpieczeństwo
12

Dla SCA określono wyjątki
• w określonych dyrektywą sytuacjach
• parkingi/autostrady
• dla płatności zdalnych do 30 EUR (kumulacja
poprzednich to 100 EUR, maks 5 transakcji bez SCA)
• dla płatności „sobie” (payments to self)
• jeśli pozwoli na to ocena ryzyka dokonana przez
dostawcę usług PIS
Bezpieczeństwo
13

Analiza ryzyka transakcji
• dopuszczona dla transakcji z zakresu 100-500 EUR
• zależna od
• wskaźnika fraudów dostawcy usług PIS
• referencyjnego wskaźnika fraudów
• wymaga narzędzi do oceny ryzyka w czasie
rzeczywistym
• wymaga cyklicznego przeglądu wskaźników ryzyka
przez kwalifikowanych audytorów
Bezpieczeństwo
14

Rachunek zaufany
- przelew na „rachunek zaufany” może być
realizowany bez wymogów SCA
• Listę takich rachunków może prowadzić bank
• Nie może ich prowadzić dostawca usługi PIS
Bezpieczeństwo
15

Płatność bezstykowa
- może być realizowana bez wymogów SCA
• Jeśli pojedyncza transakcja nie przekracza 50 EUR
• Od ostatniej bezstykowej transakcji potwierdzonej
SCA dla instrumentu płatniczego
• nie wydano łącznie więcej niż 150 EUR
• dokonano mniej niż 5 kolejnych indywidualnych płatności
Płatność bezstykowa
16

RYZYKA
17

• To bank odpowiada za uwierzytelnienie
klienta, nie dostawcy usług PIS/AIS
• … ale to dostawca usługi PIS decyduje o tym
co będzie uwierzytelniane inicjując transakcję.
• usługodawca PIS inicjuje transakcję
• ale składniki uwierzytelnienia weryfikuje Bank
Atak na dostawcę usługi może więc dać
przestępcom owe możliwości.
Ryzyka „techniczne”
18

Strong Customer Authentication nie daje
gwarancji ochrony przed
• Phishingiem
• Malware
• Atakami typu Man-in-the-middle
• Atakami typu Man-in-the browser
19

Jeśli dokonano skutecznego ataku na klienta
• Klient nie jest niczego świadom
• Dostawca PIS sądzi, że otrzymał właściwe parametry
• Bank uwierzytelnia transakcję mając dostęp do
sfałszowanej transakcji i prawidłowych kodów od
użytkownika do niej
20

• PSD2 a handel w Internecie
• Klient wyrażając zgodę na płatność poprzez usługę PIS
dokonuje natychmiastowego transferu ze swojego
rachunku na rachunek odbiorcy (sprzedawcy /
usługodawcy)
• Jednocześnie inne regulacje dają Klientowi prawo do
reklamacji usługi przez określony czas
• Kto ponosi koszty reklamacji?
Ryzyka „biznesowe”
21

OCHRONA
22

Ocena ryzyka transakcji
Ocena ryzyka transakcji (bezwarunkowa)
• Dostawca usług PIS jest zobowiązany wdrożyć
mechanizmy monitorowania transakcji w celu detekcji
oszustw
• Analiza ryzyka obejmuje co najmniej
• Porównanie z typowym zachowaniem płatnika
• Listę skompromitowanych składników uwierzytelnienia
• Kwotę każdej z transakcji
• Porównanie ze znanymi scenariuszami wyłudzeń
• Próbę detekcji malware w procesie uwierzytelnienia

Ocena ryzyka transakcji
Ocena ryzyka transakcji (w przypadku rezygnacji z SCA)
Jeśli dostawca usług PIS zdecyduje się na pominięcie SCA,
musi dokonać oceny ryzyka, która obejmie co najmniej:
• Porównanie z historycznym zachowaniem klienta
• Porównanie z historycznym zachowaniem innych
użytkowników
• Lokalizację płatnika i odbiorcy w momencie dokonania
transakcji
• Szukaniem anomalii w zachowaniu płatnika
• Log dokumentujący działanie urządzenia lub oprogramowania
użytego do dokonania transakcji, jeśli dostarcza je strona
trzecia

Malware
RTS nie wymaga wprost specjalnego narzędzia do detekcji
malware, nie określa jak dostawca usług ma się
zabezpieczać na tym polu.
RTS ogranicza się do wymagania by:
• „usługodawcy zapewnili mechanizmy monitorowania
transakcji obejmujące co najmniej: […] sygnały infekcji sesji
uwierzytelniania przez malware”

OPEN BANKING NA
ŚWIECIE
26

Chiny
Rynek zmonopolizowany przez usługi platform
• WeChat (WeChat Pay)
• Alibaba (Alipay)
• W 2016 dokonano za ich pośrednictwem płatności na kwotę 2,9
tryliona USD
• Usługodawcy ci wystawiają własne API
• Sektor finansowy stara się kopiować rozwiązania tych i
podobnych firm
• Tysiące podmiotów świadczących usługi finansowe, duża skala
wyłudzeń
• Państwo chce uregulować ten obszar
Raport „Better Than Cash Alliance”, fundusz ONZ, kwiecień 2017)

Indie
• Open Banking
• Unified Payments Interface (UPI) – publiczne API
• National Payment Corporation of India – wystawia bridge dla
UPI API i odpowiada za komunikację pomiędzy bankami
• Płatności inicjowane bezpośrednio z rachunku płatnika
• Aadhaar – największa na świecie baza biometryczna (w 2017
ponad 1,1 mld zarejestrowanych użytkowników)
• UPI + Aadhaar  podstawa dla wielu innowacyjnych usług
• Autentykacja podobna do SCA wymaganego przez PSD2

Wielka Brytania
• Nie przyjęła wcześniej zaleceń EBA dla PSD1
• Zdecydowała się przyjąć zalecenia PSD2 (bo
obowiązkowe dla całej UE)
• Wprowadzi własny „Open Banking Standard”
• W pierwszym etapie wymusi udostępnienie tego API na 9
największych bankach (ponad 90% rynku) dla
licencjonowanych usługodawców

Australia
• W lipcu 2017 rząd Australii zapowiedział przygotowanie
strategii dla Systemu otwartej bankowości (Open
Banking regime)
• Raport dla możliwych rozwiązań spodziewany przed
końcem 2017
• Decyzję podjęto po analizie kroków podjętych przez UE i
Wielką Brytanię

AntiFraud Hub
• Zapobieganie praniu brudnych pieniędzy
i finansowaniu terroryzmu
• Zapobieganie nadużyciom wewnętrznym
• Zapobieganie wyłudzeniom kredytowym
i leasingowym
• Ochrona aplikacji w kanale internetowym
• Ochrona antyfraudowa transakcji bankowych
31

Dariusz Wojtas
Head of Product Management
+48 606 327 582; dariusz.wojtas@impaqgroup.com
Dziękuję za uwagę!
Ul. Wołoska 24, wejście B
02-675 Warszawa
IMPAQ Sp. z o.o
POLAND – LUBLIN, POZNAN, WARSAW | GREAT BRITAIN | SWITZERLAND | ROMANIA | AUSTRIA

PSD2 Open Banking - ochrona przed wyłudzeniami

Recommended

Recommended

More Related Content

What's hot

What's hot (7)

Similar to PSD2 Open Banking - ochrona przed wyłudzeniami

Similar to PSD2 Open Banking - ochrona przed wyłudzeniami (20)

PSD2 Open Banking - ochrona przed wyłudzeniami

Editor's Notes