Sokkal biztonságosabbá válik a bankolás Magyarországon, mert beállított limitek lesznek az elektronikus csatornákon a különböző tranzakciókra, már az átutalásokra is. Az interneten keresztül ellenőrizhető lesz, hogy tényleg banki ügyintéző hívott-e fel bennünket vagy egy csaló. Elvárás lesz az is, hogy minden egyes műveletről azonnal értesítést kapjanak a bankszámlás ügyfelek, méghozzá ingyen.
Persze a csalók előállnak mindig újabb ötletekkel.
A visszaéléseknek számtalan új formájával lehet találkozni a digitális térben, ezekben közös elem, hogy van valamilyen hatása az elektronikus pénzforgalomra. Így megjelentek
- a személyes hitelesítési és érzékeny fizetési adatok megszerzésén,
- majd ezek alapján fizetési megbízások jogosulatlan kezdeményezésén alapuló visszaélések,
- a megtévesztésen és pszichológiai manipuláción alapuló visszaélések,
- valamint a fizető fél birtokában lévő készpénz-helyettesítő fizetési eszközhöz, például fizetési kártyához, mobilbankhoz vagy internetbankhoz történő közvetlen hozzáférésen alapuló csalások
– idézi az MNB indoklását a Bank360.
A csalók egyik kedvelt módszere, hogy megszerzik az áldozat belépési kódjait, ezzel bejutnak a mobilbankba vagy az internetbankba, és onnan leemelik a pénzt.
Hogy ezt megnehezítsék, az MNB szeptembertől elvárja a pénzintézetektől, hogy haladéktalanul és díjmentesen értesítsék az ügyfeleiket, ha a számlájukhoz tartozó új bankkártyát aktiváltak. Szintén értesíteni kell az ügyfelet, ha új készüléken telepítették, vagy léptek be a mobilbankjukba vagy az internetbankjukba, illetve igényeltek hozzáférést ezekhez a szolgáltatásokhoz. Az erről szóló üzenetet természetesen a régi telefonszámra, készülékre küldik ki a bankok, és egyúttal arra is felhívják a figyelmet, hogy ha nem az ügyfél kérte ezeket a hozzáféréseket, hogyan értesítheti erről a bankot.
Sokszor előfordul, hogy banki ügyintézőnek adják ki magukat a csalók, akik felhívják az ügyfelet, hogy megszerezzék az adatait.
Az MNB ezért azt ajánlja, hogy a bankok használjanak egy olyan egyedi azonosító kódot, amely alapján az ügyfél tudni fogja, valóban a bank hívta-e fel. Vagyis, ha az ügyintéző nem ismeri a titkos kódot, akkor nyugodtan rá lehet csapni a telefont, nem a bankból kereste az ügyfelet. Az OTP-nél például a netbankba vagy mobilbankba belépve már a hívás közben ellenőrizhetik az ügyfelek, hogy valóban a bank hívta-e őket. Hasonló megoldást dolgozott ki a Gránit Bank is.
Mivel a fizetési kérelmek fogadása is kötelezővé vált áprilistól, ezzel is sokan visszaélhetnek, és követelhetnek így pénzt másoktól, akik nem tartoznak nekik.
Az MNB ezért jó gyakorlatnak tartja, ha a pénzforgalmi szolgáltató lehetőséget biztosít az ügyfeleknek arra, hogy képesek legyenek az általuk visszaélésgyanúsnak ítélt fizetési kérelem küldőjének letiltására, valamint a letiltás feloldására az elektronikus csatornákon keresztül.
Szeptembertől díjmentesen biztosítani kell az ügyfél számára, hogy azonnal értesüljön, ha valamilyen tranzakció történt a számláján, illetve, ha megváltoztatták valamilyen adatát a bankban, például a jelszavát, értesítési adatait, telefonszámát.
Ezt a szolgáltatást nem csak a lakossági ügyfeleknek, de a mikrovállalkozásoknak is kötelező biztosítani. Vannak bankok, amelyek ezt push üzenettel oldják meg, de az Erste Bank például a mikrovállalkozásokat egyelőre sms-ben fogja értesíteni. Az UniCreditnél többféle lehetőség (sms, email, push üzenet) közül válaszhatnak az ügyfelek. Aki nem tart igényt ezekre az üzenetekre, az lemondhatja a szolgáltatásokat.
A bankoknak emellett figyelniük kell a gyanús tranzakciókat, és ha ilyet tapasztalnak, akkor értesíteniük kell az ügyfelet.
Ilyen esetek lehetnek,
- ha kiugróan magas összeget akar valaki átutalni,
- olyan csatornát használ, amilyet nem szokott (például mobilbank helyett internetbankot),
- olyan helyszínen vagy időpontban történik a tranzakció, ami szokatlan az ügyfélnél,
- vagy hasonló folyamat megy végbe, mint ami a csalásoknál szokott, például a teljes egyenleget átutalják egy másik számlára.
Szeptembertől értékhatárokat kell bevezetni a bankoknak a digitális csatornákon és bankkártyával kezdeményezett tranzakciókra.
A készpénzfelvételre, a bolti és online kártyás vásárlásokra többnyire már most is van ilyen, azonban az átutalásokra ez még nem elterjedt, bár az OTP Bank ügyfelei már májustól találkozhatnak ezzel a változtatható vagy időlegesen felfüggeszthető limittel. Az MNB nem szabott meg konkrét összeghatárokat, de elvárja, hogy a limitek az ügyfelek szokásaihoz igazodjanak. Az előre beállított limiteket az ügyfél módosíthatja felfelé és lefelé is, méghozzá díjmentesen.
A csalások kivédését szolgálja az az intézkedés is, hogy ha valaki új eszközre telepíti a mobilbankot, internetbankot, akkor a limitek az első 24 órában még alacsonyabbak lesznek, és ezeket az összeghatárokat az ügyfél a 24 óra leteltéig nem is emelheti meg. Ez nem jelenti azt, hogy az ügyfél egyáltalán nem tud majd bankolni, a limitek a szokásos tranzakcióihoz igazodnak majd.
Csökkenteni az összeghatárt egyszerű lesz, a növelésnél viszont lesznek korlátok.
Ha kétszer is sikertelenül próbálja meg valaki ezt a műveletet, akkor 24 órán át várhat a következő kísérletre. A banknak fel is kell hívnia az ügyfelet ez idő alatt, hogy megtudja, valóban ő akarta-e megemelni az átutalási vagy vásárlási limitet. A telefonbeszélgetés során meg kell kérdezni, mi volt az oka a módosításnak, és fel kell hívni a figyelmet az esetleges csalásokra.
Arra is lehetőségük lesz az ügyfeleknek, hogy a számlájukhoz kapcsolódó különféle szerződésmódosításokat kizárólag személyesen vagy videóbankon keresztül azonosítva bonyolíthassák le, ha kérik, elektronikus csatornákon keresztül enélkül ne. Több száz esetben próbáltak például ilyen azonosítás nélkül online személyi kölcsönt felvenni a számlatulajdonosok nevében azok bankjától, és száznál is több esetben sikerrel is jártak. Ez az előírás egyebek között az ilyen esetek ellen nyújthat védelmet.
A kártyás vásárlásoknál elvárás lesz, hogy a kártyaelfogadás során a kereskedők nem juthatnak hozzá többé a kártyaadatokhoz.
Azokat csak a POS-terminálokat adó bankok tárolhatják, a kártyaadatokat a kereskedők kizárólag tokenizált formában vagy más hasonlóan titkosított formában kaphatják meg.
A bankoknak emellett folyamatosan figyelmeztetniük kell az ügyfeleket a megfelelő biztonságra, a készülékek biztonságos beállítására.
Azt is elvárja a felügyelet, hogy a feltört mobilkészülékeken korlátozzák a mobilbanki használatot, emellett az elavult, például biometrikus azonosításra (ujjlenyomat vagy arcfelismerés) alkalmatlan mobilokon bonyolultabb és szigorúbb jóváhagyási procerdúrákra számíthatnak majd az ügyfelek, ezeket ugyanis sokkal könnyebb feltörni.