– Unijne przepisy cały czas ewoluują, czego potwierdzeniem mogą być prace nad dyrektywą PSD3 i rozporządzeniem PSR. W tych dokumentach zwraca się uwagę m.in. na konieczność większej ochrony klientów przed nowymi metodami oszustw – podkreśla Marta Merta, Senior Associate, Deloitte Legal. Wyjaśnia też, w jaki sposób obywatele Unii Europejskiej będą mogli korzystać z nowego portfela tożsamości cyfrowej.
Łukasz Pałka, ZPF: Pod koniec lutego Parlament Europejski przyjął nowelizację rozporządzenia eIDAS. Jego najważniejszy element to zdefiniowanie Europejskiego Portfela Tożsamości Cyfrowej. Czym on właściwie jest?
Marta Merta: W założeniu cyfrowy portfel ma być narzędziem, za pomocą którego będzie można jednoznacznie potwierdzać tożsamość korzystającej z niego osoby. Możliwość bezpiecznego korzystania z cyfrowego portfela ma mieć każdy obywatel Unii Europejskiej.
Rozporządzenie eIDAS w pierwotnym brzmieniu odnosiło się przede wszystkim do sektora publicznego, w przypadku Polski możemy wskazać tu choćby węzeł krajowy, umożliwiający nam korzystanie z usług urzędów.
Teraz jednak przepisy zmierzają w stronę rozszerzenia zakresu zastosowania niektórych rozwiązań w zakresie identyfikacji elektronicznej również na sektor prywatny, w szczególności chodzi tu o konieczność akceptowania elektronicznego portfela tożsamości przez podmioty m.in. z branży finansowej. Oznacza to, że każdy obywatel Wspólnoty będzie mógł m.in. generować kwalifikowane podpisy elektroniczne, by podpisywać umowy, również transgranicznie.
Ale to nie wszystko. Rozporządzenie będzie miało także wpływ na sposób, w jaki instytucje finansowe weryfikują tożsamość swoich klientów.
To znaczy?
Spodziewam się, że bardzo praktyczną zmianą będzie m.in. sposób logowania do bankowości elektronicznej. Obecnie klient podaje przykładowo: login, hasło i kod SMS, mogąc korzystać przy tym również z dodatkowych/innych metod uwierzytelniania.
Unijne przepisy zakładają zaś, że instytucje finansowe będą musiały umożliwić klientom logowanie, a także np. autoryzowanie transakcji właśnie za pomocą cyfrowego portfela.
Czy funkcjonujący już w Polsce system mObywatel może zostać dostosowany do realizacji tych zadań?
To jeden z najbardziej prawdopodobnych scenariuszy, ale musimy jeszcze poczekać na wdrożenie odpowiednich przepisów. Podmioty zobowiązane do umożliwienia weryfikacji tożsamości za pomocą cyfrowego portfela dostaną również czas na dostosowanie się do zmian.
Zakładam, że realny termin, gdy cyfrowe portfele będą wydawane w Polsce, to rok 2026, a ich powszechna akceptacja rozpocznie się w 2027 roku.
Czy unijne regulacje dostrzegają konieczność zwiększenia bezpieczeństwa klientów korzystających z usług płatniczych?
Myślę, że tak. Unijne przepisy cały czas ewoluują, czego potwierdzeniem mogą być prace nad dyrektywą PSD3 i rozporządzeniem PSR. W tych dokumentach zwraca się uwagę m.in. na konieczność większej ochrony klientów przed nowymi metodami oszustw.
Chodzi tu przede wszystkim o tzw. spoofing, a więc ataki, w których przestępcy podszywają się np. pod pracowników banków i instytucji publicznych w celu wyłudzenia danych bądź nakłonienia klientów do zainstalowania złośliwego oprogramowania na swoich komputerach czy urządzeniach mobilnych.
Warto zwrócić uwagę na to, że złodzieje profesjonalizują swoje działania. Problemem nie jest już dla nich np. podszycie się pod numer telefonu przypisany do infolinii banku. Wykorzystując mechanizmy socjotechniczne uzyskują dostęp do chronionych danych klientów, by następnie z ich wykorzystaniem przeprowadzić „oszukańcze” transakcje.
W jaki sposób PSD3 i PSR mają wspomóc walkę z cyberprzestępcami?
Nowe regulacje zakładają, że jeżeli klient niezwłocznie powiadomi dostawcę usług (np. bank) i policję o nieautoryzowanej transakcji, będącej wynikiem spoofingu, to instytucja powinna zwrócić mu utracone środki.
Oczywiście przepisy przewidują też sytuacje, gdy instytucje będą mogły wstrzymać się z wypłatą, bo np. będą miały podejrzenia dotyczące zachowania samego klienta. Trzeba bowiem pamiętać o tym, by umiejętnie zważyć argumenty za ochroną konsumentów, nie zapominając o interesach instytucji finansowych.
Możemy również spodziewać się, że na gruncie nowych, unijnych przepisów podmioty z rynku finansowego będą rozwijać narzędzia w zakresie biometrii behawioralnej i sztucznej inteligencji, by dokładniej analizować zachowania klienta i wyłapywać nietypowe dla niego próby realizacji transakcji.
To wystarczy, by poprawić bezpieczeństwo klientów?
Niezmiennie kluczowa jest edukacja. Warto przypominać klientom instytucji finansowych chociażby o tym, że jeżeli podczas rozmowy z konsultantem nabiorą jakichkolwiek podejrzeń, to warto rozłączyć się, a następnie samodzielnie zadzwonić na infolinię i potwierdzić, czy faktycznie jej pracownik kontaktował się z daną osobą.
Pewne obowiązki w zakresie takiej edukacji zostaną także najprawdopodobniej wprowadzone bezpośrednio przez projektowane przepisy PSR i PSD3.
Te elementy edukacyjne będą szczególnie istotne dla tych grup konsumentów, które potrzebują szczególnej uwagi. To np. seniorzy, w przypadku których należy dążyć to tego, by nie zostali wykluczeni z gospodarki cyfrowej.
