PKO BP udostępnił mobilne płatności zbliżeniowe Visa oparte o chmurę i technologię HCE. Każdy kto zdecyduje się na takie rozwiązanie, powinien zadbać o bezpieczeństwo swojego telefonu w kontekście zastosowania systemów przeciwdziałających złośliwemu oprogramowaniu - zaleca UKNF.
Rozwiązanie zaproponowane przez bank zostało zintegrowane z aplikacją mobilną IKO. "Dzięki nowej usłudze klienci banku mogą płacić zbliżeniowo smartfonem we wszystkich 366 tys. terminalach zbliżeniowych w Polsce i 3 mln takich terminali w całej Europie. Usługa jest bezpłatna, a jej aktywacji dokonuje się bezpośrednio z poziomu aplikacji IKO" - poinformował w komunikacie PKO BP.
Tysiące terminali
"Staramy się dostarczać naszym klientom najnowocześniejsze rozwiązania technologiczne, dzięki którym codzienne bankowanie staje się łatwe, szybkie, a jednocześnie bezpieczne, dostępne w każdym miejscu i z użyciem nowoczesnych urządzeń. Wprowadzenie mobilnych płatności zbliżeniowych do IKO, we współpracy z Visa, to kolejny krok w tę stronę" - cytuje komunikat wypowiedź Jacka Obłękowskiego, wiceprezesa PKO Banku Polskiego, odpowiedzialnego za obszar bankowości detalicznej. Z aplikacji IKO, jak podaje bank, korzysta na swoich telefonach ponad 450 tys. użytkowników. "Nowe rozwiązanie działa wyłącznie na smartfonach wyposażonych w funkcjonalność NFC (Near Field Communication) oraz system operacyjny Android w wersji 4.4 lub nowszej. Klienci PKO Banku Polskiego, chcący korzystać z mobilnych płatności zbliżeniowych Visa, muszą wskazać w aplikacji mobilnej IKO swoją debetową lub kredytową kartę Visa, dla której udostępnione zostaną takie płatności" - głosi komunikat. Bank dodaje, że transakcje do 50 zł są realizowane bez potwierdzenia kodem PIN, natomiast transakcje powyżej 50 zł wymagają potwierdzenia poprzez wpisanie na ekranie smartfona PIN-u przypisanego do aplikacji IKO. "W momencie dokonywania płatności smartfon nie musi znajdować się w zasięgu sieci GSM" - podał bank. Dodaje, że mobilnych płatności zbliżeniowych Visa za pomocą aplikacji IKO można dokonywać w 366 tys. terminali zbliżeniowych w Polsce oraz w 3 mln takich terminali w Europie. Do końca 2017 r. w Polsce i do końca 2019 r. w Europie zbliżeniowo smartfonem będzie można zapłacić we wszystkich terminalach - zapowiedział bank.
Specjalne wymagania
Tomasz Piwowarski dyrektor Departamentu Inspekcji Bankowych, Instytucji Płatniczych i SKOK Urzędu Komisji Nadzoru Finansowego powiedział, że technologia HCE różni się od dotychczasowych tym, że nie trzeba mieć podpisanej umowy z telekomem i posiadać specjalnej karty SIM z modułem płatności, tylko trzeba ściągnąć na telefon specjalną aplikację. Wtedy, wykorzystując tzw. technologię chmury, można dokonywać płatności - zaznaczył. Pytany o bezpieczeństwo tego typu transakcji, Piwowarski stwierdził, że dotąd "nie odnotowano nadmiernej skali wyłudzeń za pomocą technologii zbliżeniowej w tym kart zbliżeniowych", ale "generalnie płatności zbliżeniowe są bezpieczne, jeśli przestrzegane są standardy bezpieczeństwa".
Piwowarski wskazał, że odpowiednie zapisy w sprawie kart zbliżeniowych są w Rekomendacjach Rady ds. Systemu Płatniczego, działającej przy NBP, wydanych w 2013 roku. - Każdy klient, który zdecyduje się na korzystanie z bankowości mobilnej oraz dokonywanie płatności za pomocą telefonu, w tym zbliżeniowych, powinien przede wszystkim pamiętać, że wykorzystywane na telefonach systemy operacyjne mogą być podatne na zagrożenia tj. posiadać luki bezpieczeństwa. Powinien też zadbać o bezpieczeństwo swojego telefonu w kontekście zastosowania systemów przeciwdziałających złośliwemu oprogramowaniu oraz wykonywać regularne aktualizacje tych systemów - mówił przedstawiciel UKNF. - Bo gdy za pośrednictwem telefonu posiada się dostęp do rachunku bankowego oraz można dokonywać płatności, jego rola istotnie się zwiększa. Gdy nie będzie odpowiednio chroniony, otwiera się wówczas przestrzeń na istotne ryzyko - argumentował. Zwrócił uwagę, że korzystanie z płatności zbliżeniowej w technologii HCE wymaga specjalnego telefonu z funkcjonalnością NFC wyposażonego w odpowiednią wersję systemu Android (co najmniej 4.4). Na obecnym etapie, dodał, ograniczona liczba klientów dysponuje tego typu urządzeniami. - Wyposażenie telefonów większości klientów jest niewystarczające, by tę technologię powszechnie wykorzystać - uważa.
Konieczne testy bezpieczeństwa
Zdaniem dyrektora z UKNF przy wprowadzaniu nowych technologii do bankowości mobilnej ważne jest, czy banki stosują się do rekomendacji 7 w ramach "Rekomendacji D" KNF. Rekomendacja 7 zaleca, że trzeba ocenić wpływ wdrażanego rozwiązania na środowisko teleinformatyczne, oraz że każde takie rozwiązanie musi być przetestowane pod kątem bezpieczeństwa. - Czasem jest pościg, że jak trzy banki coś wprowadziły, pozostałe też chcą, nieważne, że skorzysta na tym ograniczona liczba klientów i finalnie w ograniczonym stopniu przełoży się to na dochody banku - mówił Piwowarski. - Jeśli jednak będą to wdrażali z pominięciem standardów bezpieczeństwa całego środowiska teleinformatycznego, w tym testowania pod kątem bezpieczeństwa wdrażanych rozwiązań, wówczas będzie otwierać się przestrzeń na ryzyko - przestrzegał. Tymczasem z przeprowadzonego na zlecenie UKNF badania opinii społecznej wynika, przypomniał Piwowarski, że blisko połowa klientów korzystających z bankowości elektronicznej nie przestrzega podstawowych zasad bezpieczeństwa (zmiana hasła, aktualny system przeciwdziałający złośliwemu oprogramowaniu, analiza historii rachunku) a istotna część uważa, iż bezpieczeństwo to nie ich odpowiedzialność, tylko banków. - To pokazuje, gdzie jesteśmy, jeśli chodzi o świadomość klientów - podkreślił. - A jednocześnie banki prześcigają się w oferowaniu najnowszych rozwiązań - dodał.
Stanowisko PKO BP
W sprawie mobilnych płatności zbliżeniowych PKO BP wydało w niedzielę po południu oświadczenie:
"Płatności zbliżeniowe w aplikacji IKO (tzw technologia HCE) zostały uruchomione przez PKO Bank Polski ze szczególną dbałością o bezpieczeństwo pieniędzy klientów. IKO jest zabezpieczone na kilku poziomach – po pierwsze, sama aplikacja jest rygorystycznie testowana i poddawana niezależnemu audytowi bezpieczeństwa, jak również certyfikacji organizacji Visa. Właśnie wymagania tej certyfikacji powodują, że, przykładowo, nie można używać HCE na telefonach z tzw rootem, czyli z dostępem do konta administratora systemu operacyjnego.
Po drugie, żeby funkcjonalność HCE była aktywna, należy „obudzić” telefon. Smartfon z wygaszonym ekranem nie zareaguje na próbę dokonania płatności. Nie ma więc możliwości przypadkowego czy złośliwego dokonania płatności np. w tramwaju przez zbliżenie czytnika do komórki trzymanej w kieszeni.
Po trzecie, płatność powyżej 50 zł wymaga podania PINu do aplikacji i ponownego zbliżenia aparatu do terminala. Trudno sobie wyobrazić, jak można by tego dokonać bez wiedzy posiadacza telefonu.
Po czwarte wreszcie, środki służące do dokonywania transakcji zbliżeniowych pochodzą z podłączonej do smartfona karty płatniczej, która ma swoje limity transakcyjne. Te limity również ograniczają kwotę, którą można wydać zbliżeniowo telefonem (tak samo jak plastikową kartą).
Niezależnie od tego, jest rzeczywiście ważne, by w komórce mieć uaktualniony system operacyjny, zainstalowaną aplikacje antywirusową, i nie instalować oprogramowania nieznanego pochodzenia. Taka jest dobra praktyka, niezależnie od tego, czy używamy płatności zbliżeniowych czy nie – w dzisiejszych czasach gromadzimy na telefonie całe mnóstwo prywatnych danych, od hasła do poczty elektronicznej po zdjęcia rodziny. Warto więc dbać o ich bezpieczeństwo."
Autor: mb//bgr / Źródło: PAP, tvn24.pl
Źródło zdjęcia głównego: Shutterstock