ΔΗΜΟΣΙΕΥΜΑΤΑ

Οι τελικές αλλαγές για την ασφάλεια των e-πληρωμών

https://www.capital.gr/oikonomia/3693231/oi-telikes-allages-gia-tin-asfaleia-ton-e-pliromon

Συνεδρίαση Ομάδας Εργασίας του υπουργείου Προστασίας του Πολίτη για τις ηλεκτρονικές απάτες
Της Βάσως Αγγελέτου Δεκτή θα κάνει το υπουργείο Ανάπτυξης την πρόταση των τραπεζών για εφαρμογή πρόσθετης δικλείδας ασφαλείας στις ηλεκτρονικές πληρωμές άνω των 1.000 ευρώ, προκειμένου να απαλλαχθούν από την υποχρέωση αποζημίωσης των καταναλωτών που πέφτουν θύμα απάτης λόγω βαριάς αμέλειάς τους. Αυτό αποκαλύπτουν στο Capital.gr ανώτατες πηγές του Υπουργείου, που επιβεβαιώνουν ότι το νομοσχέδιο που τέθηκε σε διαβούλευση την προηγούμενη εβδομάδα και αναμένεται να ψηφιστεί εντός Ιανουαρίου, θα παρέχει δυνητικά αυτήν τη δυνατότητα στα πιστωτικά ιδρύματα τα οποία, σε διαφορετική περίπτωση, θα επιβαρύνονται απεριόριστα τη ζημία της απάτης για ποσά άνω των 1.000 ευρώ. Το άρθρο 22 του προτεινόμενου νομοσχεδίου προβλέπει επίσης την κάλυψη του κόστους της απάτης για ποσά άνω των 50 ευρώ σε περίπτωση μη υπαιτιότητας του καταναλωτή. Η προστασία αυτή, ωστόσο, προβλέπεται ήδη από την ευρωπαϊκή νομοθεσία, που υποχρεώνει τα σχήματα καρτών (Visa & Mastercard) να επιστρέφουν το ποσό της κλοπής στον χρήστη σε περιπτώσεις όπως απώλεια ή κλοπή κάρτας ή ακόμη και χακάρισμα που έχει ως αποτέλεσμα την υποκλοπή στοιχείων καρτών καταναλωτών. Γιατί αντιδρούν οι τράπεζες Ωστόσο, η διάταξη που προκάλεσε νέους “τριγμούς” στις σχέσεις τραπεζών – κυβέρνησης είναι αυτή που υποχρεώνει -για πρώτη φορά- τις τράπεζες να βάλουν “το χέρι στην τσέπη” στις περιπτώσεις απάτης που οφείλονται σε αμέλεια των χρηστών (περιστατικά “phishing”).  Τέτοιες περιπτώσεις είναι η παροχή στοιχείων λογαριασμών, κωδικών ασφαλείας (pin), αριθμού καρτών και τριψήφιων αριθμών ασφαλείας (CVV) -συνδυαστικά- μέσω email ή τηλεφώνου σε επιτήδειους οι οποίοι προσποιούνται επωνύμους, αναξιοπαθούντες ή ακόμη και δημόσιους λειτουργούς, όπως αστυνομικούς και γιατρούς, ή υπαλλήλους ΔΕΚΟ.  Οι απατεώνες κατορθώνουν να εισέλθουν στους λογαριασμούς e-banking των θυμάτων αποσπώντας ποσά που μπορεί να φτάσουν ακόμη και δεκάδες χιλιάδες ευρώ. Σύμφωνα με τα διαθέσιμα στοιχεία του κλάδου, τα περιστατικά αυτά ανέρχονται περίπου σε 10.000 ετησίως στη χώρα μας, αλλά θα μπορούσαν να είναι πολλαπλάσια εάν τα προηγμένα συστήματα ασφαλείας των τραπεζών δεν ανίχνευαν εγκαίρως την e-απάτη. Αρμόδια τραπεζικά στελέχη αναφέρουν στο Capital.gr ότι οι τράπεζες υποχρεούνται να εξασφαλίζουν πολύ χαμηλά ποσοστά απάτης (κάτω από 0,1%) επί του τζίρου των ηλεκτρονικών αγορών που πραγματοποιούνται μέσω των συστημάτων τους, διαφορετικά αντιμετωπίζουν κυρώσεις όπως περιορισμένες λειτουργικότητες στα συστήματα πληρωμών τους. Διαβεβαιώνουν δε, ότι τα περιστατικά χακαρίσματος απευθείας των τραπεζικών λογαριασμών -χωρίς να έχει μεσολαβήσει κάρτα ή ακούσια παροχή στοιχείων σε επιτήδιους- είναι ανύπαρκτα. Σημειώνεται ότι, εκτός από τις σημαντικές επενδύσεις που υλοποιούν σε συστήματα ασφαλείας, οι τράπεζες διενεργούν συστημικές καμπάνιες ενημέρωσης των πελατών τους – ιδίως όσων χρησιμοποιούν τα ψηφιακά κανάλια συναλλαγών όπως το internet banking και mobile banking. Σε αυτό το πλαίσιο εντάσσεται και η πρωτοβουλία της Ελληνικής Ένωσης Τραπεζών “Μια παύση αρκεί για να αποφύγουμε την ηλεκτρονική απάτη” που ξεκίνησε στο τέλος του 2021 και συνεχίστηκε το 2022 με στόχο την ενημέρωση του κοινού. Τι προβλέπει η ευρωπαϊκή νομοθεσία Σύμφωνα με την αναθεωρημένη οδηγία PSD2 της Ευρωπαϊκής Ένωσης, που τέθηκε σε ισχύ τον Δεκέμβριο 2019, οι πάροχοι πληρωμών παρέχουν δύο επίπεδα ασφαλείας (2-step verification) για τις ψηφιακές συναλλαγές. Το πρώτο είναι κάτι που γνωρίζει ο χρήστης (π.χ. οι κωδικοί εισόδου στο mobile banking) και το δεύτερο είναι κάτι που έχει στην κατοχή του (π.χ. το κινητό του).  Η ταυτοποίηση μέσω του κινητού γίνεται είτε με τετραψήφιο κωδικό που θα πρέπει να καταχωρήσει ο χρήστης στο e-shop για να ολοκληρωθεί η συναλλαγή, είτε με βιομετρικά στοιχεία, όπως η σάρωση δακτυλικού αποτυπώματος ή η αναγνώριση προσώπου, εφόσον βέβαια η συσκευή υποστηρίζει αυτές τις λειτουργίες. Το τρίτο βήμα ταυτοποίησης θα μπορούσε να είναι επίσης κάτι που έχει στην κατοχή του ο χρήστης όπως μερικά από τα ψηφία του αριθμού της κάρτας του. Σύμφωνα με πηγές του κλάδου, η προσθήκη τρίτης δικλείδας θα μπορούσε να αποτελέσει τη “χρυσή τομή” ανάμεσα στις αξιώσεις του Υπουργείου και τις ενστάσεις των τραπεζών, παρότι αμφισβητούν την αποτελεσματικότητα του μέτρου. “Ένας χρήστης που θα αποκαλύψει δύο προσωπικά στοιχεία ασφαλείας σε έναν επιτήδειο, γιατί να μην αποκαλύψει και το τρίτο;”, αναρωτιούνται. Άλλη εναλλακτική για την προστασία του κλάδου -εάν δεν βρισκόταν κοινός τόπος με το Υπουργείο- θα ήταν η επιβολή ανώτατου ορίου 1.000 στις ηλεκτρονικές συναλλαγές -κάτι που ωστόσο θα λειτουργούσε ως “μπούμερανκ” για τη διάδοση των ψηφιακών συναλλαγών, καθώς θα επιδείνωνε σημαντικά την εμπειρία του πελάτη.  “Εάν αναγκαστούν οι τράπεζες να μειώσουν τα ανώτατα όρια των συναλλαγών, υπάρχει ο κίνδυνος οι πελάτες τους να στραφούν σε ξένους παρόχους υπηρεσιών πληρωμών, όπως η Revolut ή το Viber Pay όπου δεν υφίστανται τέτοιοι περιορισμοί”, παραδέχεται πηγή του κλάδου.