Żyjemy w czasach, kiedy liczne sprawy można załatwić online: zakupy, opłacenie rachunków etc. Nie ma Pan wrażenia, że Polacy trochę zbyt mocno przeszli do porządku dziennego nad swoją aktywnością w sieci i wciąż zbyt rzadko pamiętają o bezpieczeństwie, które przecież jest tak istotne?
Przejście kupujących do kanału online to zupełnie naturalny proces, który dynamicznie przyspieszył w trakcie pandemii. Temat dotyczący bezpieczeństwa nieco nam jednak spowszedniał, a nadmiar informacji spowodował, że wiele kwestii zaczęło po prostu umykać. Choć więc informacji samych w sobie jest bardzo dużo, to mam wrażenie, że Polacy nie wiedzą, z jakich korzystać narzędzi, aby w tym natłoku wiadomości czuć się bezpiecznie. Warto zwracać uwagę na to, co i u kogo kupujemy oraz jaką metodę płatności wybieramy. Jeśli wchodzimy na stronę sklepu, w którym nie robiliśmy wcześniej zakupów, musimy zachować czujność, sprawdzić opinie o nim oraz poznać model płatności, z jakim jest zintegrowany. Nie uciekniemy przed rozwojem i kierunkiem, w jakim podążają aktywności online. To, co możemy i powinniśmy zrobić, to zadbać o ochronę w sieci. Jak wynika z badania Tpay, mimo że aż dla 90 proc. Polaków bardzo ważne jest bezpieczeństwo transakcji podczas e-zakupów, to jednak wielu konsumentów wciąż pada ofiarą różnych, coraz bardziej wymyślnych metod cyberprzestępców.
Właśnie. Jak pokazują analizy rynkowe, świadomość Polaków w takim obszarze wiedzy finansowej, jakim jest cyberbezpieczeństwo, z roku na rok rośnie, jednak na tle innych obszarów, jak np. oszczędzanie, płatności bezgotówkowe czy kredyty i pożyczki, w tym aspekcie wypadamy najsłabiej. Jak Pan sądzi, dlaczego tak jest?
To być może wynika z tego, że zbyt szybko i w zasadzie nagle przeszliśmy do kanału e-commerce. Sam przeskok był dynamiczny, nie był procesem płynnym, tzn. wiele osób nie było ani przygotowanych na tego typu aktywności, ani nie miało wystarczającej wiedzy, jak to zrobić. Warto zauważyć, że nasze nawyki w sieci nie dotykają wyłącznie zakupów czy płatności, ale także sposobu, w jaki poruszamy się w internecie w ogóle. Cyberbezpieczeństwo dotyczy całej naszej działalności online, a to z kolei przekłada się na to, jak w takich wrażliwych procesach będziemy się zachowywać. Jeśli więc Polakom brakuje podstawowej wiedzy na temat bezpiecznego poruszania się w internecie, to później nawet z pozoru drobny błąd, jak na przykład za słabe hasło do poczty e-mail, może kosztować bardzo wiele.
Często wydaje nam się, że skoro jesteśmy we własnym domu, a komputer ląduje na naszych kolanach, to jesteśmy bezpieczni. Tymczasem świadomy użytkownik jest mniej narażony na ataki, a jeśli zdarzy się przykry incydent, to wie, gdzie w pierwszej kolejności szukać pomocy.
Aż jedna trzecia internautów deklaruje, że została oszukana podczas zakupów w sieci. Na co Polacy powinni zwrócić więc uwagę, aby nie dać się oszukać? Skąd mogą czerpać wiedzę na temat cyberbezpieczeństwa?
Badania rynkowe pokazują, że jednym z pierwszych celów cyberprzestępców jest m.in. przejęcie skrzynki mailowej, dlatego z pozoru błahą kwestią, o której powinniśmy pamiętać, jest zarządzanie hasłami. Istnieje wiele narzędzi, które nam w tym pomogą, np. dedykowane aplikacje typu KeePass, przechowujące wszystkie hasła czy też autoryzacja SMS. Niestety często można spotkać się z opinią, że posiadanie wielu różnych haseł do różnych portali, bankowości etc. jest sporym utrudnieniem. Bezpieczna aktywność w sieci zawsze będzie kwestią kompromisu pomiędzy wygodą a odpowiednią ochroną. Jeśli chodzi o czerpanie wiedzy, to większość instytucji finansowych opracowuje i udostępnia własne poradniki. Często obszerne informacje są także publikowane na stronach WWW banków i instytucji finansowych w zakładce dotyczącej bezpieczeństwa. Na rynku jest również kilka portali internetowych, które udostępniają wiedzę w tym temacie, informują o aktualnych, popularnych wśród cyberprzestępców akcjach phishingowych. Rzeczywistość pokazuje jednak, że cyberataki to problem nie tylko dla zwykłego Kowalskiego, ale mogą one dotknąć też każdy biznes.
Weźmy na tapet właścicieli e-sklepów – oni także są uczestnikami rynku finansowego. Jak pokazują dane, tylko w ubiegłym roku w 47 procentach za straty związane z cyberoszustwami dotyczącymi płatności cyfrowych odpowiedzialne były zakupy online. Jakiego rodzaju cyberprzestępstwa najczęściej dotykają sektor e-commerce?
Pierwszą grupą ryzyka są dane kartowe, które mogą zostać wykradzione od konsumenta. W tym przypadku merchant, tj. właściciel e-sklepu, nie wie o tym, że ten proces ma miejsce, a co za tym idzie – jest on z punktu widzenia sprzedawcy bardzo trudny do wykrycia. Inny, również popularny mechanizm oszustwa, to klasyczny phishing – konsument otrzymuje np. maila z oszukańczej strony internetowej z pozornie bardzo atrakcyjną ofertą produktową. Konsument – dając się nabrać i klikając w link zawarty w mailu – zostaje przekierowany na fałszywą stronę płatności i bankowości, a ktoś wyprowadza jego środki finansowe. Mimo że wektor ataku jest w tym przypadku inny, to tego typu oszustwo również jest bardzo trudne do wykrycia.
W ostatnim czasie bardzo popularne jest też oszustwo metodą „na BLIKA”. Oszust, przejmując należący do kogoś profil w mediach społecznościowych, kontaktuje się ze znajomymi osoby, której profil przejął, prosząc ich o wsparcie finansowe (uzasadnione nagłą, wyjątkową sytuacją) i podanie kodu do płatności mobilnych (BLIK). Reasumując, wszystkie strony sektora e-commerce muszą zachować należytą czujność – konsumenci powinni zwiększać swoją świadomość na temat metod i działań cyberprzestępców i wiedzieć, jak się przed nimi chronić, a właściciele e-sklepów muszą zapewniać swoim klientom bezpieczeństwo.
Co zatem może odpowiadać za szeroko rozumiane cyberbezpieczeństwo w tej branży?
Pojawia się szereg rygorystycznych regulacji prawnych, które są gwarancją jakości i bezpieczeństwa obsługiwanych transakcji. Przykładowo my, tj. Tpay, jako operator płatności musimy mieć całkowitą pewność, że właściciel e-sklepu, który jest aktywnym uczestnikiem rynku finansowego, jest w stu procentach zaufany: jego sklep istnieje, sprzedaje produkty/usługi i będzie wywiązywał się ze wszystkich zobowiązań na rzecz swoich klientów. Taka skrupulatna weryfikacja to przede wszystkim wymóg prawny. W przypadku właścicieli e-sklepów, poza zwiększeniem wydatków na cyberbezpieczeństwo, bardzo istotna jest edukacja – zarówno wśród nich samych, jak i płatników. Tym, co musi zrobić e-sprzedawca, jest umieszczenie regulaminu sklepu w widocznym miejscu – zobowiązuje go do tego Ustawa o prawach konsumenta. Zwiększone zaufanie wzbudza także informacja o dostępnych metodach płatności oraz współpracy z operatorem płatności. Warto więc umieścić logo, link i nazwę operatora, z którego usług korzysta sklep. Przydatne są również wszelkie instrukcje i poradniki dotyczące procesu zakupowego, które ułatwią konsumentowi zakupy i zwiększą jego zaufanie do sklepu. Sporo na ten temat piszemy na naszym blogu Tpay.
Porozmawiajmy zatem o koniecznych regulacjach rynku finansowego. Jakie mamy obecnie regulacje, mające istotny wpływ na bezpieczeństwo uczestników procesu płatności?
Instytucje płatnicze, aby świadczyć swoje usługi, muszą posiadać stosowną licencję. W Polsce taką licencję wydaje Komisja Nadzoru Finansowego w ramach Ustawy o usługach płatniczych. Zadaniem tego typu regulacji jest sprawienie, by sposób działania w internecie był bezpieczny i zrozumiały dla wszystkich uczestników rynku finansowego. Operatorzy płatności odpowiedni poziom ochrony zapewniają poprzez certyfikaty, jak chociażby PCI DSS (Payment Card Industry Data Security Standard), który jest potwierdzeniem spełniania norm wymaganych przez instytucje płatnicze VISA i MasterCard do dostarczania płatności kartami. Na kształt rynku finansowego ma także wpływ Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML), która zobowiązuje do identyfikowania i weryfikowania tożsamości właścicieli e-commerce, ustawa o świadczeniu usług drogą elektroniczną czy też ustawa RODO, normalizująca zakres i sposób przetwarzania danych osobowych.
Dlaczego merchant musi przejść proces weryfikacji i jak musi on być zorganizowany?
Pomijając wcześniej wspomniany przeze mnie aspekt, jakim jest odgórny wymóg ustawowy, to wszystkie regulacje mają za zadanie zapewnić szeroko rozumiane bezpieczeństwo, zarówno merchantowi, jak i klientowi. Dla właściciela e-sklepu jednym z celów jest chociażby zbudowanie zaufanie ze strony płatnika. Posiadanie licencji jest bowiem równoznaczne z pozytywnym przejściem procesu licencyjnego.
Dlaczego i w jaki sposób regulacje mają służyć bezpieczeństwu klienta, tj. płatnika, a w jakim merchanta?
Ideą jest bezpieczeństwo całego sektora i zabezpieczenie wszystkich uczestników rynku, tym samym budując efektywną i elastyczną przestrzeń do prowadzenia działalności e-commerce. Z jednej strony, ma to być bezpieczeństwo płatnika, który kupując daną usługę, chce mieć pewność, że środki, jakie przekaże za usługę lub produkt trafią do merchanta. Z drugiej zaś, merchant również powinien być pewny, że taka transakcja zostanie zrealizowana w sposób niezakłócony. Regulacje mają więc na celu zbudowanie efektywnej i elastycznej przestrzeni, zarówno do prowadzenia działalności e-commerce, jak i aktywności zakupowych.
Jakie zagrożenia i ryzyka powstają w momencie braku poprawnie przeprowadzonego procesu weryfikacji?
To pytanie trochę prowokacyjne (śmiech). Proces weryfikacji powinien być tak skonstruowany, żeby takich zagrożeń nie było. Proszę sobie wyobrazić sytuację, gdybyśmy jako operator płatności chociażby nie weryfikowali merchantów. Oczywiście, zdarza się, że fałszywe sklepy powstają i funkcjonują, sprzedając produkty w pozornie atrakcyjnych cenach. I faktycznie, dany sklep jakiś czas działa, buduje zaufanie u swoich klientów, po czym, gdy skala zamówień rośnie do poziomu dla niego intratnego, to zaczyna on przyjmować bardzo dużo zamówień, ale ich nie realizuje. To jest tylko jeden z wielu przykładów nadużyć, przestępstw, które w świecie e-commerce’owym mogą zaistnieć, dlatego też proces weryfikacji musi być dokładny i precyzyjny, aby takich sytuacji uniknąć.
Rozmawiała: Izabela Świątkowska
