2023.09.28.

Az MNB ajánlással segíti a piaci szereplőket az adathalászat elleni harcban

Szerző:

Kategóriák:

Az MNB ajánlást adott ki a pénzforgalmi szolgáltatóknak a visszaélések észlelése, kezelése és megakadályozása témájában. A pénzügyek digitális útra terelődése, az egyre kifinomultabb bűnözői módszerek időszakában egyre fontosabb az ügyfelek tudatosságának erősítése, illetve az intézmények belső védelmi rendszereinek, folyamatainak jegybanki támogatása – írja az MNB.

Ajánlásban fogalmazta meg elvárásait az MNB a visszaélések észlelése, kezelése és megakadályozása kapcsán. Az ajánlás elemeit tekintve több lépcsőben – 2024 január 1., szeptember 1., illetve 2025. március 1-től – alkalmazandó.

Az ajánlás az MNB korábban bejelentett Központi Visszaélésszűrő Rendszeréhez, illetve a partnereivel közösen indított KiberPajzs ügyfél-edukációs kampány sorába illeszkedik.

A visszaélések megelőzésével, kezelésével és megakadályozásával kapcsolatos elvárások

Jegybanki elvárás, hogy a pénzforgalmi keretszerződésben és azt megelőző ügyféltájékoztatásban a visszaélések kapcsán el kell különíteni az abban érintett ügyfél esetleges súlyosan gondatlan (kirívóan ésszerűtlen, szinte szándékos) magatartását az egyszerű gondatlanságtól. Nem lehet gyengíteni a jogszabályokhoz képest a piaci szereplőkre vonatkozó kárviselési szabályokat, s az adott ügyfél magatartását egy konkrét esetben annak körülményei alapján és nem általánosan kell megítélni.

Ha az ügyfél új, nem bankkártyás fizetési eszközt (pl. mobil- vagy netbank) igényel, regisztrál vagy használ először, az MNB elvárja, hogy a pénzügyi intézmény küldjön megerősítő üzenetet neki erről, s biztonsági okból alkalmazzon erős ügyfélhitelesítést. Ha az intézmény újonnan ilyen szolgáltatást bocsát ügyfele rendelkezésére, erről ne az új elektronikus csatornán keresztül, hanem egy másik kommunikációs csatornán értesítse a fogyasztót.

Az ügyfél és a szolgáltató közti telefonos vagy egyéb hangalapú kommunikációnál az intézményeknek célszerű keresztazonosítást alkalmazni. Ennél legalább 3 kérdésre részben az ügyfél, részben a szolgáltató ügyintézője ad választ a beszélgetésben, így mindkét fél azonosítható.

Ha visszaélés történt, a bankoknak, egyéb intézményeknek olyan elektronikus kommunikációs csatornával kell rendelkezniük, amelyen az érintett ügyfelek várakozás nélkül bejelenthetik, vagy visszavonathatják a nem általuk adott megbízást.

A piaci szereplőknek az informatikai rendszerekben naplózással kell rögzíteniük az ügyfelek fizetési műveleteit, s a visszaélések kivizsgálásához szükséges eseményeket is. Így mindkét folyamat utólag is rekonstruálható lesz.

A jegybank azt is előírta, hogy ha az ügyfél kéri, az intézményeknek haladéktalanul ingyenesen elektronikus értesítést kell küldenie, ha fizetési számlája egyenlege, illetve személyi hitelesítési, értesítési adatai megváltoztak (műveletmegfigyelési üzenet).

A pénzügyi intézményeknek az adathalászat megelőzésére a biztonságtudatosságot erősítő ügyféledukációs stratégiát kell kidolgozniuk. Kiemelt helyen és módon (pl. honlapjukon, sms vagy push üzenetekben) rendszeresen és közérthetően – pl. infografikákkal, rövid videókkal – tájékoztatniuk kell a fogyasztókat az aktuális visszaélések típusairól.

Fontos a figyelemfelhívás akkor is, ha az intézmény új IT-rendszert vezet be vagy a réginél jelentős módosítást, cserét hajt végre.

Az MNB elvárja, hogy az intézmények által – a fizetések értékénél, darabszámánál – alkalmazott műveleti értékhatárok igazodjanak az ügyfelek fizetési szokásaihoz, miközben akadályozzák meg az ettől eltérő tranzakciókat. Legyen ingyenes lehetőség az értékhatárok átmeneti és állandó elektronikus (erős ügyfélhitelesítéssel történő), illetve telefonos (keresztazonosítással végezhető) módosítására.

A jegybanki ajánlás emellett kitér az ügyfelek által jóvá nem hagyott fizetési műveletek helyesbítési kérelmére is. Utóbbi kapcsán leszögezi: az intézményeknek egyedileg kell vizsgálniuk az adott művelet teljesítésének körülményeit. Önmagában nem utasíthatják el az ügyfél igényét azért, mert pl. egy kártyás fizetési művelet annak PIN-kódjával történt, vagy arra hivatkozva sem, hogy a tranzakció kapcsán az adott fogyasztó elektronikus eszközére küldtek sms vagy push üzenetet.

[MNB

Címkék: