W dniu 15 lutego 2021 roku Przewodniczący Komisji Nadzoru Finansowego w liście skierowanym do dostawców usług płatniczych, w tym banków, SKOKów oraz krajowych instytucji płatniczych wskazał na typowe luki cyberbezpieczeństwa elektronicznych kanałów dostępu do usług płatniczych. List zawiera także konkretne wytyczne nadzoru w zakresie rozwiązywania problemu wspomnianych luk.
Główne tematy poruszone w liście to:
(i) możliwość wykluczenia silnego uwierzytelniania użytkownika (SCA) w przypadku transakcji o niskiej wartości [art. 16 Rozporządzenia delegowanego Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji] powinna być zawsze opcjonalna, natomiast zgoda klienta na wyłączenie SCA powinna być zawsze wyraźna i świadoma,
(ii) kwestia zaprzestania wykorzystywania aktywnych hiperłączy w wiadomościach e-mail lub wiadomościach tekstowych (SMS), które powinny być zastąpione przekazywaniem informacji za pośrednictwem aplikacji mobilnych i platform bankowości elektronicznej (usługi internetowe),
(iii) informacja, iż załączniki do wiadomości e-mail powinny być zabezpieczone hasłami, przy czym należy unikać tworzenia haseł z wykorzystaniem danych osobowych klientów, a hasła te powinny być przekazywane klientowi oddzielnym kanałem komunikacji.
Choć wytyczne Przewodniczącego KNF nie są wiążące i nie stanowią oficjalnej wykładni prawa, to z pewnością będą przez KNF przestrzegane i wymagane od uczestników rynku.
