KNF zwraca w liście uwagę, że mimo prowadzenia intensywnych kampanii informacyjnych widoczna jest „tendencja wzrostowa liczby oszustw, których ofiarami padają konsumenci, niejednokrotnie tracący oszczędności całego życia.” Dotyczy to zarówno biegłych użytkowników nowoczesnych technologii jak i osób starszych nie mających z nimi regularnej styczności. KNF oczekuje przede wszystkim, że zwolnienie ze stosowania mechanizmu silnego uwierzytelnienia przewidziane w rozporządzeniu delegowanym Komisji (UE) 2018/389 (RTS).
Elementem poprzedzającym podjęcie przez klientów bankowości decyzji o rezygnacji z silnego uwierzytelnienia dla transakcji powinna być akceptacja przez tych klientów informacji o potencjalnym ryzyku utraty środków finansowych, w tym przypadku związanym z wyłączeniem silnej autoryzacji dla transakcji niskokwotowych.
Dodatkowo uwzględniając stosowanie zasady „security first”, KNF oczekuje wdrożenia w systemie transakcyjnym funkcjonalności dającej klientowi możliwość ustawienia potwierdzenia silnym uwierzytelnieniem każdej płatności.
W tym samym liście KNF, zwracając uwagę na rosnący problem phishingu stanowczo sprzeciwia się praktykom rozsyłania do klientów aktywnych linków do stron internetowych w wiadomościach mailowych (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów. W zamian KNF zaleca zmianę trybu na rzecz informacji statycznych, nie generujących wskazanego wyżej ryzyka oszustwa lub na rzecz przekazywania klientom informacji poprzez aplikacje mobilne oraz portale bankowości elektronicznej.
KNF napiętnowała także nadmiernie uproszczone szyfrowanie załączników przekazywanych w korespondencji mailowej prostymi hasłami możliwymi do złamani przy pomocy standardowych narzędzi informatycznych. Analiza ryzyka przeprowadzana przez dostawców powinna uwzględniać specyfikę danego kanału komunikacji i User eXperience. KNF będzie kontrolowała spełnianie przez dostawców postulatów w zakresie bezpieczeństwa środków finansowych klientów.
