Professional Documents
Culture Documents
net/publication/357270602
CITATIONS READS
0 473
2 authors:
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Jerzy Kosiński on 23 December 2021.
Autorzy:
jerzy kosiński
– profesor nadzwyczajny Akademii Marynarki Wojennej w Gdyni, dyrektor Morskiego Centrum Cyberbez-
pieczeństwa AMW. Do 2018 pełnił służbę w Policji zajmując się cyberprzestępczością, dowodami cyfro-
wymi, białym wywiadem internetowym i naruszeniami własności intelektualnej w internecie (odchodził
na emeryturę jako prorektor ds.studiów Wyższej Szkoły Policji w Szczytnie). Organizator cyklicznych kon-
ferencji międzynarodowych „Techniczne aspekty przestępczości teleinformatycznej” (20 edycji), które
w 2018 roku zmieniły nazwę na „Przestępczość teleinformatyczna XXI" (2 edycje). Autor wielu publikacji
i wystąpień na konferencjach z zakresu swojej specjalności naukowej. Biegły sądowy z zakresu przestęp-
czości komputerowej i kart płatniczych z listy Sądu Okręgowego w Olsztynie.
paweł Ciszek
– doktor w dyscyplinie nauk o bezpieczeństwie, starszy specjalista Narodowego Centrum Bezpieczeństwa
Cyberprzestrzeni, Członek Morskiego Centrum Cyberbezpieczeństwa, wcześniej oficer bezpieczeństwa infor-
macji Proservice Finteco. Do 2019 roku pełnił służbę w Policji zajmując się technologiami informacyjnymi,
bezpieczeństwem informacji, zwalczaniem przestępczości teleinformatycznej. Współorganizator konferencji
„Techniczne aspekty przestępczości teleinformatycznej” i „Przestępczość teleinformatyczna XXI". Były biegły
sądowy z zakresu przestępczości komputerowej i kart płatniczych z listy Sądu Okręgowego w Olsztynie.
paweł wawrzyniak
– Senior Technology Risk Manager w międzynarodowej instytucji finansowej, członek Morskiego Cen-
trum Cyberbezpieczeństwa. Zawodowo związany z branżą IT od 2000 roku. Szczególnie interesuje się
problematyką szeroko rozumianego cyberbezpieczeństwa i cyberodporności w kontekście transformacji
cyfrowej banków. Prelegent wielu konferencji branżowych. Łączy kompetencje humanistyczne i technicz-
ne, wykorzystując je w różnych obszarach IT. Od 2019 roku wykładowca akademicki.
2
O programie
bankowość spółdzielcza
rynek nieruchomości
kontakt:
dr Andrzej banasiak Agnieszka Nierodka
koordynator programu m: 607 484 391
607 484
m:696
m: 696405 104
405 104 e: anierodka@wib.org.pl
anie odka@wib.o g.pl
e:e: abanasiak@wib.o
abanasiak@wib.org.pl
g.pl
dr tomasz pawlonka
jacek Gieorgica 505 917
m: 505 917 778
m:
m:603 626
603 626254
254 tpawlonka@wib.o g.pl
e: tpawlonka@wib.org.pl
e:e:jgieo
jgieorgica@wib.org.pl
gica@wib.o g.pl
arszawski Instytut
warszawski Instytutbankowości
bankowości
00-394 arszawa, ul.
00-394 Warszawa, ul.Solec
Solec38,
38,lok.
lok 104
104
t:t:(22)
(22)182
18231
3170
70
e:e:pab@wib.o g.pl
pab@wib.org.pl
3
spis treści
streszczenie kierownicze 6
wstęp 6
4
spis treści
spis wykresów 73
spis fotografii 75
spis rycin 76
spis schematów 77
5
streszczenie kierownicze
streszczenie kierownicze
Celem głównym niniejszego raportu była analiza śro- – metodę badania dokumentów – szeroka analiza
dowiska bezpieczeństwa klienta bankowości elektro- dostępnego piśmiennictwa oraz zasobów Interne-
nicznej, a w szczególności: tu stanowiła podstawę do przygotowania sondażu
diagnostycznego;
– charakterystyka istniejących rozwiązań dla klienta
bankowości elektronicznej; – metodę sondażu diagnostycznego – w zakresie ba-
dania dotyczącego klienta bankowości elektronicz-
– charakterystyka klienta bankowości elektronicznej; nej. Przebadano 153 osoby. Arkusz kalkulacyjny
z wynikami badania stanowi załącznik do raportu;
– identyfikacja zagrożeń dla klienta bankowości elek-
tronicznej; – metodę analizy indywidualnych przypadków – wyko-
rzystaną głównie jako analiza przestępstw na szko-
– określenie kierunków rozwoju usług dla klienta ban- dę klienta bankowości elektronicznej, będących pod-
kowości elektronicznej; stawą pogłębionych wywiadów eksperckich;
6
Streszczenie kierownicze
stronie banków, na monitoring behawioralny zacho- Sugerowany kierunek rozwoju, który wychodziłby na-
wania klienta. przeciw postulatom klientocentryczności i omnikana-
łowości, wiąże się z powstaniem zintegrowanych plat-
Z badania klientów bankowości elektronicznej i wy- form typu „elektroniczne okienko bankowe”. Powinno
wiadów eksperckich wynika, że dojrzałość bankowo- ono pokrywać w kanałach elektronicznej komunikacji
ści elektronicznej – w powszechnym odbiorze – jest ofertę banków w sposób całościowy. Co jednak klu-
wysoka. Dojrzałość użytkowników (klientów), rozu- czowe, musi pozwalać na taki poziom silnego uwie-
miana jako świadomość zagrożeń, deklaratywnie jest rzytelniania i autoryzacji, który nie pozwoli na później-
również wysoka, niestety realna odporność na nie już sze podważenie faktu dokonania jakiejś operacji.
taka nie jest. Oznacza to, że banki muszą upewnić
się, że nie tylko przekazują stosowną informację o za- Zarówno klienci, jak i eksperci wskazywali, że właści-
grożeniach i właściwej reakcji na nie swoim klientom, wym kierunkiem podnoszenia bezpieczeństwa ban-
lecz także powinny zweryfikować, czy informacja kowości elektronicznej jest szersze wykorzystanie
taka zostanie zapamiętana. Warto również zwrócić biometrii. Znacznie mniej akceptacji, głównie z uwagi
uwagę, że deklaratywnie klienci preferują bezpieczeń- na wnoszenie nowych zagrożeń, znajduje stosowanie
stwo kosztem łatwości użytkowania, co kontrastuje sztucznej inteligencji.
z opiniami ekspertów.
Z badania wynika również, że kultura bankowości
Należy przyjąć, że na bezpieczeństwo klienta bankowo- elektronicznej nie powinna być budowana przez
ści elektronicznej wpływają przede wszystkim: ewolu- każdy bank osobno, aby klienci nie zaczęli się gubić
cyjne zmiany technologiczne, większa transparentność, w rozmaitości pojęć, zasad i standardów. Wydaje się,
większa łatwość użytkowania (ergonomia), jak najmniej że rolę lidera mógłby pełnić tutaj Związek Banków
elementów wymagających uczenia się od klienta-użyt- Polskich – ma to być bowiem kultura bankowości
kownika i odpowiednia komunikacja dotycząca zasad- elektronicznej, a nie kultura bankowości elektronicz-
ności oraz celowości wprowadzania zmian. nej określonego banku.
7
wstęp
wstęp
Rewolucja Informacyjna, której obecnie jesteśmy Internetu, z czego 2,2 miliarda posiadało konto pocz-
świadkami, rozpoczęła się w roku 1946, kiedy na ty elektronicznej i łącznie wysyłało dziennie 144 mi-
uniwersytecie stanowym w Pensylwanii zbudowa- liardy e-maili.
no pierwszą na świecie maszynę liczącą – ENIAC1.
Ta zajmująca 170 m2 powierzchni i ważąca 30 ton Obecnie3 na 7,8 miliarda populacji ludzkości jako in-
maszyna zdeterminowała kierunek rozwoju społe- ternautów klasyfikuje się 5,2 miliarda ludzi, przy czym
czeństw, prowadząc je systematycznie do zmian, ponad 53% tej liczby przypada na Azję, dziennie wysy-
określanych obecnie mianem Rewolucji Informacyj- łanych jest 377 miliardów wiadomości e-mail, a łącz-
nej. Krokiem milowym owej rewolucji było wprowa- na liczba telefonów komórkowych to 4,28 miliarda;
dzenie w latach 80. ubiegłego wieku przez firmę IBM dodatkowo szacuje się, że do 2025 roku ilość danych
pierwszego modelu komputera osobistego. Innym generowanych każdego dnia w Internecie osiągnie
wydarzeniem, które odegrało poważną rolę w proce- 463 eksabajtów (EB).
sie światowej informatyzacji, było także powołanie
do życia w 1957 r. przez Departament Obrony Sta- Prawie 1 milion dolarów na minutę wydaje się dzisiaj
nów Zjednoczonych projektu ARPA2. Ta początkowo na zakupy w Internecie, a do roku 2030 planuje się,
wojskowa, a następnie także akademicka, sieć ARPA że 90% ludności w wieku powyżej sześciu lat będzie
(ARPAnet) służąca pierwotnie do wymiany poglą- dostępnych online.
dów pomiędzy ośrodkami akademickimi, stała się
podwaliną pod największą światową sieć kompute- Rozwój cywilizacyjny doprowadził nas do punktu, gdy
rową – Internet. W 1971 r. Ray Tomlinson opracował posiadanie dostępu do Internetu jest czymś tak po-
program do obsługi poczty elektronicznej, w 1985 r. wszechnym, że jego brak w domu dziwi bardziej niż
zarejestrowano symbolics.com – pierwszą domenę brak bieżącej wody.
internetową, zaś Tim Berners Lee stworzył technolo-
gię WWW (ang. World Wide Web) w roku 1989. W ten Internet stał się trwałym elementem naszego życia,
sposób powstał Internet ogólnie dostępny i wszech- a znaczny stopień „usieciowienia” współczesnego
stronny, które to cechy zadecydowały o wykorzysta- środowiska sprawił, że pojawiły się nowe, dotychczas
niu go w każdej niemal dziedzinie życia codziennego niespotykane zagrożenia.
– prywatnego, zawodowego i publicznego.
Odnalezienie się w tym dynamicznym i coraz bardziej
Można przedstawić także inne ujęcie, a mianowicie skomplikowanym środowisku jest wyzwaniem dla
nieznanego w historii ludzkości rozwoju zarówno każdego z nas, przy czym wyzwanie to jest o wiele
technologii, jak i jej poziomu dostępności. Na po- większe wobec organizacji zaufania publicznego, któ-
czątku lat 90. XX w. dostęp do Internetu posiadało rymi są banki.
około 3 miliony osób, z czego 73% pochodziło z USA,
zaś 15% z Europy Zachodniej. Na przełomie wieków Biorąc pod uwagę skalę zagrożenia – co 39 sekund
szacowano, że liczba użytkowników Internetu wzro- w Internecie pojawia się nowy atak, codziennie two-
sła do prawie 369 milionów osób, w 2010 r., po upły- rzone jest ponad 1,3 mln fragmentów malware, które-
wie kolejnej dekady, szacowano, że na świecie są go jedynym celem jest kradzież danych i – w efekcie
prawie dwa miliardy użytkowników Internetu, pięć środków finansowych – rzeczą podstawowej wagi
miliardów telefonów komórkowych, 255 milionów jest diagnoza środowiska, w jakim przyszło funkcjo-
stron internetowych, zaś dziennie wysyła się ponad nować klientowi bankowości, który był, jest i będzie
294 milionów wiadomości e-mail oraz 5 miliardów zasadniczym ogniwem bezpieczeństwa w bankowo-
SMS-ów. W roku 2012 szacowano, że spośród 7 mld ści, jaką znamy i tej, jaka nadejdzie wraz z nieuchron-
mieszkańców Ziemi aż 2,4 miliarda to użytkownicy nym rozwojem technologicznym.
1
Electronic Numerical Integrator And Computer. 3
Stan na 31.03.2021 – za Internet Big Picture – https://www.inter-
2
Advanced Research Project Agency. networldstats.com/stats.htm
8
wstęp
9
rOZDZIAŁ I
Charakterystyka nowoczesnych
rozwiązań dla klienta bankowości
elektronicznej
10
Charakterystyka nowoczesnych rozwiązań dla klienta bankowości elektronicznej
schemat 1. Kierunek ewolucji od bankowości klasycznej (jednokanałowej, oddziałocentrycznej), przez bankowość elek-
troniczną (wielokanałową), po bankowość cyfrową (omnikanałową, klientocentryczną). Ukazano podstawowe kanały ko-
munikacji między klientem a bankiem.4
11
rOZDZIAŁ I
12
Charakterystyka nowoczesnych rozwiązań dla klienta bankowości elektronicznej
Fotografia 2. Pierwszy udostępniony publicznie w 1967 r. przez Barclays Bank bankomat wymagał wykorzystania spe-
cjalnych czeków, impregnowanych promieniotwórczym izotopem węgla-14, zanim klienci mogli podać swój unikalny PIN
i dokonać wypłaty.10
– lata 90. – świadczenie usług przez Internet, a więc za umowną datę rozpoczęcia transformacji cyfrowej
bankowość internetowa. banków można przyjąć – symbolicznie – pojawie-
nie się na rynku smartfonów z ekranem dotykowym
Za początki bankowości elektronicznej, a więc wieloka- (iPhone) za sprawą firmy Apple12.
nałowej, umownie przyjąć można 27 czerwca 1967 r.10–
wówczas Barclays Bank udostępnił publicznie pierw- Polskie banki rozpoczęły transformację cyfrową kilka
szy bankomat11 – patrz fotografia 2. Tak powstał więc lat temu i z reguły posiadają w tym zakresie własną
pierwszy, równoległy kanał dystrybucji usług. strategię. Transformację cyfrową można zdefiniować
jako działania polegające na zmianie modelu bizne-
Od tego momentu rozwój bankowości jest ściśle po- sowego banku poprzez dostosowanie aktualnych,
łączony z rozwojem nowoczesnych technologii. Fakt a także powołanie nowych procesów, narzędzi i roz-
ten jest nie bez znaczenia, jeżeli chodzi o ewolucję wiązań (zarówno w ramach oferowanych produk-
przestępczości bankowej, która obecnie wymierzona tów i usług bankowych – transformacja zewnętrzna,
jest przede wszystkim w stronę klientów. ale i ich obsługi oraz rozwoju kanałów dystrybucji
– transformacja wewnętrzna), opartych na nowocze-
snych technologiach, w celu sprostania ewoluującym
1.3. bankowość cyfrowa, czyli bankowość potrzebom klientów. Początkowo procesy związane
klientocentryczna, omnikanałowa z transformacją cyfrową traktowane były jak projek-
ty adaptacyjne do zmian rynkowych i nikt nie rozpa-
O ile za początek rozwoju bankowości internetowej trywał ich w kategoriach strategicznych dla banków,
(jedna z odmian bankowości elektronicznej, wielo- nie spodziewano się bowiem, że rozwój nowych tech-
kanałowej) przyjmuje się lata 90. XX w., co wiąże się nologii będzie pozwalał na tak daleko idące zmiany
z faktem coraz większej popularyzacji Internetu i po- w obsłudze klienta bankowego. Podstawowymi zało-
czątkami handlu elektronicznego w tamtym czasie, to żeniami bankowości cyfrowej stały się omnikanało-
wość i klientocentryczność.
10
Na podst.: From the archives: the ATM is 50, https://home.bar-
Omnikanałowość oznacza możliwość zmiany kanału
clays/news/2017/06/from-the-archives-the-atm-is-50/, stan z dn.
26 czerwca 2021. dystrybucji w ramach jednego procesu zakupowego,
11
B. Batiz-Lazo, R. J. K. Reid, Evidence from the Patent Record on
the Development of Cash Dispensing Technology, https://mpra. 12
P. Druszcz, Digitalizacja produktów bankowych jako cel strate-
ub.uni-muenchen.de/9461/1/MPRA_paper_9461.pdf, stan z dn. 29 giczny uczestników polskiego sektora bankowego, „Ruch Prawniczy,
listopada 2020, s.3. Ekonomiczny i Socjologiczny”, Rok LXXIX, 1/2017, s. 242.
13
rOZDZIAŁ I
np. klient realizuje pierwszą część kupna kredytu przez technologii i zaspokajania potrzeb klientów stanowi
Internet (złożenie wniosku), a następnie może kon- ogromne wyzwanie w obszarach architektury roz-
tynuować realizację w innym kanale – bankowości wiązań teleinformatycznych i cyberbezpieczeństwa,
mobilnej, telefonicznej lub w oddziale. Omnikanało- a także współpracy między działami IT i biznesem. Od-
wość różni się od wielokanałowości tym, że ta druga powiedzią ma być tutaj zwinność (ang. agile) techno-
daje możliwość wykonania usługi w wielu kanałach, logiczno-organizacyjna. Elastyczne platformy IT mają
przy czym realizacja następuje od początku do końca bowiem zasadnicze znaczenie dla digitalizacji modeli
w tym samym kanale. Istotą omnikanałowości nie jest operacyjnych banków. Możliwości technologiczne sta-
więc równoległe, niezależne funkcjonowanie różnych ją się głównym wyróżnikiem dla banków, jeśli chodzi
kanałów komunikacji z bankiem, ale takie ich sprzęże- o poprawę satysfakcji klientów, która ostatecznie ma
nie, by się wzajemnie przenikały i uzupełniały. Dzięki decydujące znaczenie dla konkurencyjności rynkowej.
temu klient ma uzyskać swobodę wyboru i gwarancję W tym kontekście szczególnego znaczenia nabierają
jednakowego standardu obsługi oraz tej samej ceny także kwestie zarządzania ryzykiem technologicznym.
produktu w każdym z dostępnych kanałów13.
wykres 1. Rozwój sieci bankomatów w Polsce (liczebność w sztukach) w okresie od 2009 r. do trzeciego kwartału 2019 r.
(K3-2019)
13
Z. Jagiełło, Bankowość detaliczna w obecnych warunkach rynko-
wych. Kierunki rozwoju, [w:] Wyzwania bankowości detalicznej, pod 14
Na podst.: Raport o sytuacji ekonomicznej banków. Banki 2019,
red. Z. Jagiełło, Instytut Badań nad Gospodarką Rynkową – Gdańska Nr 10/2020, Warszawski Instytut Bankowości, Warszawa 2020,
Akademia Bankowa, Gdańsk 2015, s. 10. s. 91.
14
Charakterystyka nowoczesnych rozwiązań dla klienta bankowości elektronicznej
rachunku, dokonywanie przelewów, udostępniają infor- urządzenia, które instalowane są w punktach han-
macje i ogłoszenia banku, a nawet posiadają funkcję dlowo-usługowych i pozwalają na komunikację
depozytową, czyli mogą przyjmować gotówkę w de- klientów z bankiem za pośrednictwem centrum
pozyt15 (funkcja tzw. wpłatomatu). Pierwszy banko- autoryzacyjnego w celu uiszczenia opłaty za zaku-
mat w Polsce został zainstalowany przez Bank Pekao piony towar lub usługę. Terminal POS wyposażony
S.A. w 1990 r., a więc po 23 latach od pojawienia się jest w czytnik kart, pozwalający na odczyt danych
podobnego urządzenia w Wielkiej Brytanii. Wykres 1 z paska magnetycznego lub mikroprocesora karty
przedstawia liczebność sieci bankomatów w Polsce płatniczej. Możliwa jest także realizacja transakcji
od 2009 r. do trzeciego kwartału 2019 r. (K3-2019). z wykorzystaniem systemu płatności mobilnych
BLIK. Typowy zestaw terminala POS został przed-
Bankomaty wyposażone są m.in. w czytnik kart, po- stawiony na fotografii 3.16
zwalający na odczyt danych z paska magnetycznego
lub mikroprocesora karty płatniczej. Większość z nich Terminale płatnicze mogą pracować na standar-
zezwala także na dokonywanie operacji za pośrednic- dowych łączach telekomunikacyjnych i wymagać
twem systemu płatności mobilnych BLIK. Wykorzy- stałego zasilania – wówczas nazywane są termina-
stanie bankomatów do realizacji transakcji często lami stacjonarnymi. Można je spotkać np. na skle-
bywa nazywane bankowością terminalową. powych stanowiskach kasowych. Z kolei terminale
mobilne to takie, które wyposażone są w akumulator
1.4.2. terminale płatnicze i mogą korzystać z sieci GSM lub Wi-Fi, dzięki cze-
mu są w stanie pracować w praktycznie dowolnym
Terminale płatnicze, terminale POS (ang. Point of miejscu, o ile posiadają dostęp do sieci. Tego typu
Sale Terminal, POS Terminal – tł. dosłowne: ter- rozwiązania są popularne np. w restauracjach czy
minal punktu sprzedażowego) to elektroniczne firmach kurierskich.
Fotografia 3. Typowy zestaw terminala POS, który można spotkać w punktach handlowo-usługowych, np. w restauracjach16
16
Na podst.: How To Test Point Of Sale (POS) System – Restaurant
15
P. Niczyporuk, A. Talecka, Bankowość. Podstawowe zagadnienia, POS Testing Example, https://www.softwaretestinghelp.com/how-
Temida 2, Białystok 2011. to-test-point-of-sale-pos-system/, stan z dn. 29 czerwca 2021.
15
rOZDZIAŁ I
17
Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, Dz.U.
2011 nr 199 poz. 1175.
18
Na podst.: How To Test Point Of Sale (POS) System – Restaurant
POS Testing Example, https://www.softwaretestinghelp.com/how-
to-test-point-of-sale-pos-system/, stan z dn. 29 czerwca 2021.
16
Charakterystyka nowoczesnych rozwiązań dla klienta bankowości elektronicznej
Bitomaty (nazwa pochodzi od ang. Bitcoin, czyli naj- Od premiery pierwszego urządzenia typu smartfon
popularniejszej kryptowaluty i bankomatu) to sto- (z ekranem dotykowym) liczba urządzeń mobilnych
sunkowo nowe urządzenia, które służą do obrotu otwierających całkiem nowe możliwości przed ban-
kryptowalutami – możliwa jest zarówno sprzedaż kowością zaczęła gwałtownie wzrastać – patrz
(zamiana na gotówkę), jak i kupno kryptowalut za wykres 2. Pojawił się też nowy kanał komunikacji
gotówkę. Bitomaty łączą więc funkcje bankomatów z bankiem, najbardziej istotny z punktu widzenia
i wpłatomatów w odniesieniu do kryptowalut. Przy- transformacji cyfrowej banków – bankowość mo-
kładowy bitomat przedstawiono na fotografii 4. bilna.
17
rOZDZIAŁ I
wykres 2. Liczba smartfonów sprzedanych na świecie od 2007 r. do 2021 r. (oszacowanie). Wyraźny wzrost miał wpływ
na popularyzację bankowości mobilnej22
18
Charakterystyka nowoczesnych rozwiązań dla klienta bankowości elektronicznej
wykres 3. Globalna sprzedaż komputerów PC, laptopów (notebooków) i tabletów w latach 2010 do 2025 (okres od 2021*
do 2025* stanowi oszacowanie)23
Istotne jest tutaj także kryterium systemu operacyj- 1.4.7. Urządzenia typu smart
nego, co przekłada się na dostępność określonych
aplikacji dla bankowości elektronicznej. Odpowiednio Chociaż technologie mobilne – utożsamiane ze
możemy przyjąć, że następujące systemy operacyjne smartfonami i działającymi na nich aplikacjami ban-
dla poszczególnych urządzeń determinują w dużym kowymi – tworzą dziś najbardziej oczywisty kanał
stopniu sposób, w jaki użytkownik korzysta z banko- komunikacji z bankiem, to ogromny potencjał tkwi
wości elektronicznej:23 także w tzw. „urządzeniach ubieralnych” (ang. weara-
bles) czy też urządzeniach typu smart (pol. mądry).
– Komputery PC (typu desktop), laptopy (notebooki) Dzięki nim można nie tylko ułatwić kontakt klienta
– systemy operacyjne: Microsoft Windows, GNU/ z bankiem, ale także mierzyć za pomocą wbudowa-
Linux, Apple MacOS. Dostęp przez przeglądarkę nych sensorów szereg parametrów związanych z co-
internetową do aplikacji webowej systemu banko- dzienną aktywnością użytkowników (począwszy od
wości elektronicznej. lokalizacji geograficznej przez wykonywane czynno-
ści po kondycję fizyczną i psychiczną, a nawet stan
– Tablety – systemy operacyjne: Microsoft Windows, zdrowia), co pozwala poznać ich wzorce zachowań
Apple iOS, Apple iPadOS, Google Android. W przypad- w określonych miejscach i czasie. Rycina 2 przedsta-
ku MS Windows dostęp przez przeglądarkę interne- wia najpopularniejsze rodzaje urządzeń ubieralnych.
tową do aplikacji webowej systemu bankowości
elektronicznej. Dla systemów operacyjnych Apple Spośród przykładowych urządzeń ubieralnych lub
iOS, Apple iPadOS, Google Android możliwy jest typu smart wskazanych na rycinie 2, najbardziej roz-
zarówno dostęp przez przeglądarkę internetową do sądnym obecnie wyborem w przypadku realizowania
aplikacji webowej systemu bankowości elektron- transakcji bankowych wydają się: zegarek (ang. smar-
icznej, jak i wykorzystanie dedykowanej aplikacji dla twatch), opaska lub bransoletka (ang. smartband lub
bankowości mobilnej, instalowanej na urządzeniu. smart bracelet). Warto jednak zauważyć, że praktycz-
nie dowolne urządzenie typu smart, które zostanie
Przywołane systemy operacyjne dla poszczególnych wyposażone w system operacyjny pozwalający na
typów urządzeń reprezentują rzeczywisty rynek. W ni- instalację dedykowanych aplikacji może zostać użyte
niejszym opracowaniu nie są brane pod uwagę niszo- do realizacji transakcji – np. zbliżeniowych płatności
we lub eksperymentalne rozwiązania. bezgotówkowych.
23
Na podst.: Notebook, desktop PC, and tablet shipments world- Tego typu urządzenia (obok smartfonów) wytyczają
wide 2010-2025 (in million units), https://www.statista.com/sta- nowe kierunki rozwoju bankowości elektronicznej w od-
tistics/272595/global-shipments-forecast-for-tablets-laptops-and-
mianie mobilnej sprzyjając transformacji cyfrowej. Ich
desktop-pcs/, stan z dn. 30 czerwca 2021.
19
rOZDZIAŁ I
rycina 2. Przykładowe urządzenia ubieralne (ang. wearables) typu smart, które pozwalają na gromadzenie szerokiego
zakresu danych na temat ich użytkowników24
wykorzystanie wiąże się z problematyką profilowania temu sprzętowe portfele kryptowalutowe oferują wyż-
klientów i obszarem zastosowania technologii Big Data, szy poziom bezpieczeństwa od portfeli programo-
służącej do przetwarzania wielkich zbiorów danych. wych. Są m.in. odporne na ataki hakerskie i działanie
Dzięki nim banki są w stanie nie tylko spełniać postu- złośliwego oprogramowania, które wykrada klucze
lat klientocentryczności, lepiej dostosowując ofertę do z portfeli programowych. Ceny tych urządzeń miesz-
potrzeb klientów, lecz także wkraczają w całkiem nowy czą się obecnie w przedziale od kilkudziesięciu do
wymiar związany z zarządzaniem ryzykiem.24 ok. 600 PLN. Fotografia 6 przedstawia dwa przykła-
dowe sprzętowe portfele kryptowalutowe.
1.4.8. sprzętowe portfele kryptowalutowe
Rynek kryptowalut rozwija się dynamicznie, o czym
Sprzętowe portfele (ang. hardware wallets) kryptowa- świadczy także coraz szersza gama rozwiązań dla
lutowe to urządzenia, które pozwalają przechowywać ich użytkowników. Należy jednak pamiętać, że banki
w bezpieczny sposób klucze prywatne użytkownika, podchodzą do nich wciąż z dużą rezerwą.
wykorzystywane przez niego do obrotu kryptowalu-
tami. Tego typu sprzętowe rozwiązania mają istotną
przewagę nad programowymi portfelami (ang. so- 1.5. Oprogramowanie
ftware wallets) kryptowalutowymi, które działają
w sieci, ponieważ klucze prywatne są przechowywa- W obszarze oprogramowania dla bankowości elektro-
ne poza dyskiem twardym urządzenia wykorzystywa- nicznej należy wymienić przede wszystkim aplikacje
nego do realizacji transakcji z użyciem kryptowalut webowe, które dostępne są dla klientów przez przeglą-
i znajdują się w chronionej przestrzeni mikrokontrole- darkę internetową. Pozwalają one na dostęp do syste-
ra, są zaszyfrowane i nie mogą być wytransferowane mu bankowości elektronicznej z dowolnego urządze-
poza urządzenie w postaci niezaszyfrowanej. Dzięki nia, na którym może być uruchomiona przeglądarka
internetowa spełniająca wymagania aplikacji. Ten ka-
24
M. Mishra, Rise of Wearables and future of Wearable technology, nał komunikacji wywodzi się jeszcze z lat 90., w któ-
https://medium.com/@manasim.letsnurture/rise-of-wearables- rych pojawiła się bankowość internetowa i jest do dziś
and-future-of-wearable-technology-1a4e38a2fbb6, stan z dn. 6 sty-
powszechnie stosowany na komputerach PC (typu
cznia 2021.
20
Charakterystyka nowoczesnych rozwiązań dla klienta bankowości elektronicznej
Fotografia 6. Przykładowe sprzętowe portfele kryptowalutowe: po lewej – Ledger Nano X; po prawej – tani (cena 19,95
EUR) sprzętowy portfel kryptowalutowy oferowany przez BlochsTech w postaci karty płatniczej, który cechuje się łatwo-
ścią użycia. Na uwagę zwraca hasło: „I am my own bank!” (pol. „Jestem swoim własnym bankiem!”)25
Fotografia 7. Przykładowa aplikacja webowa bankowości internetowej i mobilnej Banku Spółdzielczego w Namysłowie
uruchomiona na laptopie, tablecie i smartfonie26
desktop) oraz laptopach (notebookach), ale może być podniesienie komfortu użytkowników. Przykładowa
także wykorzystywany na tabletach i smartfonach.25 aplikacja webowa bankowości internetowej i mobil-
nej została przedstawiona na fotografii 7.26
Obecnie zakres funkcjonalności typowych aplikacji
webowych dla bankowości internetowej i aplikacji Aplikacja bankowości internetowej i mobilnej pozwa-
mobilnych instalowanych na smartfonach oraz table- la zwykle wykonać wszystkie podstawowe operacje
tach powoli ulega ujednoliceniu, co przekłada się na online w obszarach takich jak:
25
Hardware wallet, https://en.bitcoin.it/wiki/Hardware_wallet, stan 26
Bankowość internetowa, https://bsnamyslow.com.pl/klienci-indywi-
z dn. 3 lipca 2021. dualni/bankowo%C5%9B%C4%87-internetowa, stan z dn. 3 lipca 2021.
21
rOZDZIAŁ I
– obsługa Profilu Zaufanego ePUAP; Fotografia 8. Po lewej – aplikacja Google Pay i historia
transakcji zrealizowanych za pomocą karty VISA, której
– dostęp do ofert produktów i usług oraz komunika- dane zostały wprowadzone do aplikacji; po prawej – analo-
tów informacyjnych banku; giczna aplikacja Apple Pay, zachęcająca do wprowadzenia
danych kart płatniczych, pokładowych, biletów, kuponów
– bieżąca komunikacja z bankiem, składanie rekla- itd. w celu rozpoczęcia realizowania zbliżeniowych trans-
macji, sugestii, zapytania; akcji bezgotówkowych autoryzowanych biometryczną
funkcją rozpoznawania twarzy: Face ID27
– obsługa funduszy inwestycyjnych;
1.6. rozwiązania oparte o połączenia W zakresie funkcjonalności system IVR jest w stanie
telefoniczne realizować następujące zadania w poszczególnych
obszarach:
Rozwiązania oparte o połączenia telefoniczne to
przede wszystkim kontakt telefoniczny z pracow- – Automatyzacja obsługi klienta – np. przeka-
nikiem biura obsługi klienta (BOK; ang. call centre zanie informacji o statusie zamówienia lub
– centrum obsługi telefonicznej) lub realizowany za zgłoszenia od klienta; przedstawienie salda ra-
pośrednictwem systemu IVR (ang. Interactive Voice chunku bankowego; przypomnienie terminów
Response – interaktywne odpowiedzi głosowe), dzię- płatności itp.
ki któremu klient banku może wykonywać podstawo-
we operacje bankowe i zapoznać się z ofertą usługo- – Obsługa płatności i transakcji – np. wspomaganie
wo-produktową. realizacji opłat; autoryzacja opłat cyklicznych.
Pierwsze systemy IVR pojawiły się na początku lat 80. – Automatyczne przekierowywanie klientów – np.
XX wieku i stały się popularne w zastosowaniach zwią- przekierowanie klienta do odpowiedniego depar-
zanych z rezerwacją biletów lotniczych28. Na początku tamentu bankowego na podstawie udzielonych
XXI wieku ich możliwości rozszerzono o funkcje zwią- odpowiedzi; przekierowanie klienta w oparciu
zane z automatyzacją obsługi klientów, co sprawiło, o reguły związane z kalendarzem i porą doby,
że część analityków przewidywała szybki koniec typo- kodem pocztowym, danymi globalizacyjnymi
wych BOK. Tak się jednak nie stało, a systemy IVR są czy też na podstawie dotychczasowej wiedzy na
w stanie doskonale uzupełniać i zwiększać możliwości temat wyniku poprzedniego połączenia lub po-
obsługi klientów, działając równolegle do bankowego siadanego przez klienta połączenia produktów
centrum obsługi telefonicznej, a w szczególnych przy- i usług.
padkach przekierowując połączenie do konsultanta.
Potencjał systemu IVR, który współcześnie, dzięki in- – Pobieranie danych od klientów – np. aktywacja no-
terfejsowi programowania aplikacji (ang. Application wych lub wymienionych kart płatniczych; w przy-
Programming Interface, API), może być zintegrowany padku konieczności podniesienia poziomu bezpie-
z wieloma innymi systemami i źródłami danych do- czeństwa system IVR może przesłać wiadomość
stępnymi dla banku, jest obecnie jeszcze większy. tekstową lub połączyć się z klientem w celu prze-
Na schemacie 2 przedstawiono możliwości integracji kazania hasła jednorazowego; przeprowadzanie
przez API i podstawowe funkcje systemu IVR. ankiet i sondaży przez telefon;
28
What is Interactive Voice Response (IVR)?, https://www.ivrtech-
group.com/ivr/what-is-interactive-voice-response-ivr, stan z dn.
3 lipca 2021.
23
rOZDZIAŁ I
– Informowanie – np. przekazywanie klientom in- Wydaje się, że pomimo postępującej transformacji
formacji na temat istotnych zdarzeń (w tym zwią- cyfrowej bankowości, uznane od wielu lat formy kon-
zanych z bezpieczeństwem bankowości); prze- taktu z bankiem, takie jak połączenia z call center
syłanie informacji na temat zbliżających się lub i wykorzystanie systemów IVR, wciąż będą funkcjo-
przekroczonych terminów opłat; nować obok nowych kanałów komunikacji. Ich moż-
liwości będą się zwiększały dzięki postępującej in-
– Analityka biznesowa – np. zbieranie i analiza infor- tegracji i stosowaniu technologii z obszaru Big Data
macji pochodzących od różnych grup klientów, z róż- czy sztucznej inteligencji (np. przetwarzanie języka
nych regionów geograficznych itp. celem wykrycia naturalnego i wykorzystanie tzw. chatbotów – au-
potencjalnych problemów i optymalizacji oferty; zbie- tomatów dyskusyjnych pozwalających w jeszcze
ranie informacji diagnostycznych w celu ulepszenia większym stopniu automatyzować proces obsługi
komunikacji z klientem; wytyczanie trendów przy klienta).
użyciu technik wizualizacyjnych z obszaru Big Data.
24
wstęp
rOZDZIAŁ II
25
rOZDZIAŁ II
Niniejszy rozdział skupia się na słabych (sfera podat- 6. Twórz i utrzymuj bezpieczne systemy i aplika-
ności) i mocnych (sfera zabezpieczeń) stronach roz- cje.
wiązań funkcjonujących w obszarze bankowości elek-
tronicznej – zarówno zabezpieczenia, jak i podatności IV. Zaimplementuj silne mechanizmy kontroli do-
zostały omówione w dedykowanych podrozdziałach. stępu:
Z punktu widzenia banku, fundamentalną kwestią w od- 12. Utrzymuj politykę, która obejmuje bezpieczeń-
niesieniu do transakcji realizowanych kartami płatni- stwo informacji.
czymi jest przestrzeganie 12 wymagań zgrupowanych
w 6 grup tematycznych (celów kontrolnych) standardu Powyższe wymagania mają kluczowe zastosowanie
PCI DSS (ang. Payment Card Industry Data Security Stan- w przypadku urządzeń, aplikacji i transakcji, które
dard), który zapewnia spójny poziom bezpieczeństwa opierają się na wykorzystaniu kart płatniczych. Wy-
w instytucjach związanych z przetwarzaniem danych kart nika z nich wiele bardziej szczegółowych zaleceń,
płatniczych. Dla poszczególnych celów kontrolnych są to: które pozwalają wdrożyć odpowiedni poziom zabez-
pieczeń.
I. Zbuduj i utrzymuj bezpieczną sieć:
Z punktu widzenia klienta nie istnieje żaden zdefinio-
1. Zainstaluj i utrzymuj odpowiednią konfigurację wany standard dotyczący wymagań bezpieczeństwa
zapory sieciowej, aby chronić dane posiadaczy bankowości elektronicznej. Klienci muszą tutaj pole-
kart. gać na informacjach przekazywanych głównie przez
banki, przy czym należy zauważyć, że w niektórych
2. Nie używaj domyślnych haseł ani innych para- przypadkach można odnieść wrażenie nadmiaru, co
metrów bezpieczeństwa ustawionych przez ma negatywny skutek – istotne informacje znikają
producentów. bowiem w szumie wskazówek, dobrych praktyk, wy-
magań i ostrzeżeń.
II. Chroń dane posiadaczy kart:
2.1.1. Zabezpieczenia urządzeń
3. Chroń dane posiadaczy kart w trakcie ich prze-
chowywania. W przypadku urządzeń, które przetwarzają dane kart
płatniczych, takich jak: bankomaty, terminale płatni-
4. Szyfruj transmisję danych posiadaczy kart cze (POS) czy bitomaty, istotne jest zabezpieczenie
w otwartych, publicznych sieciach. przed tzw. skimmingiem – atakiem, który polega na
nieautoryzowanym przechwyceniu informacji za-
III. Prowadź program zarządzania podatnościami: pisanych na pasku magnetycznym karty płatniczej
poprzez modyfikację sprzętu lub oprogramowania
5. Używaj i regularnie aktualizuj oprogramowanie urządzenia płatniczego (np. bankomatu, terminala
antywirusowe. płatniczego).
26
słabe i silne strony istniejących rozwiązań
Skimming realizowany jest często z użyciem ze- Pierwsze, to oprogramowanie zabezpieczające, które
wnętrznego czytnika kart płatniczych i bywa łączony zainstalowane na urządzeniu końcowym jest w stanie
z kradzieżą numeru PIN, do czego wykorzystuje się wykryć obecność oprogramowania pozwalającego
nakładki na klawiatury numeryczne lub ukryte mikro- na zdalny dostęp do pulpitu użytkownika. Co ważne,
kamery. Udany atak tego typu pozwala przestępcom nie chodzi w tym konkretnym przypadku o wykrywa-
zebrać informacje potrzebne do wyprodukowania fał- nie wyłącznie złośliwego oprogramowania, a wręcz
szywej karty płatniczej. przeciwnie, istotne jest tutaj wykrywanie typowego
oprogramowania narzędziowego, które bywa używa-
Skuteczną metodą zmniejszenia ryzyka związanego ne przez przestępców od przejmowania kontroli nad
ze skimmingiem jest implementacja globalnego stan- urządzeniem ofiary – np. oprogramowanie typu Any-
dardu EMV (nazwa pochodzi od pierwszych liter or- Desk lub TeamViewer (dostępne dla systemów ope-
ganizacji – twórców standardu: Europay, MasterCard racyjnych MS Windows, Android i MacOS). Zdaniem
i Visa), który umożliwia obsługę płatności przy uży- ekspertów, tego typu oprogramowanie zabezpiecza-
ciu kart z mikroprocesorem oraz standardu PCI EPP jące, które powinno być dostarczane przez zewnętrz-
(ang. Payment Card Industry – przemysł kart płatni- nego dostawcę, a nie przez bank, pozwala skutecz-
czych; ang. Encrypting PIN Pad – szyfrowanie padu nie ograniczyć aktywność sprawców przestępstw.
PIN) związanego z urządzeniami przetwarzającymi Ma to szczególne znaczenie w przypadku wszelkich
dane z kart płatniczych. oszustw związanych z różnymi wariantami ataku so-
cjotechnicznego, w którym przestępcy podszywają
Z punktu widzenia bezpieczeństwa sprzętu, np. się np. pod pracowników banku, policjantów lub sto-
bankomatów i sieci bankomatów, kluczowe jest za- sują phishing itp., po czym dążą do tego, aby ofiara
bezpieczenie przed atakami logicznymi. Tego typu zainstalowała oprogramowanie pozwalające przejąć
przestępczość stanowi skoordynowany zestaw złośli- sprawcom kontrolę nad jej urządzeniem końcowym
wych działań mających na celu uzyskanie dostępu do w celu wykonania przelewu środków pieniężnych.
komputera sterującego bankomatu, jego komponen-
tów (np. interfejsów: RS-232, USB, sieci komputero- Drugie rozwiązanie, które pozwala lepiej zabezpieczyć
wej itp.) lub sieci, w której działa bankomat. Przejęcie urządzenia końcowe ofiar, to monitoring behawioral-
kontroli nad urządzeniem pozwala przestępcom na ny. Eksperci podkreślają, że istnieją istotne różnice
wypłatę gotówki lub kradzież danych dotyczących np. w schemacie zachowania się klienta banku – człowie-
używanych w urządzeniu kart29. Istnieje wiele odmian ka, użytkownika bankowości elektronicznej i zautoma-
ataków logicznych, które sprowadzają się do wyko- tyzowanych botów, które mogą być wykorzystywane
rzystania złośliwego oprogramowania, komputerów przez przestępców na przejętym poprzez instalację
lub urządzeń typu „czarna skrzynka” podłączanych złośliwego oprogramowania urządzeniu. Tego typu
bezpośrednio do bankomatów lub do sieci, w której różnice w schematach zachowania można wychwyty-
funkcjonują bankomaty. wać – np. standardowym zachowaniem bota używa-
nego przez przestępców jest natychmiastowa zmiana
Na ataki logiczne narażone są także terminale POS numeru telefonu do kontaktu po zalogowaniu się do
i bitomaty. Szczególnie bitomaty wymagają większej systemu bankowości elektronicznej. Działanie takie
uwagi rynku w zakresie zabezpieczeń jako urządze- pozwala przestępcom przekierować np. SMS-y słu-
nia stosunkowo nowe. Z pewnością można tutaj czę- żące do autoryzacji transakcji w imieniu ofiary. Opro-
ściowo skorzystać z dotychczasowych doświadczeń gramowanie zabezpieczające, które zainstalowane na
w zakresie zapewniania bezpieczeństwa klasycznym urządzeniu końcowym ofiary monitoruje wszelkie tego
bankomatom. typu anomalie, pozwala zwiększyć kontrolę po stronie
banku i zmniejszyć skalę nadużyć. Warto podkreślić,
W trakcie przeprowadzonych wywiadów, eksperci że w tym przypadku technologia jest w stanie ochro-
podkreślali zdolność do wykrywania podatności na nić klienta nawet przy założeniu jego mniejszej świa-
urządzeniach końcowych, które są wykorzystywane domości zagrożeń – budowana jest bowiem faktyczna
przez klientów bankowości elektronicznej, takich jak: odporność przed zagrożeniami.
komputer PC, laptop, tablet i – najpopularniejszy –
smartfon. W tym obszarze sugerowano dwa rozwią- Zdaniem ekspertów, promowane powinny być wszyst-
zania. kie rozwiązania, które wspierają dwuskładnikowe
uwierzytelnianie (2FA). Żadne z dotychczas stosowa-
nych rozwiązań, czy to w postaci aplikacji na tablecie,
29
Guidance and recommendations regarding logical attacks on czy na smartfonie, czy też na komputerze, bez drugie-
ATMs. Mitigating the risk, setting up lines of defence Identifying and go składnika, który jest dostarczany i weryfikowany
responding to logical attacks, https://www.ncr.com/content/dam/ innym kanałem komunikacyjnym, nie zapewnia bez-
ncrcom/content-type/brochures/EuroPol_Guidance-Recommen-
pieczeństwa.
dations-ATM-logical-attacks.pdf, stan z dn. 31 maja 2021.
27
rOZDZIAŁ II
Idealnym modelem byłoby logowanie do usługi ban- Dostęp do usług bankowości elektronicznej należy re-
kowej z wykorzystaniem tokenów wspierających alizować z użyciem aplikacji przygotowywanych przez
standard U2F (ang. Universal 2nd Factor – uniwer- instytucje bankowe. Rzadziej powinno korzystać się
salny drugi składnik), co oznacza, że parametry logo- z dostępu za pośrednictwem przeglądarek interneto-
wania są wówczas przechowywane na zewnętrznym wych, dlatego że istnieje tutaj ryzyko przekierowania
urządzeniu poza systemem operacyjnym smartfonu. na fałszywą stronę, która wygląda tak, jak autentyczna
Należy bowiem mieć na uwadze, że smartfon lub strona danego banku czy serwisu internetowego.
samo otoczenie urządzenia mogą być modyfikowa-
ne przez przestępców. Oczywiście możemy mieć do W przypadku smartfonów lub tabletów najlepiej więc
czynienia z atakiem Man-in-the-Middle (w dosłownym korzystać z aplikacji mobilnych, weryfikując, czy dana
tłumaczeniu: człowiek w środku – atak polegający na aplikacja pobierana jest z oficjalnego sklepu dla danej
podsłuchiwaniu i modyfikowaniu informacji przesy- platformy – odpowiednio: dla systemu operacyjnego
łanych pomiędzy dwoma stronami bez ich wiedzy), Android jest to Google Play, a dla systemu operacyj-
kiedy ktoś przejmie kontrolę nad aplikacją działającą nego iOS jest to Apple Store. Zawsze musimy upew-
w systemie operacyjnym smartfonu i będzie w stanie nić się, kto jest wydawcą aplikacji.
przekierowywać ruch, a nawet potwierdzenia z wy-
korzystaniem tokenu. Są to jednak skrajne przypadki Istotne jest, aby aplikacje były weryfikowane przez
i w rzeczywistości trudno przed nimi skutecznie się sklep pod kątem ich integralności i poziomu bezpie-
bronić. Natomiast bardziej zaawansowanym użyt- czeństwa na danej platformie. Można przyjąć, że te
kownikom token daje pewność, że nawet jeżeli ktoś cechy są dobrze realizowane dla platformy iOS. Na-
przechwyci jedną naszą transakcję, to jednak nie bę- tomiast w przypadku platformy Android jakość takiej
dzie w stanie wykraść danych potrzebnych do logo- oceny wciąż rośnie i – warto podkreślić – firma Go-
wania, co oznaczałoby przejęcie pełnej kontroli nad ogle cały czas inwestuje w jej dalszy rozwój. Wery-
aplikacją bankową. W przypadku smartfonów token fikacja integralności aplikacji ma zapewnić, że robią
będzie działał najczęściej przez interfejs zbliżeniowy, one tylko to, co powinny robić (zamknięta i znana
czyli NFC (ang. Near Field Communication – komuni- funkcjonalność) i nie są podatne na współczesne, ak-
kacja bliskiego zasięgu). tualne modele ataków.
Im więcej komponentów i funkcji realizowanych jest Najmniejsze zaufanie należy mieć do aplikacji opubli-
w sprzęcie, tym lepiej, chodzi tutaj np. o możliwość kowanych we własnych repozytoriach należących np.
weryfikacji integralności aplikacji poprzez odwoła- do deweloperów lub dostawców czy też w sklepach
nie się do platformy czy procesorów kryptograficz- należących do stron trzecich. Należy unikać tego typu
nych. W przypadku smartfonów będzie to TPM (ang. metod instalacji, nawet jeżeli bank takie rozwiązania
Trusted Platform Module – w dosłownym tłumacze- proponuje. Nie powinno się instalować aplikacji z ta-
niu: moduł platformy zaufanej; międzynarodowy kich źródeł również w przypadku, kiedy na urządzeniu
standard kryptograficznego układu scalonego), któ- mamy już zainstalowaną aplikację bankową pocho-
ry sprawia, że część funkcji kryptograficznych reali- dzącą z zaufanego źródła (np. sklep Google).
zowanych jest w urządzeniu. W procesorach kryp-
tograficznych mogą być przechowywane zarówno Aplikacja musi pozwalać na dwuskładnikowe uwie-
kody PIN do logowania do urządzenia, bądź też inne rzytelnianie, którego dostawcą mogą być platformy
elementy, takie jak dane biometryczne, które mogą Google Authenticator lub Microsoft Authenticator –
być wykorzystywane w postaci opcji weryfikacji od- zdaniem ekspertów są to dwa najlepsze rozwiązania
cisku palca. w tym zakresie. Oczywiście banki mogą stosować inne
platformy lub wydawać inne rekomendacje w zakresie
2.1.2. Zabezpieczenia aplikacji drugiego składnika uwierzytelniania. Natomiast z pew-
nością nie jest zalecaną metodą wykorzystywanie do
W tej sekcji omówione zostały zabezpieczenia apli- tego celu kodów SMS, które są niestety wciąż popular-
kacji webowych i mobilnych, które umożliwiają bez- ne w pewnym zakresie wśród instytucji finansowych.
pieczną komunikację klienta z bankiem. Do kluczo-
wych zabezpieczeń zalicza się: uwierzytelnianie Przestępcy stosują skuteczne metody przejęcia ko-
wieloskładnikowe; szyfrowanie połączeń interneto- munikacji z użyciem kanału SMS. Z tego względu
wych; silne i regularnie zmieniane hasła dostępowe; w przypadku aplikacji do bankowości elektronicznej
biometrię; dobre praktyki użycia aplikacji, np. zakaz – o ile nie rozważamy stosowania platform Google
korzystania z publicznych sieci Wi-Fi, weryfikowanie Authenticator lub Microsoft Authenticator – rozsądne
podejrzanych maili, SMS-ów lub połączeń telefonicz- wydaje się wykorzystanie biometrii. Rozwiązania po-
nych, pod którymi mogą kryć się przestępcy dokonu- zwalające na biometryczną weryfikację transakcji są
jący ataku socjotechnicznego. nie tylko bezpieczne, lecz także wygodne, co sprawia,
28
słabe i silne strony istniejących rozwiązań
że doskonale wpisują się w oczekiwania klientów szła w życie w dniu 13 stycznia 2016 r., a także z wpro-
(patrz wykresy 19 i 20). wadzonym przez nią wymaganiem silnego uwierzytel-
niania – SCA (ang. Strong Customer Authentication).
Należy podkreślić słowa jednego z ekspertów, który Wymóg ten oznacza, że tożsamość użytkownika
na podstawie przeprowadzonej obserwacji zauważył, usług płatniczych powinna być weryfikowana z wyko-
że większość aplikacji bankowych podczas logowa- rzystaniem przynajmniej dwóch składników.
nia użytkownika ciągle używa tylko kombinacji użyt-
kownik-hasło. Dopiero na poziomie transakcji włą- W przypadku transakcji online typu card not present,
czane jest silne uwierzytelnianie (MFA). Tymczasem czyli wykonywanych bez fizycznego użycia karty płat-
dane, takie jak dochody, transakcje klienta itp. są sto- niczej w Internecie, warto wyróżnić – obok standar-
sunkowo łatwo dostępne dla przestępców. dowych zabezpieczeń – polegających na podaniu
danych karty – protokół 3-D Secure, który wprowa-
W odniesieniu do zabezpieczeń aplikacji, warto przy- dza dodatkową warstwę bezpieczeństwa. Oznacza
wołać separację uprawnień w zarządzaniu aplikacją to, że każda tego typu transakcja będzie wiązała się
mobilną na smartfonie, która pozwala na dostęp do z koniecznością dodatkowej autoryzacji przy użyciu
wrażliwych parametrów, np. limitów transakcyjnych, jednego z elementów zapewniających silne uwierzy-
wyłącznie za pośrednictwem bankowości interneto- telnianie. Daje to większą pewność, że transakcja au-
wej (dostępnej z poziomu przeglądarki, np. na note- toryzowana jest przez faktycznego właściciela karty,
booku). szczególnie w przypadku jej kradzieży.
Istotnym zabezpieczeniem, które może być kojarzone Eksperci krytykowali stosowane do dziś silne uwie-
zarówno z bezpieczeństwem urządzeń, jak i aplikacji rzytelnianie transakcji za pośrednictwem kanału
mobilnych, używanych do bankowości elektronicznej, SMS. Podstawowym zarzutem była tutaj popularność
jest wymuszanie odblokowania ekranu urządzenia. ataku SIM swap, który polega na skopiowaniu karty
Eksperci podkreślali, że jest to warunek podstawo- SIM ofiary, co pozwala przestępcom silnie uwierzy-
wy przed dokonaniem płatności zbliżeniowej aplika- telniać (czy raczej autoryzować) transakcje w imieniu
cją mobilną. Ekran odblokowywany powinien być za ofiar. W związku z tym zalecali, aby zamiast kodów
pomocą kodu PIN lub odcisku palca. Dodatkowo, SMS, używać innej metody potwierdzania tożsa-
w przypadku, kiedy urządzenie nie posiada aktywnej mości, która powinna funkcjonować w oddzielnym
blokady ekranu, aplikacja mobilna do płatności elek- kanale – w optymalnym scenariuszu, jeżeli na jed-
tronicznych nie powinna w ogóle działać. Zwracano nym urządzeniu dokonujemy operacji, to na drugim
uwagę, że w takim kierunku idzie dostawca systemu urządzeniu powinniśmy potwierdzać nasze opera-
płatności BLIK. cje. Dobrym rozwiązaniem, które powinno wyprzeć
kody SMS, może być zastosowanie aplikacji mobilnej
2.1.3. Zabezpieczenia transakcji i uwierzytelniania z wykorzystaniem biometrii. Pro-
ces powinien być tutaj kontrolowany przez dostawcę
Wśród znanych – do tej pory – metod zabezpieczania urządzenia lub dostawcę aplikacji, czyli przez bank.
transakcji wymienić należy narzędzia autoryzacyjne, Alternatywą dla kodów SMS i biometrii, która dostęp-
takie jak kody SMS, tokeny mobilne, tokeny sprzętowe na jest już dziś i nie generuje większych kosztów, są
(fizyczne), listy kodów jednorazowych (tzw. zdrapki), aplikacje uwierzytelniające Google Authenticator lub
rejestrację urządzeń używanych do bankowości mo- Microsoft Authenticator, które mogą generować kody
bilnej, określanie limitów wartości transakcji, określa- jednorazowe dla określonej transakcji.
nie dziennych limitów transakcji mobilnych, kody PIN,
kody QR, podpis elektroniczny30.
2.2. podatności
Istotne jest tutaj kryterium zgodności z dyrektywą
PSD2 (ang. Payment Services Directive)31, która we- W tym podrozdziale opisane zostały podatności, czyli
słabe strony rozwiązań dostępnych dla klientów banko-
wości elektronicznej. Mają one wymiar zarówno tech-
30
A. Gil, K. Senderecki, Mechanizmy zabezpieczania transakcji elek-
tronicznych, „Prace Naukowe Akademii im. Jana Długosza w Czę- niczny (np. luki w zabezpieczeniach sprzętu lub apli-
stochowie. Technika, Informatyka, Inżynieria Bezpieczeństwa”, 2016, kacji, umożliwiające przeprowadzenie udanego ataku),
t. IV, s. 156-158. jak i ludzki (dotyczą sfery ludzkiej psychiki i emocji).
31
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366
z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ra-
mach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, Obydwa rodzaje podatności – techniczne i ludzkie –
2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 mogą być z powodzeniem wykorzystywane w działal-
oraz uchylająca dyrektywę 2007/64/WE, https://eur-lex.europa. ności przestępczej skierowanej przeciwko klientom
eu/legal-content/PL/TXT/PDF/?uri=CELEX:32015L2366&from=PL,
bankowości elektronicznej.
stan z dn. 1 czerwca 2021.
29
rOZDZIAŁ II
Niektórzy eksperci podkreślali fakt, że banki skupia- Android wsparcie jest dość ograniczone, a jego okres
ją się na przekazywaniu informacji i wymagań od- to mniej więcej rok. Niektórzy producenci, np. Sam-
nośnie bezpieczeństwa do klientów, co sprowadza sung, oferują dużo dłuższy okres aktualizacji.
się często do przerzucania na nich odpowiedzial-
ności za pełne zrozumienie informacji i spełnienie 2.2.2. podatności aplikacji
wymagań. Dzięki temu budowana jest świadomość
zagrożeń po stronie klientów, ale nie oznacza to, że Oprócz aktualizacji systemu operacyjnego danego
w ślad za tą świadomością powstaje jakakolwiek od- urządzenia, istotne są aktualizacje samej aplikacji,
porność (w rezultacie klienci wiedzą, co mają robić a więc ważne jest to, aby dostępność tego typu aktu-
i czego unikać, ale nie wiedzą jak). Z tego powodu alizacji sprawdzać i regularnie je instalować. Zwykle
wiele podatności może być z powodzeniem wyko- bowiem aktualizacja aplikacji jest powiązana z fak-
rzystanych przez przestępców – klienci bowiem, tem, że znalezione zostały podatności w systemie
chociaż są w stanie wyliczyć różnego rodzaju za- operacyjnym, w którym zainstalowane są te aplikacje.
grożenia, nie wiedzą w rzeczywistości, jak się przed
nimi bronić i w efekcie stają się podatni na oddziały- Najczęstszą podatnością jest więc to, że aplikacje
wanie przestępcze. nie są aktualizowane, bądź zostały przygotowane bez
uwzględnienia metodologii i aktualnego modelu za-
Część ekspertów zwracała uwagę, że banki po swojej grożeń.
stronie nie podejmują odpowiedniej liczby działań ma-
jących na celu przygotowanie dla klientów rozwiązań Pośród innych podatności wskazano luzowanie reguł
w zakresie bezpieczeństwa, które będą dla nich w pełni bezpieczeństwa, np. rezygnację z SCA (ang. Strong
zrozumiałe, jeżeli chodzi o celowość ich stosowania. Customer Authentication – silne uwierzytelnianie
Wyklucza to świadomą zgodę klientów na stosowanie klienta), co w przypadku mniej świadomych użytkow-
tychże rozwiązań i sprzyja poszukiwaniu obejść. Jest ników stwarza wysokie ryzyko oraz możliwość doko-
to istotny obszar powstawania podatności. nywania zakupu bez potwierdzania kodem BLIK np.
w tzw. zaufanych sklepach.
2.2.1. podatności urządzeń
2.2.3. podatności transakcji
Ciągłe zagrożenie skimmingiem wynika bezpośred-
nio z faktu, że nie wszystkie terminale płatnicze (POS) Główną podatnością są jakiekolwiek transakcje wy-
i bankomaty w Europie wyposażone są w niezbędne konywane z wykorzystaniem połączenia telefonicz-
zabezpieczenia antyskimmingowe. Umożliwia to prze- nego. Eksperci podkreślali istnienie podatności – za-
stępcom kopiowanie danych z paska magnetycznego równo po stronie klientów, jak i pracowników banków
kart płatniczych w terminalach POS i bankomatach, co – związanej z atakami przeprowadzanymi za pomocą
nadal jest dominującym rodzajem oszustwa w Europie. techniki zwanej „vishing” (od ang. voice i phishing –
Jest tak, pomimo faktu, że późniejsze wykorzystanie co oznacza odmianę ataku socjotechnicznego typu
sklonowanej karty płatniczej z paskiem magnetycznym phishing, ale realizowaną za pomocą połączenia gło-
jest prawie niemożliwe na terenie Europy, ponieważ po- sowego, np. telefonicznego).
wszechnie stosowane są tutaj karty mikroprocesorowe
Europay, MasterCard i Visa (standard EMV). Na pozio- Istnieje bowiem ryzyko, że przestępcy będą korzy-
mie globalnym sytuacja jest jednak inna, zwłaszcza stać z numeru bardzo zbliżonego lub wręcz pokry-
w przypadku krajów, które jeszcze nie dostosowały się wającego się z numerem banku. Wówczas ofiara,
do wymagań standardu EMV. W rezultacie wypłata środ- z którą nawiązane zostanie połączenie telefoniczne,
ków z użyciem podrobionej karty wyposażonej w pasek może przyjąć, że ma kontakt z prawdziwym przed-
magnetyczny możliwa jest na terenie takich właśnie stawicielem banku i podporządkować się polece-
państw, co ostatecznie stanowi poważny problem dla niom wydawanym przez przestępców. Warto tutaj
europejskich wydawców kart płatniczych32. przywołać wyniki ankiety, w której większość respon-
dentów we wszystkich grupach wiekowych wskazy-
W przypadku urządzeń, z których korzystamy na co wała telefon jako preferowany kanał komunikacji
dzień, typowe są podatności dla smartfonów, np. kwe- z bankiem (patrz wykresy 6 i 7 w dalszej części opra-
stia, z jakiej wersji systemu operacyjnego Android dana cowania). Istotny jest także wniosek przedstawiony
platforma sprzętowa korzysta i czy jest regularnie ak- przez ekspertów, którzy zauważyli, że wysoki poziom
tualizowana, jeżeli chodzi o wersję systemu operacyj- świadomości zagrożenia związanego z możliwością
nego. Warto podkreślić, że dla systemu operacyjnego kontaktu ze strony fałszywych pracowników banku
(patrz wykres 37 w dalszej części opracowania) nie
32
Internet Organised Crime Threat Assessment (IOCTA) 2019, przekłada się na realną odporność potencjalnych
https://www.europol.europa.eu/sites/default/files/documents/
ofiar – klientów i pracowników banków.
iocta_2019.pdf, s. 38, stan z dn. 27 lipca 2021.
30
słabe i silne strony istniejących rozwiązań
Najbardziej popularnym działaniem, które podpowia- wykorzystywany jest podpis elektroniczny. Co prawda
da się tutaj klientom, jest przerwanie każdej rozmowy, nie zapewnia to prywatności, ale gwarantuje integral-
która wydaje im się podejrzana. Wówczas najlepszym ność odpowiedzi.
krokiem jest – o ile to możliwe – udanie się do pla-
cówki bankowej w celu potwierdzenia potrzeby kon- Niestety utrzymanie DNSSEC wymaga dużych nakła-
taktu lub użycie dowolnego innego kanału komunika- dów pracy związanych z utrzymaniem, o ile bank nie
cyjnego, poza zwrotnym połączeniem telefonicznym. posiada własnych skryptów lub nie wdroży rozwiąza-
nia, takiego jak np. Infoblox. Z tego względu, pomimo
Wspomniana podatność dotycząca ludzkiej percepcji tego, że domeny pl i gov.pl są zarejestrowane w DNS-
jest bowiem ściśle powiązana z podatnością syste- SEC przez NASK, większość banków – i szerzej in-
mów VoIP (ang. Voice over IP – systemy połączeń stytucji finansowych – rezygnuje z tego zabezpiecze-
głosowych, które do transmisji wykorzystują sieci IP), nia. Dodatkowo wsparcie DNSSEC przez dostawców
które mogą być atakowane przez przestępców w celu oprogramowania, takich jak Microsoft czy Apple, jest
przekierowania połączeń. Dotyczy to systemów VoIP bardzo słabe, albo nawet żadne. Być może przyczyną
działających zarówno po stronie banku (wówczas tego stanu rzeczy jest fakt, że zabezpieczenia kryp-
przekierowywane mogą być połączenia przychodzą- tograficzne DNSSEC są słabe. Należy jednak podkre-
ce), jak i tych, które działają po stronie klienta. W ta- ślić, że obecnie jest to jedyna możliwość zapewnie-
kim przypadku ofiara nie ma praktycznie szans na we- nia integralności odpowiedzi DNS, co stanowi istotne
ryfikację tożsamości dzwoniącego, o ile próbuje tego zabezpieczenie techniczne przed phishingiem. Za-
dokonać za pośrednictwem zwrotnego połączenia bezpieczenia kryptograficzne będące w tej chwili naj-
telefonicznego. lepszą alternatywą to funkcje eliptyczne, które dają
szybkość działania i większe bezpieczeństwo przy
W korzystnym scenariuszu, kiedy połączenie zwrotne mniejszej długości klucza. Klucze bazowe to wciąż
nie zostanie przekierowane przez przestępców, klient standard RSA.
dodzwoni się do banku i będzie mógł potwierdzić,
czy miał do czynienia z pracownikiem banku. Proble- Eksperci zwrócili również uwagę na podatności sieci
matyczne będzie jednak ustalenie – na co zwracali radiowych i protokołu SSL/TLS (ang. Secure Socket
uwagę niektórzy eksperci – czego miał dotyczyć ten Layer/Transport Layer Security – dosł. warstwa bez-
pierwotny kontakt. piecznych gniazd/bezpieczeństwo warstwy trans-
portowej). Jedną ze zmian wprowadzonych w sie-
Kolejna podatność dotycząca transakcji i leżąca ciach radiowych zabezpieczeniami WPA-3 (ang. Wi-Fi
w obszarze socjotechniki związana jest z komunika- Protected Access – chroniony dostęp do Wi-Fi) jest
cją przez SMS. Eksperci podkreślali, że klienci z ła- metoda uwierzytelniania SAE (ang. Simultaneous Au-
twością poddają się manipulacji, a przede wszyst- thentication of Equals). SAE jest wariantem wymiany
kim nie czytają dokładnie treści komunikatów SMS. kluczy Dragonfly zdefiniowanej w RFC 7664 i opartej
W związku z tym zdarza się, że w rozumieniu dyrekty- na wymianie kluczy Diffie-Hellman przy użyciu skoń-
wy PSD2 silnie uwierzytelniają transakcję, która póź- czonych grup cyklicznych, które mogą być podstawo-
niej jest przez nich kwestionowana. Niektórzy eksper- wą grupą cykliczną lub krzywą eliptyczną. Generalnie
ci zwracali w tym kontekście uwagę na przynajmniej adresuje to problem znany już z IPSec (ang. Internet
częściową odpowiedzialność samych banków, które Protocol Security – bezpieczeństwo protokołu inter-
wysyłają za pomocą SMS treści niepełne, nieprecyzyj- netowego) zwany PFS (ang. Perfect Forward Secre-
ne, a czasami zupełnie nieprzydatne, przyzwyczajając cy). Wadą dotychczasowych sieci było bowiem to, że
użytkowników do tego, aby traktować je pobieżnie. podsłuchanie ruchu radiowego umożliwiało przejęcie
Problemem jest także wysyłanie komunikatów SMS materiału klucza, a tym samym złamanie hasła.
z niewskazanych klientom numerów i bramek.
Podobny problem występuje w protokole SSL/TLS.
2.2.4. podatności infrastruktury Oryginalna specyfikacja chroni początkową komu-
nikację/negocjację kluczy sesyjnych tylko poprzez
DNS (ang. Domain Name System – system nazw do- wykorzystanie klucza publicznego serwera. Kom-
men) nie ma wbudowanych żadnych mechanizmów promitacja klucza prywatnego serwera prowadzi do
potwierdzających prawdziwość otrzymanych odpo- ujawnienia wszystkich danych klientów serwisu. Roz-
wiedzi. DNSSEC (ang. Domain Name System Security wiązaniem jest oczywiście generacja kluczy tymcza-
Extensions – rozszerzenia bezpieczeństwa systemu sowych („ulotnych”) obowiązujących tylko w ramach
nazw domen), pomimo że – na co wskazał jeden sesji. Kompromitacja prywatnego certyfikatu serwera
z ekspertów – posiada już przestarzałe i niesprawne nie daje dostępu do danych sesji – wymaga od ata-
mechanizmy zabezpieczeń, daje nam możliwość we- kującego złamania klucza sesyjnego. Z tego względu
ryfikacji otrzymanych z DNS odpowiedzi. Do tego celu zalecana jest migracja do TLS 1.3.
31
rOZDZIAŁ II
32
wstęp
rOZDZIAŁ III
33
rOZDZIAŁ III
W badanej grupie respondentów stwierdzono także wyższego, a 10% średniego), która maleje w przy-
zależność pomiędzy miejscem zamieszkania i wy- padku miast do 100 tys. mieszkańców (10% respon-
kształceniem klientów bankowości elektronicznej – dentów z wykształceniem wyższym i 7% responden-
zobrazowaną na wykresie 5. We wszystkich branych tów z wykształceniem średnim), miast do 20 tys.
pod uwagę miejscach zamieszkania przeważającą mieszkańców (5% respondentów z wykształceniem
grupą okazały się osoby z wykształceniem wyższym. wyższym i 1% respondentów z wykształceniem śred-
W przypadku miast powyżej 100 tys. mieszkańców nim) oraz wsi (7% respondentów z wykształceniem
to przewaga ponad 5-cio krotna (54% responden- wyższym i 4% respondentów z wykształceniem śred-
tów zadeklarowało fakt posiadania wykształcenia nim).
Zdaniem niektórych ekspertów, z którymi przepro- z racji wykonywanej pracy, studiowania, spędzania
wadzono wywiady, wyniki przedstawione na wykre- większości czasu. W rzeczywistości, administracyj-
sie 5 mogą wynikać z faktu, że respondenci mogli nie, mogą podlegać pod mniejszy ośrodek (miasto
wskazywać, iż mieszkają w mieście powyżej 100 do 20 tys. mieszkańców, miasto do 100 tys. miesz-
tys. mieszkańców, ponieważ z nim się identyfikują kańców).
34
Środowisko bezpieczeństwa klienta bankowości elektronicznej
Uzupełnieniem powyższych obserwacji jest związek klient, tym większe preferencje co do bezpośrednie-
pomiędzy wiekiem respondentów a preferowanym ka- go kontaktu w placówce banku. Można tutaj postawić
nałem komunikacyjnym z bankiem (patrz wykres 7). hipotezę, że rozkład odpowiedzi pomiędzy grupami
W grupach wiekowych od 18 do 25 lat (64% responden- wiekowymi wynika z faktu, iż grupa wiekowa od 26 do
tów), od 26 do 40 lat (52% respondentów), od 41 do 60 40 lat podejmuje istotne decyzje związane np. z zacią-
lat (58% respondentów) i powyżej 60 lat (50% respon- ganiem kredytów hipotecznych w tym właśnie okresie
dentów) dominuje telefon. Na drugim miejscu znajdu- życia, co przekłada się na preferencje w stosunku do
je się aplikacja wybierana przez 33% respondentów wybieranej wówczas formy komunikacji z bankiem.
w grupie wiekowej powyżej 60 lat, 23% respondentów Jednocześnie w przypadku grupy wiekowej od 18 do
w grupie wiekowej od 41 do 60 lat, 17% respondentów 25 lat aż 14% respondentów wskazało mail jako pre-
w grupie wiekowej od 26 do 40 lat i 14% responden- ferowany kanał komunikacji – dla tej grupy wiekowej
tów w grupie wiekowej od 18 do 25 lat. Wynik 100% jest to taka sama liczba odpowiedzi, jak w przypadku
w grupie wiekowej od 13 do 17 lat należy uznać za cie- aplikacji. W kolejnych grupach wiekowych, czyli od 26
kawostkę – nie może być uznany za reprezentatywny do 40 lat i od 41 do 60 lat mail został wskazany tylko
ze względu na fakt, że nie zebrano odpowiedniej liczby przez 3% odpowiadających. Z kolei preferencje odno-
odpowiedzi, które pozwalałyby potwierdzić tego typu śnie użycia komunikatora wskazane zostały wyłącznie
preferencje. Miejsce trzecie, jeżeli chodzi o preferen- przez grupy wiekowe od 26 do 40 lat (5% responden-
cje respondentów, to bezpośredni kontakt w placówce tów) i od 41 do 60 lat (4% respondentów).
banku, przy czym jest to kanał komunikacyjny najczę-
ściej wybierany przez osoby w wieku od 26 do 40 lat Spośród sposobów komunikowania się z bankiem
(22% respondentów), a następnie osoby powyżej 60 na miejsce pierwsze wysuwa się kontakt telefonicz-
lat (17% respondentów) i w grupie wiekowej od 41 do ny, przy czym znamienne jest, iż najmłodsze pokole-
60 lat (12% respondentów). Pomimo, że bezpośredni nie (jako jedyne) preferuje kontakt z wykorzystaniem
kontakt w placówce banku cieszy się najmniejszą po- aplikacji mobilnej. Bardzo interesującym jest, że wraz
pularnością wśród klientów w grupie wiekowej od 18 z wiekiem rośnie poziom zainteresowania wykorzy-
do 25 lat, to w całościowym ujęciu odpowiedzi przeczą staniem aplikacji do kontaktów z bankiem i maleje
obiegowemu stereotypowi, który głosi, że im starszy zainteresowanie wykorzystaniem maila jako sposobu
35
rOZDZIAŁ III
komunikowania się. Widać wyraźnie, iż preferowany W odniesieniu do wskazań, które diagnozują poziom
jest kontakt bezpośredni (on-line lub w placówce ban- znajomości zasad higieny i bezpieczeństwa wśród
ku), zaś komunikacja mailowa schodzi na plan dalszy. badanych widać, że wskazane w pytaniu podstawowe
zasady bezpieczeństwa znajdują silne zrozumienie
Warto podkreślić, że obecne pokolenie powyżej 60 lat wśród respondentów. Martwić jednak może, iż za-
kontakt z bankowością elektroniczną miało już ponad równo poprawki systemowe, jak i aktualność oprogra-
20 lat temu. Z tego względu ta odmiana bankowości mowania antywirusowego nie uzyskały zrozumienia
jest przez osoby w tej grupie wiekowej powszech- i wskazane zostały jako „ważne” przez odpowiednio
nie używana. Pokolenie, które kategoryzowalibyśmy 22% i 19% respondentów, a jako „bardzo ważne i klu-
jako „powyżej 60 lat” w momencie, kiedy bankowość czowe” odpowiednio przez 75% i 76% respondentów.
elektroniczna pojawiła się na rynku, dziś powinno być Co więcej, odpowiednio 3% i 5% respondentów okre-
sklasyfikowane jako „powyżej 80 lat”. Ludzie Ci mają śliła je jako „nieważne i mało ważne” – chociaż jest to
także całkowicie inne nawyki konsumenckie. stosunkowo niski udział procentowy, to zadziwiające
może wydawać się, że taka odpowiedź w ogóle była
Na wykresie 8 przedstawiono odpowiedzi responden- wybierana. W związku z tym, prowadzone na szeroką
tów, których poproszono o określenie wagi wymagań skalę działania informacyjne w przestrzeni publicznej,
bezpieczeństwa związanych z wykorzystaniem ban- jak i samodzielnie przez banki w odniesieniu do klien-
kowości elektronicznej. Pomiar ten pozwolił lepiej tów bankowości elektronicznej, winny uświadomić po-
ustalić poziom dojrzałości technologicznej klientów. trzebę zabezpieczenia urządzeń poprzez aktualizację
wykres 9. Odpowiedzi na pytanie „Czy wiesz, w jaki sposób szybko kontaktować się z bankiem” w podziale na mężczyzn
i kobiety
37
rOZDZIAŁ III
na bezpieczne funkcjonowanie w środowisku banko- twierdzących i 55% odpowiedzi przeczących dla re-
wości elektronicznej. Jak wynika z badania, niezależ- spondentów w grupie wiekowej od 26 do 40 lat; 36%
nie od płci, ponad 90% badanych zadeklarowało peł- odpowiedzi twierdzących i 64% odpowiedzi przeczą-
ną wiedzę odnośnie szybkiego kontaktu z bankiem cych dla respondentów w grupie wiekowej od 18 do
(patrz wykres 9). 25 lat. 100% braku znajomości adresów mailowych
lub numerów telefonicznych używanych do kontaktu
Ciekawym uzupełnieniem powyższych obserwacji z bankiem w grupie wiekowej od 13 do 17 lat nie może
jest zestawienie odpowiedzi na pytanie o znajomość być traktowany jako wartość reprezentatywna ze
adresu mailowego lub numeru telefonicznego uży- względu na zbyt małą liczbę odpowiedzi w tej grupie
wanego do kontaktu z bankiem w poszczególnych wiekowej. Jednocześnie należy podkreślić, że w od-
grupach wiekowych (patrz wykres 10). Aż 83% re- niesieniu do najmłodszej grupy wiekowej deklarowany
spondentów z grupy wiekowej powyżej 60 lat potwier- brak przekazania informacji wynika prawdopodobnie
dziło, że zna adres mailowy lub numer telefoniczny z faktu, iż kwestie bezpieczeństwa zostały omówione
używany do kontaktu z bankiem (17% responden- z przedstawicielem ustawowym w momencie zakła-
tów odpowiedziało przecząco), w kolejnych grupach dania konta i ewentualnie uruchamiania dostępu do
było to odpowiednio: 68% odpowiedzi twierdzących systemu bankowego – założenie to można przyjąć
i 42% odpowiedzi przeczących dla respondentów także w przypadku odpowiedzi przedstawionych na
w grupie wiekowej od 41 do 60 lat; 45% odpowiedzi wykresach 12, 13, 14, 15 i 17.
wykres 10. Znajomość adresów mailowych lub numerów telefonicznych używanych do kontaktu z bankiem w poszcze-
gólnych grupach wiekowych
Bardzo symptomatyczne było zdanie jednego z bada- wymagane jest jak najmniejsze obciążenie, zaanga-
nych ekspertów, iż najmłodsza grupa badanych (po- żowanie czasu i uwagi, co w efekcie może prowadzić
kolenie milenialsów) funkcjonuje w sposób odmienny do pominięcia zarejestrowania istotnych kwestii,
od pokoleń starszych. Pierwsza wskazana różnica to w tym dotyczących bezpieczeństwa.
fakt, iż najmłodsze pokolenie nie przywiązuje znaczą-
cej wagi do przekazywanych informacji, zaś druga to Odpowiedzi na to samo pytanie – w zależności od
fakt, iż najmłodsze pokolenie nie czuje silnych związ- płci respondenta – kształtowały się tak, jak pokazano
ków z wybranym rozwiązaniem/bankiem i często pod na wykresie 11. W grupie mężczyzn 92,9% responden-
wpływem impulsu go zmienia, zaś od samej zmiany tów znało adresy mailowe lub numery telefoniczne
wykres 11. Znajomość adresów mailowych lub numerów telefonicznych używanych do kontaktu z bankiem w zależności
od płci
38
Środowisko bezpieczeństwa klienta bankowości elektronicznej
wykorzystywane do kontaktu z bankiem, a 7,1% od- a 50% odpowiedź „tak”; w grupie wiekowej od 41 do
powiedziało przecząco. W przypadku kobiet 92,5% 60 lat odpowiedź „nie pamiętam” wskazało już 38%
respondentek zadeklarowało taką znajomość, a 7,5% respondentów (ponad dwukrotnie więcej niż w przy-
jej brak. padku starszej grupy wiekowej), odpowiedź „nie”
wskazało 16%, a odpowiedź „tak” 46%; proporcje
Warto podkreślić, że kontakt telefoniczny jest czę- w grupie wiekowej od 26 do 40 lat wyglądają po-
sto wykorzystywanym kanałem komunikacyjnym dobnie, jak w grupie od 41 do 60 lat, to znaczy, że
przez przestępców podszywających się np. pod pra- 40% respondentów odpowiedziało „nie pamiętam”,
cowników banków. Istotnym w tym kontekście jest 17% wybrało odpowiedź „nie”, a 43% odpowiedź
zagadnienie wiedzy klienta banku odnośnie bezpie- „tak”; w grupie od 18 do 25 lat aż 57% osób wskaza-
czeństwa danych, w tym w szczególności danych ło odpowiedź „nie pamiętam”, 14% odpowiedź „nie”,
osobowych, danych dostępowych i innych, których a 29% odpowiedź „tak”; w najmłodszej grupie wybra-
ujawnienie osobom niepożądanym może narazić ich no odpowiedź „nie”, co wiąże się z faktem, że tego
właściciela na podejmowanie działań przestępczych typu informacje są przekazywane przedstawicielom
z ich wykorzystaniem. Znamiennym jest, że wraz ustawowym.
z wiekiem rośnie udział osób, które deklarują, że
w ramach kontaktu z bankiem przekazana została W przypadku wykresu 13, który obrazuje procentowy
im informacja, jak zabezpieczyć dane dostępowe do udział odpowiedzi na pytanie „Czy zostałeś poinfor-
bankowości elektronicznej oraz zostały przekazane mowany przez bank, jak będzie przebiegał kontakt
informacje, w jaki sposób będzie przebiegała komu- z przedstawicielem banku?” w podziale na poszcze-
nikacja z przedstawicielem banku, w tym wiedza gólne grupy wiekowe, obserwujemy dużą liczbę od-
nt. ewentualnych danych, które będą wymagane do powiedzi „nie” i „nie pamiętam”. Dla grupy wiekowej
sprawnej komunikacji (patrz wykres 12, 13). Mając powyżej 60 lat podział odpowiedzi „tak” i „nie” wynosi
na względzie poprzednie uwagi dotyczące pokolenia po 50%. W pozostałych grupach wiekowych zmniej-
milenialsów, osoby młodsze nie przywiązały szcze- sza się liczba odpowiedzi „nie” – dla poszczególnych
gólnej wagi do tego rodzaju informacji i wskazują, grup mamy tutaj następujące wyniki: 31% dla grupy
iż nie pamiętają, czy bank przekazał im te istotne wiekowej od 41 do 60 lat; 28% dla grupy wiekowej
z punktu bezpieczeństwa informacje. od 26 do 40 lat; 29% w grupie wiekowej od 18 do
25 lat. Zmniejsza się także liczba odpowiedzi „tak”:
Wykres 12 przedstawia procentowy udział odpowie- 42% w grupie wiekowej od 41 do 60 lat; 41% w grupie
dzi na pytanie „Czy zostałeś poinformowany przez wiekowej od 26 do 40 lat; 36% w grupie wiekowej od
bank, jak zabezpieczyć swoje dane dostępowe do 18 do 25 lat. Pojawia się także istotny element nie-
systemów bankowości elektronicznej?”. Obserwuje- pewności, który stopniowo wzrasta wraz ze zmniej-
my tutaj tą samą prawidłowość, co na wykresie 10, szaniem się wieku respondentów – odpowiedź „nie
tzn. wraz z wiekiem rośnie udział osób, które dekla- pamiętam” wybrało: 27% osób w grupie wiekowej od
rują, że posiadają przedmiotową wiedzę. Pojawia się 41 do 60 lat; 31% osób w grupie wiekowej od 26 do
jednak niepewność, która wzrasta wraz z tym, jak 40 lat; 36% osób w grupie wiekowej od 18 do 25 lat.
obniża się wiek respondentów, a dokładnie: w grupie Zgodnie z przyjętym wcześniej założeniem, w grupie
wiekowej powyżej 60 lat 17% respondentów wybra- wiekowej od 13 do 17 lat obserwujemy 100% odpo-
ło odpowiedź „nie pamiętam”, 33% odpowiedź „nie”, wiedzi „nie”.
wykres 12. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank, jak zabezpieczyć swoje dane dostępowe do
systemów bankowości elektronicznej?” w podziale na grupy wiekowe
39
rOZDZIAŁ III
wykres 13. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank, jak będzie przebiegał kontakt z przedstawi-
cielem banku?” w podziale na grupy wiekowe
Wykres 14 przedstawia odpowiedzi na pytanie „Czy w 50% przypadków, a w grupie wiekowej powyżej 60
zostałeś poinformowany przez bank o konieczności lat aż w 67% przypadków. Trudno więc doszukiwać
okresowej zmiany haseł dostępowych do aplikacji?” się tutaj jakiejś prawidłowości, poza obserwacją, że
w poszczególnych grupach wiekowych. Dostrzec najstarsza grupa wiekowa w istotnym stopniu czę-
można tutaj prawidłowość w grupach wiekowych od ściej potwierdzała fakt bycia poinformowanym przez
41 do 60 lat, od 26 do 40 lat i od 18 do 25 lat – wraz bank na temat konieczności okresowej zmiany ha-
ze zmniejszaniem się wieku badanych spada tutaj bo- seł dostępowych do aplikacji. Grupa od 13 do 17 lat
wiem poziom niepewności, ponieważ w grupie wieko- w 100% odpowiedziała „nie”, co jest zgodne z przyję-
wej od 41 do 60 lat zarejestrowano 28% odpowiedzi tymi wcześniej założeniami.
„nie pamiętam”, w grupie wiekowej od 26 do 40 lat
19% odpowiedzi „nie pamiętam”, a w grupie wiekowej Otrzymane na wykresie 14 wyniki są warte szczegól-
od 18 do 25 lat 14% odpowiedzi „nie pamiętam”. Jed- nej uwagi, ponieważ dotyczą jednej z podstawowych
nocześnie w grupach tych wzrasta ilość odpowiedzi zasad bezpieczeństwa, a mianowicie konieczności
„nie” – dla grupy wiekowej od 41 do 60 lat jest to 26% okresowej zmiany haseł dostępowych.
odpowiedzi; dla grupy wiekowej od 26 do 40 lat jest to
31% odpowiedzi; a w grupie wiekowej od 18 do 25 lat Wyłaniający się zróżnicowany obraz, w którym co
jest to aż 43% odpowiedzi. Co ciekawe, to dokładnie prawda w przeważającej części znalazły się odpowie-
tyle samo, ile odpowiedzi „tak” w tej grupie wiekowej dzi twierdzące (z wyłączeniem najmłodszej grupy) nie
i prawie tyle samo, co w grupie wiekowej od 41 do może być uznany za satysfakcjonujący w stosunku do
60 lat, gdzie respondenci odpowiedzieli „tak” w 46% wszystkich grup młodszych niż grupa wiekowa powy-
przypadków. Dla porównania, w grupie wiekowej żej 60 lat, ponieważ ponad jedna trzecia responden-
od 26 do 40 lat odpowiedź „tak” została wskazana tów udzieliła tutaj odpowiedzi przeczącej, a odsetek
wykres 14. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank o konieczności okresowej zmiany haseł do-
stępowych do aplikacji?” w podziale na grupy wiekowe
40
Środowisko bezpieczeństwa klienta bankowości elektronicznej
deklarujących brak pamięci odnośnie tej tak istotnej we wszystkich – poza najmłodszą – badanych gru-
kwestii jest znaczący. pach wiekowych. W przypadku grupy wiekowej od 18
do 25 lat mamy aż 29% odpowiedzi „nie pamiętam”.
Kwestia bezpieczeństwa urządzeń mobilnych i wyko- Następnie w grupie wiekowej od 26 do 40 lat aż 21%
rzystywanych na nich aplikacji mobilnych banku z ra- respondentów wskazało odpowiedź „nie pamiętam”.
cji powszechności tego rozwiązania nie może zostać Na bardzo zbliżonym poziomie znajduje się kolejna
pominięta w rozważaniach na temat środowiska bez- grupa wiekowa, od 41 do 60 lat, gdzie odpowiedź „nie
pieczeństwa klienta bankowości elektronicznej. pamiętam” wybrało 20% osób. Dla osób powyżej 60
lat odpowiedź „nie pamiętam” stanowi 17% wszyst-
Rozkład odpowiedzi na pytania dotyczące przyjętych kich odpowiedzi dla tej grupy wiekowej. Widoczny
powszechnie zasad bezpieczeństwa niestety nie napa- jest więc stopniowy spadek niepewności, w miarę jak
wa w pełni optymizmem (patrz wykres 15, 16 i 17). Co wzrasta wiek badanych w grupach wiekowych od 18
prawda poziom wykorzystania aplikacji i urządzeń mo- do 25 lat aż do grupy wiekowej powyżej 60 lat.
bilnych jest bezsprzecznie znaczący, lecz deklarowany
poziom wiedzy odnośnie tych zagadnień budowany Odwrotną prawidłowość dostrzegamy tutaj dla od-
przez bank poprzez indywidualny przekaz informacji powiedzi „nie” – wraz ze wzrostem wieku badanych,
odnośnie podstawowych zasad jest – niestety – niski. począwszy od grupy wiekowej od 18 do 25 lat, gdzie
odpowiedź przeczącą wskazało 21% respondentów,
Najwyższy poziom odpowiedzi twierdzących pada na stopniowo wzrasta liczba odpowiedzi przeczących,
pytanie – „Czy zostałeś poinformowany przez bank osiągając kolejno: 29% w grupie wiekowej od 26 do
o konieczności powiązania urządzenia z aplikacją 40 lat; 30% w grupie wiekowej od 41 do 60 lat; aż 50%
mobilną i kontem?” (patrz wykres 15). Co prawda su- w grupie wiekowej powyżej 60 lat.
marycznie 49% respondentów odpowiada na to pyta-
nie twierdząco, jednak przy bliższej analizie zarówno W odniesieniu do pytania dotyczącego zagadnienia
w najmłodszej, jak i najstarszej grupie wiekowej od- konieczności samodzielnego zablokowania urządze-
powiedź przecząca jest wręcz nieakceptowalna – to nia mobilnego w razie jego utraty (patrz wykres 16)
odpowiednio: aż 50% odpowiedzi „nie” w grupie wie- łączny poziom odpowiedzi świadczących o braku
kowej powyżej 60 lat i 100% odpowiedzi „nie” w gru- otrzymania takiej informacji z banku to ponad 45%.
pie wiekowej od 13 do 17 lat. O ile można przywołać W poszczególnych grupach wiekowych obserwujemy
wcześniej przyjęte dla najmłodszej grupy wiekowej następujące wyniki: 29% odpowiedzi „nie” w grupie
założenie, że wszelkie informacje od banku przeka- wiekowej od 18 do 25 lat; następnie wyraźny wzrost
zywane są do przedstawiciela ustawowego, to mimo i aż 50% odpowiedzi „nie” w grupach wiekowych od
wszystko należy podkreślić, że w efekcie ta grupa wie- 26 do 40 lat i powyżej 60 lat; oraz zbliżony poziom
kowa, która w krótkim czasie stanie się pełnopraw- odpowiedzi „nie” dla grupy wiekowej od 41 do 60 lat,
nym użytkownikiem bankowości, rozpocznie kolejny wynoszący 47%.
etap życia bez koniecznej świadomości odnośnie ele-
mentarnych wymagań w obszarze bezpieczeństwa. Element niepewności to aż 43% odpowiedzi „nie pa-
miętam” w grupie wiekowej od 18 do 25 lat. Następ-
Zastanawiający jest także spory udział elementu nie wyraźny spadek w grupie wiekowej od 26 do 40
niepewności w odpowiedziach. Dostrzec można go lat, czyli 22% odpowiedzi „nie pamiętam”, po którym
wykres 15. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank o konieczności powiązania urządzenia z apli-
kacją mobilną i kontem?” w podziale na grupy wiekowe
41
rOZDZIAŁ III
można dostrzec stopniowy wzrost dla kolejnych grup dużym optymizmem, ponieważ może mieć charakter
wiekowych – odpowiednio: 28% odpowiedzi „nie pa- przypadkowy.
miętam” w grupie wiekowej od 41 do 60 lat; 33% od-
powiedzi „nie pamiętam” w grupie wiekowej powyżej Ogólna ocena wyników przedstawionych na wykre-
60 lat. sie 16 jest więc negatywna. Oznacza to, że banki mu-
szą upewnić się, że nie tylko przekazują stosowną
Wyłamuje się tutaj grupa wiekowa od 13 do 17 lat informację swoim klientom, lecz także upewniają się,
deklarując 100% świadomości odnośnie obowiązku iż informacja taka zostanie zapamiętana. Należy przy
samodzielnego zablokowania urządzenia mobilnego tym zwrócić uwagę, że jeszcze gorzej sytuacja przed-
w razie jego utraty. Ze względu na małą liczbę respon- stawia się w odniesieniu do zasad postępowania w ra-
dentów nie należy tego wyniku przyjmować ze zbyt zie wymiany urządzenia mobilnego (patrz wykres 17).
wykres 16. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank o konieczności samodzielnego zablokowania
urządzenia mobilnego w razie jego utraty?” w podziale na grupy wiekowe
wykres 17. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank o zasadach postępowania w razie wymiany
urządzenia mobilnego?” w podziale na grupy wiekowe
42
Środowisko bezpieczeństwa klienta bankowości elektronicznej
wskazało odpowiedź „tak”. Najlepiej, chociaż jest element zakłócający dostęp w trybie pilnym do na-
to poziom absolutnie niesatysfakcjonujący, wypadła szych środków płatniczych.
grupa wiekowa powyżej 60 lat, w której – w porówna-
niu do innych grup: 33% respondentów odpowiedzia- Problem potęgują tutaj nieprofesjonalne biura obsługi
ło „tak” (nadal jest to za mała liczba). Jednocześnie, klienta (BOK), których pracownicy często są niedosta-
w tej samej grupie wiekowej, 17% respondentów od- tecznie przeszkoleni, brak im wiedzy, doświadczenia,
powiedziało „nie pamiętam” i aż 50% respondentów a w rezultacie często korzystają ze wsparcia II linii.
odpowiedziało „nie”. Dostrzega się także wady w skryptach używanych
podczas kontaktu z klientem, fakt pojawiania się
W obszarze związanym ze znajomością procedur sztampowych odpowiedzi niepopartych głębszą ana-
bezpieczeństwa istotny jest także poziom wiedzy lizą zgłoszonego problemu.
klientów w zakresie informacji, których nie może
żądać przedstawiciel banku. Odpowiedzi na py- Odnośnie procedur bezpieczeństwa jeden z eks-
tanie „jakich informacji nie może żądać do Ciebie pertów podkreślił, że jakakolwiek zgoda dotycząca
przedstawiciel banku?” przedstawiono na wykre- bezpieczeństwa bankowości elektronicznej, którą
sie 18. wyraża klient, powinna być połączona ze świadomo-
ścią dotyczącą zagrożeń. Przykładowym nieprawi-
Respondenci mieli możliwość wskazania dowolnej dłowym działaniem po stronie banków była sytuacja,
liczby odpowiedzi wśród zaproponowanych (login, w której przesyłano klientom karty zbliżeniowe, nie
kody SMS, kod PIN, hasło), a dodatkowo mogli po- informując ich, czy są zainteresowani ich użyciem
dać własne, inne odpowiedzi. W efekcie, co obrazu- i nie przekazując kompletu informacji o zagroże-
je wykres 18, odpowiedzi pomiędzy populacją kobiet niach. W efekcie nie każdy klient miał świadomość,
i mężczyzn rozłożyły się bardzo równomiernie – od- że kradzież karty zbliżeniowej pozwala przestępcom
powiednio: 28,9% mężczyzn i kobiet odpowiedziało, na kradzież części środków pieniężnych (kiedyś do
że przedstawiciel banku nie może żądać podania wysokości 50 PLN, obecnie do wysokości 100 PLN)
kodu PIN; 28,6% kobiet i 28,2% mężczyzn wskaza- – w przypadku typowej karty płatniczej dostatecz-
ło, że klienta nie można prosić o hasło; 21,8% kobiet nym zabezpieczeniem na okoliczność kradzieży jest
i 22,3% mężczyzn wskazało tutaj kody SMS; 18,5% ko- kod PIN. W rzeczywistości kwota transakcji zbliże-
biet i 19,9% mężczyzn wybrało login. Tylko 0,3% męż- niowych może przekroczyć limit 50 EUR – co ozna-
czyzn podało odpowiedź „PESEL”. Z kolei 0,8% kobiet cza, że do 50 EUR odpowiadać będzie klient, o ile nie
i 0,5% mężczyzn podało odpowiedź „dane osobowe”, zdążył zastrzec karty, a powyżej limitu 50 EUR odpo-
a kategorię inne zaznaczyło odpowiednio 3,4% kobiet wiadać będzie dostawca usługi płatniczej. Mieliśmy
i 1,9% mężczyzn. więc tutaj do czynienia z częściowym przeniesie-
niem odpowiedzialności za funkcjonalność instru-
Eksperci zwracali uwagę, że w powszechnym od- mentu płatniczego z banku na płatnika. Natomiast
czuciu raczej niewielu klientów bankowości w ogóle to bank wygenerował tutaj zagrożenie wprowadza-
zapoznaje się z procedurami i niewielu czyta komuni- jąc nową funkcjonalność instrumentu płatniczego.
kację od banków informującą np. o tym, iż mamy do Co więcej, banki wprowadzają samoregulacje w za-
czynienia z jakimś nowym rodzajem ataków. Wszel- kresie odpowiedzialności za kradzież środków pie-
kie tego typu informacje są często ignorowane jako niężnych z użyciem zbliżeniowych kart płatniczych,
wykres 18. Odpowiedź na pytanie: „Jakich informacji nie może żądać od Ciebie przedstawiciel banku?” w zależności od
płci
43
rOZDZIAŁ III
natomiast nie wynika ona wprost z ustawy o usłu- formie. W bankach funkcjonują też swoiste martwe
gach płatniczych33. strefy, np. od piątku, godz. 16:00 do poniedziałku,
godz. 12:00, które dodatkowo uniemożliwiają kontakt.
Podczas opracowywania procedur banki powinny
pamiętać, że bezpieczeństwo nie może być prioryte-
tem w każdej sytuacji – poziom zabezpieczeń musi 3.3. ergonomia rozwiązań
być adekwatny do zagrożeń. Zachwianie równowagi
w tym obszarze może spowodować, że usługa stanie Istotną kwestią w czasie badania było ustalenie pre-
się z punktu widzenia klienta całkowicie nieefektywna ferencji respondentów między bezpieczeństwem apli-
np. silne uwierzytelnianie lub autoryzacja przy każdo- kacji bankowych, a łatwością ich użytkowania.
razowej transakcji zbliżeniowej byłaby rozwiązaniem
bardzo problematycznym. Kompromis, obejmujący spełnienie postulatu przy-
jazności aplikacji, jej łatwej i intuicyjnej obsługi,
Eksperci zwracali uwagę na kwestie dostarczania re- przy jednoczesnym zachowaniu rygorystycznych
gulaminów do klienta z użyciem poczty elektronicznej. wymagań bezpieczeństwa jest wyznacznikiem, któ-
Najlepsza praktyka w takim przypadku, to wykorzy- ry znacząco wpływa na ostateczny kształt oprogra-
stanie silnego szyfrowania. Może to jednak oznaczać, mowania dla klientów i procedur związanych z jego
że klient nie będzie chciał z takich zabezpieczeń ko- obsługą. Szereg wymagań proceduralnych musi być
rzystać. Z tego względu pojawiają się kompromisy – wplecionych w taką formułę użytkowania aplikacji,
np. zabezpieczenie dokumentów przesyłanych pocz- która pozwoli na zachowanie najwyższego poziomu
tą elektroniczną za pomocą numeru PESEL. To nie są bezpieczeństwa z akceptowanym przez użytkowni-
dobre rozwiązania, chociaż na pewno lepsze niż brak ka końcowego poziomem skomplikowania instalacji
jakichkolwiek zabezpieczeń. W rzeczywistości odpo- i konfiguracji.
wiednie postępowanie powinno polegać na zabezpie-
czeniu dokumentu wrażliwego bezpiecznym hasłem Badani eksperci wskazują na systematyczny rozwój
(np. 16 znakowym i spełniającym kryteria bankowej rozwiązań z zachowaniem kompromisu pomiędzy
polityki bezpieczeństwa), a następnie przesłaniu tak ergonomią i bezpieczeństwem, przy czym sukcesu
zabezpieczonego dokumentu mailem i dostarczeniu upatrują w ogólnych trendach środowiska i przyjętych
hasła klientowi za pomocą oddzielnego kanału komu- kierunkach rozwoju. Na przestrzeni lat nowe rozwią-
nikacyjnego (np. SMS, albo – najlepiej – komunika- zania stają się coraz łatwiejsze do wykorzystania, zaś
tem aplikacji mobilnej). w zakresie bezpieczeństwa korzystają z dopracowa-
nych i wszechstronnie przetestowanych modułów od-
Istnieje problem na styku klient – bankowy zespół ds. pornych na przełamanie zabezpieczeń.
bezpieczeństwa. W przypadku realnej potrzeby do-
tarcie do takiego zespołu jest dla klienta praktycznie Przebadanie preferencji klientów bankowości elektro-
niemożliwe. Innymi słowy – bankowi specjaliści od nicznej w przedmiotowym zakresie pozwoliło zebrać
bezpieczeństwa są poza zasięgiem klientów. W efek- wyniki przedstawione na wykresach 19 i 20.
cie, jeżeli klienci zauważają, że coś złego wydarzyło
się na ich koncie lub zdają sobie sprawę ze swojej po- Wykres 19 przedstawia preferencje klientów ban-
myłki, nie istnieje prokliencka procedura pozwalająca kowości elektronicznej bez podziału na płeć. Widzi-
na szybkie zablokowanie realizacji przelewu w każdej my, co należy uznać za pocieszające, że większość
wykres 19. Rozkład preferencji odnośnie bezpieczeństwa a wygody obsługi aplikacji bankowych
33
Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, Dz.U.
2011 nr 199 poz. 1175.
44
Środowisko bezpieczeństwa klienta bankowości elektronicznej
wykres 20. Rozkład preferencji odnośnie bezpieczeństwa a wygody obsługi aplikacji bankowych w podziale na płeć
użytkowników skłania się ku bezpieczeństwu apli- Należy zauważyć, że paleta urządzeń mobilnych,
kacji, co oznacza trudniejszą instalację i mniej wy- za pomocą których możliwe jest realizowanie płat-
godne użytkowanie w miarę, jak wzrasta poziom ności elektronicznych, jest coraz szersza. Również
bezpieczeństwa. Innymi słowy dla bezpieczeństwa oferta banków w zakresie produktów i usług do-
aplikacji użytkownicy są w stanie w bardzo dużym stępnych za pomocą mobilnych kanałów komuni-
stopniu zrezygnować z wygody, czyli łatwości insta- kacyjnych, systematycznie się poszerza. Głównymi
lacji i użytkowania, które niosłyby za sobą niskie bez- zaś wyznacznikami, które determinują chęć skorzy-
pieczeństwo. W miarę, jak przesuwamy się od łatwej stania z nowych rozwiązań, są prostota użytkowa-
instalacji i użytkowania przy niskim bezpieczeństwie nia i zaufanie. Wykresy 21 i 22 przedstawiają ocenę
– odpowiednio 3% i 4% odpowiedzi respondentów – łatwości użycia wybranych narzędzi do płatności
w kierunku trudniejszej instalacji i mniej wygodnego elektronicznych w rozbiciu na płeć, a wykres 23 do-
użytkowania przy wysokim bezpieczeństwie, udział tyczy łatwości użycia produktów do płatności elek-
procentowy odpowiedzi respondentów stopniowo tronicznych.
wzrasta od 14% (co można uznać za oczekiwanie
umiarkowanego bezpieczeństwa aplikacji przy umiar- Na wykresie 21 zobrazowano procentowy udział od-
kowanie trudnej instalacji i użytkowaniu), przez 28%, powiedzi na pytanie „jak oceniasz łatwość użycia na-
aż do 51% (co oznacza wysokie bezpieczeństwo przy rzędzi do płatności elektronicznych?” w grupie kobiet.
trudniejszej instalacji i mniej wygodnym użytkowa- Za najłatwiejsze w obsłudze („łatwe i bardzo łatwe”)
niu). Ten trend można uznać za zadowalający. kobiety uznały smartfony – tak odpowiedziało aż 90%
kobiet, a tylko 10% z nich uznało, że są one „umiarko-
Uzupełnieniem wykresu 19 może być wykres 20, który wanie trudne/łatwe” w obsłudze. Drugi w kolejności
dodatkowo wprowadza podział ze względu na płeć. wynik uzyskały tablety, które przez 83% kobiet zosta-
Generalny trend związany z preferowaniem bezpie- ły określone jako „łatwe i bardzo łatwe” w obsłudze,
czeństwa ponad wygodą pozostaje – oczywiście a przez 18% respondentek zostały wskazane jako
– zachowany. Ciekawą obserwacją jest natomiast „umiarkowanie trudne/łatwe”. Trzeci wynik to zegarki,
fakt, że występują pewne różnice na poziomie umiar- które cieszą się w grupie kobiet bardzo dużym uzna-
kowanego bezpieczeństwa i umiarkowanej wygody, niem, jeżeli chodzi o łatwość użycia, ponieważ wska-
gdzie aż 17% mężczyzn i tylko 5% kobiet wyraziło ta- zało je 73% respondentek. Jednocześnie już 25%
kie oczekiwanie. Różnica na tym poziomie ma wpływ kobiet odbiera zegarki jako „umiarkowanie trudne/ła-
na wynik dotyczący wysokiego bezpieczeństwa przy twe” w użyciu. Pojawia się także ocena, którą można
trudniejszej instalacji i mniej wygodnym użytkowaniu uznać za krytyczną, gdyż 3% respondentek określiło
– tutaj aż 65% kobiet i znacznie mniej, bo 46% męż- zegarki jako „bardzo trudne i trudne” w użyciu. Na-
czyzn, wyraża taką preferencję. klejki i breloczki cieszą się w grupie kobiet znacznie
mniejszym uznaniem, jeżeli chodzi o łatwość użycia,
Reasumując, respondenci jednoznacznie wskazują co może wydawać się zadziwiające – odpowiednio
na prymat bezpieczeństwa, przy czym to kobiety go- 55% kobiet wskazało, że breloczki i naklejki są „łatwe
dzą się częściej na poniesienie dodatkowych nakła- i bardzo łatwe” w użyciu, aż 40%, że są „umiarkowanie
dów na podniesienie bezpieczeństwa kosztem łatwo- trudne/łatwe” w użyciu i 5% określiło je jako „bardzo
ści instalacji i użytkowania. trudne i trudne”.
45
rOZDZIAŁ III
wykres 21. Ocena łatwości użycia narzędzi do płatności elektronicznych w grupie kobiet
Wykres 22 przedstawia odpowiedzi na pytanie „Jak wyraźne zarówno w grupie kobiet, jak i mężczyzn?
oceniasz łatwość użycia narzędzi do płatności elek- Wydaje się, że przedstawione wyniki mogą mieć zwią-
tronicznych?” w grupie mężczyzn. Jeżeli chodzi zek z faktem, iż płatności realizowane za pomocą na-
o ogólną percepcję łatwości użycia, to w przypadku klejek lub breloczków nie są powszechnie spotykane
kobiet i mężczyzn jest ona bardzo zbliżona. Przodu- w Polsce – budzą więc podejrzliwość, co może prze-
ją smartfony, a za nimi plasują się tablety i zegarki. kładać się także na obniżoną percepcję w zakresie
Wartości procentowe udzielonych odpowiedzi są jed- łatwości użycia.
nak niższe w obszarze „łatwe i bardzo łatwe” – od-
powiednio 83% mężczyzn wskazało tutaj smartfony; Eksperci byli zgodni co do faktu, iż rozwiązania obec-
70% wskazało tablety i 69% wskazało zegarki. Z kolei nie dostępne na rynku, czyli aplikacje lub płatności
15% mężczyzn uznało smartfony za „umiarkowanie smartwatchami, są bardzo ergonomiczne. Podkreśla-
trudne/łatwe”, a 2% określiło je jako „bardzo trudne no jednak obawę, że w niektórych przypadkach ergo-
i trudne” w użyciu. Sceptycyzm mężczyzn odnośnie nomia może iść za daleko – tutaj jeden z rozmówców
łatwości użycia wzrasta w odniesieniu do tabletów przedstawił następujący scenariusz: jeżeli jednora-
i zegarków: 24% mężczyzn określiło tablety jako zowo wpiszemy kod PIN na smartwatchu i będzie on
„umiarkowanie trudne/łatwe”, a 6% określiło je jako aktywny przez długi czas, to istnieje ryzyko, że ktoś,
„bardzo trudne i trudne” w użyciu; 22% mężczyzn od- kto zbliży się do nas, teoretycznie może w ten sposób
powiedziało, że zegarki są „umiarkowanie trudne/ła- zatwierdzić transakcję. Pomimo, że jest to bardzo ni-
twe” w użyciu, a 9% wybrało odpowiedź „bardzo trud- skie ryzyko, to należy je odnotować.
ne i trudne”.
Ciekawa sytuacja wyłania się w odniesieniu do pro-
Skąd przeświadczenie, że naklejki i breloczki są duktów dla płatności elektronicznych (patrz wykres
trudniejsze w użyciu od np. smartfonów, które jest 23). O ile prym wiedzie tutaj tradycyjna karta płatnicza
wykres 22. Ocena łatwości użycia narzędzi do płatności elektronicznych w grupie mężczyzn
46
Środowisko bezpieczeństwa klienta bankowości elektronicznej
(„płatność kartą przy odbiorze” jako „łatwą i bardzo Apple Pay za „umiarkowanie trudne/łatwe” w użyciu;
łatwą” wskazało 88% respondentów, a „płatność kar- z kolei 9% respondentów uznało Google Pay za „bar-
tą przy składaniu zamówienia” jako „łatwą i bardzo dzo trudne i trudne” w użyciu, a 10% respondentów
łatwą” wskazało 84% respondentów), to na kolejnym w taki sposób ocenia Apple Pay.
miejscu znajduje się BLIK (84% respondentów okre-
śliło go jako „łatwy i bardzo łatwy” w użyciu), przez Najmniejszą popularnością cieszą się kolejno: prze-
co został potraktowany prawie na równi z szybkim lew tradycyjny (z wpisaniem numeru rachunku” – 60%
przelewem przez serwis płatności lub płatnościami respondentów uważa go za „łatwy i bardzo łatwy”,
z użyciem karty. Warto podkreślić, że 3% respon- 34% respondentów określa go jako „umiarkowanie
dentów określiło płatność kartą przy odbiorze jako trudny/łatwy”, a 6% respondentów wybrało odpo-
„bardzo trudną i trudną” w użyciu. Dla płatności BLIK wiedź „bardzo trudny i trudny”; płatność SMS-em pre-
i płatności kartą przy składaniu zamówienia zrejestro- mium – 56% respondentów uważa, że jest to „łatwa
wano 1% odpowiedzi „bardzo trudne i trudne”, a roz- i bardzo łatwa” opcja, 32% respondentów wskazało
piętość odpowiedzi „umiarkowanie trudne i łatwe” dla odpowiedź „umiarkowanie trudne/łatwe”, a 12% pyta-
czterech najpopularniejszych produktów do płatności nych odpowiedziało, że tą opcję ocenia jako „bardzo
elektronicznych jest następująca: 8% – płatność kar- trudną i trudną”; płatność aplikacją bankową realizo-
tą przy odbiorze; 14% – płatność BLIK; 15% – płat- wana z wykorzystaniem kodu QR – 51% responden-
ność kartą przy składaniu zamówienia; 17% – szybki tów wybrało tutaj odpowiedź „łatwe i bardzo łatwe”,
przelew przez serwis płatności. 38% respondentów odpowiedziało, że opcja ta jest
„umiarkowanie trudna/łatwa”, a 11% respondentów
Ciekawym jest także uznanie, jakim cieszą się płat- określiła ten produkt do płatności elektronicznych
ności Google Pay i Apple Pay, co w zestawieniu z de- jako „bardzo trudny i trudny” w użyciu.
klaracjami odnośnie wykorzystywanego urządzenia
mobilnego przez respondentów (83% wskazuje, iż ko- Eksperci podkreślali w zakresie ergonomii rozwiązań
rzysta ze smartfonu – patrz wykres 24) nie powinno fakt, że komfort korzystania z dobrodziejstw banko-
budzić wątpliwości, jeżeli chodzi o chęci wykorzysta- wości elektronicznej (zdalnej) od samego początku
nia tego typu rozwiązań przez klientów bankowości jej istnienia wiąże się z pewnym ryzykiem. Kiedyś
elektronicznej. Odpowiedzi kształtują się tutaj w spo- klient musiał inicjować transakcje osobiście, udając
sób następujący (patrz wykres 23): 67% responden- się w tym celu do placówki bankowej. Bankowość
tów uważa, że Google Pay jest „łatwe i bardzo ła- elektroniczna sprawiła, że klient może zainicjować
twe” w użyciu, a 65% wskazuje tutaj Apple Pay; 24% transakcję w sposób zdalny, a skoro tak, to istnie-
respondentów uważa Google Pay za „umiarkowanie je ryzyko, że taką samą operację może w jego imie-
trudne/łatwe” w użyciu, a 25% respondentów uważa niu wykonać także osoba trzecia, która wykorzysta
47
rOZDZIAŁ III
nieświadomość lub podatności klienta (ofiary). Istnie- rozwiązań, w tym w szczególności testowania rozwią-
je więc ścisły związek ergonomii rozwiązań z obsza- zań włącznie z niezależnymi testami bezpieczeństwa
rem bezpieczeństwa bankowości elektronicznej, co i organizowanymi konkursami typu „bug bounty”.
otwiera pole manewru dla przestępców stosujących
socjotechnikę lub wykorzystujących podatności roz- Z informacji, jakie można uzyskać od instytucji Rzecz-
wiązań technicznych. nika Finansowego wynika, iż nieustannie motywem
wprowadzonych bądź planowanych zmian w zakresie
Podczas rozmów eksperci podkreślali też zalety bio- sposobu zlecania i przeprowadzania transakcji jest
metrii, która pozwala na połączenie wygody użytko- szybkość i łatwość dostępu do usług bankowości
wania z bezpieczeństwem. elektronicznej. Podyktowane jest to komercyjną chę-
cią zatrzymania dotychczasowego klienta i pozyska-
Trzeba wreszcie pamiętać, że są klienci świadomi nia nowych klientów zachęcanych usługami świad-
ryzyka i tacy, którzy stawiają wyłącznie na wygodę. czonymi w sposób nowoczesny i łatwy w obsłudze.
Świadomi użytkownicy potrafią kontaktować się Wysoki poziom bezpieczeństwa zapewniony jest
z bankiem i np. wymuszać silne uwierzytelnienie przy przez monitoring funkcjonujący w czasie rzeczywi-
każdej płatności – nawet za cenę wygody. Większość stym w trybie detekcji i prewencji, co pozwala na uru-
użytkowników ceni jednak szybkość i wygodę trans- chamianie automatycznych mechanizmów bezpie-
akcji, szczególnie, jeżeli mają świadomość, że ta od- czeństwa. Takie podejście podyktowane jest z jednej
bywa się na ryzyko dostawcy usługi płatniczej. Nale- strony odpowiedzialnością wobec klienta wynikającą
ży pamiętać, że jeżeli użytkownik chce płacić łatwo z wdrożonej dyrektywy PSD2, jak i respektowania za-
i przyjemnie, może mieć ograniczoną świadomość sady, wedle której bezpieczeństwo to chęć uzyskania
ryzyka związanego z obszarem bezpieczeństwa – np. wiedzy, jak być o krok przed przestępcami.
może podpiąć swoją kartę płatniczą pod cudze urzą-
dzenie i silnie uwierzytelnić taką operację lub może W przypadku badanej grupy klientów bankowości
pozwolić na przejęcie kontroli nad swoim urządze- elektronicznej jednym z podstawowych pytań, na ja-
niem osobom trzecim poprzez instalację oprogramo- kie należało znaleźć odpowiedź, było, jaki jest poziom
wania do zdalnego zarządzania itd. Wszystko w imię i zakres wykorzystywanych urządzeń do płatności
szybkości i wygody. elektronicznych. Z badań wynika jednoznacznie, iż
smartfon jest narzędziem podstawowym (patrz wy-
W odniesieniu do ergonomii podkreślano potencjał kres 24). Stał się on uniwersalnym narzędziem, które
elektronicznych portfeli (portmonetek), czyli usług dzięki fenomenalnemu rozwojowi pozwala na wyko-
Google Pay i Apple Pay (patrz wykres 23), które do- rzystanie go jako substytutu komputera, tabletu i wie-
datkowo oferują wysoki poziom bezpieczeństwa. Wy- lu innych urządzeń.
daje się, że te rozwiązania mają potencjał, aby w przy-
szłości zyskać jeszcze większą popularność (patrz Na drugim miejscu respondenci wskazali, że do płat-
wykres 26 i 27). ności mobilnych stosują urządzenia „Inne (w tym
komputer PC, laptop itp.)” – taką odpowiedź wybrało
24% osób. Wynik ten jest stosunkowo ciekawy o tyle,
3.4. Zmiany technologiczne że sugeruje, iż wielu klientów bankowości elektro-
nicznej nie rozdziela ściśle bankowości internetowej,
W ocenie ekspertów w ramach bankowości elektro- w której komputer PC lub laptop mają uzasadnienie,
nicznej brak jest unikatowych i dedykowanych tylko od bankowości mobilnej opartej przede wszystkim
tej sferze rozwiązań sprzętowych. Eksperci wskazują, o smartfony. Z wykresu 25 możemy dowiedzieć się,
że wprowadzane i wykorzystywane rozwiązania ce- że komputer był wskazywany przede wszystkim przez
chują się dużym poziomem dojrzałości technologicz- grupy wiekowe od 41 do 60 lat (6,7% respondentów)
nej, tym niemniej zdarzają się sytuacje, gdy presja i od 26 do 40 lat (6,1% respondentów).
rynku i wynikający z konkurencji pośpiech powoduje
wdrożenia, w których nie zawsze udaje się w sposób Wracając do wykresu 24 – zaskakująca w odpowiedzi
proceduralny zabezpieczyć pełne bezpieczeństwo jest deklaracja 12% badanych, iż nie korzystają z żad-
klienta bankowości elektronicznej, co przejawiać się nych urządzeń do płatności mobilnych.
może w kłopotach z rozwiązaniem spornych sytuacji,
gdy dane rozwiązanie wykorzystywane jest przez gru- Znacznie lepsze zrozumienie preferencji klientów ban-
py przestępcze do działań na szkodę klienta banku. kowości elektronicznej w obszarze urządzeń mobil-
nych przynosi analiza wykresu 25. Zegarki, stanowiące
W odniesieniu zaś do rozwiązań programowych swoiste novum na rynku, przeważają u młodszych ba-
(systemy, aplikacje) eksperci wskazują na uwagę, danych (odpowiednio: 12,5% odpowiedzi w grupie wie-
jaka przywiązywana jest do tworzenia bezpiecznych kowej od 18 do 25 lat; 5,6% w grupie wiekowej od 41 do
48
Środowisko bezpieczeństwa klienta bankowości elektronicznej
60 lat; 1,5% w grupie wiekowej od 26 do 40 lat). Tablety Brak wykorzystania urządzeń do płatności mobilnych
zaś pojawiają się u dojrzałych respondentów – odpo- zadeklarowało aż 20% respondentów w grupie wie-
wiednio: 4,5% w grupie wiekowej od 26 do 40 lat; 13,5% kowej powyżej 60 lat, 4,5% respondentów w grupie
w grupie wiekowej od 41 do 60 lat; 20% w grupie wie- wiekowej od 26 do 40 lat i 3,4% respondentów w gru-
kowej powyżej 60 lat. Smartfon został wybrany przez pie wiekowej od 41 do 60 lat. Na podstawie posiada-
100% respondentów z grupy wiekowej 13 do 17 lat. nych informacji trudno uzasadnić taką odpowiedź, ale
W grupie wiekowej od 41 do 60 lat 6,7% odpowiadają- możliwe, że respondenci mieli zamiar w ten sposób
cych wskazało kartę (kredytową, debetową), a 1,1% na- podkreślić, iż nie wykorzystują np. smartfonów pod-
klejkę. Z kolei w grupie wiekowej od 26 do 40 lat 1,5% czas płatności. Kwestia ta może stanowić przyczynek
odpowiedzi oddano na naklejkę i na brelok. dalszych, pogłębionych badań.
Na wykresie 26 przedstawiono preferencje klientów płatności BLIK, które wybrało 68% respondentów
w zakresie produktów wykorzystywanych do płatno- oraz przelewy tradycyjne (z wpisaniem numeru ra-
ści elektronicznych. Największą popularnością cie- chunku), które wybrało 64% respondentów. Płatność
szą się tutaj szybkie przelewy przez serwis płatno- kartą przy odbiorze osobistym u kuriera wskazało
ści (np. Przelewy24, PayU, Dotpay, tPay, eCard itd.) 38% respondentów. Na dalszych miejscach są odpo-
tzw. „Pay-by-Link”, które wskazało 82% responden- wiednio płatności Google Pay (27% respondentów),
tów oraz płatności kartą (kredytową lub debetową) płatności Apple Pay (21% respondentów), a najmniej
przy składaniu zamówienia, które wskazało 80% rozpowszechnione wśród klientów są płatności apli-
respondentów. Mniejszą popularnością cieszą się kacją bankową realizowane z wykorzystaniem kodu
49
rOZDZIAŁ III
wykres 27. Popularność produktów wykorzystywanych do płatności elektronicznych wśród respondentów w poszczegól-
nych grupach wiekowych
50
Środowisko bezpieczeństwa klienta bankowości elektronicznej
wskazało 75% respondentów w grupie wiekowej od 41 jako niskie w stosunku do tych urządzeń. Na trzecim
do 60 lat i tylko 25% respondentów w grupie wiekowej miejscu, jeżeli chodzi o niskie zaufanie responden-
od 26 do 40 lat), płatność kartą przy odbiorze osobi- tów, są zegarki – obserwujemy tutaj 49% odpowiedzi
stym u kuriera (produkt wskazało 59% respondentów „zaufanie niskie”, 30% odpowiedzi „zaufanie średnie”
w grupie wiekowej od 41 do 60 lat i 28% respondentów i 21% odpowiedzi „zaufanie wysokie”. Można więc
w grupie wiekowej od 26 do 40 lat) oraz płatność Apple przyjąć, że zegarki jako urządzenia płatności mobil-
Pay (produkt wskazało 61% respondentów w grupie nych wciąż traktowane są ze sporą rezerwą ze strony
wiekowej od 41 do 60 lat i 32% respondentów w grupie klientów.
wiekowej od 26 do 40 lat). Wspomniane produkty są
więc wyraźnie częściej używane przez respondentów Z kolei największym zaufaniem respondenci darzą
w grupie wiekowej od 41 do 60 lat. Co ciekawe, o ile wi- smartfony (53% odpowiedzi „zaufanie wysokie” i 33%
doczna jest tutaj wyraźna różnica w odniesieniu do Ap- odpowiedzi „zaufanie średnie”) oraz tablety (31% od-
ple Pay, to w przypadku podobnego produktu Google powiedzi „zaufanie wysokie” i 44% odpowiedzi „za-
Pay jest ona już znacznie mniejsza, ponieważ produkt ufanie średnie”). Warto przypomnieć, że smartfony są
ten wskazało 51% respondentów w grupie wiekowej najczęściej wykorzystywanym urządzeniem do płat-
od 41 do 60 lat i 41% respondentów w grupie wiekowej ności mobilnych (patrz wykres 24) i wskazane były
od 26 do 40 lat. przez 83% respondentów, przy czym tablety wybrało
tylko 10% respondentów.
Kolejną interesującą obserwacją jest fakt, że zarów-
no w grupie wiekowej od 41 do 60 lat, jak i w grupie Dokładniejsze zrozumienie, w jaki sposób kształtuje
wiekowej od 26 do 40 lat identyczną popularnością się poziom zaufania do urządzeń płatności mobilnych
cieszą się płatności aplikacją bankową realizowane wśród klientów, dają wykresy 29 i 30 – odpowied-
z wykorzystaniem kodu QR. Respondenci z obydwu nio przedstawiają one rozkład odpowiedzi w grupie
grup wskazywali ten produkt w 50% przypadków. kobiet i mężczyzn. Porównując odpowiedzi kobiet
i mężczyzn dostrzegamy, że w grupie kobiet naklejki
Pozostałe grupy wiekowe są reprezentowane w dużo i breloczki cieszą się dużo niższym zaufaniem (85%
mniejszym stopniu dla poszczególnych produktów do odpowiedzi „zaufanie niskie” dla obydwu urządzeń)
płatności elektronicznych, przy czym grupy wiekowe niż w grupie mężczyzn (odpowiednio 71% i 68% od-
powyżej 60 lat, od 18 do 25 lat i od 13 do 17 lat w ogóle powiedzi „zaufanie niskie” dla obydwu urządzeń).
nie wskazywały takich produktów, jak: płatność SMS W przypadku zegarków, kobiety wyrażają większe za-
-em premium i płatność aplikacją bankową realizowa- ufanie (18% odpowiedzi „zaufanie wysokie”, 40% od-
na z wykorzystaniem kodu QR. Grupa od 13 do 17 lat powiedzi „zaufanie średnie” i 43% odpowiedzi „zaufa-
– reprezentowana w najmniejszym stopniu – wska- nie niskie”) niż mężczyźni (22% odpowiedzi „zaufanie
zała wyłącznie płatność kartą (kredytową lub debeto- wysokie”, 26% odpowiedzi „zaufanie średnie” i 52%
wą) przy składaniu zamówienia, co stanowiło tylko 1% odpowiedzi „zaufanie niskie”).
wszystkich odpowiedzi dla tego typu produktu.
W obydwu grupach najwyższym zaufaniem cieszą
Wykres 28 przedstawia poziom zaufania klientów do się smartfony – przy czym kobiety ufają im nieco
urządzeń płatności mobilnych. Najmniejszym zaufa- bardziej (63% odpowiedzi „zaufanie wysokie”, 30%
niem cieszą się naklejki i breloczki – odpowiednio: odpowiedzi „zaufanie średnie” i tylko 8% odpowiedzi
75% i 73% respondentów określiła swoje zaufanie „zaufanie niskie”) niż mężczyźni (50% odpowiedzi
wykres 28. Poziom zaufania respondentów do urządzeń płatności mobilnych (kobiety i mężczyźni)
51
rOZDZIAŁ III
„zaufanie wysokie”, 33% odpowiedzi „zaufanie śred- niskie”); a wreszcie płatność BLIK, chociaż pojawia
nie” i aż 17% odpowiedzi „zaufanie niskie”). Tablety się już tutaj znaczący element braku zaufania (71%
są z kolei darzone istotnie większym zaufaniem przez odpowiedzi „zaufanie wysokie”, 15% odpowiedzi „za-
kobiety (40% odpowiedzi „zaufanie wysokie”, 45% od- ufanie średnie” i aż 14% odpowiedzi „zaufanie niskie).
powiedzi „zaufanie średnie” i 15% odpowiedzi „zaufa-
nie niskie”) niż przez mężczyzn (29% odpowiedzi „za- Następnie w kolejności rankingu zaufania produktów
ufanie wysokie”, 44% odpowiedzi „zaufanie średnie” płatności elektronicznych plasuje się płatność kartą
i aż 28% odpowiedzi „zaufanie niskie”). (kredytową lub debetową), która darzona jest wyso-
kim zaufaniem przez 58% respondentów, średnim za-
Reasumując, można przyjąć, że kobiety są bardziej ufaniem przez 30% respondentów i niskim zaufaniem
sceptyczne od mężczyzn w stosunku do nowinek przez 12% respondentów. Zbliżony poziom zaufania
(breloczki i naklejki), jeżeli chodzi o poziom zaufania, klienci wyrazili w stosunku do płatności kartą przy
ale są skłonne darzyć wyraźnie większym zaufaniem odbiorze (59% odpowiedzi „zaufanie wysokie”, 24%
urządzenia znajdujące się w powszechnym użyciu odpowiedzi „zaufanie średnie” i 17% odpowiedzi „za-
(smartfony i tablety). ufanie niskie”).
Dotychczasowe rozważania warto uzupełnić pomia- Ciekawym jest porównanie zaufania do płatności
rem poziomu zaufania do produktów płatności elek- elektronicznych realizowanych za pomocą Apple Pay
tronicznych (patrz wykres 31). Największym zaufa- (37% odpowiedzi „zaufanie wysokie”, 25% odpowie-
niem respondentów cieszą się: przelew tradycyjny dzi „zaufanie średnie” i 38% odpowiedzi „zaufanie
(74% odpowiedzi „zaufanie wysokie”, 23% odpowie- niskie”) i Google Pay (35% odpowiedzi „zaufanie wy-
dzi „zaufanie średnie” i tylko 3% odpowiedzi „zaufanie sokie”, 31% odpowiedzi „zaufanie średnie” i 33% od-
niskie”); szybki przelew przez serwis płatności (68% powiedzi „zaufanie niskie”). Obydwa produkty darzo-
odpowiedzi „zaufanie wysokie”, 27% odpowiedzi ne są przez klientów podobnym poziomem zaufania
„zaufanie średnie” i tylko 5% odpowiedzi „zaufanie z lekką przewagą Google Pay.
52
Środowisko bezpieczeństwa klienta bankowości elektronicznej
wykres 31. Poziom zaufania respondentów do produktów płatności mobilnych (kobiety i mężczyźni)
Zdaniem respondentów najmniej godnymi zaufania przedstawionym na wykresie 31, przy czym kobiety
produktami płatności elektronicznych są płatność darzą wspomniane produkty nieco wyższym zaufa-
SMS-em premium (14% odpowiedzi „zaufanie wy- niem.
sokie”, 22% odpowiedzi „zaufanie średnie” i aż 64%
odpowiedzi „zaufanie niskie”) oraz płatność aplikacją W przypadku przelewu tradycyjnego aż 85% kobiet
bankową z wykorzystaniem kodu QR (18% odpowie- wybrało odpowiedź „zaufanie wysokie”, 13% wybra-
dzi „zaufanie wysokie”, 29% odpowiedzi „zaufanie ło odpowiedź „zaufanie średnie” i tylko 3% wybrało
średnie” i aż 52% odpowiedzi „zaufanie niskie”). odpowiedź „zaufanie niskie”. Odpowiedzi mężczyzn
rozłożyły się następująco: 71% odpowiedzi „zaufanie
Wykresy 32 i 33 przedstawiają bardziej szczegółowy wysokie”, 26% odpowiedzi „zaufanie średnie” i tylko
obraz kształtowania się poziomu zaufania do produk- 4% odpowiedzi „zaufanie niskie” – widoczny jest więc
tów płatności elektronicznych, który uwzględnia płeć nieco mniejszy entuzjazm, jeżeli chodzi o poziom za-
– odpowiednio zobrazowane są odpowiedzi kobiet ufania do tego produktu.
i mężczyzn.
Z kolei szybki przelew przez serwis płatności jest
W obydwu grupach do najbardziej zaufanych pro- oceniany następująco: kobiety (78% odpowiedzi „za-
duktów płatności elektronicznych zaliczyć można: ufanie wysokie”, 18% odpowiedzi „zaufanie średnie”
przelew tradycyjny, szybki przelew przez serwis płat- i tylko 5% odpowiedzi „zaufanie niskie”), mężczyźni
ności i płatność BLIK. Odpowiada to danym ogólnym, (65% odpowiedzi „zaufanie wysokie”, 29% odpowiedzi
„zaufanie średnie” i tylko 5% odpowiedzi „zaufanie ni- „zaufanie niskie”) jest porównywalny do tego, który
skie”). W przypadku tego produktu mężczyźni wyraża- zadeklarowali mężczyźni (36% odpowiedzi „zaufanie
ją już istotnie mniejszy poziom zaufania. wysokie”, 26% odpowiedzi „zaufanie średnie” i 38%
odpowiedzi „zaufanie niskie”). Natomiast w odnie-
Mężczyźni darzą płatność BLIK nieco mniejszym po- sieniu do Google Pay zauważalne są znaczące różni-
ziomem zaufania niż kobiety – respondenci w tej gru- ce. Kobiety udzieliły tutaj następujących odpowiedzi:
pie wskazali 69% odpowiedzi „zaufanie wysokie”, 16% 30% respondentek wskazało odpowiedź „zaufanie
odpowiedzi „zaufanie średnie” i 15% odpowiedzi „za- wysokie”, 40% respondentek wskazało odpowiedź
ufanie niskie”. W grupie kobiet odpowiedzi ukształ- „zaufanie średnie” i 30% respondentek wskazało
towały się następująco: 75% odpowiedzi „zaufanie odpowiedź „zaufanie niskie”. Rozkład odpowiedzi
wysokie”, 13% odpowiedzi „zaufanie średnie” i 13% w grupie mężczyzn wygląda następująco: 38% od-
odpowiedzi „zaufanie niskie”. powiedzi „zaufanie wysokie”, 29% odpowiedzi „za-
ufanie średnie” i 34% odpowiedzi „zaufanie niskie”.
W przypadku następnych pod względem poziomu Mężczyźni są więc odrobinę mniej ufni od kobiet wo-
zaufania produktów płatności elektronicznych, czyli bec produktu Google Pay.
płatności kartą (kredytową lub debetową) i płatno-
ści kartą przy odbiorze, ma zastosowanie ta sama Produkty takie jak płatność SMS-em premium i płat-
reguła: mężczyźni są mniej ufni od kobiet. Płatność ność aplikacją bankową z wykorzystaniem kodu QR
kartą (kredytową lub debetową) została oceniona cieszą się najmniejszym zaufaniem zarówno w gru-
przez kobiety następująco: 55% odpowiedzi „zaufanie pie kobiet, jak i mężczyzn. Jeżeli chodzi o płatność
wysokie”, 43% odpowiedzi „zaufanie średnie” i tylko SMS-em premium, to niskie zaufanie widoczne jest
3% odpowiedzi „zaufanie niskie”. Mężczyźni z kolei wyraźniej w przypadku mężczyzn – odpowiadali oni
odpowiadali z wyraźnie większą ostrożnością: 59% w następujący sposób: tylko 13% odpowiedzi „zaufa-
odpowiedzi „zaufanie wysokie”, 25% odpowiedzi „za- nie wysokie”, 21% odpowiedzi „zaufanie średnie” i aż
ufanie średnie” i aż 16% odpowiedzi „zaufanie niskie”. 67% odpowiedzi „zaufanie niskie”. Kobiety odpowia-
Rozkład odpowiedzi dla płatności kartą przy odbiorze dały tutaj nieco mniej sceptycznie: 18% odpowiedzi
w grupie kobiet wygląda tak: 63% odpowiedzi „zaufa- „zaufanie wysokie”, 28% odpowiedzi „zaufanie śred-
nie wysokie”, 30% odpowiedzi „zaufanie średnie” i 8% nie” i 55% odpowiedzi „zaufanie niskie”. Dla płatno-
odpowiedzi „zaufanie niskie”. Dla grupy mężczyzn: ści aplikacją bankową z wykorzystaniem kodu QR
58% odpowiedzi „zaufanie wysokie”, 21% odpowiedzi różnice między grupą kobiet i mężczyzn są bardziej
„zaufanie średnie” i aż 21% odpowiedzi „zaufanie ni- subtelne: 17% respondentów wybrało odpowiedź „za-
skie”. Różnice w poziome zaufania są więc znaczące. ufanie wysokie”, 30% respondentów wybrało odpo-
wiedź „zaufanie średnie” i 53% respondentów wybrało
Płatności Google Pay wygrywają z Apple Pay, je- odpowiedź „zaufanie niskie” w grupie mężczyzn; 23%
żeli chodzi o poziom zaufania w obydwu grupach. respondentek wskazało tutaj odpowiedź „zaufanie
W przypadku Apple Pay poziom deklarowanego za- wysokie”, 28% respondentek wskazało odpowiedź
ufania kobiet (38% odpowiedzi „zaufanie wysokie”, „zaufanie średnie” i 50% respondentek wskazało od-
25% odpowiedzi „zaufanie średnie” i 38% odpowiedzi powiedź „zaufanie niskie”.
Eksperci, wskazując biometrię, zwracali uwagę na wygody. Ponadto zmiany technologiczne mogą być
fakt, że zmiany technologiczne mogą mieć korzystny wymuszane wymaganiami regulacyjnymi, co nie musi
wpływ na bezpieczeństwo klienta bankowości elek- oznaczać troski o wygodę użycia danego rozwiąza-
tronicznej i jednocześnie oferować wysoki komfort nia. Można przyjąć, że zmiany technologiczne mają
użycia. Przy czym istotna jest tutaj zaawansowana korzystny wpływ na bezpieczeństwo klienta banko-
biometria – np. można przyjąć, że rozpoznawanie wości elektronicznej, jeżeli wprowadzane funkcje
twarzy na platformie Apple iOS jest dużo bardziej sku- i mechanizmy są ergonomiczne i są jak najbardziej
teczne niż w przypadku platformy Google Android, na przejrzyste dla użytkownika – nie wymuszają na nim
której powinno używać się odcisków palca. Zwrócono dodatkowych działań. Jeżeli bowiem na użytkowniku
uwagę, że dane biometryczne muszą być przechowy- wymuszane są dodatkowe działania, to ten najczę-
wane bezpośrednio na urządzeniu i nie mogą być eks- ściej będzie starał się ich unikać i nie będzie z nich
portowane na zewnątrz. korzystał.
W kontekście kompromisu między wygodą a bez- Wreszcie, jeżeli mówimy o ewolucyjnym rozwoju
pieczeństwem, warto zwrócić uwagę na możliwość technologii i w tym sensie rozumiemy wpływ zmian
podpięcia aplikacji przechowującej i generującej jed- technologicznych na bezpieczeństwo, to na pewno
norazowe kody. Część ekspertów wyraźnie podkre- będzie on korzystny, podczas gdy naprawdę innowa-
ślała zalety rozwiązania polegającego na wykorzy- cyjne technologie, swoiste rewolucje, zawsze będą
staniu zewnętrznej aplikacji uwierzytelniającej, takiej wprowadzać nowe, nierozpoznane ryzyka. Można
jak Google Authenticator lub Microsoft Authenticator więc przyjąć, że na bezpieczeństwo klienta banko-
– w idealnym scenariuszu najlepiej, aby aplikacja wości elektronicznej wpływają przede wszystkim:
uwierzytelniająca działała na osobnym urządzeniu, ewolucyjne zmiany technologiczne, większa transpa-
pozwalając użytkownikowi potwierdzić transakcję re- rentność, większa łatwość użytkowania (ergonomia),
alizowaną na innym urządzeniu. Oczywiście potwier- jak najmniej elementów wymagających uczenia się
dzenie może zostać dokonane także na tym samym od klienta-użytkownika i odpowiednia komunikacja
urządzeniu, ale wówczas – co należy wziąć pod uwa- dotycząca zasadności oraz celowości wprowadzania
gę – cała operacja jest mniej bezpieczna. Przykłado- zmian.
wy scenariusz może wyglądać następująco: klient wy-
konuje transakcję na tablecie, ale uwierzytelnia ją na Należy także podkreślić rolę zarządzania ryzykiem
smartfonie lub odwrotnie, albo, jeżeli dysponuje dwo- technologicznym. Każda technologia ma jakieś po-
ma smartfonami, może skonfigurować rozwiązanie datności, dlatego ocena ryzyka winna być przeprowa-
tak, aby na jednym urządzeniu wykonywać transakcje, dzana regularnie, okresowo, a w przypadku zidenty-
a na drugim je potwierdzać. Kluczowe jest tutaj zało- fikowania nowych ryzyk, należy opracowywać akcje
żenie, że rozdzielenie funkcji pomiędzy urządzeniami mitygacyjne (mityganty). Usunięcie zidentyfikowa-
sprawia, iż ewentualny atak będzie dużo trudniejszy nych podatności danej technologii wymaga czasu
do przeprowadzenia. m. in. dlatego, że bank nie jest jej wytwórcą, a to ma
istotny wpływ na szybkość opracowania i wdrożenia
W rozmowach podkreślano również, że zmiany tech- poprawek. Mając na uwadze korzystny wpływ zmian
nologiczne mogą wprowadzać nowe ryzyka – tutaj technologicznych na bezpieczeństwo klientów, waż-
przykładem może być łatwość zapłacenia skradzioną ne jest więc, aby w procesie wdrażania nowej techno-
klientowi zbliżeniową kartą płatniczą do kwoty 100 logii obok biznesu, będącego najczęściej sponsorem
PLN przed jej zastrzeżeniem. Z kolei, jeżeli karta płat- projektu i technologii – strony realizującej projekt, od
nicza została powiązana ze smartfonem, to w przy- samego początku uczestniczyli przedstawiciele dzia-
padku kradzieży urządzenia sprawca – zanim zapłaci łu bezpieczeństwa – jest to zresztą zgodne z wymo-
kartą płatniczą ofiary – musi odblokować ekran. Je- gami Rekomendacji D KNF34.
żeli ekran jest zablokowany za pomocą kodu PIN lub
odcisku palca, to środki finansowe właściciela urzą-
dzenia są bezpieczniejsze. Utrata smartfonu nie bę-
dzie więc automatycznie oznaczała możliwości pła-
cenia zbliżeniowo, tak jak w przypadku zwykłej karty
zbliżeniowej.
55
rOZDZIAŁ IV
rOZDZIAŁ IV
56
kierunki rozwoju usług dla klienta bankowości elektronicznej
Niniejszy rozdział ma charakter prognostyczny i sta- należy podkreślić potencjał urządzeń ubieralnych
nowi próbę wskazania kierunków dalszego rozwoju i typu smart, które są jedną z sił napędowych trans-
bankowości elektronicznej. Jednym z kolejnych eta- formacji cyfrowej. Tego typu rozwiązania są bowiem
pów ewolucji bankowości jest przejście od – charak- w stanie nie tylko tworzyć nowe kanały komunikacji
terystycznej dla bankowości elektronicznej – dystry- z klientami, a więc sprzyjają omnikanałowości, lecz
bucji wielokanałowej do dystrybucji omnikanałowej także dostarczają dużej ilości danych na temat klien-
i realizacja koncepcji klientocentryczności, co stano- tów, co w połączeniu z technologiami z obszaru Big
wi fundament transformacji cyfrowej banków i ma Data (związanymi z przetwarzaniem wielkich zbiorów
prowadzić do powstania bankowości cyfrowej. Coraz danych) wychodzi naprzeciw postulatowi klientocen-
częściej wskazuje się też na fakt ścisłego powiązania tryczności bankowości cyfrowej. Dotykamy tutaj pro-
usług bankowych z nowoczesnymi technologiami. blematyki profilowania klientów.
Jednocześnie należy mieć świadomość, że trans- Banki, które potrafią wykorzystać wielkie zbiory da-
formacji cyfrowej ulega obszar przestępczości ban- nych, wliczając w to dane transakcyjne, informacje
kowej. Nowoczesne technologie, które znajdują się z mediów społecznościowych, najróżniejsze for-
w obszarze zainteresowania banków, pozostają tak- my korespondencji z klientami, mogą uzyskiwać
że do dyspozycji przestępców – niosą więc nie tylko dużo większą wiedzę na temat działań i preferencji
korzyści, ale także ryzyko, które należy uwzględniać klientów niż kiedykolwiek wcześniej i budować na
podczas podejmowania decyzji strategicznych doty- tej wiedzy przewagę konkurencyjną35. Profilowanie
czących włączenia danego rozwiązania do bankowe- pozwala więc osiągać korzyści finansowe – i to nie
go portfolio techniczno-technologicznego. tylko w zakresie dopasowywania bieżącej oferty do
konkretnego klienta, w preferowanym przez niego ka-
Informacje przedstawione w poszczególnych podroz- nale komunikacji, ale także poprzez przewidywanie
działach są wynikiem: jego przyszłych zachowań czy optymalizację ryzyka.
Bank posiada mnóstwo użytecznych informacji na
– analizy artykułów naukowych i literatury specjali- temat danego klienta dotyczących nie tylko jego ma-
stycznej dotyczącej omawianego zagadnienia, jątku, lecz także tego, czy terminowo płaci za usługi,
w jakich sklepach i co kupuje (wyciągi z kart kredyto-
– badań terenowych/ankietowych klientów banko- wych). Dane te mogą być łączone z informacjami ze
wości elektronicznej w celu określenia ich pozio- źródeł zewnętrznych, np. portali społecznościowych
mu świadomości i umiejętności korzystania z ban- i firm telekomunikacyjnych36, co z kolei pozwoli lepiej
kowości elektronicznej, ocenić np. ryzyko kredytowe związane z danym klien-
tem lub nawet wybraną ich grupą.
– wywiadów eksperckich przeprowadzanych z re-
spondentami, którzy reprezentowali środowisko Najważniejszym osiągnięciem ostatnich lat są kryp-
związane z sektorem bankowym, działami bezpie- towaluty, z których największą popularność uzyskał
czeństwa i IT instytucji finansowych oraz z biegły- bitcoin (BTC), chociaż warto zwrócić uwagę także
mi sądowymi. na ether, litheon, ripple i inne. Kryptowaluty stanowią
instrument bardzo szeroko wykorzystywany przez
uczestników rynków finansowych i indywidualnych
4.1. Nowe usługi inwestorów. Jednocześnie postrzega się je często
jako pieniądz przyszłości z uwagi na takie ich zalety,
Rynek usług w zakresie bankowości elektronicznej jak (rzekomy) brak presji inflacyjnej (typowej dla fidu-
ewoluuje wraz z rozwojem środowiska techniczno cjarnych jednostek pieniężnych, emitowanych przez
-technologicznego, które tworzy otaczającą nas rze- współczesne banki centralne), wygoda i szybkość ob-
czywistość. Nowe rozwiązania w zakresie komunika- sługi czy przejrzystość oraz bezpieczeństwo transak-
cji, możliwości identyfikacji klienta usług bankowych, cji tymi jednostkami. Można je zatem postrzegać jako
szybkość i łatwość w komunikacji podmiotów sekto- sposób na reformę i zwiększenie stabilności współ-
ra bankowości prowadzi do nieustającego rozwoju czesnych systemów pieniężnych. Z drugiej strony,
formy i zakresu usług, jakie mogą być świadczone dla kryptowaluty wywołują też liczne kontrowersje, do-
klientów bankowości. W tym podrozdziale na podsta- tyczące przede wszystkim ich prawnego statusu,
wie badań wskazane zostały usługi, które będą wdra- trudnego do zrozumienia dla przeciętnego odbiorcy
żane w celu usprawnienia i ułatwienia funkcjonowa-
nia środowiska klienta bankowości elektronicznej. 35
Raport Big Data w bankowości, https://www.zbp.pl/getmedia/
eb647392-2e7f-48fd-8bbd-4803d0d84dec/Raport_BD_1411_final,
Obok smartfonów, które wpłynęły na rozwój ban- ZBP, stan z dn. 8 sierpnia 2021, s. 4.
36
W. Kurowski, Mafia 2.0. Jak organizacje przestępcze kreują war-
kowości elektronicznej w odmianie mobilnej,
tość w erze cyfrowej, Poltext, Warszawa 2015, s. 227.
57
rOZDZIAŁ IV
procesu ich kreacji i transferu (bazujących na zasto- dodatkowych, wysokich kosztów, a istotnie podno-
sowaniu kryptografii) czy wreszcie bardzo częstych szą poziom bezpieczeństwa. Co więcej, jeżeli chodzi
fluktuacji wartości37. o biometrię, to ponowne żądanie użycia odcisku pal-
ca lub wskazanie twarzy nie stanowi dla klienta duże-
Rozwiązaniem godnym szczególnego wyróżnienia go obciążenia, co wychodzi naprzeciw oczekiwaniom
jest system płatności BLIK. Zdaniem niektórych eks- związanym z komfortem wykorzystania bankowości
pertów jest to dobre i bezpieczne rozwiązanie, ale elektronicznej. Sytuacja wyglądałaby tutaj z punk-
brakuje jakby świadomości, o co w tym rozwiązaniu tu widzenia komfortu użytkownika znacznie gorzej,
chodzi, skoro wciąż rejestruje się dużą liczbę oszustw gdyby musiał ponownie wprowadzać długie i skom-
związanych z użyciem BLIK-a. plikowane kombinacje znakowe, spełniające kryteria
przyjętej polityki bezpieczeństwa.
Sugerowany kierunek rozwoju, który wychodziłby na-
przeciw postulatom klientocentryczności i omnika- Istotną kwestią jest potrzeba włączania usług dodat-
nałowości, wiąże się z powstaniem zintegrowanych kowych do oferty banku, co wynika nie tylko z chęci
platform typu „elektroniczne okienko bankowe”. Pod- wyjścia naprzeciw oczekiwaniom klientów (kliento-
stawowe założenie dla tego typu rozwiązań jest takie, centryczność) i uzyskania przewagi rynkowej, lecz
że powinny one pokrywać w kanałach elektronicznej także z regulacji – kluczowa jest tutaj dyrektywa
komunikacji ofertę banków w sposób całościowy. Co PSD2 (ang. Payment Services Directive)38, która we-
jednak kluczowe, muszą one pozwalać na taki po- szła w życie w dniu 13 stycznia 2016 r. Zmieniła ona
ziom silnego uwierzytelniania i autoryzacji, który nie dotychczasową działalność dostawców usług płatni-
pozwoli na późniejsze podważenie faktu dokonania czych, w szczególności banków, w kierunku modelu
jakiejś operacji. tzw. otwartej bankowości (ang. Open Banking).
Podkreślić należy znaczenie powiązań pomiędzy W ciągu ostatnich kilku lat nastąpiły istotne zmiany
usługami płatniczymi, dzięki którym możliwe będzie w obszarze płatności detalicznych pod względem in-
płynne i automatyczne przekierowanie klienta za po- nowacji technologicznych. Doprowadziło to do wzro-
średnictwem zaufanego kanału z jednego serwisu do stu liczby płatności elektronicznych (w szczególności
drugiego. Podstawowym założeniem jest, aby tego w odniesieniu do bankowości mobilnej) oraz pojawie-
typu operacja nie wymagała dodatkowego logowania nia się na rynku nowych graczy. Do tej pory zasadni-
przy przekierowaniu, np. w momencie, kiedy klient za- czo tylko klienci banków mieli bezpośredni dostęp do
mierza dokonać przelewu. Osiągnięcie takiego stanu swoich rachunków płatniczych i możliwość zlecania
rzeczy możliwe będzie przy wykorzystaniu federali- transakcji płatniczych. Zgodnie z dyrektywą PSD2,
zacji usług i federalizacji zarządzania tożsamością, filozofia dostępu do rachunków płatniczych zmieniła
dzięki którym klient uzyska możliwość wykonania się znacząco, ponieważ uprawnione podmioty trzecie
różnych działań – nie tylko działań w swojej usłudze (ang. Third Party Provider, TTP) mogą w imieniu i za
bankowej, lecz także w innych, potrzebnych mu usłu- zgodą klienta uzyskać dostęp do informacji o rachun-
gach. Taki kierunek rozwoju wydaje się doskonale ku lub zlecać realizację płatności39. Dzięki temu TPP
spełniać postulat klientocentryczności w zakresie do- są w stanie świadczyć usługi dodatkowe w koope-
stępności usług „tu i teraz”. racji z bankiem. Do polskiego porządku prawnego
dyrektywa PSD2 została wprowadzona przez nowe-
Można więc przyjąć, że właściwymi kierunkami roz- lizację ustawy z dnia 19 sierpnia 2011 r. o usługach
woju są: integracja i federalizacja usług. W tym kon- płatniczych40.
tekście należy jednak przywołać koncepcję Zero Trust
(„zero zaufania” lub „brak zaufania” – tł. własne). Uzupełnieniem wymogów dyrektywy PSD2 jest Roz-
Oznacza ona, że nie należy ufać niczemu wewnątrz porządzenie Delegowane Komisji (UE) 2018/389
bądź na zewnątrz naszego otoczenia, a dodatkowo z dnia 27 listopada 2017 r. uzupełniające dyrektywę
ograniczać sloty czasowe trwania transakcji, które
nie powinny być otwarte zbyt długo. Tutaj potrzebne 38
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366
z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ra-
są rzeczywiste ograniczenia, ale także konieczne jest
mach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE,
monitorowanie tego, co dzieje się w danej sesji. Jeżeli 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010
zaobserwujemy coś nietypowego, należy taką sesję oraz uchylająca dyrektywę 2007/64/WE, https://eur-lex.europa.
natychmiast przerywać lub skłaniać klienta do po- eu/legal-content/PL/TXT/PDF/?uri=CELEX:32015L2366&from=PL,
stan z dn. 8 sierpnia 2021.
nownego uwierzytelnienia np. za pomocą komponen- 39
K. Leżoń, Otwarta bankowość w świetle wymogów dyrektywy
tu biometrycznego – takie rozwiązania nie generują PSD2 - wyzwania i perspektywy rozwoju dla polskiego sektora Fin-
Tech, KNF, Warszawa 2019, s. 16.
40
Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, https://
37
P. Marszałek, Kryptowaluty – pojęcie, cechy, kontrowersje, Studia isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20111991175,
BAS, nr 1(57)/2019, s. 107. stan z dn. 8 sierpnia 2021.
58
kierunki rozwoju usług dla klienta bankowości elektronicznej
59
rOZDZIAŁ IV
wykres 35. Zainteresowanie respondentów płatnościami wykres 36. Zainteresowanie respondentów płatnościami
autoryzowanymi za pomocą innowacyjnych technologii autoryzowanymi za pomocą sztucznej inteligencji
(np. przy użyciu podskórnych implantów NFC – ang. Near
-Field Communication)
Odpowiedzi zestawione na wykresie 36 dotyczą pyta- Eksperci zwracali uwagę, że wśród nowych rozwiązań
nia „co sądzisz na temat płatności autoryzowanych w obszarze bankowości elektronicznej należy podkre-
za pomocą sztucznej inteligencji?”. Autorzy badania ślić przede wszystkim te, które oparte są na biometrii
nie mieli tutaj na myśli żadnego konkretnego roz- (np. silne uwierzytelnianie transakcji w sposób bez-
wiązania. Celem było poznanie intuicji klientów ban- pieczny i wygodny z punktu widzenia klienta) oraz
kowości elektronicznej w odniesieniu do samej idei sztucznej inteligencji.
przeniesienia procesu autoryzacji na zewnątrz, co
w rzeczywistości oznacza dla użytkownika utratę W pierwszym przypadku warto mieć na uwadze, że bar-
autonomii w zakresie podejmowania decyzji auto- dzo często będziemy mieć do czynienia z tzw. pseudo-
ryzacyjnych. Wyniki badania są zadowalające. Re- biometrią. Potwierdzenie transakcji z użyciem odcisku
spondenci odpowiadali na pytanie w postaci krótkiej palca lub rozpoznawania twarzy to w rzeczywistości
wypowiedzi – komentarza. Z analizy udzielonych działanie w oparciu o uproszczony model biometryczny.
odpowiedzi wynika, że większość respondentów Co do płatności potwierdzanych w ten sposób można
przychyla się do odpowiedzi „brak zdania”, co praw- więc przyjąć, że biometria lub pseudobiometria sprzyja-
dopodobnie spowodowane było mieszanką sceptycy- ją wygodzie, ale pojawia się aspekt ryzyka. Jeżeli fak-
zmu i brakiem bardziej sprecyzowanej wizji płatności tycznie wykorzystywana ma być pełna biometria i od
autoryzowanych za pomocą sztucznej inteligencji tego ma zależeć bezpieczeństwo środków finansowych
– zarejestrowano tutaj 47% odpowiedzi. W drugiej klientów, to konieczne jest zachowanie szczególnej
kolejności pojawiły się odpowiedzi kategorycznie od- ostrożności. Brak bowiem dobrych narzędzi rozliczenio-
rzucające tego typu pomysł – w toku analizy treści wych, dokumentujących to, co wydarzyło się aż do mo-
ustalono, że 34% wypowiedzi respondentów spełnia mentu autoryzacji transakcji. Co więcej, klient nie posia-
kryteria odpowiedzi „nie”. Idea związana z zastoso- da np. dostępu do dziennika zdarzeń na koncie – pełne
waniem sztucznej inteligencji w procesie autoryzacji informacje są wyłącznie po stronie banku. W związku
transakcji zyskała tylko 10% potencjalnych zwolen- z tym powstaje kilka dylematów: w jaki sposób upew-
ników (odpowiedź „może”). Całkowite poparcie wy- nić się, że autoryzacja biometryczna na pewno została
raziło tutaj jedynie 9% respondentów. W większości zrealizowana przez konkretnego klienta? Należy mieć
przypadków respondenci zwracali uwagę w swoich tutaj na uwadze ograniczenia współczesnych urządzeń
wypowiedziach na zagrożenia związane z utratą au- biometrycznych (tzw. pseudobiometria), które w niektó-
tonomii na rzecz algorytmu sztucznej inteligencji lub rych okolicznościach mogą być skutecznie oszukiwane
zastanawiali się, w jaki dokładnie sposób tego typu przez przestępców. W takim razie, jak obsłużyć ewen-
rozwiązanie miałoby działać. Przeważały komentarze tualne reklamacje? Jakie atrybuty powinny być zacho-
sceptyczne i podkreślające brak zaufania. Z kolei nie- wywane podczas autoryzacji biometrycznej, aby później
którzy eksperci, z którymi przeprowadzano wywiady skutecznie przeprowadzić postępowanie reklamacyjne?
na potrzeby niniejszego raportu, zwracali uwagę, że Pytania te wciąż nie mają jednoznacznych odpowiedzi,
zastosowanie sztucznej inteligencji w obszarze auto- dlatego też, pomimo że technologie biometryczne mają
ryzacji otwiera całkiem nowy wymiar potencjalnych duży potencjał w zakresie bezpieczeństwa i wygody
przestępstw socjotechnicznych: „na pracownika ban- użycia, to rysuje się tutaj pewien margines związany
ku”, „na policjanta” itp. z brakiem pełnego zaufania.
60
kierunki rozwoju usług dla klienta bankowości elektronicznej
61
rOZDZIAŁ I
rOZDZIAŁ V
62
Nowe zagrożenia w środowisku cyberbezpieczeństwa i kierunki przeciwdziałania
Wykres 37 przedstawia odpowiedzi na pytanie „O któ- pojawiać się nowe pomysły. Przestępcy dostosowu-
rych zagrożeniach zostałeś poinformowany lub masz ją bowiem uniwersalny scenariusz do potrzeb chwili
świadomość ich występowania?”. Badano tutaj świado- i określonej kategorii ofiar.
mość klienta bankowości elektronicznej w odniesieniu
do nowych zagrożeń w środowisku cyberbezpieczeń- Istotny wydaje się fakt, że chociaż aż 91% responden-
stwa. Ogólna świadomość zagrożeń może być uznana tów jest świadoma zagrożenia związanego z fałszy-
za wysoką. Największa liczba respondentów potwierdzi- wym kontaktem od pracownika banku, to – zdaniem
ła, że została poinformowana przez bank lub ma świa- ekspertów – właśnie przestępstwa oparte na podszy-
domość istnienia zagrożenia związanego z fałszywym waniu się pod pracowników banku biją dziś rekordy
kontaktem od pracownika banku (91% respondentów popularności i okazują się skuteczne. Obecnie jest to
odpowiedziało na to pytanie twierdząco, a tylko 9% prze- jeden z najpopularniejszych wektorów ataków, moż-
cząco). Na niższym, chociaż wciąż wysokim poziomie, na więc przyjąć, że istnieje duża podatność po stronie
uplasowały się takie zagrożenia, jak phishing i SPAM. klientów w tym zakresie. Dodatkową kwestią, którą
W obydwu przypadkach 78% respondentów wybrało warto poruszyć w kontekście otrzymanych wyników,
odpowiedź twierdzącą, a 22% odpowiedź przeczącą. jest pytanie o faktyczny poziom zaawansowania so-
Nieco mniej osób przyznało, że zostały poinformowane cjotechniki przestępczej.
przez bank lub posiadają świadomość zagrożeń zwią-
zanych z fałszywym kontaktem ze strony Policji celem Obserwacja stanu faktycznego, jeżeli chodzi o czę-
zabezpieczenia konta bankowego – tutaj 72% respon- stotliwość i rodzaj incydentów związanych z środowi-
dentów wskazało odpowiedź twierdzącą, a 28% wska- skiem bezpieczeństwa klientów bankowości elektro-
zało odpowiedź przeczącą. Najmniej osób przyznało się nicznej, skłaniała ekspertów do postawienia wniosku,
do posiadania wiedzy na temat zagrożeń związanych iż wysoki poziom świadomości zagrożeń nie niesie za
z fałszywym kontaktem od rachmistrza spisowego sobą realnej odporności.
w ramach spisu powszechnego – odpowiednio 67% od-
powiedzi twierdzących i 33% odpowiedzi przeczących. Przyjmując grupowanie, w którym za istotne przy-
jęto odpowiedzi obejmujące wskazania {kluczowe;
Warto zauważyć, że zagrożenia związane z fałszy- bardzo ważne; ważne} oraz za nieistotne wskazania
wym kontaktem są w rzeczywistości wariacją uniwer- {mało ważne; nieważne} uzyskano obraz zagrożeń
salnego scenariusza, w którym przestępca podszywa przedstawiony na wykresie 38. Na szczególną uwa-
się pod dowolną osobę, działającą w określonym gę zasługują wskazania jako nieistotne obejmujące
kontekście sprzyjającym uwiarygodnieniu podejmo- kwestie zapamiętywania haseł w przeglądarkach in-
wanych czynności, celem zmuszenia ofiary do prze- ternetowych (16%), instalowania oprogramowania
kazania swoich środków finansowych – odpowiedzi z nieznanych źródeł (8%) oraz braku aktualnego opro-
związane z fałszywym kontaktem ze strony pracow- gramowania antywirusowego (7%).
nika banku, policjanta czy rachmistrza spisowego
można więc traktować jako jedną kategorię zagrożeń. Dane prezentowane na wykresie 39 dotyczą zagro-
Różnice w wynikach można utożsamiać do pewnego żenia związanego z zapamiętywaniem haseł w prze-
stopnia z rankingiem popularności poszczególnych glądarkach internetowych i są alarmujące praktycznie
wariantów tego samego przestępstwa – jest ich w odniesieniu do każdej z grup wiekowych, przy czym,
zresztą dużo więcej, a w przyszłości na pewno będą o ile najmłodsi nie przywiązują do tego zagrożenia
wagi, to najstarsi wykazują się największą powścią- i najstarsi zdają się wiedzieć, że jest to działanie nio-
gliwością. sące za sobą wysokie ryzyko (patrz wykres 40). Co
ciekawe, osoby w wieku od 18 do 25 lat w największej
W odniesieniu do zagrożeń związanych z instala- części traktują to jedno z podstawowych zagrożeń
cją oprogramowania z nieznanych źródeł, najmłodsi bezpieczeństwa jako nieistotne.
wykres 41. Zagrożenie: Korzystanie z aplikacji bankowych na nieznanych urządzeniach (np. dostępnych publicznie) a wiek
65
rOZDZIAŁ I
rOZDZIAŁ VI
wnioski i wyzwania
66
Wnioski i wyzwania
Rozdział ten stanowi podsumowanie raportu i skupia inne, pomimo tego, że podczas weryfikacji transakcji
się na przedstawieniu wniosków końcowych. Został zarówno potwierdzając swoją tożsamość, jak i wyra-
opracowany na podstawie całościowego, zebranego żając zgodę na przeprowadzenie transakcji (autoryzu-
materiału badawczego i własnych przemyśleń auto- jąc ją) zezwalamy na transfer środków pieniężnych.
rów niniejszego opracowania.
6.1.2. Odejście od transakcji realizowanych
Dedykowane podrozdziały mają na celu: z użyciem połączeń telefonicznych
67
rOZDZIAŁ VI
68
Wnioski i wyzwania
Banki powinny nie tylko definiować wymagania odno- W ocenie ekspertów na etapie budowy i testowania
śnie bezpieczeństwa, lecz także brać czynny udział oprogramowania nie można pominąć możliwych
w wymuszaniu ich spełniania – jeżeli klient nie speł- ataków związanych ze sterownikami urządzeń, które
nia jakiegoś wymagania, np. nie ma włączonej bloka- w ostatnim czasie stanowią pole do rozwoju możli-
dy ekranu na smartfonie lub nie następuje okresowa wych zagrożeń.
zmiana hasła, to nie może korzystać z aplikacji mobil-
nej do bankowości elektronicznej. Wszelkie wymaga- Rozwiązania powinny być testowane nie tylko pod
nia muszą być jednak dla klientów zrozumiałe, co do kątem podatności i bezpieczeństwa, lecz przede
celowości ich wdrożenia. wszystkim testy powinny odbywać się w środowisku
69
rOZDZIAŁ VI
i w warunkach, w jakich rozwiązanie jest przez klienta 6.1.15. wprowadzenie okresów przejściowych
wykorzystywane. dla nowych rozwiązań
6.1.14. Migracja do tls 1.3 i lepsza kryptografia Banki powinny rozważyć stosowanie okresów przej-
ściowych w przypadku wdrażania nowych rozwiązań.
Ze względu na podatności protokołu kryptograficzne- Jeżeli od długiego czasu klienci mieli możliwość wy-
go TLS zaleca się szybką migrację do wersji 1.3. Na korzystania rozwiązania A (starszego), a z jakichś po-
rynku wciąż znajdują się serwisy zabezpieczone star- wodów bank wprowadza rozwiązanie B (nowsze), to
szą wersją TLS 1.2. okres przejściowy ma klientom dać szansę, aby przy-
stosowali się do zmiany.
W kryptografii obowiązuje zasada, że szyfry strumie-
niowe nie chronią nas pełną długością klucza, a tylko Istotny jest tutaj atrybut dostępności (ang. availabili-
połową jego długości. Istotne jest „bit security”, czyli ty), który obok poufności (ang. confidentiality) i spój-
określenie, ile efektywnie bitów klucza nas faktycznie ności (ang. integrity) stanowi jedną z podstawowych
chroni. Analizując komunikację, jeden z ekspertów cech bezpieczeństwa usług bankowych. Przykładem
wskazał, że większość banków używa wciąż szyfro- może być wprowadzenie nowej wersji aplikacji mobil-
wania AES-128GCM (ang. Advanced Encryption Stan- nej, która od klienta wymagać będzie zakupu nowego
dard – zaawansowany standard szyfrowania), co ro- smartfonu działającego w oparciu o wspieraną przez
dzi pytanie, czy 64 bity zapewnia odpowiedni poziom dostawcę aplikacji wersję systemu operacyjnego.
ochrony – nawet biorąc pod uwagę użycie metody Klient zmuszony jest tutaj do poniesienia kosztu za-
GCM (ang. Galois Counter Mode), czyli uwierzytelnia- kupu nowego urządzenia, co może wymagać czasu,
nia krzywych eliptycznych. a w przypadku, kiedy nie będzie istniał okres przej-
ściowy, natychmiastowo utraci możliwość wykorzy-
Warto zauważyć, że w „Commercial National Securi- stania starej wersji aplikacji mobilnej, czyli usługa
ty Algorithm Suite” („Komercyjny zestaw algorytmów stanie się dla niego niedostępna.
bezpieczeństwa narodowego” – tł. własne)45 NSA
(ang. National Security Agency – agencja bezpie- 6.1.16. budowa ekosystemu sprzyjającego
czeństwa narodowego, odpowiedzialna w USA, m.in. bezpieczeństwu finansów elektronicznych
za wywiad elektroniczny) już w 2015 r. postulowała
konieczność wdrożenia algorytmów odpornych na W tym wymiarze kluczowe są wspólne działania za-
złamanie z wykorzystaniem technologii komputerów równo platform FinTech-owych, jak i banków oraz pro-
kwantowych – wskazywano tam wówczas AES-256. ducentów rozwiązań. Powstać musi cały ekosystem
składający się z banków, instytucji finansowych, or-
W przypadku podjęcia decyzji o przeniesieniu szyfro- ganów kontrolnych i nadzorujących, takich jak np.
wania w świat funkcji eliptycznych, pozostaje kwestia Komisja Nadzoru Finansowego (KNF) w Polsce, które
krzywych eliptycznych i ich parametrów, które będą wspólnie będą kooperować na rzecz bezpieczeństwa
stosowane. Teoretycznie każdy może wyliczyć para- finansów elektronicznych.
metry krzywej eliptycznej. Zły dobór parametrów po-
woduje jednak, że szyfrowanie na krzywych eliptycz- KNF powinien pełnić tutaj rolę wiodącą, ponieważ wy-
nych staje się niebezpieczne – np. liczba kardynalna daje rekomendacje techniczne dotyczące zarówno
pola jest za niska, czyli punkty na krzywych eliptycz- platform przetwarzania danych w systemach banko-
nych zbyt szybko się powtarzają, czy też pojawiają wych, jak i w zasobach chmurowych (ang. cloud com-
się zależności czasowe umożliwiające atak kanałem puting) oraz rekomendacje techniczne dotyczące ban-
podprogowym. Sprawdza się tutaj zasada, że amato- kowości i infrastruktury finansowej. Przede wszystkim
rzy nie powinni implementować algorytmów krypto- jednak KNF – jako organ kontrolny i nadzorujący – jest
graficznych. w stanie wyegzekwować od banków i innych instytucji
finansowych faktyczne wdrożenie konkretnych rozwią-
W związku z powyższym zaleca się przegląd używa- zań technicznych. Warto podkreślić, że organ kontroli
nych rozwiązań w zakresie kryptografii i dostosowa- i nadzoru w danym państwie, np. KNF w Polsce, wymie-
nie ich do wyzwań przyszłości (mając na uwadze np. niając informacje w ramach Europy i na płaszczyźnie
rozwój technologii komputerów kwantowych) przy międzynarodowej, posiada zdolność monitorowania
wsparciu ekspertów w dziedzinie szyfrowania. trendów w zakresie najbardziej aktualnych zagrożeń
i podatności, które są najczęściej wykorzystywane do
nadużyć w systemach bankowości elektronicznej.
45
Commercial National Security Algorithm Suite, https://apps.nsa. W ramach ekosystemu sprzyjającego bezpieczeń-
gov/iaarchive/programs/iad-initiatives/cnsa-suite.cfm, stan z dn.
stwu finansów elektronicznych istotna jest także
8 sierpnia 2021.
70
Wnioski i wyzwania
edukacja – rozumiana jako ciągła praca nad klientem, pomiędzy Policją a bankami, pomimo dotychczaso-
która ma sprzyjać nie tylko budowie świadomości za- wych podejmowanych inicjatyw.
grożeń, lecz również zwiększeniu realnej odporności
na działania przestępcze. Chodzi więc o wspólne
działania organów kontroli i nadzoru, instytucji finan- 6.2. predykcja zagrożeń w środowisku
sowych i producentów na rzecz takiej właśnie eduka- klienta bankowości elektronicznej
cji, w tym o promocję działań edukacyjnych w zakre- i możliwych kierunków
sie bezpieczeństwa finansów elektronicznych. przeciwdziałania tym zagrożeniom
W ocenie ekspertów, uzależnienie finansów w wy- Niniejszy rozdział ma na celu wskazanie potencjal-
miarze podstawowym od rozwiązań elektronicznych nych zagrożeń środowiska klienta bankowości elek-
prowadzi do stanu, w którym w razie braku dostępu tronicznej w przyszłości. Warto tutaj przywołać słowa
do sieci niemożliwym może stać się zaspokojenie jednego z ekspertów, z którym przeprowadzono wy-
podstawowych potrzeb klientów banku (np. zakup wiad – zwrócił on uwagę, że rozwój technologiczny
chleba, wody czy też innych produktów pierwszej po- banku powinien mieć na uwadze obszar bezpieczeń-
trzeby.) Niezbędnym jest mitygacja tego zagrożenia stwa, bowiem na tym polu odbywa się swoisty wyścig
i wprowadzenie rozwiązań, które pozwolą docelowo między przestępcami a bankami, przy czym celem
na pracę w trybie off-line. niekoniecznie jest to, aby przestępcy pozostawali
w tyle, bo ten stan rzeczy jest prawdopodobnie nie-
Należy zauważyć, że wprowadzanie wszelkich roz- możliwy do osiągnięcia, lecz chodzi o podejmowanie
wiązań mających na celu budowanie ekosystemu takich decyzji i kierunków rozwoju, aby nie pozwolić
musi odbywać się przy założeniu możliwie najniż- uciec im zbyt daleko.
szych kosztów po stronie klientów.
6.2.1. kwestionowanie autoryzacji potencjalnie
6.1.17. lepsza współpraca i komunikacja zmanipulowanych transakcji
pomiędzy policją a bankami
Ciekawym problemem, na który uwagę zwrócili eks-
Typowa współpraca wygląda tak, że biegły sugeruje perci, jest kwestia świadomej autoryzacji transakcji.
policjantowi, o jakie dane powinien poprosić bank Chodzi tutaj o zdolność do uzyskania bezdyskusyjnej
w przypadku wykrycia przestępstwa, lecz banki nie odpowiedzi na pytanie: czy klient autoryzujący jakieś
reagują tutaj zbyt przychylnie – dostarczają bo- działanie (np. transakcję przestępczą) miał niezabu-
wiem bezwzględne minimum danych, co utrudnia rzoną świadomość tego, co robi, czy też pod wpływem
pracę Policji. Do pewnego stopnia można ten fakt oddziaływania socjotechnicznego (manipulacji) jego
usprawiedliwić rzeczywistością prawną, m.in. tak- percepcja została zmieniona przez przestępców?
że tajemnicą bankową oraz obawami banków, któ-
re nie chcą ujawniać zbyt wiele danych związanych Zadanie nie wydaje się trywialne, ponieważ trudne
z przestępczością z troski o swoją reputację. Takie będzie w takim przypadku nie tylko ustalenie stanu
podejście jest jednak błędne. Mimo wszystko, musi faktycznego, lecz należy mieć również świadomość,
w obszarze zapobiegania i zwalczania przestępczo- że konkretna odpowiedź będzie miała przełożenie na
ści istnieć silna świadomość, że bez udziału banków ogólną ocenę znaczenia (wręcz ważności) konkretne-
żadni biegli, ani Policja nie są w stanie poradzić so- go aktu autoryzacji. Dostrzec można więc zagrożenie
bie z przestępczością. związane z kwestionowaniem ważności autoryzacji
przez potencjalnie zmanipulowanych klientów.
Niektórzy eksperci podkreślali fakt, że nie istnieje
prawo, które wspierałoby banki w zakresie wykrywa- 6.2.2. komputery kwantowe, waluty cyfrowe
nia, analizowania i przeciwdziałania przestępstwom i sztuczna inteligencja
popełnianym na szkodę banków lub ich klientów.
Brakuje też odpowiednich przepisów, np. w zakresie W kontekście transformacji cyfrowej należy podkre-
uprawnień dotyczących wymiany pomiędzy różnymi ślić potencjał komputerów kwantowych. Wydaje się
sektorami informacji stanowiących tajemnice praw- mało prawdopodobne, aby w najbliższym czasie tego
nie chronione, które wspierałyby banki i organy ściga- typu sprzęt mógł być stosowany przez przeciętnych
nia zwalczające przestępczość bankową. przestępców. Jeżeli jednak uświadomimy sobie, że to
państwa są najpotężniejszymi aktorami cyberzagro-
Wbrew wszelkim utrudnieniom rekomenduje się żeń, mają odpowiednie zaplecze kapitału finansowe-
więc wspólne działanie biegłych, Policji i banków na go i technicznego, a do tego są w stanie prowadzić
rzecz skutecznego zwalczania przestępczości banko- badania na własną rękę i zapewnić współpracującym
wej. Od lat istnieje bowiem problem komunikacyjny z nimi przestępcom nie tylko dostęp do najnowszych
71
rOZDZIAŁ VI
technologii czy dobre wynagrodzenie, ale i ochronę z prawdziwą osobą, a sprawa jest pilna. Oszuści na
przed międzynarodowymi organami ścigania, to ryzy- tyle dobrze podrobili głos wydającego polecenie, że
ko okazuje się bardziej realne. ofiara rozpoznała w nim lekki niemiecki akcent i cha-
rakterystyczną melodię głosu na co dzień znanej jej
Przedstawione obawy w tym zakresie można uzu- osoby49.
pełnić słowami prof. Marco Gercke z Uniwersytetu
w Kolonii, który jest szefem niemieckiego Instytutu Socjotechnika używana przez przestępców jest bar-
Badań nad Cyberprzestępczością46 (ang. Cybercrime dzo skuteczna – klienci dają się złapać na klasyczne
Research Institute): „Jeśli tempo rozwoju komputerów metody oddziaływania, np. presję czasu (koniecz-
kwantowych zostanie utrzymane (przekroczono już ność szybkiego podjęcia decyzji, której oczekują
barierę już 50 kubitów) ma to potencjał, aby zakończyć przestępcy). Wszelkie techniki manipulacyjne, dodat-
skuteczność obecnie stosowanych metod szyfrowania kowo wsparte zaawansowanymi technologiami, zda-
w ciągu najbliższych pięciu lat. W tym samym czasie ją się stanowić największe zagrożenie – najsłabszym
jest prawdopodobne, że chociaż sztuczna inteligencja i najbardziej podatnym na przestępcze oddziaływa-
nie będzie w stanie w pełni zrównać się z mocnymi nie ogniwem pozostaje człowiek. Jedyną metodą
stronami człowieka, przewyższy to, co jest konieczne, wzmocnienia odporności czynnika ludzkiego jest cią-
aby wykorzystać ludzkie słabości. W konsekwencji gła, szeroko zakrojona edukacja na temat zagrożeń,
najprawdopodobniej zobaczymy coraz większe wyko- prawdopodobieństwa ich wystąpienia i sposobów
rzystanie sztucznej inteligencji w tych obszarach prze- minimalizacji ryzyka w obszarze bankowości elektro-
stępczości, gdzie obecnie nie jest wykorzystywana”47. nicznej – szczególnie mając na uwadze postępujący
proces cyfryzacji praktycznie wszystkich dziedzin na-
Na uwagę zasługują także słowa prof. Babaka Akhga- szego życia.
ra, dyrektora Centric UK: „Globalna absorpcja walut cy-
frowych w połączeniu z proliferacją aplikacji opartych Wydaje się więc, że prawdziwe wyzwania dla bezpie-
na sztucznej inteligencji, stopniowo staje się głównym czeństwa bankowości elektronicznej w przyszłości
środkiem wymiany towarów i usług. Kluczowym wy- znajdują się na styku ludzkich podatności, słabości
zwaniem dla organów ścigania i pozostałych interesa- i rozwoju zaawansowanych technologii, w których
riuszy, takich jak krajowe lub międzynarodowe władze pokładamy obecnie największe nadzieje. Otwartym
oraz przedstawiciele sektora usług finansowych, jest pozostaje pytanie, na ile przewidywania ekspertów
ochrona społeczeństwa i gospodarki wobec pełnego branżowych i naukowców okażą się słuszne.
spektrum przestępstw z wykorzystaniem sztucznej in-
teligencji i walut cyfrowych (…)”48.
72
spis wykresów
spis wykresów
wykres 1. Rozwój sieci bankomatów w Polsce (liczebność w sztukach) w okresie od 2009 r.
do trzeciego kwartału 2019 r. (K3-2019) 14
wykres 2. Liczba smartfonów sprzedanych na świecie od 2007 r. do 2021 r. (oszacowanie).
Wyraźny wzrost miał wpływ na popularyzację bankowości mobilnej 18
wykres 3. Globalna sprzedaż komputerów PC, laptopów (notebooków) i tabletów w latach 2010
do 2025 (okres od 2021* do 2025* stanowi oszacowanie) 19
wykres 4. Wiek a płeć respondentów 34
wykres 5. Miejsce zamieszkania i wykształcenie 34
wykres 6. Preferowany kanał komunikacyjny z bankiem a płeć 35
wykres 7. Wiek a preferowany kanał komunikacyjny z bankiem 36
wykres 8. Wagaa wymagań bezpieczeństwa, które związane są z wykorzystaniem bankowości
elektronicznej 36
wykres 9. Odpowiedzi na pytanie „Czy wiesz, w jaki sposób szybko kontaktować się z bankiem”
w podziale na mężczyzn i kobiety 37
wykres 10. Znajomość adresów mailowych lub numerów telefonicznych używanych do kontaktu
z bankiem w poszczególnych grupach wiekowych 38
wykres 11. Znajomość adresów mailowych lub numerów telefonicznych używanych do kontaktu
z bankiem w zależności od płci 38
wykres 12. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank, jak zabezpieczyć swoje
dane dostępowe do systemów bankowości elektronicznej?” w podziale na grupy wiekowe 39
wykres 13. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank, jak będzie przebiegał
kontakt z przedstawicielem banku?” w podziale na grupy wiekowe 40
wykres 14. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank o konieczności okresowej
zmiany haseł dostępowych do aplikacji?” w podziale na grupy wiekowe 40
wykres 15. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank o konieczności powiązania
urządzenia z aplikacją mobilną i kontem?” w podziale na grupy wiekowe 41
wykres 16. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank o konieczności samodzielnego
zablokowania urządzenia mobilnego w razie jego utraty?” w podziale na grupy wiekowe 42
wykres 17. Odpowiedź na pytanie: „Czy zostałeś poinformowany przez bank o zasadach postępowania
w razie wymiany urządzenia mobilnego?” w podziale na grupy wiekowe 42
wykres 18. Odpowiedź na pytanie: „Jakich informacji nie może żądać od Ciebie przedstawiciel banku?”
w zależności od płci 43
wykres 19. Rozkład preferencji odnośnie bezpieczeństwa a wygody obsługi aplikacji bankowych 44
wykres 20. Rozkład preferencji odnośnie bezpieczeństwa a wygody obsługi aplikacji bankowych
w podziale na płeć 45
wykres 21. Ocena łatwości użycia narzędzi do płatności elektronicznych w grupie kobiet 46
wykres 22. Ocena łatwości użycia narzędzi do płatności elektronicznych w grupie mężczyzn 46
wykres 23. Ocena łatwości użycia produktów do płatności elektronicznych 47
wykres 24. Wykorzystywane urządzenia mobilne do płatności mobilnych 49
wykres 25. Wiek a wykorzystywane urządzenia mobilne do płatności mobilnych 49
wykres 26. Popularność produktów wykorzystywanych do płatności elektronicznych
wśród respondentów 50
wykres 27. Popularność produktów wykorzystywanych do płatności elektronicznych
wśród respondentów w poszczególnych grupach wiekowych 50
wykres 28. Poziom zaufania respondentów do urządzeń płatności mobilnych (kobiety i mężczyźni) 51
wykres 29. Poziom zaufania respondentów do urządzeń płatności mobilnych (kobiety) 52
wykres 30. Poziom zaufania respondentów do urządzeń płatności mobilnych (mężczyźni) 52
73
spis wykresów
wykres 31. Poziom zaufania respondentów do produktów płatności mobilnych (kobiety i mężczyźni) 53
wykres 32. Poziom zaufania respondentów do produktów płatności mobilnych (kobiety) 53
wykres 33. Poziom zaufania respondentów do produktów płatności mobilnych (mężczyźni) 54
wykres 34. Zainteresowanie respondentów płatnościami autoryzowanymi za pomocą biometrii 59
wykres 35. Zainteresowanie respondentów płatnościami autoryzowanymi za pomocą innowacyjnych
technologii (np. przy użyciu podskórnych implantów NFC – ang. Near-Field Communication) 60
wykres 36. Zainteresowanie respondentów płatnościami autoryzowanymi za pomocą sztucznej inteligencji 60
wykres 37. Świadomość najpopularniejszych zagrożeń wśród respondentów 63
wykres 38. Waga zagrożeń wg respondentów (górna ćwiartka) 64
wykres 39. Zagrożenie: Zapamiętywanie haseł w przeglądarkach internetowych a wiek 64
wykres 40. Zagrożenie: Instalowanie oprogramowania z nieznanych źródeł a wiek 64
wykres 41. Zagrożenie: Korzystanie z aplikacji bankowych na nieznanych urządzeniach
(np. dostępnych publicznie) a wiek 65
74
spis fotografii
spis fotografii
75
spis rycin
spis rycin
76
spis schematów
spis schematów
77
Raport przygotowany na zlecenie Fundacji
Warszawski Instytut Bankowości