Автор: Светлана Богоески, Раководител на Служба за картички и дигитални сервиси во НЛБ Банка

Дигитално банкарство – засилената автентикација, безбедносна мерка за превенција од злоупотреби

Во актуелниот животен ритам, кога динамиката налага сѐ да биде на дофат на рака, потребата за брз и лесен пристап до финансиски средства станува сѐ поприсутна. Сѐ поголем број на корисници бараат брз и лесен начин да купуваат, плаќаат и управуваат со своите пари, без да дојдат во банка или на физичко продажно место. Со експанзијата на е-трговијата и постепеното напуштање на традиционалните форми на економија, сѐ повеќе и трговците и клиентите ја прифаќаат дигитализацијата, особено во банкарските услуги. Овој тренд на користење на новите технологии, како што се мобилните апликации и платформи за онлајн плаќање, донесе промена и во навиките на луѓето. Но, зголемената леснотија која ја овозможува дигитализацијата, ги зголемува и безбедносните ризици, неизбежно и очекувано. Од тие причини, ефикасната заштита на личните податоци и средствата на клиентите станува клучен приоритет во дигиталното банкарство.

Во последните години, банките и финтек компаниите го олеснија пристапот до финансиски услуги, па така сега можеме да aктивираме услуга „мобилно банкарство“ без физичко да дојдеме во банка, да аплицираме онлајн за кредит без потреба од приложување на физичка документација, да префрлиме средства онлајн на пријател преку неговиот број на мобилен телефон, да префрлиме средства од/на штедна сметка и уште многу други финасиски услуги достапни само со неколку клика.

Зошто засилената автентикација е неопходна во дигиталното банкарство?

Забрзаниот и модерен развој на дигиталните банкарски услуги е одличен за корисничкото искуство, но создава нови безбедносни ризици. Зголемените ризици одонлајн измами на корисници и злоупотреба на лични податоци земаат замав и сѐ пoприсутни во секое дигитално општество. Нашето општество не е исклучок.

Во банкарството, автентикацијата која ја побарува банката е всушност потврда на идентитетот на клиентот пред да му се овозможи пристап до одредени финансиски услуги. Тоа е критична безбедносна мерка со цел да се превенира измама, неовластен пристап, кражба на идентитет. Засилената автентикација, односно двофакторската автентикација, е метод кој овозможува преку соодветно комбинирање на елементи за автентикација да се потврди корисникот дека е тој што пристапува до дигиталните сервиси. На овој начин се намалува веројатноста од злоупотреба и неовластен пристап до дигиталните канали од страна на сајбер измнамниците, а со тоа и до личните финансиски средства.

Нејчеста форма на злоупотреба е фишингот, каде „сајбер измамникот“ се обидува да го измами корисникот да му ги открие своите лични податоци, како што се лозинки или броеви на кредитни картички, користејќи лажни веб-страници или пораки, како и преку директна телефонска комуникација. Секојдневно се појавуваат нови форми на измами.

Едни од најчестите измами кои ги напаѓаат корисниците на дигиталните платформи вклучуваат: лажни понуди на социјалните мрежи – измамници често користат популарни платформи како Facebook или Instagram за да постават лажни понуди за „награда или подарок”, кои водат до фалсификувани веб-страници каде корисниците внесуваат лични податоци; лажни финансиски советници – преку директна телефонска комуникација или социјални мрежи се нудат лажни услуги за инвестирање кои бараат лични податоци или пристап до финансиски средства; фалсификувани онлајн продавници – понуди за стоки или услуги, најчесто брендови по ниски цени односно „премногу добри за да се вистинити” кои во реалноста не постојат или не се доставуваат, а корисниците влегуваат на лажни страници каде ги внесуваат своите банкарски податоци; лажни технички поддршки – измамници кои се претставуваат како дел од техничка поддршка за банка или популарни платформи, бараат пристап до личните податоци или компјутерски уреди за да превземат информации.

Од сето ова произлегува потребата за градење на безбедни дигитални сервиси кои не само што ќе ги задоволат регулаторните барања, туку и ќе обезбедат максимална заштита на корисниците. Па така, засилената автентикација станува задолжителна во дигиталното банкарство затоа што ја зајакнува безбедноста, ги намалува злоупотребите, ги штити корисниците во дигиталниот свет и обезбедува регулаторна усогласеност.

Во согласност со локалната регулатива, која е во и во согласност со европската Директива за платежни услуги (PSD2), НЛБ Банка пристапи кон имплементација на засилената автентикација како регулаторно барање, притоа следејќи ги искуствата и праксата од европскиот регион.

Засилената автентикација како регулатива во рамките на Директивата за платежни услуги PSD2, но и пракса е застапена и на европско ниво. Revolut, N26 и други финтке компании, како и европските банки, веќе ја имплементираа засилената автентикација, што резултираше со значително намалување на бројот на успешни измами. Европската банкарска агенција (ЕБА) забележа значително намалување на измамите во плаќањето по имплементацијата на засилена автентикација на клиенти (SCA) според PSD2. Поточно, за време на периодот на миграција во SCA во 2020-2021 година, ЕБА забележа намалување на просечната стапка на измама до 60% за плаќања со картички.

Како засилената автентикација ја подобрува безбедноста без да го наруши корисничкото искуство?

Како најбезбедни и најчесто користени методи на засилена автентикација кои и ние како НЛБ Банка ги користиме, а се општо прифатени и во светот се Push нотификација и биометриска автентикација – брзо, лесно и безбедно.

Push нотификација е безбедносен механизам, каде преку мобилна апликација се испраќа порака/известување до корисникот, при секоја трансакција или обид за пристап до неговиот кориснички профил. Тоа е порака што се појавува на мобилниот уред на корисникот и бара потврда (често преку едноставен клик). Овој метод е популарен бидејќи е брз и лесен за користење. За разлика од традиционалните методи кои бараат внесување на лозинки, push нотификациите им овозможуваат на корисниците да потврдат дека тие се вистинскиот иницијатор на трансакцијата, без внесување на комплексни лозинки или кодови.

Биометриската автентикација е друга форма на засилена автентикација, која користи
уникатни физички карактеристики на корисникот, како што се отпечаток од прст, препознавање на лице или ирис. Овие биометриски податоци е исклучително тешко да се фалсификуваат, што ја прави оваа метода многу сигурна. Но, безбедноста не е единствната карактерисика на биометриската автентикација Таа, истовремено е и многу удобна за корисниците, бидејќи не мораат да запишуваат или паметат лозинки. Со интеграцијата на биометриските технологии во мобилните уреди и апликации, корисниците можат лесно и брзо да потврдат свои финансиски трансакции без потреба за дополнителни чекори.

Колку е подготвен просечниот корисник?

Истражувањата, а и нашето искуство, покажуваат дека многу корисници не сакаат дополнителни чекори при користење на дигиталните услуги бидејќи ги сметаат за комплицирани.

Голем број граѓани сè уште користат едноставни лозинки и користат исти лозинки за повеќе услуги. Уште повеќе што лозинките ги запишуваат на своите незаштитени уреди и често ги споделуваат со своите најблиски. Овој начин на постапување и навики на корисниците директно влијаат и на безбедноста на дигиталните банкарски сервиси. Меѓутоа, со воведувањето на засилената автентикација од страна на банката, корисникот добива поголема заштита и сигурност, каде е намалена веројатноста за пристап до неговите лични и финансиски податоци од страна на измамници, и ја намалува можноста за одлив на средства преку неговите дигитални платежни услуги. Но сепак, начинот на користење на засилената автентикација како и финансиските дигитални сервиси во најголема мера зависат од корисникот.

Оттука и потребата од контиунирано советување и едукација на корисниците во врска со засилената автентикација и потребата од заштита на своите податоци во дигиталниот свет. Пристапот до мобилниот уред, или друг уред на кој се чуваат лични податоци и финансиски апликации, пристапот до картичните податоци, e-mail адреси, треба да е заштитен соодветно, односно да се поими на ист начин и на исто ниво како што се третира пристапот до нашите домови или автомобили. Вообичаено, ние не прифаќаме некој непознат така лесно да влезе во нашиот дом и не одобруваме пристап во нашиот дом со цел „хигиена на домот за само 1 евро”. Исто така, не одобруваме некој непознат да пристапи до нашиот дом и побара електричните уреди да ги дадеме за да добиеме „голема крипто-инвестиција, која ќе ни донесе огромна заработка за само неколку дена”. Не одобруваме непознато лице да влезе во нашиот дом и ни понуди „бесплатно патување само доколку му ги дадеме картичните податоци”. Истото треба да го аплицираме и во дигиталниот свет, колку и да звучи понудата нереално.

Со зголеменото користење на дигиталните услуги банките мора да ја зголемат безбедноста, а корисниците да станат посвесни за ризиците. Засилената автентикација не е само регулаторно барање – таа е неопходен чекор за безбедно и модерно банкарство, а безбедноста не треба да биде избор, туку стандард.