Τρίτο «τείχος προστασίας» από τις τράπεζες για τις ηλεκτρονικές απάτες – Οι αλλαγές αναμένεται να τεθούν σε εφαρμογή σε 6 με 9 μήνες από την ημέρα κατάθεσης του νομοσχεδίου για την προστασία των καταναλωτών από χάκινγκ και phishing
Με το κινητό σας έχετε συνδεθεί στην εφαρμογή του e-banking και καταχωρείτε εντολή πληρωμής 1.001 ευρώ. Κατά τη συνήθη τακτική, αφού κάνετε την πληρωμή, στη συσκευή σας έρχεται push notification για την έγκριση της συναλλαγής. Επιβεβαιώνετε, αλλά η συναλλαγή δεν προχωρά ακόμα. Μερικά δευτερόλεπτα αργότερα χτυπά το τηλέφωνό σας. Στην άλλη άκρη της γραμμής είναι υπάλληλος της τράπεζας, ο οποίος σας ενημερώνει για την κίνηση που γίνεται στον λογαριασμό σας και ζητά να επιβεβαιώσετε με ένα «ναι» ότι συμφωνείτε. Το κάνετε και η συναλλαγή ολοκληρώνεται. Η παραπάνω σκηνή περιγράφει έναν από τους τρόπους με τους οποίους θα γίνονται πλέον οι ηλεκτρονικές συναλλαγές.
Οι τράπεζες ήδη εργάζονται στην πρόσθεση και τρίτου επιπέδου ασφαλείας για συναλλαγές που αφορούν ποσά άνω των 1.000 ευρώ και οι αλλαγές στους τρόπους πληρωμών με την προσθήκη επιπλέον ταυτοποίησης χρήστη αναμένεται να τεθούν σε εφαρμογή, το αργότερο μέχρι το τρίτο τρίμηνο του τρέχοντος έτους, όταν και θα έχει ολοκληρωθεί το σχετικό νομοσχέδιο για την προστασία των καταναλωτών από κακόβουλες επιθέσεις (χάκερ και phishing).
Οπως αποκαλύπτει την Κυριακή 22/1 το «ΘΕΜΑ», οι τράπεζες θα προσθέσουν και τρίτο τείχος ασφαλείας -στα υπάρχοντα δύο, δηλαδή τη σύνδεση με κωδικούς και το push notification- ώστε να περιορίσουν τις πιθανότητες να πέσουν οι πελάτες τους θύματα κακόβουλων ηλεκτρονικών επιθέσεων με στόχο το άδειασμα του (ψηφιακού) πορτοφολιού. Μεταξύ των λύσεων που προκρίνονται είναι ο χρήστης του e-banking, εκτός από τις δύο επιβεβαιώσεις, όταν πρόκειται για ποσό άνω των 1.000 ευρώ, να λαμβάνει SMS από την τράπεζά του, στο οποίο θα πρέπει να απαντήσει θετικά ή αρνητικά για να προχωρήσει -ή και όχι- η συναλλαγή.
Τραπεζικές πηγές εξηγούν ότι ανάμεσα στις λύσεις που εξετάζονται πιθανότερη προσθήκη τρίτου τείχους ασφαλείας είναι αυτή του ΟΤΡ. Πρόκειται για έναν κωδικό πρόσβασης μιας χρήσης, ή αλλιώς PIN μιας χρήσης, ή δυναμικός κωδικός πρόσβασης, ο οποίος δημιουργείται για μία μόνο συναλλαγή και περίοδο σύνδεσης και έχει περιορισμένη διάρκεια (συνήθως δέκα λεπτά). Αν και ο τρόπος χρήσης του θα αποφασιστεί ανά τράπεζα, ο ΟΤΡ θα στέλνεται μέσω SMS ή Viber και θα απαιτείται πληκτρολόγηση από τον χρήστη ή θα συμπληρώνεται αυτόματα στην οθόνη του κινητού. Με αυτό τον τρόπο θα γίνει ακόμα ισχυρότερη η ταυτοποίηση του χρήστη και θα δίνεται εξουσιοδότηση για τη συναλλαγή.
Τα χρηματοπιστωτικά ιδρύματα εξετάζουν το ενδεχόμενο ο πελάτης να πρέπει να απαντήσει σε τηλεφωνική κλήση από την τράπεζα για να δώσει την τελική έγκριση σε περίπτωση που το ποσό θα είναι αρκετά μεγαλύτερο από τα 1.000 ευρώ – για παράδειγμα, 5.000 ευρώ. Ως επιπλέον μέσο προστασίας των καταναλωτών από τους επιτήδειους που «αρπάζουν» τα ψηφιακά κλειδιά των τραπεζικών λογαριασμών πολιτών και τους «ξεζουμίζουν» ενδέχεται να προστεθεί στους παραπάνω και τους ήδη υπάρχοντες ένα σύστημα delay. Να υπάρχει δηλαδή μια μικρή καθυστέρηση όταν η συναλλαγή γίνεται μέσω e-banking, ώστε να δίνεται χρόνος στον καταναλωτή να αντιδράσει και να αμφισβητήσει τη συναλλαγή, γλιτώνοντας τα χρήματά του.
Διαπραγμάτευση με πλούσιο παρασκήνιο
Χρόνος, πάντως, δίνεται και στις τράπεζες. Με την προσθήκη της νέας δικλίδας ασφαλείας τα χρηματοπιστωτικά ιδρύματα καταφέρνουν να μην προχωρήσει τελικά η υποχρέωση καταβολής αποζημίωσης στους καταναλωτές που πέφτουν θύματα απάτης για ποσά άνω των 1.000 ευρώ, όπως αρχικά προβλεπόταν στο νομοσχέδιο που φέρνει η κυβέρνηση για την ασφάλεια των ηλεκτρονικών πληρωμών (η δημόσια διαβούλευση του οποίου ολοκληρώθηκε την προηγούμενη Παρασκευή). Για να επιτευχθεί αυτό, ωστόσο, υπήρξε σκληρή διαπραγμάτευση και πλούσιο παρασκήνιο. Οι τραπεζίτες ενημερώθηκαν για την πρωτοβουλία της κυβέρνησης να αποζημιώνουν τα τραπεζικά ιδρύματα τα θύματα ηλεκτρονικών κλοπών (για κλοπές άνω των 1.000 ευρώ) τις τελευταίες ημέρες του χρόνου, όταν και τέθηκε σε δημόσια διαβούλευση το νομοσχέδιο για την ασφάλεια των συναλλαγών.
Αφού συλλέχθηκαν τα απαραίτητα στοιχεία, ο πρόεδρος της Ελληνικής Ενωσης Τραπεζών (ΕΕΤ) και της Alpha Bank κ. Βασίλης Ράπανος σήκωσε το τηλέφωνο καλώντας τον υπουργό Ανάπτυξης και Επενδύσεων Αδωνη Γεωργιάδη και του ζήτησε να συναντηθούν. Η ανταπόκριση ήταν άμεση και το ραντεβού κλείστηκε την προηγούμενη Παρασκευή. Στη διάρκεια της συζήτησης των δύο ανδρών, για αρκετή ώρα, ο κ. Ράπανος ανέλυε στον υπουργό την προσέγγιση των τραπεζών επί του ζητήματος και, κυρίως, την αντίθεσή τους στο άρθρο 22 του νομοσχεδίου που ανέφερε ότι ο καταναλωτής, εφόσον οι ζημίες οφείλονται σε βαριά αμέλεια, ευθύνεται μέχρι του ανώτατου ποσού των 1.000 ευρώ, λαμβάνοντας υπόψη ιδίως τη φύση των εξατομικευμένων διαπιστευτηρίων ασφαλείας και τις ειδικότερες περιστάσεις υπό τις οποίες το μέσο πληρωμής απωλέσθη, εκλάπη ή υπεξαιρέθηκε, παραθέτοντάς του μια σειρά από επιχειρήματα τα οποία συνοψίζονται ως εξής:
Στην πράξη, η Ελλάδα θα αποτελέσει εξαίρεση στην κοινή ευρωπαϊκή πρακτική, καθώς στις περισσότερες χώρες της γηραιάς ηπείρου η απώλεια των κωδικών μέσω phishing και άλλων απατών αντιμετωπίζεται περίπου όπως η απώλεια του πορτοφολιού. Επιπλέον, εξήγησε ο έμπειρος τραπεζίτης στον κ. Γεωργιάδη ότι η θέσπιση αποζημίωσης από την τράπεζα θα μπορούσε να προκαλέσει μια σειρά από ζητήματα τα οποία το σύστημα θα βρει μπροστά του και θα κληθεί να αντιμετωπίσει. Πρώτον, η υποχρέωση της τράπεζας σε αποζημίωση δημιουργεί ένα αίσθημα ασφάλειας στο κοινό και δεν βοηθά στην προσπάθεια να βρίσκονται οι καταναλωτές σε διαρκή επαγρύπνηση και ενημέρωση σχετικά με όσους επιβουλεύονται τα χρήματά τους. Δεύτερον, ελλοχεύει ο κίνδυνος η πρακτική αυτή να πυροδοτήσει ένα κύμα εικονικών phishing.
Να δημιουργηθούν δηλαδή συμμορίες οι οποίες θα σκηνοθετούν ψηφιακές απάτες με σκοπό να καρπωθούν την αποζημίωση από την τράπεζα. Τρίτον, επειδή οι απάτες αυτού του είδους και μεγέθους διώκονται όχι αυτεπάγγελτα αλλά κατ’ έγκληση, δημιουργείται ένα αντικίνητρο στο θύμα της κλοπής να κάνει καταγγελία, καθώς θα έχει αποζημιωθεί. Αθροίζοντας όλα αυτά προκύπτουν και νομικά ζητήματα, καθώς ο τελικός χαμένος της υπόθεσης, η τράπεζα, δεν θα μπορεί να στραφεί εναντίον του απατεώνα, καθώς δεν είναι αυτή το θύμα της απάτης. Ο δε πελάτης της τράπεζας, ακόμα και αν θέλει, δεν μπορεί να μεταβιβάσει το δικαίωμα δικαστικής προσφυγής εναντίον του κακόβουλου για τη ζημία που στο τέλος θα έχει υποστεί η τράπεζα.
Ο υπουργός άκουσε τα παραπάνω και πολλά ακόμα, όμως είχε ένα… ακαταμάχητο επιχείρημα: με τις ψηφιακές απάτες να πληθαίνουν διαρκώς, αυτοί που πλήττονται είναι πολλοί, είναι αδύναμοι και οι καιροί είναι πολύ δύσκολοι για να μείνουν απροστάτευτοι. Ο πρόεδρος της ΕΕΤ δεν διαφώνησε σε αυτό. Μια λύση που συζητήθηκε ήταν να προχωρήσουν οι τράπεζες σε μείωση του ορίου συναλλαγών στα 1.000 ευρώ. Κάτι τέτοιο, όμως, θα λειτουργούσε ως νάρκη για το εμπόριο, αλλά και θα απαγόρευε -ουσιαστικά- τις μεγαλύτερες συναλλαγές για τις οποίες απαγορεύεται η χρήση μετρητών. Ετσι, αποφασίστηκε να μην αλλάξει κάτι στις συναλλαγές κάτω των 1.000 ευρώ -οι οποίες αποτελούν και το συντριπτικά μεγαλύτερο μέρος της δραστηριότητας των πελατών- και να προστεθεί ένα τρίτο επίπεδο ασφαλείας στο 20% των συναλλαγών οι οποίες αφορούν ποσά από 1.000 ευρώ και άνω.
Κι έτσι, καθώς φαίνεται, βρέθηκε μια σολομώντεια λύση. Με δεδομένο ότι τα συστήματα των τραπεζών είναι, όπως έχει αποδειχθεί στην πράξη, απροσπέλαστα από διαδικτυακές επιθέσεις (δεν έχει καταγραφεί επιτυχημένη εισβολή χάκερ σε ελληνική τράπεζα), τα χρηματοπιστωτικά ιδρύματα θα μπορούσαν να επεκτείνουν το τείχος προστασίας των πελατών τους από τους απατεώνες. Κατά πληροφορίες, οι τράπεζες έχουν στη διάθεσή τους διάστημα το οποίο κυμαίνεται από 6 έως 9 μήνες για να παρουσιάσουν τις προτάσεις τους για την προστασία των καταναλωτών από την ημέρα κατάθεσης του νομοσχεδίου.
Τραπεζικές πηγές εξηγούν ότι αυτό το διάστημα η ΕΕΤ έχει συστήσει και λειτουργεί δύο επιτροπές. Η μία εξετάζει το νομικό πλέγμα της διάταξης, ενώ η άλλη την τεχνική πλευρά. Η πρώτη επιτροπή ασχολείται με ζητήματα όπως η διατύπωση του νόμου και η δεύτερη με την τεχνική υλοποίηση των πρακτικών που προκρίνονται προς χρήση. Οι σκέψεις για το delay των συναλλαγών εξετάζονται ακόμα και για τις περιπτώσεις στις οποίες η μεταφορά των κλεμμένων από phishing χρημάτων έχει γίνει σε λογαριασμούς όπως της Revolut, όπου η ανάκληση αποδεικνύεται δώρο άδωρο.
Σύμφωνα με πληροφορίες, η EEΤ έχει λάβει από την κυβέρνηση προθεσμία 6 έως 9 μηνών για να εξελίξει, αποφασίσει και παρουσιάσει το τρίτο «κλειδί» που θα διασφαλίζει ότι οι πελάτες των τραπεζών δεν θα αποτελούν εύκολη λεία για τους απατεώνες του Διαδικτύου. Η εξέταση και εξέλιξη των λύσεων από την πλευρά των τραπεζών έχει ήδη ξεκινήσει από τις επιτροπές και μάλιστα υπάρχουν συστημικές οι οποίες ήδη έχουν προσθέσει το τρίτο επίπεδο ασφαλείας στα web banking τους, βλέποντας στην πράξη πώς λειτουργεί.
Οι τράπεζες λοιπόν θα εφαρμόσουν μια σειρά από δικλίδες ασφαλείας για την προστασία των καταναλωτών τους και αν δεν λειτουργήσει αυτό, κάτι που θεωρείται απίθανο, θα προσφύγουν στη λύση της μείωσης του ορίου ηλεκτρονικών συναλλαγών στα 1.000 ευρώ την ημέρα ώστε να αποφύγουν την πληρωμή αποζημίωσης στους πελάτες τους που θα πέφτουν θύματα κακόβουλων επιθέσεων χωρίς ευθύνη των τραπεζών. Σε κάθε περίπτωση, τονίζουν κυβερνητικές πηγές, στόχος της κυβέρνησης είναι εν πρώτοις η προστασία των καταναλωτών από τους απατεώνες του Διαδικτύου, η μείωση των απατών και η αύξηση των ηλεκτρονικών συναλλαγών.
Το μόνο που είναι σίγουρο, πάντως, είναι ότι κάτι πρέπει να γίνει. Η πανδημία ήταν ένα ορόσημο σε ό,τι αφορά τις επιθέσεις χάκερ και το phishing με στόχο το άδειασμα τραπεζικών λογαριασμών. Η έκρηξη της χρήσης του Διαδικτύου οδήγησε και σε… άνθηση των ηλεκτρονικών απατών. Τα στοιχεία της Ευρωπαϊκής Τραπεζικής Αρχής καταδεικνύουν ότι κάθε χρόνο στην Ελλάδα χάνονται περισσότερα από 22 εκατ. ευρώ από ηλεκτρονικές απάτες, με τη συντριπτική πλειονότητα να επιβαρύνει τους καταναλωτές.
Δεν καταγγέλλουν απάτες για μικροποσά
Βάσει των τελευταίων διαθέσιμων στοιχείων της Τραπέζης της Ελλάδος, τα οποία αφορούν το α’ εξάμηνο του 2022, καταγράφηκαν 136.153 συναλλαγές που αφορούσαν απάτη και το συνολικό τους ύψος υπερέβη τα 6,24 εκατ. ευρώ. Κρατώντας στον νου ότι ένας μεγάλος αριθμός απατών δεν καταγγέλλεται ποτέ επειδή αφορούν μικρά ποσά, επισημαίνουμε ότι το 2020 τα κρούσματα ηλεκτρονικών απατών έφτασαν τις 442.000, ενώ το 2019 τις 250.637 και το 2018 τις 147.300. Με ένα μεγάλο μέρος των χρημάτων που υφαρπάζονται να αφορούν αγορές μέσω Διαδικτύου και ένα εξίσου μεγάλο τις μεταφορές κεφαλαίου μέσω mobile banking, η συζήτηση έχει ανοίξει ως προς τα «τρίτα μέρη» τα οποία έχουν μερίδιο ευθύνης για την έκρηξη των απατών με τη μέθοδο phishing, δηλαδή με την αλίευση των κωδικών των καταναλωτών μέσα από πλαστές ιστοσελίδες. Γιατί δεν είναι μόνο η εξέλιξη των συμμοριών που αποστέλλουν e-mail προσποιούμενοι ότι είναι κάποια δημόσια αρχή ή τράπεζα ή εταιρεία μεταφορών ή κάτι άλλο. Είναι και ότι καθοδηγούν σε ιστοσελίδες-κλώνους των αυθεντικών, πείθοντας τα θύματά τους να χρησιμοποιήσουν τους κωδικούς τους.
Εδώ, όπως επισημαίνουν τραπεζικές πηγές, υπάρχει ζήτημα με τις εταιρείες του Διαδικτύου (Google, Yahoo!, Meta κ.λπ.), καθώς φαίνεται πως δεν επενδύουν αρκετά στην καταπολέμηση του φαινομένου. Οι ίδιες πηγές επισημαίνουν μάλιστα ότι έχουν καταγραφεί περιπτώσεις κατά τις οποίες το site-απάτη εμφανίζεται ως πρώτο αποτέλεσμα σε μια αναζήτηση και αυτό της πραγματικής εταιρείας αρκετά πιο κάτω. Σε μια τέτοια περίπτωση, ουσιαστικά το θύμα καθοδηγείται στα νύχια των απατεώνων.
«Οι κολοσσοί του Διαδικτύου, εκεί δεν έχουν κάποια ευθύνη, ενώ οι τράπεζες έχουν; Δεν θα έπρεπε να επενδύσουν περισσότερα στην ανίχνευση και επισήμανση των επικίνδυνων ιστότοπων και e-mail και να αποτρέπουν τους χρήστες από το να εισέλθουν;». Οι τράπεζες έχουν, το προηγούμενο διάστημα, προχωρήσει σε καμπάνιες ενημέρωσης των πελατών τους για την ορθή χρήση των ηλεκτρονικών μέσων για τις συναλλαγές τους, αλλά κατά πληροφορίες εξετάζεται το ενδεχόμενο να ξεκινήσει και η κυβέρνηση έναν κύκλο ενημέρωσης των πολιτών.
Εκεί πάντως όπου φαίνεται ότι υπάρχει επίσης μεγάλο ζήτημα το τελευταίο διάστημα είναι στα… δύο άκρα των απατών: στις απάτες με πολύ μικρές χρεώσεις σε πολλαπλά θύματα (είτε μέσω ανέπαφης συναλλαγής σε δημόσια μέρη, είτε μέσω υφαρπαγής των τραπεζικών στοιχείων από ηλεκτρονικά καταστήματα) οι οποίες συχνά δεν γίνονται αντιληπτές από τα θύματά τους, και στις κακόβουλες επιθέσεις με πολύ μεγάλη λεία.
Στην πρώτη περίπτωση, ήδη εφαρμόζεται πιλοτικά η λύση του παγώματος των συναλλαγών. Δηλαδή δίνεται η δυνατότητα στον πελάτη, μέσω του ebanking να μπορεί να σταματήσει άμεσα τις συναλλαγές του λογαριασμού του, εάν θεωρεί ότι έπεσε ή πρόκειται να πέσει θύμα απατεώνων. Σε άλλες περιπτώσεις, η τράπεζα προχωρά σε προσωρινή αναστολή λογαριασμού -ή σε μη αποδοχή συναλλαγών- όταν διαπιστώνει ύποπτες κινήσεις στον λογαριασμό πελάτη της.
Στη δεύτερη περίπτωση, τα στοιχεία αποσπώνται και χρησιμοποιούνται για το άδειασμα τραπεζικών λογαριασμών επιχειρήσεων ή για το «κλείδωμα» των ηλεκτρονικών τους δικτύων και τον εκβιασμό για πληρωμή μεγάλου ποσού ως λύτρα που θα τα ξεκλειδώσουν.