Cyberbezpieczeństwo w sektorze bankowym

Sektorem o  stosunkowo największym zakresie reglamentacji bezpieczeństwa jest sektor bankowy, w którym ryzyko zagrożeń związane jest wprost z wykorzystaniem zaawansowanej technologii i  potrzebą współpracy z  podmiotami trzecimi, co jest związane ze świadczeniem usług płatniczych. Regulacja cyberbezpieczeństwa w  obszarze usług płatniczych ma charakter dwukierunkowy. Z  jednej strony nastawiona jest na bezpieczeństwo transakcji płatniczych, z  drugiej zaś –  na  bezpieczeństwo systemów IT.

Kwestię bezpieczeństwa usług płatniczych normują przede wszystkim przepisy działu ustawy o  usługach płatniczych, wprowadzające obowiązek ustanowienia przez dostawców usług płatniczych mechanizmów kontroli zarządzania ryzykami operacyjnymi oraz ryzykami dla bezpieczeństwa świadczenia usług płatniczych. Obowiązek ten powinien być realizowany w  drodze wdrożenia procedury zarządzania incydentami oraz procedury umożliwiającej bieżącą ocenę poważnych incydentów związanych z  bezpieczeństwem i incydentów operacyjnych, łącznie z  incydentami o charakterze teleinformatycznym. Przepisy ustawy o usługach płatniczych mają charakter lex specialis wobec ustawy o  krajowym systemie bezpieczeństwa, zawierając zwłaszcza obowiązki informacyjne oraz własną definicję incydentu. Incydentem w rozumieniu ustawy o usługach płatniczych jest niespodziewane zdarzenie, które ma niekorzystny wpływ na integralność, dostępność, poufność, autentyczność lub ciągłość świadczenia usług płatniczych albo stwarza znaczne prawdopodobieństwo, że taki wpływ będzie mieć lub też serię takich zdarzeń. Obowiązkiem dostawców usług płatniczych jest wprowadzenie efektywnej procedury zarządzania incydentami oraz przekazywanie niezwłocznie do Komisji Nadzoru Finansowego informacji o  poważnym incydencie związanym z  bezpieczeństwem. Szczególnym obowiązkiem dostawców usług płatniczych jest uwierzytelnienie klienta, eliminujące możliwość dostępu do rachunku płatniczego przez osobę nieuprawnioną. Uwierzytelnienie definiowane jest jako procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika usługi. Co  istotne, przepisy ustawy o usługach płatniczych nakładają na dostawców usług płatniczych obowiązek  silnego uwierzytelniania klienta między innymi w sytuacji uzyskania przez płatnika dostępu do swojego rachunku płatniczego w  trybie online oraz inicjacji elektronicznej transakcji płatniczej. Szczegółowe wymogi uwierzytelnienia normują przepisy rozporządzenia 2018/389 w  sprawie szczegółowych zasad dotyczących silnego uwierzytelnienia oraz powszechnej i bezpiecznej komunikacji pomiędzy dostawcami usług opartych o dostęp do rachunku płatniczego a podmiotami prowadzącymi rachunek płatniczy. Dyrektywa ta jest oczywiście w pewien sposób uzupełniana przez regulacje typu soft law. Są to między innymi rekomendacja Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w  bankach.

Wdrożenie systemów w sektorze bankowym jest istotne gdyż ustawa o usługach płatniczych sytuuje główną odpowiedzialność za zwrot nieautoryzowanej transakcji na dostawcy usług płatniczych, który powinien dokonać zwrotu pobranych kwot bezzwłocznie, nawet w sytuacji, gdy winę za błędną realizację transakcji ponosi podmiot trzeci.