Chraňte se před podvody s multifaktorovou autentizací

Podle platného znění zákona o platebním styku je poskytovatel platebních služeb povinen použít silné ověření uživatele (tzv. multifaktorovou autentizaci - MFA), dává-li uživatel platební příkaz prostřednictvím internetu nebo prostřednictvím elektronického zařízení, které lze použít k dálkové komunikaci, nebo dává-li platební příkaz nepřímo (typicky v prostředí internetového či mobilního bankovnictví). Použití silného ověření zahrnuje jednorázové prvky propojující platební transakci s přesnou částkou a konkrétním příjemcem. Tím zvyšuje bezpečí platebních účtů spotřebitele, a to ověřením, že spotřebitel je jedinou oprávněnou osobou, která požadovanou akci na platebním účtu (např. platební transakci) provádí. MFA vyžaduje použití dvou nebo více ověřovacích metod, nejčastěji prostřednictvím mobilních aplikací za použití různých forem biometrického ověření (jako je otisk prstu), případně např. kombinací zadání hesla (osobního PIN kódu) a současně zaslání číselného kódu prostřednictvím SMS zprávy.

ČNB upozorňuje spotřebitele, že podvody s MFA (např. v podobě vyžadování autorizace podvodných platebních transakcí uživateli - spotřebiteli) jsou na vzestupu. Při tomto typu podvodu oběti útoku zpravidla samy zadáním svých osobních bezpečnostních prvků v internetovém nebo mobilním bankovnictví omylem potvrzují odchozí podvodnou platební transakci. Podvodníci mohou mít k dispozici například z důvodu nezjištěného úniku osobních dat přihlašovací údaje spotřebitele a mohou mu zaslat (spotřebitelem nevyžádanou) žádost o silné ověření (MFA). Jakmile poté získají potvrzení MFA od spotřebitele, mohou provést požadovanou platební transakci nebo aktualizovat nastavení, aby získali přístup k účtu spotřebitele a všem dostupným datům. Ze stejných důvodů ČNB upozorňuje spotřebitele, aby důkladně vážili případné obdržené požadavky od třetích stran na sdělování osobních přístupových údajů, přeposílání potvrzovacích kódů či jiných informací, ze kterých lze jejich přihlašovací údaje odvodit (například link pro obnovu přístupových údajů).

I při standardních jednáních spotřebitele s jeho poskytovatelem platebních služeb je na místě, aby byli spotřebitelé ostražití, právě proto, aby nedocházelo k potvrzování nevyžádaného MFA. Pokud dojde k provedení takovéto platební transakce, tj. pokud transakci předcházel požadavek poskytovatele platebních služeb na silné ověření spotřebitele, přičemž spotřebitel silné ověření následně potvrdil, musí spotřebitel počítat i s tím, že ponese ztrátu z takovéto (z jeho pohledu de facto) neautorizované platební transakce. V těchto případech (pokud nejde o záměrně nepoctivé jednání spotřebitele) může být - v závislosti na posouzení konkrétních okolností každého jednotlivého případu - takové jednání považováno za hrubou nedbalost. Ztrátu z platební transakce ponese spotřebitel v plném rozsahu, pokud způsobil ztrátu tím, že z hrubé nedbalosti (nebo dokonce úmyslně) porušil některou ze svých povinností stanovených zákonem o platebním styku (tj. i některou ze smluvních povinností vyplývajících spotřebiteli z jím uzavřené rámcové smlouvy o poskytování platebních služeb, týkajících se zacházení s platebním prostředkem (jako je internetové či mobilní bankovnictví), jehož pomocí provádí platební transakce). Spotřebitelé by si tedy měli být vědomi toho, že schválením parametrů platební transakce při použití MFA pozbývají kontrolu i nad dalším řízením transakce. Spotřebitelé by proto před potvrzením jakékoli platební transakce prostřednictvím vyžadovaného MFA měli věnovat pečlivou pozornost všem údajům, které jim jejich poskytovatel o potvrzované platební transakci (či jiné akci) zobrazuje, aby měli jistotu, že potvrzují pouze jimi zamýšlenou platební transakci (či jinou akci). ČNB apeluje na spotřebitele, aby si v případě sebemenších pochybností vždy ověřili všemi dostupnými prostředky, že komunikují se svým poskytovatelem.

ČNB doporučuje, aby byli spotřebitelé při užití MFA vždy náležitě obezřetní a schvalovali pouze parametry platební transakce, u nichž vědomě potvrzují jen to, čemu skutečně rozumí, a nepodléhali případnému tlaku na urgentnost či rychlost jejich jednání.