Finanssivalvonta suosittelee Suomessa toimiville pankeille useita verkkomaksamisen turvallisuutta parantavia toimia muun muassa turvarajoihin ja petosmonitoroinnin parantamiseen liittyen. Suositukset perustuvat Finanssivalvonnan keväällä tekemään seuranta-arvioon, jossa selvitettiin luottolaitosten verkkomaksamisen turvallisuuteen liittyviä kontrolleja ja prosesseja. Torstaina 9. lokakuuta voimaanastuvan pikamaksuasetuksen myötä maksujen välitys euroalueella nopeutuu, ja samalla maksunsaajan tarkistus lisää turvallisuutta.

Finanssivalvonta on julkaissut uusia suosituksia, joiden tavoitteena on parantaa verkko- ja mobiilipankkien sekä verkkomaksamisen turvallisuutta Suomessa. Suositukset keskittyvät erityisesti tilisiirtomaksujen turvarajoihin, maksamisen kontrollien parantamiseen ja petosmonitoroinnin kehittämiseen.

– Kartoitimme keväällä pankkien verkkomaksamisen turvallisuuteen liittyviä kontrolleja ja prosesseja. Kyseisen seuranta-arvion perusteella päätimme suosittaa useita kehitysaskeleita pankeille. Vaikka finanssialan toimijat ovat tehneet paljon rikollisuuden torjumiseksi, kilpajuoksu rikollisia vastaan ei osoita hidastumisen merkkejä, osastopäällikkö Samu Kurri toteaa tiedotteessa.

Finanssivalvonta suosittaa pankkeja muun muassa kehittämään turvallisuuskontrolleja niin, että käyttäjällä olisi mahdollisuus asettaa nykyistä monipuolisemmin turvarajoituksia tekemiinsä tilisiirtopohjaisiin maksuihin. Torstaina voimaantulevien pikamaksamisasetuksen säädösten mukaisesti luottolaitosten on tarjottava palvelu, jossa asiakas voi itse asettaa maksu- tai päiväkohtaisen euromääräisen rajan pikamaksuille, mutta olisi hyvä, jos ne tarjoaisivat turvarajat sekä maksu- että päiväkohtaisesti tilipohjaisille maksuille myös normaaleissa tilisiirroissa. Finanssivalvonta suosittaa, että luottolaitos asettaisi tilisiirtopohjaisille maksuille oletusarvona maksu- ja päiväkohtaisen eurorajan, jos asiakas ei ole sitä itse tehnyt.

Finanssivalvonta kehottaa kaikkia pankkeja parantamaan muita maksamisen turvallisuuteen liittyviä kontrolleja, kuten viiveiden asettamista tai muuta turvallisuuskontrollia uuden tunnistussovelluksen asentamisen yhteydessä, ja lisävahvistuksen pyytämistä maksuissa, joissa pankin monitorointi epäilee petollista maksua.

– Suosittelemme myös, että reaaliaikaisessa petosmonitoroinnissa pankit hyödyntäisivät entistä tehokkaammin asiakkaan käyttäytymiseen perustuvia tekijöitä, kuten aiempaa maksuhistoriaa, poikkeavaa tapahtuma-aikaa tai maksajan sijaintipaikkaa. Tällainen analyysi auttaa tunnistamaan poikkeavat maksutapahtumat ja reagoimaan niihin nopeasti ennen kuin vahinkoa ehtii syntyä, toimistopäällikkö Jussi Terho kertoo.

Finanssivalvonnan seuranta-arvioon vastasi kymmenen toimijaa, joiden käytännöt ja prosessit vaihtelivat jonkin verran. Useimmat kertoivat, että petostentorjunta on yhtiössä tällä hetkellä yksi pääprioriteeteista, ja kaikki totesivat lisänneensä tiedotusta, koulutusta ja resursseja petosten torjuntaan. Kaikki vastanneet pitivät tärkeänä, että lainsäädäntöä muutettaisiin niin, että tiedonjako olisi nykyistä helpompaa eri toimijoiden kesken. Lisäksi toivottiin, että verkkopalveluiden ja somealustojen sekä operaattoreiden vastuuta petosten torjunnassa vahvistettaisiin.

EU:n pikamaksuasetus on tullut asteittain voimaan tänä vuonna, ja lokakuun 9. päivästä lähtien kaikkien euroalueen pankkien täytyy pystyä lähettämään pikasiirtoja sekä soveltaa muita pikamaksuasetuksen vaatimuksia. Suurin muutos on se, että euromääräisten pikasiirtojen tulee onnistua euromaissa kymmenessä sekunnissa, vuorokaudenajasta riippumatta ja myös viikonloppuisin. Samalla voimaan tulee vaatimus maksunsaajan nimen ja tilinumeron täsmäytyksestä kaikille tilisiirtopohjaisille maksuille.

– Maksunsaajan tarkistuksella pyritään estämään maksujen päätyminen väärille tileille ja vähentämään huijauksia, joissa asiakkaita erehdytetään maksamaan väärälle saajalle. Tilinumeron ja nimen täsmäytys lisää turvaa ja voi estää sekä virheitä että vilpillisiä siirtoja. Samaan aikaan maksujen nopeutuminen vaikeuttaa petosten tunnistamista ja estämistä, sillä rahat siirtyvät entistä nopeammin. Toimialan on oltava valmis seuraamaan ja kehittämään keinoja, joilla vastataan muuttuviin uhkiin myös tässä uudessa maksamisen ympäristössä, Terho sanoo.

Finanssivalvonta seuraa pankeille antamiensa suositustensa toteuttamista osana normaalia valvontatyötään.

Finanssivalvonta tunnisti seuranta-arvion yhteydessä toimialalta hyviä käytänteitä turvallisuuden parantamiseksi ja suosittaa niiden käyttöönottoa kaikkien luottolaitosten toimesta.

9. lokakuuta voimaantulevien pikamaksamisasetuksen säädösten mukaisesti luottolaitosten on tarjottava palvelu, jossa asiakas voi itse asettaa maksu- tai päiväkohtaisen euromääräisen rajan pikamaksuille. Finanssivalvonta suosittaa, että luottolaitokset tarjoaisivat turvarajat sekä maksu- että päiväkohtaisesti tilipohjaisille maksuille myös normaaleissa tilisiirroissa.

Tämän lisäksi Finanssivalvonta suosittaa, että luottolaitos asettaisi henkilöasiakkaiden tilisiirtopohjaisille maksuille oletusarvona maksu- ja päiväkohtaisen euromääräisen rajan, mikäli henkilöasiakas ei ole itse asettanut rajaa. Luottolaitokset voivat itse määrittää euromääräiset rajat henkilöasiakkailleen riskiperusteisesti.

Finanssivalvonta suosittaa, että luottolaitokset parantavat myös muita maksamisen turvallisuuteen liittyviä kontrolleja, kuten viiveiden asettaminen tai muu vastaava turvallisuuskontrolli uuden tunnistussovelluksen asentamisen yhteydessä sekä lisävahvistuksen pyytäminen maksuissa, joissa pankin monitorointi epäilee petollista maksua.

Finanssivalvonta suosittaa, että luottolaitokset kehittävät reaaliaikaista petosmonitorointia niin, että monitoroinnissa käytettäisiin asiakkaan käyttäytymiseen perustuvia tekijöitä kuten esimerkiksi aikaisempaa maksuhistoriaa, maksun suuruutta, tapahtuma-aikaa, maksukanavaa, maksun vastaanottajaa tai maksajan poikkeavaa sijaintipaikkaa.

Aamuset-kaupunkimedia (AKM)