Niedawna grzywna nałożona na Monzo w wysokości 21 milionów funtów za uchybienia w weryfikacji klientów zwróciła uwagę na słabe punkty cyberbezpieczeństwa i prywatności w bankach cyfrowych oraz aplikacjach finansowych. Eksperci podkreślają, że te braki pokazują potrzebę wprowadzenia solidnych zabezpieczeń cyfrowych i właściwych nawyków cyfrowych.
Brytyjski Urząd Nadzoru Finansowego (FCA) stwierdził, że między październikiem 2018 r. a sierpniem 2020 r. Monzo nie posiadało odpowiednich zabezpieczeń przeciwdziałających przestępczości finansowej podczas rejestracji nowych klientów, oceny ich ryzyka czy wykrywania oszukańczych transakcji. Niektórzy klienci mogli nawet zakładać konta przy użyciu nieprawdopodobnych danych — takich jak znane adresy, np. Pałac Buckingham.
W rezultacie ponad 34 000 klientów wysokiego ryzyka dołączyło do Monzo, a brak skutecznego monitoringu ryzyka i transakcji umożliwił nieujawnioną działalność przestępczą. Eksperci ds. bezpieczeństwa zauważają, że choć Monzo i inne „challenger banks” oferują nowoczesne, aplikacyjne rozwiązania, czasem nie spełniają wysokich standardów w zakresie cyberbezpieczeństwa i ochrony danych osobowych.
Problem ten nie dotyczy tylko Monzo. W ostatnich latach również duże banki, takie jak Santander, otrzymały grzywny za niedociągnięcia w zakresie przeciwdziałania praniu pieniędzy, a niektóre z nich ucierpiały z powodu poważnych wycieków danych obejmujących miliony klientów. Zdarzenia te są szczególnie niepokojące, ponieważ aplikacje finansowe obsługują bardzo wrażliwe informacje, takie jak dane konta, numery kart kredytowych czy dane osobowe. W przypadku wycieku takie dane mogą posłużyć do kradzieży tożsamości, oszustw i długotrwałego pogorszenia zdolności kredytowej.
Ryzyka związane z otwartą bankowością
Nawet jeśli same banki mają wdrożone silne zabezpieczenia, dane klientów mogą być nadal zagrożone podczas udostępniania ich stronom trzecim poprzez otwartą bankowość i API. Chociaż te integracje mogą poprawić wygodę użytkownika, zwiększają też pole działania dla cyberprzestępców. Jeśli hakerzy zdobędą klucze API lub oszukają użytkowników przy pomocy phishingu lub fałszywych ekranów autoryzacyjnych, mogą przechwycić poufne informacje finansowe.
Niektóre aplikacje do zarządzania finansami osobistymi udostępniają także dane użytkowników reklamodawcom lub firmom analitycznym bez odpowiedniego poinformowania, co budzi dodatkowe obawy o prywatność. Wraz z rosnącą popularnością otwartej bankowości przestępcy mogą też wypuszczać fałszywe aplikacje podszywające się pod legalne usługi, żeby kraść dane i loginy użytkowników. Eksperci zalecają pobieranie aplikacji finansowych wyłącznie z zaufanych sklepów, sprawdzanie opinii użytkowników oraz regularną aktualizację aplikacji przy zastosowaniu silnych zabezpieczeń, w tym uwierzytelniania dwuskładnikowego.
W obliczu narastających oszustw i cyberprzestępczości konsumenci powinni unikać używania aplikacji finansowych w publicznych sieciach Wi-Fi, sprawdzać nadane uprawnienia aplikacji oraz być na bieżąco z typowymi zagrożeniami. Firmy fintech natomiast muszą stawiać na najwyższe standardy cyberbezpieczeństwa, by chronić wrażliwe dane klientów i utrzymać ich zaufanie.
Choć Monzo nie skomentowało związku swojej grzywny z cyberbezpieczeństwem, Santander podał, że od czasu interwencji regulatora całkowicie przebudował swoje systemy i procedury, podkreślając silne zobowiązanie do przeciwdziałania przestępczości finansowej w przyszłości.
