BNR: Sute de mii de clienți ai băncilor, afectați de căderi ale sistemelor de carduri, internet sau mobile banking. 12 incidente mari în 7 luni
Imposibilitatea utilizării cardului la POS sau ATM, dublarea tranzacțiilor și chiar dispariția temporară a banilor din cont în urma tranzactiilor cu cardul sau a serviciilor de internet și mobile banking sunt evenimente cu care clienții mai multor bănci s-au confruntat anul acesta. Mai mult, surse din piață spun că, după izbucnirea pandemiei numărul incidentelor de plată de acest gen s-a dublat.
La solicitarea ECONOMICA.NET, Banca Națională a României (BNR) a precizat că monitorizează pe o bază continuă respectarea de către prestatorii de servicii de plată a prevederilor legale în materie de plăți și servicii de plată, inclusiv a incidentelor intervenite la nivelul acestor entități. „Astfel, prestatorii de servicii de plată au obligația legală de a raporta apariția unor incidente operaționale sau de securitate majore care afectează instrumentele de plată și serviciile de plată pe care aceștia le oferă clienților”, spun oficialii băncii centrale. Ulterior primirii rapoartelor finale cu privire la aceste incidente majore, BNR analizează respectarea prevederilor legale de către prestatorii de servicii de plată, inclusiv din perspectiva necesității aplicării unor măsuri pentru prevenirea unor situații similare.
Cauze și tipuri de incidente majore de plată la băncile din România
„Menționăm că în decursul acestui an au fost raportate Băncii Naționale a României un număr de 12 incidente majore, toate acestea fiind de natură operațională. Numărul de utilizatori de servicii de plată afectati a variat între 300 și 147.000 (cel mai sever incident)”, arată BNR. Cazul dublării plăților cu cardul pentru o scurtă perioadă de timp la ING Bank este binecunoscut. De altfel, primul sistem inovator al ING Bank, Self Bank a fost testat întâi în România și apoi lansat în Benelux. Oficialii ING Bank ne spun: „ING a avut o eroare de dublare a plăților cauzate dintr-o eroare ING: cel din 27 iulie 2020, cauzat dintr-o eroare de sistem. Sumele au fost returnate în aceeași zi. ING are un proces de administrare a incidentelor care presupune identificarea cauzelor structurale și adresarea lor prin controale suplimentare pentru a preîntâmpina repetarea unui incident în condiții similare (ex. automatizări, modificarea rutinelor de procesare în sisteme, modificări procedurale etc.)”
Banca Națională arată că printre serviciile de plată afectate se numără incidentele care au vizat instrumentele de plată electronică de tip card (imposibilitatea utilizării acestora la POS/ATM), precum și cele la distanță de tip internet și mobile banking. Cauzele evenimentelor perturbatoare au avut surse multiple, de la erori umane sau de defectiuni ale unor echipamente ITC, la supraîncărcarea serverelor etc. Aceleași surse din piață menționează că la BCR, de exemplu, multe din incidentele de plată se referă doar la blocaje ale sistemului. În cazul Raiffeisen Bank au existat câteva tentative de phishing, prin care hakerii reușeau să copieze pagina băncii pentru a induce în eroare unii clienți ai băncii. De asemenea în lunile aprilie și mai au fost impactate sistelmele de utilizare a cardurilor și platformele de internet banking. Problemele au fost rezolvate și clienții nu au avut de suferit.
Facem precizarea că BNR nu poate furniza informații la nivel de instituție de credit, datele şi informaţiile statistice care permit identificarea subiecţilor statistici, în mod direct sau indirect, dezvăluind astfel informaţii cu caracter individual, fiind considerate confidenţiale.
Asigurări de sute de milioane de euro împotriva riscurilor cibernetice
Despre cuantumul pierderilor generate de incidentele existente la nivelul prestatorilor de servicii de plată, BNR spune că nu colectează date în acest sens, cu precizarea că prestatorii de servicii de plată pot încheia contracte de asigurare pentru a diminua riscul pierderilor financiare asociate.
Surse din piața financiară spun însă că franșiza plătită de o bancă este de 500.000 de euro per incident și că valoarea sumelor asigurate pentru acest tip de instrumente este de sute de milioane de euro, în funcție de mărimea băncii. În acest context, majoritatea polițelor de acest tip sunt realizate prin banca mama. Dar așa cum spun unii asigurători/brokeri de asigurări care activează și pe piața românească există și bănci de la noi care și-au încheiat direct astfel de polițe.
În plus, anumite servicii de acest gen sunt externalizate de către bănci și atunci prestatorul de servicii este cel care trebuie să dețină asiguirarea împotriva riscurilor IT&C. De exemplu, pe zona de bancomate, cel mai mare prestator în România este Euronet. Prestatorul de servicii adiacente este obligatoriu asigurat, dar pentru plata banilor dispăruți toate fraudele trebuiesc dovedite în instanță.
„Piața asigurărilor împotriva riscurilor cibernetice se află într-un stadiu incipient. Acest stadiu determină rate ale volumului primelor mult mai mari comparativ cu alte segmente de asigurare. Cu toate că numărul polițelor cyber este mic, tot mai multe companii își manifestă interesul pentru încheierea acestui tip de asigurare. Ne menținem estimările potrivit cărora, în România, volumul primelor brute subscrise din acest tip de asigurări ar putea ajunge la 25 milioane euro în anul 2025”, a declarat Cristian Fugaciu, CEO Marsh România, unadin cei doi brokeri de astfel de polite de lanoi, dar care intermediază aceste polite cu asigurători/reasigurători internaționali.
Potrivit celui mai recent studiu realizat de Marsh, chiar dacă toate sectoarele economiei sunt expuse riscurilor cibernetice, trei domenii au înregistrat o incidență mai mare a daunelor. Astfel, în Europa, instituțiile financiare au fost cele mai afectate, cu 21% din totalul daunelor raportate în 2019.
Criminalitatea cibernetică se dezvoltă atât din perspecitva numărului de incidente dar și ca grad de sofisticare. Companiile sunt tot mai expuse riscurilor majore de întrerupere a activității și costurilor aferente gestionării unor astfel de incidente. În aceste condiții, tot mai multe companii încheie asigurări împotriva riscurilor cibernetice pentru a beneficia de protecție suplimentară, mai ales în contextul consecințelor indirecte ale pandemiei COVID-19 și a creșterii semnificative a ponderii work-from-home în activitatea organizațiilor.
Astfel, băncile chiar dacă au returnat banii clienților sau nu s-a vorbit chiar de pierderi financiare generate de dispariția banilor din conturi, au de suferit depe urma blocării activității. Timpii morți în activitatea unei instituții de credit pierd bani din neutilizarea instrumentelor de plată.
Asigurarea împotriva riscurilor cibernetice reprezintă soluția care completează măsurile tehnice și organizaționale pe care companiile trebuie să le implementeze pentru a diminua expunerea la efectele incidentelor cibernetice. Nici un sistem de Securitate cibernetică nu poate garanta protecția 100%.