A fintech kényelmes, de vajon biztonságos is?
Pénzügyeink kezelésében fordulóponthoz érkeztünk a 2020-as koronavírus-világjárvány során. Ugyan a pandémiát megelőzően már magas volt a bankkártyás fizetések aránya, a karantén hónapjai során jelentősen nőtt a digitális pénzügyi szolgáltatásokra áttérők száma, akik jellemzően a lezárások feloldása után sem tértek vissza a készpénzhasználathoz. A járvány felgyorsította a fintech-ek ugrásszerű fejlődését és alkalmazását, így ma már széles körben vált elérhetővé az online számlanyitás, a banki appon keresztüli hitelkérelem benyújtása és elbírálása, és számos egyéb contactless szolgáltatás.
Az online ügyintézés, az adattárolás kulcskérdése, a személyes adatok mellett, az érzékeny pénzügyi adatok védelme, az adatkezelőknek ugyanis több kihívásra is megfelelő választ kell adnia. Az adatbiztonság kérdése a legfontosabb, mivel a pénzügyi adatok kezelése ma már kivétel nélkül valamilyen elektronikus megoldás, banki háttérrendszer segítségével történik.
Az adatok biztonságára általában három irányból leselkedik veszély: külső támadás, amely jellemzően valamilyen hackertámadásban csúcsosodik ki, belső támadás, amikor egy sértett, vagy elbocsátott alkalmazott okoz kárt például adatszivárgással vagy -törléssel. Kevésbé ijesztő, de viszonylag gyakori biztonsági esemény a véletlen károkozás miatti adatvesztés, vagy az adatok véletlen nyilvánosságra kerülése, hiszen ilyenkor annak ellenére következik be incidens, hogy a biztonsági rendszerek rendelkezésre állnak, a felhasználó figyelmetlensége miatt azonban nem működnek megfelelő hatékonysággal. A kiberbiztonsági szakemberek legfontosabb feladata az incidensek megelőzése, illetve azok bekövetkezése esetén az adatok biztonságának mielőbbi szavatolása. A megelőzés többrétegű feladat, amely nemcsak a hackertámadás elleni ellenállóságot, hanem a rendszereket használó felhasználók biztonságtudatosságát, valamint a kiszolgáló szerverek, számítástechnikai eszközök fizikai biztonságát is magában foglalja. Az érzékeny pénzügyi információk különösen magas kockázati kategóriába eső személyes adatok, ezért mindent meg kell tenni az incidensek megelőzése érdekében.
A banki ügyfelek biztonságtudatossága meghatározó egy kibertámadás vagy adathalász kísérlet kimenetelére. A csalók egyre gyakrabban véletlenszerűen kiválasztott telefonszámokon választják ki áldozataikat, ebben az esetben jellemzően előre meghatározott forgatókönyv alapján igyekeznek rávenni a hívott felet minél több személyes és pénzügyi adat megadására.
A leggyakoribb ilyen forgatókönyvben „banki vészhívásnak” álcázzák a beszélgetést, amelyben a csalók szerint egy „banki alkalmazott” értesíti ügyfelét egy szokatlan pénzmozgásról, amelyet éppen megakadályoztak, a biztonság kedvéért pedig szeretne néhány adatot – jelenlegi egyenleg, bankkártya száma stb. – egyeztetni. Ilyenkor a legjobb védekezés, ha visszakérdezünk, hogy ki van a telefon másik végén, melyik bankfiókból hív, illetve pontosan milyen gyanús pénzmozgásról van szó. Arra sem árt rákérdezni, hogy miért keresnek egy olyan bankból, ahol nincs is számlánk, vagy miért kérdezi meg a banki alkalmazott az egyenleget, amikor ez számára biztosan elérhető a számítógépes rendszerükben.
A kérdésekre adott válaszok minősége árulkodó lehet, egy valódi banki alkalmazott pontosan és a banki szaknyelvet használva tájékoztatja ügyfelét, és biztosan nem keveri a hitelkártya, a betéti vagy debit kártya, a lakossági folyószáma, alszámla és takarékszámla fogalmakat.
Árulkodó jel lehet a hívó fél fogalmazása is, ha a választott kifejezések választékosságának hiánya érhető tetten. A legjobb azonban, ha ilyenkor nem adunk ki információt a hívó félnek, hanem információt kérünk, és ezek birtokában bontjuk a bejövő hívást. Ezután azonnal hívjuk fel a bankkártyánkon is szereplő központi számon a saját bankunkat, és ott az imént minket felhívó ügyintézőt kérjük, illetve jelezzük a csalási kísérletet.
A kiberbiztonsághoz hasonlóan fontos egy pénzintézet megbízhatósága és átlátható működése, az ügyfelek adatainak megfelelő kezelése és az adatkezelési célnak megfelelő felhasználása. Az elektronikus fizetési és nyilvántartási rendszerek elterjedésével ugyanis ma már könnyen nyomon követhető egy banki ügyfél pénzügyi életútja, amiből messzemenő következtetések vonhatók le. A jóváírásokból a fizetésére, a kártyaadatok alapján például az életminőségére, az étkezési szokásaira és a hobbijaira is adatokat kaphatunk, azaz egy komplett ügyfélprofil rajzolható ki a tranzakciós adatokból. Megnyugtató, hogy Európában a GDPR megfelelően szabályozza az automatizált döntéshozatal bevonásának kérdéskörét, mivel ez a technológia lehetővé teszi a profilalkotást. Az ügyfeleket előzetesen kell tájékoztatni az automatizált döntéshozatal alkalmazásáról, és mindezt adatkezelési nyilatkozattal is el kell fogadnia az ügyfélnek.