sunnuntai 28. tammikuuta 2024

Verkkopankin turvallisuutta olisi helppo parantaa, eivätkä toimet ole edes kalliita

(Kirjoitus julkaistu alun perin Helsingin Sanomien mielipide-palstalla 24.1.2024)

Finanssiala ry:n Teija Kaarlela kiinnitti huomiota verkkopankkien tietoturvaongelmiin (HS Mielipide 22.1.). Tapauksia on määrällisesti vähän, mutta huijausyrityksiä satelee jatkuvana virtana ja aina joku menee lankaan. Pahimmillaan koko tili tyhjennetään ulkomaille.

On kohtuutonta, että jos tilille ilmestyy muutaman kymmenen euron epäilyttävä siirto, pankista otetaan yhteyttä ja kysytään selvitystä maksun alkuperästä. Tulevien maksujen kontrolli on rahanpesulakien vuoksi tarkkaa, mutta toiseen suuntaan pakollista kontrollia ei ole. Rikollinen voi siirtää tilin tyhjäksi ulkomaille ja ottaa vielä luottoa limiitin täydeltä, eikä pankki reagoi. Kaarlelan mukaan pankkien keinot rikollisten maksujen estämiseen ovat rajatut ja perustuvat pääasiassa varoituksiin. Olen eri mieltä. Pankit voisivat tehdä paljonkin huijausten estämiseksi, eivätkä toimet olisi edes teknisesti vaikeita tai kalliita.

Verkkopankin turvallisuus perustuu vanhentuneeseen uhkamalliin, jossa pyritään estämään ulkopuolisen pääsy tilille. Epäilyttävistä tapahtumista pyydetään lisävahvistus joko tunnusluvulla tai tekstiviestillä. Tämä toimi kertakäyttöisten tunnusten aikaan, mutta ei enää. Mobiililaitteen avulla rikollinen voi saada tilin kokonaan hallintaansa, jolloin hän pääsee myös kuittaamaan kaikki varmistukset.

Verkkopankin turvallisuus perustuu vanhentuneeseen uhkamalliin.

Verkkopankkihuijauksissa tärkeintä on aika. Miksei ulkomaansiirtoihin lisätä pakollista 24–48 tunnin viivettä? Miksei asiakas voi estää kokonaan maksuliikennettä ulkomaille? Luottokortissa maarajauksen voi tehdä itse, tilisiirroissa ei.

Rahaliikenteen tarkoituksellinen hidastaminen tuntuu ajatuksena oudolta, koska tähän asti on pyritty nimenomaisesti siirtojen nopeuttamiseen. Pankit voisivat kuitenkin tehdä viiveestä valinnaisen ja markkinoida sitä ”lisäturvana” halukkaille.

Tapauksessa, jossa koko tili tyhjennetään ilman ennakkoilmoitusta ulkomaille, pitäisi aina ottaa henkilökohtaisesti yhteyttä asiakkaaseen. Eikö tätä voisi vaatia osana nykyistä rahanpesusääntelyä?

Rosvon auttamiseksi joissakin verkkopankeissa kielen voi vaihtaa lennossa englanniksi. Miksi ihmeessä? Kielivalinnan pitäisi olla pysyvä ja käyttäjäkohtainen, tai ainakin vaihdossa tulisi olla samainen 24–48 tunnin viive.

Epäilyttävien siirtojen kuittauspyynnöt tilinhaltijalta ovat merkityksettömiä, jos tilin hallinta on menetetty. Entä jos riskiryhmäläiset voisivat lisätä verkkopankkiinsa luottohenkilön puhelinnumeron, jolta kuittaukset pyydettäisiin?

Viimeisenä pankkien pitäisi perustaa yhteinen 24/7-palvelunumero, johon soittamalla asiakas voisi jäädyttää kaikki tilitapahtumansa. Nyt huijatuksi tullut uhri joutuu pahimmillaan odottamaan virka-aikaan asti, vaikka pankki ja huijarit toimivat vuorokauden ympäri.

Suomalainen verkkopankki oli 1990-luvulla tietoturvan edelläkävijä, mutta asema ei säily itsestään. Uudet uhkamallit vaativat uusia toimia. On pankkien etu tehdä tämä oma-aloitteisesti.

Petteri Järvinen

Espoo

Tämä kirjoitukseni liittyy teemaan, jota olen käsitellyt aiemminkin blogissani sekä Tivi-lehden kolumnissa ("Lisää hitautta verkkopankkiin", elokuu 2023).

Sain palautetta, jonka mukaan EU ei hyväksy SEPA-maiden maksujen tahallista hidastamista vaan pikemminkin haluaa nopeuttaa niitä entisestään. Maksamisen pitäisi olla läpinäkyvää jäsenmaiden välillä. Oleellista omassa ehdotuksessani on, että viivästys olisi vapaaehtoinen valinta, jota voisi markkinoida paremmalla turvallisuudella. Tällaista omaehtoista hidastusta EU ei voi kieltää.

Lisäksi rajoitus voisi koskea vain uusia tilinumeroita. Jos samalle tilille on maksettu onnistuneesti vaikkapa parin viime vuoden aikana, viivettä ei olisi. Pankki voisi itse tarjota valkoisen listan yleisistä ulkomaisista verkkokaupoista ym. tileistä, joiden omistajat ovat varmasti luotettavia.

Viime aikoina huijarit ovat alkaneet käyttää suomalaisia muuleja, joita käytetään apuna rahojen siirtämisessä eteenpäin tai rahat nostetaan käteiseksi pankkiautomaatista.

Kaikkein selkein vaaran merkki on eri tilien rahojen siirtäminen yhteen ja sen jälkeen tilin tyhjentäminen, tapahtuipa se kotimaahan tai ulkomaille. Tällainen pitäisi olla helppo havaita eikä sitä pitäisi sallia ilman pankille tehtävää ennakkoilmoitusta. 

Myös luottohenkilön puhelimeen lähetettävä tekstiviestivahvistus olisi hyvä varokeino, etenkin jos numero pitäisi asettaa etukäteen eikä sitä voisi vaihtaa muutoin kuin suoraan pankin kanssa asioimalla. Tämä olisi vieläpä varsin helppo toteuttaa. 

Mikään näistä toimista ei ole ongelmaton eikä aukoton. Vaikka suojakeinot olisivat vapaaehtoisia, niistä aiheutuisi yllättäviä tilanteita ja uusia puheluita pankin asiakastukeen. Pankkien pitää itse arvioida, ovatko huijaukset jatkuessaan suurempi kustannus kuin uusien suojakeinojen käyttöönotto.

Lisää ajatuksia aiheesta seuraavassa kirjoituksessa.

5 kommenttia:

Zarr kirjoitti...

SEPA-alueen ulkopuolelle tuommoisen viiveen voisi varmaan tehdä automaattisesti, mutta SEPA-alueen sisällä ei käytännössä ole mitään eroja meneekö raha kadun toisella puolella olevaan pankkiin vai Portugaliin. Itse asiassa, jossain ne SEPA-alueen ulkopuolisten maksuen rahat matkustaa ilmeisesti pitkäänkin, koska Yhdysvalloista kun silloin tällöin tulee rahaa niin ne saattavat viipyä matkalla toista viikkoa ellei lähettäjä maksa pikasiirrosta ekstraa.

Toki ratkaisuna voisi olla myös että esim. > 100 euron summissa yksinkertaisesti ei *voisi* asettaa eräpäiväksi tätä päivää - oli vastaanottaja kuka tahansa, vaan eräpäivä pitäisi aina laittaa vähintään seuraavalle pankkipäivälle. Tämä siis perustilisiirroissa. Klarnojen ja Paytrailien ja vastaavien veloituksissa voisi raha edelleen liikkua heti.

Asiaan liittyen tosiaan harmittaa edelleenkin että yhdeltäkään suomalaiselta pankilta ei saa virtuaalisia luottokortteja. Haluaisi kovasti että visalleni voisi generoida n kpl rinnakkaiskortteja, joita voisi käyttää netissä. Haluamallaan tavalla ja jokaisella yksilöllisillä luottorajoilla. Voisin halutessani pistää joko joka nettikaupalle oman, tai sit vain pistää hieman epäluotettavammille (tyyliin hotels.com ja booking.com) oman ja muille oman...

Zarr kirjoitti...

Ai niin: Pankit voisivat helposti tehdä ainakin säästötileille viivästetyn siirron. Minulla on rahoista suurin osa osakkeissa ja rahastoissa, mutta myös säästötilillä on jonkin verran rahaa. Aion nostaa sieltä isomman summan jotta voin maksaa verottajalle lisäennakkoa kuun lopussa.

Ainakin Osuuspankissa säästötililtä ei voi tehdä siirtoa kuin vain ja ainoastaan kuluvana päivänä - en siis voi laittaa tuonne siirtoa kuun lopulle vaan pitää muistaa temppu tehdä erikseen ensi viikolla.

Tämä pitäisi kääntää päälaelleen, eli että tuollaisilta suuriakin summia sisältäviltä säästötileiltä voisi siirtää nimenomaan vähintään parin päivän viiveellä. Eli eräpäiväksi ei *voisi* asettaa "tänään".

Jos hakkeri myy pörssiosakkeeni, niin voi olla että tulee tappioita, mutta rahoja hän ei saa koska pörssikauppojen clearaus tapahtuu vasta kolmen päivän kuluttua. Sama useimmissa rahastoissa, myyntitoimeksiannot toteutetaan niin että rahaa tulee joko parin päivän tai jopa vasta vuodenkin kuluttua...

Tällä tavalla ainakin ns. isojen summien menettämisestä voisi päästä eroon.

Petteri Järvinen kirjoitti...

Hyvä pointti: kannattaa pitää säästöt pörssissä, niin rosvo ei pääse rahastamaan niitä itselleen.

Tähän asti on pyritty pankkipalvelujen nopeuttamiseen. Tietoturvasyistä pitäisi halukkaille antaa mahdollisuus pakolliseen viivyttämiseen ja asettaa turvakeinoja, joita voi poistaa ainoastaan olemalla yhteydessä pankkiin.

Nykyään "nopeus * turvallisuus = vakio".

Anonyymi kirjoitti...

En käytä älypuhelinta, joten en ehkä ihan ymmärtänyt juttua. Onko siis mobiilipankkitekniikassa jokin tapa päästä myös tilin asetuksiin? Verkkonpankissahan voi omia korttejaan hallita asettamalla nostorajoja ja määrittelemällä missä korttia voi käyttää milloinkin (Suomessa vai muussa maassa, internetissä vai ei).

Anonyymi kirjoitti...

"Asiaan liittyen tosiaan harmittaa edelleenkin että yhdeltäkään suomalaiselta pankilta ei saa virtuaalisia luottokortteja." Miten niin ei saa? Tietääkseni Suomalaiselta Aktia pankilta saa digital credit virtuaaliluottokortin tälläkin hetkellä.