1. Monitorowanie transakcji klientów i odpowiednie stosowanie środków technicznych.
Urząd oczekuje szczególnej czujności, gdy na rachunkach zachodzą nietypowe transakcje, np. wartość jest wyższa niż przeciętnie, pojawiają się transakcje niskokwotowe powtarzające się w krótkich odstępach itp.
Zaleca uważność także wtedy, gdy nietypowe transakcje pojawiają się po aktywacji aplikacji mobilnej, gdy transakcji dokonuje klient, który nie zgodził się na stosowanie autoryzacji biometrycznej,
gdy transakcje odbiegają od standardu dla danego klienta lub wskazują na schemat oszustwa.
2. Cooling period
To funkcja opóźniająca realizację transakcji ze względu na jej podejrzany charakter. Urząd dopuszcza, a nawet sugeruje jej stosowanie pod warunkiem, że klient zostanie poinformowany o wstrzymaniu transakcji. Można skorzystać z tego rozwiązania, gdy na rachunku wystąpią podejrzane ruchy, np. istotne podwyższenie limitu transakcji, przelew pieniędzy z dopiero co zaciągniętego kredytu, zmiana danych, zmiana sposobu komunikacji.
3. Komunikaty voice
Dostawca usług płatniczych powinien zadzwonić do klienta w celu weryfikacji jego tożsamości w sytuacji, gdy składa on wniosek, dyspozycję lub zleca transakcję, która może zostać zakwalifikowana jako nietypowa.
4. Limity transakcji
Regulator nie narzuca określonego limitu dla nowych klientów, sugeruje, aby dostawca kierował się własnym doświadczeniem. Powinien jednak informować klienta o ryzyku związanym z utrzymywaniem wysokiego limitu. Gdyby klient chciał go znacząco podwyższyć, zalecany jest kontakt telefoniczny. Podwyższenie limitu powinno być traktowane jako opcja na określony czas.
5. Ograniczenia niektórych funkcji
Zalecenie odnosi się w szczególności do kredytów na klik, czyli zawieranych z aplikacji mobilnej lub z desktopu, ale nie tylko. Urząd nie podaje szczegółowego katalogu funkcji podlegających prohibicji, głównie dla nowych klientów. Wskazuje tylko przykłady — np. kredyt na klik oraz szybkie przelewy, przelewy zagraniczne i transakcje bez silnego uwierzytelnienia. Nie powinny one być dostępne dla klientów domyślnie. Kiedy zostaną włączone, klient musi zostać poinformowany o ryzyku związanym z ich stosowaniem. Zalecane jest stosowanie cooling period w przypadku transakcji realizowanych przez klienta, który właśnie aktywował ryzykowne funkcje, np. zaciągnięcie kredytu w aplikacji.
6. Blokada dostępu do aplikacji
Zalecenie odnosi się do sytuacji, gdy jest podejmowana próba zalogowania się do aplikacji mobilnej lub serwisu internetowego, a w tym samym czasie telefon/komputer pozostaje aktywnie połączony sesją zdalną z jakimkolwiek innym urządzeniem. Dostawca ma wówczas obowiązek zablokować możliwość logowania, chyba że klient chce mieć połączone urządzenia i wystąpił z wnioskiem o taką możliwość.
7. Uwierzytelnienie pracownika dostawcy usług płatniczych
Dostawca usług płatniczych musi zadbać o to, żeby klient wiedział, że kontaktuje się z nim jego pracownik. Dlatego musi uwiarygodnić się po nawiązaniu kontaktu z klientem. Urząd podaje dwa przykłady, jak to zrobić: przez powiadomienie push w aplikacji lub za pomocą ustalonego wcześniej z klientem kodu.
8. Treść komunikatów kierowanych do klientów
To dość oczywiste zalecenie: wszelkie komunikaty voice, SMS, push kierowane do konsumentów powinny być zrozumiałe i proste.
9. Możliwość odtworzenia treści komunikatów przez klientów
Klient ma mieć możliwość weryfikacji wszystkich komunikatów ze wszystkich kanałów i odtworzenia ich w każdym momencie przez okres nie krótszy niż 13 miesięcy.
10. Możliwość szybkiego dokonania zgłoszenia nieautoryzowanej lub oszukańczej transakcji płatniczej przez klienta
Nadzór nakazuje utworzenie specjalnej infolinii oraz czatu w aplikacji i w serwisie transakcyjnym do zgłaszania nieautoryzowanych i oszukańczych transakcji. Telefony mają być odbierane szybko — przez człowieka, a nie bota.
11. Przycisk panic button/emergency button
Jest to funkcja w aplikacji i w serwisie transakcyjnym umożliwiająca natychmiastową blokadę konta przez klienta. Deblokada powinna być możliwa w oddziale. Czas zamrożenia konta może obowiązywać przez określony czas.
12. Stosowanie SCA przy transakcjach CNP w każdym przypadku
Te dwa skróty oznaczają, że przy każdej transakcji kartą wirtualną powinno być stosowane silne uwierzytelnienie.
13. Dane uwierzytelniające widoczne na karcie płatniczej
Zalecenie dotyczy w szczególności kodu CVV/CVC i odnosi się do dostawców, którzy nie wymagają silnego uwierzytelnienia.
14. Jednorazowe karty wirtualne
Wskazane jest, aby dostawcy usług płatniczych oferowali klientom możliwość skorzystania z jednorazowych kart wirtualnych generowanych na potrzeby konkretnej transakcji.
15. Klucz sprzętowy U2F
Urząd uważa, że dostawca usług płatniczych powinien oferować klientom możliwość stosowania silnego uwierzytelnienia za pomocą zewnętrznego urządzenia (Universal 2nd Factor).
16. Stosowanie systemów opartych na sztucznej inteligencji lub biometrii behawioralnej
Urząd zachęca do stosowania biometrii do uwierzytelniania klientów. W ramach zachęty podkreśla, że klient korzystający z takiej opcji będzie miał ułatwiony dostęp do ryzykownych funkcji.
