באיחור של חודש: בנק ישראל פרסם הוראה שתמנע גניבת זהות באפליקציות התשלומים

בחודש שעבר געשו הרשתות החברתיות בעקבות פוסט שכתב לקוח של אפליקציית ביט של בנק הפועלים בה טען כי פרצו לו לאפליקציה וגנבו באמצעותה כספים מתוך חשבון הבנק שלו. הפוסט הפך לוויראלי אך הפרטים שלו לא היו מדויקים. בדיעבד הסתבר כי נעשה שימוש בפרטי כרטיס האשראי של אותו לקוח, המשמשים גם את האפליקציות בגביית תשלומים, כדי להירשם לאפליקציה ממכשיר טלפון נוסף תוך שהאדם שביצע את ההתחברות מסר את כל הפרטים המזהים הנדרשים של אותו לקוח. כלומר, הגנב השתמש בזהות של הלקוח המקורי כדי למשוך כספים מכרטיס האשראי של הלקוח לתוך חשבונו שלו.

הפוסט הזה הציף פרצה בחוק שאפשרה רישום כפול של לקוח באפליקציות התשלומים, שבאמצעותה בוצעה אותה גניבה של כספים מהלקוח. בדיעבד מתברר כי הפרצה הזו יכולה הייתה להיסגר מזמן על ידי בנק ישראל שפרסם כבר לפני זמן רב טיוטה לנוהל בנקאי תקין מספר 411, שעוסקת בניהול סיכוני איסור הלבנת הון ואיסור מימון טרור. רק אתמול, שבועות אחרי הפריצה לכאורה לאפליקציית ביט, פרסם המפקח על הבנקים יאיר אבידן את ההוראה עצמה, כך שהיא צפויה לסגור את הפרצה, באיחור משמעותי כאמור. 

אפליקציות תשלום

בבסיס ההוראה עומדת התאמה של דרישות הזיהוי והאימות במתן שירותי תשלומים באמצעים דיגיטליים. כתוצאה ממנה יידרשו כעת לקוחות לרשום בעת רישום לאפליקציית תשלומים את פרטיהם המזהים, כולל שם, מספר זהות, תאריך לידה, מין ומען, את פרטי חשבון העו"ש וכרטיס החיוב שלהם ובחלק המקרים אף יידרשו להציג העתק של תעודה מזהה נושאת תמונה שהונפקה על ידי המדינה. אפליקציות התשלומים יחויבו עוד לפי ההוראה החדשה לאמת את פרטי הזיהוי של הלקוחות מול מרשם האוכלוסין ומול הבנק שבו מתנהל חשבון הלקוח. ככל שהיקף הפעילות של הלקוח יהיה גבוה או מורכב יחסית, יידרשו האפליקציות בפעולות זיהוי ואימות נוספות עד כדי זיהוי פנים אל פנים של הלקוח. 

המשמעות היא שהבנקים יחויבו לדאוג ולוודא שאכן יש קשר בין החשבון שעמו נרשם הלקוח לאפליקציית התשלומים לכרטיס האשראי. כך מקרה גניבה כמו זה שהיה דרך אפליקציית ביט לא יוכל לחזור על עצמו. 

עוד קובעת ההוראה כי האפליקציות יצטרכו לפרט את אופי ההעברות המבוצעות ואף לשמור את המידע, מה שיאפשר בחינה מעמיקה יותר גם מצד הרשויות על העברות הכספים והיעד שלהן. למעשה, הנוהל החדש של בנק ישראל מחייב את מי שמקבלים תשלומים כעסק באמצעות אפליקציות התשלומים לדווח על כך והבנק יחויב לשמור על המידע. בשוק התשלומים כבר סימנו את הסעיף הזה בנוהל של בנק ישראל כפתח עבור רשות המסים לדרוש במסגרת חקירות שהם עושים על בעלי עסקים לקבל לידיהם מידע על העברות כספים באפליקציות התשלומים – דרישה שעד היום הייתה מורכבת הרבה יותר. 

המפקח על הבנקים, יאיר אבידן, ציין אתמול עם פרסום ההוראה, כי "העדכון מתאים את הדרישות הרגולטוריות מהמערכת הבנקאית בתחום איסור הלבנת הון ואיסור מימון טרור לסטנדרטים הבינלאומיים בתחום. בנוסף ההוראה הותאמה לשינויים בסביבת הפעילות הפיננסית, ובכלל זה, שינויים טכנולוגיים ושינויים בשוק התשלומים בישראל, במטרה לקבוע כללי משחק אחידים ככל שניתן לגופים המפוקחים".