Zacznijmy od początku… termin „system bankowy” obejmuje elementy strukturalne całego sektora bankowego, czyli instytucje, usługi, procedury i prawo . Bezpieczeństwo użytkowników w systemach bankowych jest coraz szerszym zagadnieniem i poszerzającym się podmiotowo (rośnie liczba użytkowników) i przedmiotowo (rośnie liczba operacji oraz usług odbywających się w systemach informatycznych . W ostatnich 10 lat pojawił się także problem bezpieczeństwa w bankowości mobilnej .
W obecnym porządku prawnym można podzielić zagadnienie bezpieczeństwa użytkowników na dwa obszary:
*) bezpieczeństwo osobowe, związane z danymi osobowymi użytkowników (chociaż należy pamiętać o klientach korporacyjnych, gdzie tożsamość główna jest związana ze spółką lub inna organizacją, np. stowarzyszeniem lub fundacją, a tożsamości użytkowników są związane z osobami, które pełnią funkcje lub pracują w tych spółkach),
*) bezpieczeństwo transakcyjne związane z bezpieczeństwem środków zgromadzonych na kontach bankowych, chociaż należy także wyróżnić oddzielną kategorię bezpieczeństwa, jaką jest dostępność usługi .
Podstawowe rodzaje ataków dokonywanych na użytkowników korzystających z bankowych systemów informatycznych to:
a) Denial of Service (DDoS), który oznacza, że użytkownik ma zablokowany dostęp do usług bankowych z powodu ich wyłączenia (atak na serwery serwisu transakcyjnego),
b) APT (Advanced Persistent Threat), który polega na zastosowaniu złożonych mechanizmów ataku i złożonych celów ataku, jego wynikiem jest przejęcie tożsamości użytkowników, danych dostępowych przez co możliwe jest przejęcie kontroli nad środkami i usługami związanymi z kontem, kradzież środków czy dokonywanie nielegalnych transakcji,
c) Malware, szkodliwe oprogramowanie jest instalowane na stacji roboczej lub urządzeniu mobilnym w celu wykonywania złośliwych działań, np. podmiany numeru rachunku, przesłanie kodu SMS na nieautoryzowane konto,
d) Phishing, to atak socjotechniczny, który ma na celu skierowanie osoby na fałszywą stronę internetową podszywającą się pod serwis transakcyjny banku, jego celem jest przechwycenie danych logowania,
e) Spear phishing, opiera się na tych samych zasadach, co phishing, jednak jego celem jest ściśle określona osoba lub grupa osób, instytucja lub grupa instytucji.
Powyżej zostały opisane podstawowe rodzaje zagrożeń. Część zagrożeń związanych z użytkowaniem systemów informatycznych banków wykracza poza sferę hardware lub software. Zagrożenia socjotechniczne to np. tzw. „oszustwa nigeryjskie”, w których użytkowników skrzynek poczty elektronicznej obiecywana jest duża wypłata pochodząca ze spadku lub darowizny, warunkiem jest dokonanie wpłaty wstępnej czy obsługa kosztów przelewu .
Bezpieczeństwo użytkowników korzystających z bankowych systemów informatycznych jest zapewniane w ramach :
*) Rozwiązań prawnych,
*) Rozwiązań pozaprawnych, które dzieli się na środki technologiczne i pozatechnologiczne (np. edukację).
Rozwiązania prawne dotyczące bezpieczeństwa użytkowników można podzielić na: normy karne, normy regulujące wymogi technologicznego i proceduralnego zabezpieczenia transakcji, normy ochrony danych osobowych .
Zdaniem ankietowanych wzrost bezpieczeństwa może być osiągnięty dzięki zastosowaniu nowych technologii: biometrii, e-tożsamości czy płatności bezgotówkowych . Przy tym można zaznaczyć, że to płatności bezgotówkowe są obszarem, w którym dochodzi do cyberataków (a nie płatności gotówkowe), z kolei alternatywnym rozwiązaniem dla powyższego zestawu narzędzi rodzących także pytania o prawa obywatelskie, w tym prawo do prywatności jest dalsze ulepszanie technologii kryptograficznych (np. w oparciu o technologie kwantowe) . Kolejnym czynnikiem jest otoczenie wykonywania transakcji czyli spokój, rozsądek i wiedza rozwijane dzięki środkom edukacyjnym.