Przełom ws. cyfrowych oszustw finansowych. Regulacja UE ma zobowiązać banki do zwrotu pieniędzy klientom

Liczba przypadków oszustw płatniczych oraz związane z nimi straty gwałtownie wzrosły w ostatnich latach. Zgodnie z danymi Europejskiego Urzędu Nadzoru Bankowego (EBA) i Europejskiego Banku Centralnego (EBC), łączna wartość nieuczciwych transakcji w EOG wyniosła w 2022 r. co najmniej 4,3 mld EUR. EBA stwierdziła, że 68 % szkód ponoszą płatnicy. 

AI pomaga cyberprzestępcom wyłudzać pieniądze

"W opinii z 24 kwietnia 2024 r. EBA zauważa, że oszuści dostosowali w ostatnich latach swoje techniki, kładąc mniejszy nacisk na kradzież danych klientów, a większy – na nakłanianie ofiar do samodzielnego dokonywania nieuprawnionych płatności. Prowadzi to do coraz bardziej złożonych metod wyłudzeń, zwłaszcza z wykorzystaniem sztucznej inteligencji i inżynierii społecznej" - zauważa dr Anthony Verhees (z Uniwersytetu Luweńskiego w Belgii), w swojej rozprawie na ten temat. 

W praktyce ofiarom oszustw płatniczych niezwykle trudno jest odzyskać skradzione środki bezpośrednio od sprawców. "Aby chronić konsumentów i zachęcić instytucje finansowe do wykrywania oraz zapobiegania oszustwom, Parlament Europiejski wprowadził reżim odpowiedzialności w Dyrektywie 2015/2366/UE w sprawie usług płatniczych na rynku wewnętrznym (PSD2)" - wyjaśnia pracownik naukowy wydziału prawa KU Leuven..

Teraz w związku z gwałtownym skokiem technologicznym i rozwojem technologii DeepFake parlamentarzyści pracują nad poszerzeniem regulacji. 

Nowa ochrona przed oszustwami typu impersonation fraud

Rada UE wprowadza znaczące zmiany w unijnej dyrektywie PSD3. Najważniejsza dotyczy sytuacji, gdy oszuści podszywają się pod dostawcę usług płatniczych – na przykład jako pracownik banku lub poprzez fałszywy serwis bankowości  i wykorzystuje przy tym oficjalne kanały komunikacji tego dostawcy. Nowe brzmienie regulacji obejmuje takie przypadki jako tzw. impersonation fraud - czytamy na stronie Parlamentu Europejskiego.

Zwrot środków w 15 dni roboczych po oszustwie

Gdy ofiara takiego oszustwa dokona transakcji, instytucja finansowa musi zwrócić środki w ciągu 15 dni roboczych, pod warunkiem że klient zgłosi przestępstwo niezwłocznie i dostarczy wymagane informacje do firmy płatniczej – m.in. potwierdzenie zgłoszenia sprawy policji - zauważa portal Bankier.pl.

Kim jest dostawca płatności? To oczywiście może być bank, ale mowa także o innych instytucjach płatniczych. Przykładowo: Revolut, Klarna, PayU czy operatorzy telekomunikacyjni, jeśli umożliwiają obciążenie rachunku abonenta. 

Kto może zostać obciążony – co mówią regulacje?

Jak czytamy we wstępnych opisach regulacji PSD3 banki oraz inne instytucje płatnicze mają prawo odmówić zwrotu klientowi, jeśli oszustwo wynika z "rażącej niedbałość" klienta. W takim przypadku muszą jednak uzasadnić decyzję i poinformować klienta o możliwości dalszej skargi lub odwołania się - wylicza Bankier.pl.

PSD3. Co to oznacza w praktyce?

• Klient chroniony jest także, gdy padnie ofiarą cyberpodróbek – np. fałszywa strona login.bank.pl, wiadomości SMS z oficjalnych kanałów komunikacji dostawcy płatności, zawierające linki itp.
• Żaden system zabezpieczeń (np. uwierzytelnianie) nie gwarantuje braku odpowiedzialności banku – liczy się to, co klient faktycznie wiedział o transakcji.
• Nowe przepisy wymagają od banków zbierania dowodów na to, że klient uczestniczył w oszustwie celowo lub był bardzo niedbały.

Cel zmian w PSD3

Dyrektywa PSD3 wzmacnia pozycję konsumenta – w przypadku impersonation frajd przerzuca ciężar ochrony na instytucje płatnicze, które są lepiej przystosowane do wykrywania i przeciwdziałania oszustwom, co ma zmusić je do większych inwestycji w cyberbezpieczeństwo. To ważny krok w obliczu rosnących zagrożeń związanych z deepfake, phishingiem i innymi formami cyberprzestępczości. Z drugiej strony poważne wyzwanie dla dostawców płatności narażające je na potencjalne straty w wyniku działalności przestępców. 

Nowy zapis PSD3 wymaga jeszcze rozporządzeń wykonawczych i wdrożenia przez państwa członkowskie. Przewiduje się, że zapisy wejdą w życie w drugiej połowie 2026 roku, po zakończeniu prac legislacyjnych UE .