Działania ograniczające ryzyko wystąpienia transakcji oszukańczych

Monitor Prawa Bankowego 2025/01 Styczeń

Wstęp

Szybki rozwój i zwiększona dostępność nowych technologii - zwłaszcza urządzeń mobilnych - sprawiły, że znaczną część aktywności konsumenci przenieśli do internetu i aplikacji na smartfony. Oszczędność czasu, większa dostępność, wygoda i łatwość korzystania z usług finansowych niestety idą w parze z szeregiem ryzyk związanych z bezpieczeństwem transakcji i środków zgromadzonych na rachunkach bankowych. To duże wyzwanie, zarówno dla branży handlowej i finansowej, jak i instytucji odpowiadających za bezpieczeństwo i prawidłowe funkcjonowanie rynku.

Doceniamy działania w kierunku zwiększenia bezpieczeństwa transakcji online podejmowane przez dostawców usług płatniczych. Jednocześnie zwracamy uwagę, że ochrona konsumentów na tym rynku wymaga wypracowania spójnych rozwiązań - systemowych i organizacyjnych - które pozwolą przekuć dobre praktyki w rynkowy standard.

Zwiększenie bezpieczeństwa konsumentów korzystających z usług płatniczych wymaga zaangażowania dostawców tych usług w stworzenie katalogu czynników ryzyka i wypracowania odpowiednich środków zapobiegawczych. W tym celu Prezes Urzędu powołał grupę roboczą, w skład której weszli przedstawiciele m.in. Urzędu Komisji Nadzoru Finansowego oraz eksperci z sektora bankowego. Efektem prac jest zbiór zaleceń Prezesa UOKiK przygotowany we współpracy z przedsta­wicielami rynku usług finansowych dla jego uczestników.

Czynniki ryzyka w usługach płatniczych

Postęp technologiczny spowodował zmianę nawyków finansowych konsumentów. Sprawy, które jeszcze kilka lat temu wiązały się z koniecznością wizyty w placówce banku i rozmową z doradcą, teraz załatwiane są online. Jednocześnie konsumenci często są nieświadomi sposobu działania określonych rozwiązań, a co za tym idzie – związanych z nimi ryzyk.

Bezpieczeństwo transakcji online to wspólny interes dostawców i odbiorców usług płatniczych. Niedopuszczalne jest przerzucenie całej odpowiedzialności w tym zakresie na konsumenta. Należy podkreślić, że to na dostawcach usług spoczywa ciężar wyczerpującego udzielenia klientom informacji na temat transakcji płatniczych, w szczególności dotyczy to informacji o ryzykach. Najważniejszą rolę pełnią tu banki, które jako instytucje zaufania publicznego powinny w sposób kompleksowy informować klientów o ryzykach. Wyjaśniać sposoby działania oszustów, a także wdrażać środki monitorowania, komunikacji i reagowania na coraz bardziej wysublimowane metody oszustw i kradzieży. Działania te muszą być prowadzone systematycznie i ewoluować równolegle z rozwojem technologii i zmianami nawyków konsumentów. To samo dotyczy katalogu czynników ryzyka i wytycznych, które mają zminimalizować ich wpływ na konsumentów, korzystających z internetowych usług płatniczych.

Wskazany poniżej zbiór czynników ryzyka, czyli funkcji udostępnianych klientom przez dostawców usług płatniczych, które są najczęściej wykorzystywane do dokonywania transakcji oszukańczych, powstał na podstawie analizy skarg skierowanych do UOKiK przez konsumentów. Ponadto w trakcie prac grupy roboczej został uzupełniony o ryzyka, na które wskazywali przedstawiciele dostawców usług płatniczych, w szczególności sektora bankowego.

Dynamiczny rozwój technologii sprawia, że prezentowanej listy czynników wywołujących ryzyka oraz zaleceń nie należy traktować jako katalogów zamkniętych. Wszelkie zidentyfikowane w ramach niniejszego dokumentu czynniki ryzyka i wskazane w nim zalecenia powinny być stosowane i rozwijane przez wszystkich dostawców usług płatniczych.

1. Możliwość samodzielnego zwiększenia limitów transakcyjnych na koncie klienta z poziomu aplikacji mobilnej lub strony internetowej i utrzymywanie przez klientów wysokich limitów transakcyjnych.

Doświadczenia UOKiK wskazują, że w skrajnych przypadkach w wyniku nieautoryzowanych transakcji płatniczych konsumenci tracili całość środków zgromadzonych na rachunkach rozliczeniowych. Taka sytuacja nie byłaby możliwa, gdyby oszuści uprzednio nie dokonali zwiększenia limitów transakcyjnych, wykorzystując dane uwierzytelniające klienta, lub gdyby klienci mieli świadomość ryzyka związanego z utrzymywaniem limitów transakcyjnych na zbyt wysokim poziomie.

2. Możliwość zaciągnięcia zobowiązania finansowego z poziomu aplikacji mobilnej lub strony internetowej.

Uproszczona i tym samym szybsza procedura oceny zdolności kredytowej w przypadku kredytów konsumenckich oferowanych w aplikacji mobilnej lub z poziomu serwisu internetowego (tzw. kredyty na klik), jak również sam dostęp do tej funkcji, mogą powodować, że po uzyskaniu nieautoryzowanego dostępu do konta klienta osoba trzecia dodatkowo będzie mogła zaciągnąć zobowiązanie finansowe. W konsekwencji kwota nieautoryzowanej transakcji płatniczej dokonanej przez taką osobę jest znacznie wyższa.

3. Możliwość samodzielnej zmiany danych na koncie klienta, w tym np. zmiany metod komunikacji (np. numeru telefonu, adresu e-mail) lub danych wpływających na ocenę zdolności kredytowej z poziomu aplikacji mobilnej lub strony internetowej.

Możliwość samodzielnego dokonania zmiany danych na koncie klienta może skutkować tym, że osoba trzecia, która weszła w posiadanie indywidualnych danych uwierzytelniających dostęp do serwisu internetowego, może zmienić również np. numer telefonu używany do kontaktu lub uwierzytelniania transakcji. To umożliwi przestępcy dokonywanie kolejnych transakcji bez świadomości konsumenta.

Dodatkowe ryzyko stwarza możliwość zmiany danych mających wpływ na ocenę zdolności kredytowej. W powiązaniu z możliwością zaciągnięcia zobowiązania finansowego z poziomu aplikacji mobilnej lub konta klienta w serwisie internetowym przy minimum formalności, może prowadzić do wyższej kwoty nieautoryzowanej transakcji płatniczej, a w konsekwencji powstania strat przewyż­szających kwotę środków zgromadzonych na koncie klienta.

4. Możliwość samodzielnego aktywowania dodatkowych funkcji z poziomu aplikacji mobilnej lub strony internetowej.

Analogiczne ryzyko jak w przypadku zmiany danych do kontaktu niesie ze sobą możliwość aktywacji z poziomu strony internetowej lub aplikacji mobilnej niektórych dodatkowych funkcji i usług. Również w tym przypadku osoba trzecia może dokonać ingerencji, która umożliwi jej wytransferowanie środków klienta w sposób utrudniający lub uniemożliwiający ich namierzenie i odzyskanie przez dostawcę usług płatniczych.

5. Możliwość dokonania natychmiastowego przelewu środków.

W przypadku natychmiastowego przelewu dokonanego przez osobę trzecią konsument ma mniej czasu na reakcję – w szczególności jeżeli nie otrzymuje żadnej dodatkowej informacji o takiej transakcji i nie ma świadomości, że została ona (...)