Klient pod szczegolna ochrona

W październiku, po dwóch latach prac grupy roboczej z udziałem przedstawicieli banków i UOKiK, urząd nadzoru wydał zestaw zaleceń dla dostawców usług płatniczych dotyczący sposobów chronienia klienta przed oszustami finansowymi. Zostały ujęte w 16 punktach. Jedne są oczywiste i łatwe w zastosowaniu, inne będą wymagały od banków sporej gimnastyki. Generalnie zestaw dobrych praktyk w zakresie przeciwdziałania scamom, bo tak można nazwać zalecenia UOKiK, koresponduje dość ściśle z podobnymi rozwiązaniami przyjętymi przez kraje będące w awangardzie walki z oszustwami. Niemniej środowisko bankowe ma wiele uwag ze względu na brak jasności niektórych zaleceń czy też zbyt daleko idące oczekiwania nadzorcy, które mogą ingerować w biznes na tyle głęboko, że realizacja niektórych usług staje pod znakiem zapytania. Zastrzeżenia dotyczą głównie tego, że zalecenia chronią klienta, ale banku już nie. Nie przewidują np. takiej sytuacji, że nieuczciwy klient zgłasza nieautoryzowaną transakcję po to, by wyłudzić pieniądze. Regulator wyraźnie stoi na stanowisku, że będzie chronił uczciwych, a oszustów muszą ścigać banki. Postępowania przeciw bankom Problem fraudów, wyłudzeń i oszustw już od pewnego czasu jest punktem zapalnym w relacjach między sektorem bankowym a UOKiK. Banki uważają, że padły ofiarą źle przełożonej na język polski dyrektywy o usługach płatniczych PSD2 w części dotyczącej autoryzacji transakcji. Skutek był taki, że jeśli klient twierdzi, że to nie on zrealizował płatność, nawet jeśli ją zatwierdził, bank ma obowiązek oddać pieniądze w terminie D+1, czyli najpóźniej następnego dnia od otrzymania wniosku. Branża protestowała, argumentując, że w ramach takiej procedury każdy może wystąpić o ich zwrot — i uczciwy klient, i zwykły oszust. Tymczasem UOKiK twardo stał na gruncie dyrektywy PSD2 i wszczął wiele postępowań wobec banków w związku z niestosowaniem się do przepisów. Warto odnotować, że podobne stanowisko reprezentują sądy w spornych sprawach między klientem a bankiem. Tu argumentacja odwołuje się do obowiązków banków polegających na przechowywaniu pieniędzy klientów. Kiedy znikną z rachunku, a klient chce je otrzymać, bank musi je oddać. Nie jest istotne, w jaki sposób konto zostało wyczyszczone. Pełna rekompensata dla klienta Spór dotyczący autoryzowanych transakcji wydaje się już bezprzedmiotowy w świetle tego, w jakim kierunku zmierzają regulacje w Europie. W Wielkiej Brytanii banki mają obowiązek zwracać klientom do 85 tys. GBP na każde żądanie klienta. W podobną stronę, czyli obowiązkowej kompensaty, zmierzają prace nad dyrektywą PSD3. Pytanie brzmi: czy problem oszustw finansowych uda się rozwiązać regulacjami. Brytyjskie banki twierdzą, że to one stały się ofiarą zjawiska masowej przestępczości związanej z wyłudzeniami, z jakim rząd nie potrafi sobie poradzić. W Wielkiej Brytanii koszty scamów przekraczają 12 mld GBP rocznie. Polski sektor finansowy natomiast zwraca uwagę na ryzyko, jakie niesie za sobą traktowanie wszystkich zgłoszeń jako przypadków oszustw wymierzonych w klientów. Przede wszystkim wśród klientów może rodzić się pokusa zachowań nieuczciwych. W ramach akcji scamming out pisaliśmy o przypadkach wyłudzeń drobnych kwot przez nieuczciwych klientów. W jednym z banków młodociany użytkownik rachunku 30 razy zamówił pizzę i zgłosił transakcje jako nieautoryzowane. Gdyby trzymać się wytycznych zaleceń UOKiK, to wpisują się one w schemat operacji, jakie należy monitorować — niskie kwoty, duża częstotliwość i powtarzalność. Czujność banku na nic tu się zda, bo klient potwierdza zlecenie przelewu, po czym zgłasza go jako oszukańcze. W internecie na forach można już nawet znaleźć poradniki, jak oszukać bank. Scamowe perpetuum mobile Poważniejsze skutki może mieć ryzyko wykorzystania regulacji przez przestępców. Mimo dużej aktywności regulatorów w zakresie zwalczania procederu prania pieniędzy, nacisku na procedury KYC, na czarnym rynku kwitnie handel kontami założonymi na słupy lub wyłudzone dane finansowe. Na forach internetowych, w grupach wymieniających się informacjami, jak zarabiać w internecie, dostępne są też oferty dla mułów, czyli osób, które świadomie gotowe są uczestniczyć w oszukańczym schemacie w zamian za prowizję. Teoretycznie istnieje możliwość wykorzystania kont słupów przez przestępców do swoistego scamowego perpetuum mobile: przelew realizowany z konta A na konto B zgłaszany jest jako transakcja nieautoryzowana. Z konta B pieniądze idą dalej na rachunek C, przy czym klient składa reklamację, że padł ofiarą oszustwa. Z konta C pieniądze transferowane są dalej. UX kontra bezpieczeństwo Nie ulega wątpliwości, że walka z oszustwami finansowymi i wyłudzeniami będzie miała wpływ na sposób, w jaki bankujemy. Wygoda musi ustąpić bezpieczeństwu. Z radosnej epoki zdalnego bankowania przechodzimy na etap bliskich relacji z bankiem. Trzeba przyzwyczaić się do częstszych kontaktów podczas codziennego bankowania, nauczyć się, że trzeba odbierać telefon z banku, bo być może chodzi o ostrzeżenie przed scamem. To dopiero początek. Przed tygodniem opisaliśmy, w jaki sposób Singapur walczy z oszustwami finansowymi. W tym tygodniu resort spraw wewnętrznych złożył projekt ustawy dający bankom uprawnienia do wstrzymania przelewu nawet wbrew woli klienta, jeśli stwierdzą, że jest on w trakcie ataku scamerskiego i został zmanipulowany przez przestępców. Na razie to tylko w Singapurze. Silne uwierzytelnienie (SCA) Uwagi banków : Już powszechnie stosowana jest ochrona transakcji w internecie z wykorzystaniem usługi 3D Secure (każda transakcja jest potwierdzana kodem wysyłanym na numer telefonu). Mimo to jeśli klient złoży reklamację, że transakcja zrealizowana kartą była nieautoryzowana, bank musi oddać pieniądze. Inaczej mówiąc — stosowanie SCA nie zabezpiecza przed roszczeniami klienta, który twierdzi, że transakcja miała oszukańczy charakter. Zmiana limitu Uwagi banków : Limit to przykład walki wygody z bezpieczeństwem. Klienci zazwyczaj stosują niskie limity transakcji, podwyższają je tylko w przypadku dużych płatności związanych np. z zakupem mieszkania. Procedury bezpieczeństwa związane z podwyższeniem progu wywołują często frustrację klientów, którzy chcą zrealizować transakcję natychmiast. Niezadowolenie z pewnością wzrośnie, kiedy dodatkowo bank zacznie dzwonić z pytaniem, dlaczego limit został podwyższony. Po zrealizowaniu transakcji klient zapomina o zmniejszeniu limitu. Cykliczna weryfikacja, na jakim jest on poziomie, czego wymaga urząd, powiadamianie klientów, że powinni je obniżyć, jest zadaniem logistycznie bardzo trudnym. Cooling period Uwagi banków : W teorii to bardzo dobre rozwiązanie. Co jednak w sytuacji, kiedy bank wstrzyma przelew, zadzwoni do klienta, który potwierdzi, że to on wydał zlecenie, ale później zgłosi transakcję jako nieautoryzowaną? Biometryczna weryfikacja Uwagi banków : To usługa dostępna na rynku, która może być stosowana tylko za zgodą klienta. I tu jest problem, ponieważ nie każdy zgadza się na tę formę uwierzytelnienia. W całej populacji klientów mniej niż połowa dała zgodę na biometrię. Zrozumiała treść komunikatów Uwagi banków : Zasadniczy problem polega na tym, że klienci nie czytają komunikatów od banków. Dowodem są setki zalegających i nieotworzonych powiadomień w skrzynkach odbiorczych w serwisach transakcyjnych. Jednorazowe karty wirtualne Uwagi banków: To bardzo drogie rozwiązanie. Stosowanie kluczy U2F Uwagi banków : Drogie i niewygodne w stosowaniu rozwiązanie.