Z rynku finansowego | Cyberbezpieczeństwo | Wydarzenia

Tylko współdziałanie sektora publicznego i prywatnego może powstrzymać oszustów

Karol Mórawski | BANK.pl
Tylko współdziałanie sektora publicznego i prywatnego może powstrzymać oszustów
Źródło: BANK.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Przed tegoroczną konferencją SafeBank (10.12.2024) o tym, jak banki w Polsce starają się szukać rozwiązań, aby skutecznie przeciwdziałać transakcjom oszukańczym, cyberoszustwom, i w którym kierunku zmierzają prace legislacyjne na poziomie unijnym (PSR) odnośnie odpowiedzialności za nieautoryzowane transakcje płatnicze oraz jakie sposoby może wykorzystać sektor bankowy by sprostać tym oczekiwaniom – rozmawiamy z Katarzyną Urbańską, dyrektor Zespołu Prawno-Legislacyjnego ZBP.

Karol Mórawski: Kwestia odpowiedzialności za nieautoryzowane operacje płatnicze budzi poważne kontrowersje – czego nowego na ten temat dowiemy się podczas debaty, organizowanej w ramach SafeBank 2024?

Katarzyna Urbańska: Rzeczywiście kwestia odpowiedzialności za transakcje nieautoryzowane od dłuższego czasu budzi poważne kontrowersje w Polsce. W ostatnim jednak czasie podobne emocje temat ten generuje także w innych krajach Unii Europejskiej.

Dzieje się to właśnie za przyczyną dyskusji nad projektem PSR, gdzie przykładowo proponuje się wprowadzenie definicji „autoryzacji”. Pierwsza propozycja definicji autoryzacji pojawiła się już w lutym ’24, przy okazji prac Parlamentu Europejskiego nad tym projektem i wtedy właśnie większość krajów członkowskich zwróciło uwagę na kwestię autoryzacji, bo to czym właściwie jest „autoryzacja” ma przecież kluczowe znaczenie z perspektywy odpowiedzialności dostawców usług płatniczych.

W trakcie debaty pt. Wpływ nowych regulacji unijnych z obszaru transakcji płatniczych na bezpieczeństwo usług płatniczych w ramach SafeBank 2024 – na którą bardzo serdecznie zapraszam – będziemy mówili m.in. o tym:

– jak obecnie wygląda dyskusja nad definicją autoryzacji? Jakie scenariusze, opcje mamy obecnie na stole;

– co zaproponował Parlament Europejski?;

– także  o tym, że w różnych krajach UE istnieją różne interpretacje słowa „autoryzacja” i co to znaczy dla różnych dostawców w praktyce;

– oraz o tym, jakie postępy poczyniły poszczególne prezydencje w Radzie i na jakim etapie obecnie projekt;

– także jak oceniamy nowe, potencjalne ryzyka dla banków, jako banki – w związku z tymi definicjami autoryzacji, w kontekście chociażby podejścia do transakcji oszukańczych, gdzie główną rolę odgrywa manipulacja klienta i socjotechnika;

– jak banki powinny przygotować się do tych nowych wyzwań?;

– czy zalecenia Prezesa UOKIK w celu przeciwdziałania transakcjom oszukańczym przyniosą więcej efektów (lepiej ochronią klientów) niż proponowane rozwiązania PSR?;

– czy projektowane przepisy (np. art. 59 PSR ad. spoofing) stanowią wyraz kapitulacji legislatora europejskiego przed problemem oszustw internetowych? Co z edukacją klienta? Czy te przepisy nie będą nadużywane przez klientów? Obecnie jeśli bank wie i ma dowody na rażące niedbalstwo klienta i tak musi zwracać środki w D+1, choć to klient zgodnie z PSD2 odpowiada w pełni za transakcje nieautoryzowane z winy umyślnej klienta lub gdy klient działał z rażącym niedbalstwem;

– jaka powinna być rola i odpowiedzialność elektronicznych dostawców usług komunikacyjnych w kontekście art. 59 PSR (spoofing), czy te propozycje idą w dobrym kierunku? Jak sprawdzają się polskie rozwiązania w kontekście walki ze spoofingiem? Czy możemy coś podpowiedzieć w dyskusji unijnej? Czy raczej szukać nowych rozwiązań?;

– jak przekonywać organy nadzoru w Polsce i regulatora w Unii i w Polsce, że temat jest ważny i potrzebny? Jakich argumentów używać?;

– czy art. 80 PSR daje przestrzeń do zmiany sposobu myślenia o tym temacie, czy też nie rozwiązuje nam żadnych tematów? – i tak musimy stosować RODO, czyli zbierać zgody klienta;

– w jakim kierunku powinny iść zmiany art. 80 PSR, aby analiza behawioralna mogła stać się efektywnym narzędziem.

Warunki uczestnictwa w konferencji SafeBank 2024

W jakim kierunku zmierzają prace legislacyjne na poziomie unijnym (PSR) odnośnie odpowiedzialności za nieautoryzowane transakcje płatnicze i jakie sposoby może wykorzystać sektor bankowy by sprostać tym oczekiwaniom?

– Według wielu pomysłów, które już pojawiły się w dyskusji nad projektem PSR przeważają te, gdzie za wszystkie transakcje płatnicze nieautoryzowane, a nawet te autoryzowane, to jest zlecone przez klienta pod wpływem manipulacji czy socjotechniki oszustów – pełną odpowiedzialność powinien ponosić bank.

Takie podejście jest zaskakujące o tyle, że  przecież celem projektu PSR jest podniesienie bezpieczeństwa transakcji płatniczych w Unii Europejskiej i zwiększenie ochrony klienta przed transakcjami oszukańczymi. Przerzucenie zaś pełnej odpowiedzialności za wszelkie transakcje nieautoryzowane, w tym oszukańcze, na dostawców usług płatniczych nie adresuje w żaden sposób ani problemu transakcji nieautoryzowanych, ani transakcji oszukańczych.

Banki w Polsce starają się szukać rozwiązań jak skutecznie przeciwdziałać transakcjom oszukańczym. Sektor bankowy już rok temu, w listopadzie 2023 r. wydał swoje Rekomendacje jak przeciwdziałać transakcjom oszukańczym, a w konsekwencji wiele z tych rozwiązań zostało przez banki wdrożonych.

Zatem to prawda, że banki nie będą miały większych problemów z wdrożeniem tych zaleceń UOKIK. Jako przykład takich rozwiązań warto podać tzw. wiadomości typu push w aplikacjach mobilnych banków, mające na celu identyfikację pracownika banku, w sytuacji inicjacji kontaktu i połączenia przez bank, a nie klienta.

To rozwiązanie ma przeciwdziałać popularnemu dziś przestępstwu spoofingu, gdy złodziej podaje się za pracownika banku i namawia klienta do dokonania transakcji płatniczej, której klient by nie zrobił, gdyby nie został wprowadzony w błąd przez złodzieja.

W projekcie PSR Komisja Europejska proponuje po prostu przerzucenie całości odpowiedzialności finansowej za przestępcze działania osób trzecich – takie jak spoofing – na banki, które nie przyczyniają się w najmniejszym stopniu do ich zaistnienia, a tylko ze względu na to, że przestępca posługuje się nazwą banku bądź podszywając się pod email banku.

Idąc tą logiką każdy wnuczek powinien odpowiadać finansowo za każde przestępstwo na wnuczka, Kościół za przestępstwo na księdza, czy też Policja za przestępstwo na policjanta. Oceniamy te projektowane przepisy negatywnie i uważamy, że stanowią one wyraz kapitulacji legislatora europejskiego przed problemem oszustw internetowych, podczas gdy jedynie wspólne działanie sektora publicznego i prywatnego może przynieść tutaj efekt.

Oczywiście zdajemy sobie sprawę, że przestępcy nie śpią, cały czas rozwijają swój warsztat przestępczy, ale wyraźnie należy zaznaczyć, że przestępcy od dawna już nie podejmują prób przełamywania zabezpieczenia systemów bankowych, lecz uderzają w najsłabszy element w transakcjach oszukańczych, jakim jest niestety człowiek.

Dziś najczęściej spotykanymi przestępstwami są te oparte o socjotechnikę i manipulację klienta. Dlatego zdajemy sobie sprawę, że jest to nieustająca praca po stronie banków nad edukacją klientów, co też nieustannie czynimy, jak choćby teraz poprzez kampanię pt. „Nie pomagaj się okraść”, w ramach której opracowano „Dziesięć Zasad Cyberbezpieczeństwa”[1].

Banki wprowadziły wiele rozwiązań przeciwdziałających transakcjom oszukańczym i nieustannie wprowadzają kolejne instrumenty technologiczne zmierzające do ograniczenia liczby tego rodzaju transakcji.

Takim tematem do dalszych rozmów i konsultacji jest też możliwość przetwarzania przez banki danych behawioralnych na potrzeby analizy behawioralnej do wykrywania transakcji oszukańczych.

Warunkiem uzyskania wszystkich korzyści, jakie może przynieść wykorzystywanie tej analizy do walki z przeciwdziałaniem transakcjom oszukańczym jest powszechność jej stosowania. Każdy bank, wobec każdego klienta, bez względu na jego poziom świadomości o zagrożeniach, wiedzy oraz fakt wyrażenia bądź nie zgody na ochronę, powinien móc stosować analizę behawioralną.

Dziś organy nadzoru stoją na stanowisku, że banki mogą, a nawet powinny stosować analizę behawioralną, czyli przetwarzać te dane behawioralne, ale jedynie w oparciu o wyraźną zgodę klienta.

W naszej ocenie, należy uznać, że podstawą przetwarzania takich danych powinna być przesłanka „prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią”, która pozwala przetwarzać te dane bez każdorazowego uzyskiwania zgody klienta. Interesem tym jest przeciwdziałanie cyberzagrożeniom i transakcjom oszukańczym względem ogółu, to jest klientów wszystkich instytucji finansowych.

Miesięcznik Finansowy BANK i Portal Finansowy BANK.pl są patronami medialnymi Konferencji.

Dodatkowe informacje nt. SafeBank 2024, 10 grudnia, Warszawa, Novotel Centrum

***

[1] Zob. https://bankiwpolsce.pl/cyberbezpieczenstwo (dostęp 19.11.2024 r.)

Źródło: BANK.pl