Nieautoryzowane transakcje i odpowiedzialność big techów za oszukańcze reklamy
Otwierając spotkanie prof. UW dr. hab. Krzysztof Koźmiński zauważył, że jesteśmy świadkami bardzo dynamicznego rozwoju elektronicznych usług płatniczych, co stało się źródłem nowych zagrożeń w sytuacji zdalnej autoryzacji transakcji.
Jednocześnie, coraz większe znaczenie w procesie udostępniania reklam i zawierania transakcji mają media społecznościowe i platformy big tech, które zaczynają także odgrywać kluczową rolę jako kanał dystrybucji treści oszukańczych.
W tej perspektywie nieautoryzowane transakcje przestają być incydentem, a stają się zjawiskiem strukturalnym, opartym na powtarzalnych schematach, przy jednoczesnej asymetrii odpowiedzialności – z dominującym obciążeniem sektora bankowego kosztami fraudów.
Jak podkreślił dr Grzegorz Keler, aktualny stan prawny w tej kwestii nie ułatwia ochrony klientów banków przed fraudami, co jest związane z szeroką interpretacją definicji transakcji nieautoryzowanej.
Przyjmuje się, że transakcja nieautoryzowana to taka, na którą płatnik nie wyraził zgody – przy czym organy ochrony konsumenta interpretują tę definicję rozszerzająco, tj. za transakcję nieautoryzowane uznają także transakcje, na które co prawda zgoda została wyrażona, ale np. na skutek manipulacji. Taka nadinterpretacja prowadzi do znaczącego rozszerzenia odpowiedzialności dostawcy usługi płatniczej za taką transakcję.
Przykładowe przyczyny transakcji oszukańczych to zazwyczaj wyłudzenie danych (także przy wykorzystaniu AI, np. w postaci deepfake) bądź wprowadzenie w błąd – i w tym wypadku szczególnie dużą rolę odgrywają praktyki big techów.
Jak wskazują dane, w ponad 50% przypadków, głównym kanałem inicjowania fraudów jest Meta, Whatsapp lub Instagram.
Stało się to zresztą przedmiotem śledztwa agencji Reuter – ustalono, że Meta ma świadomość, że jej platformy są wykorzystywane do inicjowania oszustw, jednak roczne przychody z tego rodzaju reklam przekraczają 7 mld dolarów i firma obawia się, że nagłe zmniejszenie wpływów z reklam fraudów mogłoby wpłynąć na jej prognozy biznesowe.
Wątek ekonomiczny warto uzupełnić o szacunki przedstawione w raporcie dotyczące potencjalnej skali przychodów sektora big tech z takich reklam w Polsce. Na podstawie przyjętych założeń oszacowano m.in. roczny przychód Meta z reklam oszukańczych w Polsce na około 159 mln zł, Google – na około 249 mln zł; a Amazon – około 640 mln zł. Łącznie może to oznaczać skalę przekraczającą miliard złotych w Polsce, co unaocznia, dlaczego bez mechanizmów internalizacji kosztów i ryzyk po stronie platform trudno oczekiwać trwałej poprawy.
W ramach badania autorzy przeprowadzili wywiady z przedstawicielami sektora bankowego. Ich wypowiedzi wyraźnie wskazują, że skala oszustw rośnie i ma ona swoje źródło w reklamach publikowanych w mediach społecznościowych, zaś wykorzystywanie algorytmów AI jeszcze wzmaga to zjawisko. Równocześnie też istnieją zaawansowane środki socjotechniczne pozwalające połączyć je z technologią.
Reasumując, ataków na klientów jest coraz więcej, a – mimo że ostrzeżeń i kampanii informujących o ryzykach jest (zarówno inicjowanych przez banki, jak i organy władzy publicznej) coraz więcej – klienci ulegają presji, zaś przestępcze działania wywołują efekt, powodując że środki z kont bankowych wypływają.
W ocenie przedstawicieli sektora nie ma znacząco wyróżniającej się grupy społecznej, bardziej podatnej na fraudy, przy czym jeśli chodzi o wiek – najwyższy jest udział osób od pięćdziesiątego piątego roku życia w górę.
Podkreśla się, że dla ograniczenia skali zjawiska kluczowe są kampanie edukacyjne, jednak w tej kwestii brakuje wsparcia organów państwowych. Główne postulaty zgłaszane przez banki dotyczą także potrzeby doprecyzowania definicji transakcji nieautoryzowanych oraz umożliwienie pociągnięcia do odpowiedzialności big techów.
Odpowiedzialność sektora big tech – rozwiązania legislacyjne
Jak wskazał Jan Czarnocki, kwestia regulacji, co do zasady ogranicza się odpowiedzialność dostawców usług za treści publikowane na ich platformach, aby nie ograniczać wolności słowa.
Akt o usługach cyfrowych (DSA) podtrzymuje tę zasadę, o ile spełnione są dwie przesłanki: (i) dostawca usługi hostingu nie ma faktycznej wiedzy o nielegalnych treściach; lub (ii) podejmuje bezzwłocznie odpowiednie działania w celu usunięcia tych treści, gdy uzyska taką wiedzę.
Platforma musi przy tym wprowadzić mechanizmy efektywnego zgłaszania treści nielegalnych, ale sama nie musi aktywnie monitorować tych treści.
Platformy nie dochowują jednak zasad należytej staranności, w związku z czym powstaje pytanie, czy bank – jako podmiot poszkodowany przez fałszywą transakcję – może dochodzić roszczeń regresowych od platformy na gruncie art. 415 kc.
Po zgłoszeniu dokonanym w trybie art. 16 DSA, bank ma bowiem argument, że platforma miała skonkretyzowaną informację o bezprawiu, a mimo to tolerowała emisję/replikację treści (wina w formie co najmniej niedbalstwa) oraz że utrzymywanie treści w obiegu było adekwatną przyczyną kolejnych strat. W takiej sytuacji art. 6 DSA ustanawiający zasadę ograniczonej odpowiedzialności hostingu – nie miałby zastosowania.
Czytaj także: Raport Specjalny | Technologie Bankowe | Komputer i smartfon to dziś pola bitew
Raport „Problem nieautoryzowanych transakcji w kontekście kwestii odpowiedzialności big techów za reklamy” – rekomendacje
W części rekomendacyjnej autorzy raportu przedstawili propozycję zestawu działań regulacyjnych, nadzorczych, operacyjnych i sektorowych.
W szczególności proponuje się koncepcję funduszu kompensacyjnego tworzonego przez największe platformy cyfrowe, z którego pokrywane byłyby roszczenia odszkodowawcze związane z nielegalnymi reklamami, a także postulaty zwiększenia presji regulacyjnej i fiskalnej (włącznie z dyskusją o tzw. podatku cyfrowym).
Wskazano także na potrzebę inicjowania precedensowych postępowań sądowych, które mogłyby doprowadzić do ukształtowania korzystnej linii orzeczniczej w zakresie rekompensowania strat banków, a także postulowano większą aktywność organów odpowiedzialnych za ochronę konkurencji i konsumentów wobec podmiotów big tech.
W warstwie operacyjnej i międzyinstytucjonalnej szczególnie wyeksponowano ideę skrócenia czasu reakcji na treści fraudowe.
Proponowano m.in. wprowadzenie obowiązkowych interfejsów API, umożliwiających bezpośrednią komunikację między platformami a instytucjami finansowymi i organami ścigania (np. w celu zgłaszania reklam w czasie rzeczywistym, blokowania płatności za podejrzane kampanie, przekazywania danych o kontach), a także stworzenie centralnego rejestru rachunków wykorzystywanych do przestępstw i procedur sprawnego blokowania środków.
Równolegle wskazywano na konieczność ścisłej koordynacji banków z organami władzy publicznej w zakresie stałego monitorowania i publicznego informowania o metodach działania przestępców i aktywności podejrzanych reklamodawców.
Pełny zapis webinaru jest możliwy do odtworzenia na stronie www.pabwib.pl
