Wnioski z wdrożenia PSR w Wielkiej Brytanii

„Rozporządzenie PSR rewolucjonizuje podejście do weryfikacji płatności, do zabezpieczania płatności i nakłada znacznie większe obowiązki na podmioty finansowe” – mówił Maciej Jamiołkowski.

Dodał, że rozporządzenie wymaga monitorowania transakcji w czasie rzeczywistym.

Oczekuje się, że PSR wejdzie w życie drugiej połowie tego roku [2026], a państwa członkowskie Unii Europejskiej dostosują swoje przepisy do rozporządzenia do początku 2027 roku.

Brytyjski PSR

Maciej Jamiołkowski przywołał przykład Wielkiej Brytanii, gdzie przepisy podobne do PSR już obowiązują. Jego zdaniem niektóre brytyjskie rozwiązania warto wprowadzić w Unii Europejskiej.

Wielka Brytania wprowadziła podział odpowiedzialności za przestępczą transakcję między podmiotem, z którego środki są wyprowadzane – a podmiotem, do którego środki trafiają.

„W przypadku kiedy klient banku zostanie okradziony, wskutek np. działań socjotechnicznych, to banki ponoszą odpowiedzialność w 50%, a drugie 50% odpowiedzialności spada na instytucję przyjmującą płatność”. Brytyjski regulator chciał w ten sposób ukrócić problem z tzw. kontami słupami i klientami tzw. mułami.

„To, że środki zostaną wykradzione z konta użytkownika oznacza, że one jeszcze gdzieś muszą zostać mówiąc wprost wyprane przez oszusta, muszą gdzieś trafić dalej. W momencie kiedy tylko jeden podmiot bierze odpowiedzialność za skradzione środki i zwraca je klientowi, to drugi podmiot na dobrą sprawę nie ma intencji aż tak mocnych, aby dobezpieczać ten kanał. 

Podzielenie odpowiedzialności w Wielkiej Brytanii  przyczyniło się do bardzo mocnego uszczelnienia przepływu pieniądza i dokładniejszego śledzenia również przychodzących transakcji” – wyjaśniał Maciej Jamiołkowski.

Potrzebna odpowiedzialność klienta

Przyznał, że w brytyjskim rozwiązaniu, nie mówiąc już o rozwiązaniach w UE,  przy oszukańczych przelewach nie ma odpowiedzialności finansowej zlecającego przelew klienta, nawet na minimalnym poziomie.

„To jest zdecydowanie wyzwanie jakie stoi przed sektorem finansowym z perspektywy regulacji PSR. Bo faktycznie te regulacje zdejmują z klienta, odpowiedzialność.

W Wielkiej Brytanii wyniki ankiety przeprowadzonej przez LexisNexis Risk Solutions wśród klientów bankowych pokazują, że około 20% użytkowników po wejściu w życie PSR stało się mniej uważnych w swoim operowaniu w sieci, w tym w jaki sposób dokonują transakcji i dokąd je kierują, bo mają poczucie bezpieczeństwa, że i tak bank w razie czego odda im te środki” – podkreślił Maciej Jamiołkowski.

„Myślę, że z perspektywy eksperckiej sektora finansowego jest to przerażająca statystyka.  Obserwujemy w Wielkiej Brytanii nowe rodzaje fraudów, które już nie polegają na manipulacji użytkownikiem, ale wręcz na zmowie z użytkownikiem. Można zadać pytanie: czy mówimy w tym przypadku o ofierze, czy raczej o współudziale, o układzie między oszustem a ofiarą”.

Jak wyjaśniał Maciej Jamiołkowski w takiej sytuacji użytkownik otrzymuje procent od oszukańczej transakcji, a przy okazji ma pewność, że bank zwróci mu pieniądze.

„Zdecydowanie jest to duże zagrożenie dla rynku w całej Unii Europejskiej, w tym oczywiście w Polsce” – podsumował.

Czytaj także: PSR/PSD3 i nowa architektura rynku płatności – to już się dzieje

Potrzebna analiza behawioralna

Maciej Jamiołkowski wskazał, że w takich przypadkach mogłaby być pomocna analiza behawioralna, ale obecnie Polska jest jedynym państwem w UE, które w taki sposób zinterpretowało przepisy unijne, że wymaga zgody klientów banków na profilowanie behawioralne.

Jeśli jest wymagana zgoda klienta, to pełną ochronę mają tylko świadomi zagrożeń użytkownicy.

Tymczasem w całej Unii Europejskiej podmioty bankowe, sektor finansowy wykorzystuje analizę behawioralną do celów antyfraudowych bez wyraźnej zgody użytkownika.