BANK 2025/05

Bankowość i finanse | Pakiet PSR/PSD3 | Spór o autoryzację, spoofing i dane behawioralne – ZBP broni interesów sektora

Piotr Gałązka | Związek Banków Polskich / ZBP
Bankowość i finanse | Pakiet PSR/PSD3 | Spór o autoryzację, spoofing i dane behawioralne – ZBP broni interesów sektora
Fot. Jackie Niam/stock.adobe.com
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Prace legislacyjne nad pakietem PSR/PSD3 wchodzą w Radzie Unii Europejskiej w decydującą fazę. Po objęciu prezydencji w Radzie przez Polskę, dialog między państwami członkowskimi w sprawie kształtu przepisów nabrał tempa.


Piotr Gałązka

Piotr Gałązka – doktor nauk prawnych, adwokat, ekspert ds. Unii Europejskiej. Pełni funkcję dyrektora Przedstawicielstwa Związku Banków Polskich w Brukseli, gdzie odpowiada za monitorowanie prac legislacyjnych UE. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego oraz Szkoły Prawa Brytyjskiego i Unii Europejskiej University of Cambridge i Uniwersytetu Warszawskiego. Sekretarz Sądu Polubownego (Arbitrażowego) przy Związku Banków Polskich. Członek Komitetu Prawnego Europejskiej Federacji Bankowej, ekspert Team Europe Direct przy Przedstawicielstwie Komisji Europejskiej w Polsce.

Najżywiej dyskutowane i najistotniejsze dla polskiego sektora bankowego tematy to: definicja autoryzacji, odpowiedzialność za transakcje nieautoryzowane, problem ­spoofingu oraz możliwości przetwarzania danych behawioralnych płatników w walce z oszustwami. Związek Banków Polskich podejmuje starania w celu zapewnienia przepisów proporcjonalnych i możliwych do wdrożenia dla dostawców usług płatniczych.

Autoryzacja: między wolą klienta a podejściem obiektywnym

Definicja autoryzacji wprowadzona przez Parlament Europejski i jego stanowisko w pierwszym czytaniu PSR budzi kontrowersje. Zgodnie z nią, autoryzacja to „zgoda udzielona w ramach procedury, w której użytkownik usług płatniczych uwierzytelnia daną transakcję dobrowolnie i z pełną znajomością wszystkich istotnych faktów”. Rada UE, a zwłaszcza polska prezydencja, dystansują się od subiektywnego podejścia do kwestii autoryzacji, które mogłoby prowadzić do nadmiernej odpowiedzialności dostawców usług płatniczych (PSP) – nawet w przypadkach, gdy klient świadomie potwierdził operację, będąc manipulowanym metodami socjotechnicznymi.

Prezydencja polska opowiedziała się za kompromisowym podejściem Komisji Europejskiej – transakcja powinna być uznana za autoryzowaną, gdy została zainicjowana i uwierzytelniona przez płatnika. Jednocześnie nieautoryzowana będzie ta, która została zmieniona lub zainicjowana przez osobę trzecią bez zgody płatnika – np. przy użyciu nielegalnie pozyskanych danych uwierzytelniających.

Związek Banków Polskich konsekwentnie prezentuje stanowisko, zgodnie z którym autoryzacja winna być oceniana jak najbardziej obiektywnie, nie zaś przez pryzmat woli klienta, której nie sposób po stronie PSP wykazać.

Spoofing: odpowiedzialność banków

Problem spoofingu, czyli podszywania się pod banki (bankowy) lub inne zaufane instytucje (sensu largo), stał się jednym z najistotniejszych zagadnień pakietu PSR z uwagi na rosnący problem społeczny, związany z oszustwami płatniczymi. Propozycje PE rozszerzają odpowiedzialność PSP na przypadki, gdy klient został zmanipulowany do autoryzacji operacji przez przestępców podszywających się pod bank. Dodatkowo, PE przewiduje współodpowiedzialność telekomów za szkody powstałe w wyniku spoofingu.

Większość państw członkowskich popiera refundację strat klientom w przypadkach spoofingu bankowego – ale sprzeciwia się rozszerzeniu tej odpowiedzialności na spoofing ogólny. Polska prezydencja dąży do zwiększenia roli platform i operatorów telekomunikacyjnych, postulując mechanizmy współpracy oraz zapobiegawcze działania PSP, zamiast nakładania „limitów odpowiedzialności”, które mogłyby – w ocenie prezydencji – zniechęcać do przeciwdziałania oszustwom.

Równie ważna wśród państw członkowskich jest zgoda co do obowiązku leżącego po stronie użytkownika usług płatniczych w zakresie współpracy z PSP w wyjaśnianiu okoliczności oszustwa. Płatnik obowiązany będzie wyjaśniać całość sytuacji, która doprowadziła do niekorzystnego rozporządzenia środkami pieniężnymi i zawiadomić – być może przy pomocy albo za pośrednictwem PSP – organy ścigania.

Związek zabiega w tym zakresie o ograniczenie zakresu przepisu, tak aby dotyczył on wyłącznie spoofingu bankowego i aby obowiązki po stronie PSU były właściwie określone, umożliwiając ocenę całości sytuacji związanej ze spoofingiem.

Odpowiedzialność za transakcje nieautoryzowane i rażące niedbalstwo

Zgodnie z projektem PSR, ciężar dowodu w przypadku sporu spoczywa na PSP – muszą one udowodnić, że transakcja została autoryzowana. Samo użycie silnego uwierzytelnienia (SCA) nie wystarcza, by domniemywać autoryzację. Istotne jest zatem jasne określenie ram autoryzacji, by móc jednoznacznie rozgraniczyć odpowiedzialność PSP i PSU przy transakcji nieautoryzowanej.

Wiele emocji budzi również kwestia „rażącego niedbalstwa”. Niestety, mimo oczekiwań sektora bankowego, aby pojęcie rażącego niedbalstwa było przynajmniej zarysowane jako katalog przykładowy w nowych przepisach prawa UE, większość państw stoi na stanowisku, że kwestia ta powinna być regulowana przez prawo krajowe, a w konsekwencji determinowana przez orzecznictwo sądów krajowych. Co do zasady zatem – jak dotąd pod rządami PSD2.

Zaproponowana przez prezydencję polską propozycja kompromisowa odstępuje zatem od definicji legalnych w ramach przepisów, pozostawiając jedynie wytyczne w wersji okrojonej w ramach preambuły PSR, bez katalogu przykładów zachowań mogących być uznane za rażące niedbalstwo po stronie klienta. To istotny wyłom w harmonizacji przepisów dotyczących usług płatniczych na poziomie prawa UE, który będzie skutkował – jeśli wejdzie w życie – dalszą fragmentacją tego rynku między rynkami krajowymi. Stanowić to będzie również jedną z głównych kwestii do negocjacji w trilogu z Parlamentem Europejskim.

Dane behawioralne narzędziem ochrony przed oszustwami

Jednym z kluczowych tematów, o który zabiega ZBP, jest art. 80 PSR, który umożliwia przetwarzanie tzw. szczególnych kategorii danych osobowych – w tym danych behawioralnych – w celu przeciwdziałania oszustwom płatniczym. Tekst zaproponowany przez Komisję oraz utrzymany w pierwszym czytaniu przez Parlament Europejski spotkał się z krytyką Europejskiego Inspektora Ochrony Danych (EDPS), który zarzucił mu brak wystarczającej precyzji i nieproporcjonalność.

Związek Banków Polskich aktywnie zabiega o utrzymanie możliwości przetwarzania tych danych – przy zastosowaniu odpowiednich zabezpieczeń – wskazując na ich kluczowe znaczenie w skutecznym wykrywaniu fraudów w czasie rzeczywistym. W obliczu rosnącej liczby oszustw socjotechnicznych, dane behawioralne (np. schematy logowania czy sposób korzystania z aplikacji) są często jedynym skutecznym narzędziem pozwalającym na zatrzymanie nieuczciwej transakcji jeszcze przed jej realizacją.

Co teraz?

Ostatnie posiedzenie grupy roboczej ds. usług finansowych Rady UE poświęcone pakietowi PSR/PSD3 miało miejsce 29 kwietnia  br. Warto podkreślić, że podczas tego posiedzenia podniesiono kwestię art. 80 PSR i przetwarzania danych behawioralnych. Doprecyzowywane są kolejne przepisy na podstawie wypracowanych szczegółowych kompromisów. Kolejne posiedzenie zaplanowano na 15 maja br. Prace posuwają się systematycznie do przodu i nie można wykluczyć, że polskiej prezydencji uda się osiągnąć porozumienie w Radzie UE i doprowadzić do przyjęcia podejścia ogólnego. Dla ZBP stawką jest nie tylko zakres odpowiedzialności banków, lecz przede wszystkim realna możliwość skutecznego zapobiegania oszustwom i ochrony klientów – bez przerzucania całej odpowiedzialności na jedną stronę relacji płatniczej.

Źródło: Miesięcznik Finansowy BANK