Co warto wiedzieć o zastrzeganiu numeru PESEL?

Co warto wiedzieć o zastrzeganiu numeru PESEL?
Fot. stock.adobe.com / davidevison
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Najnowszym pomysłem rządu na pokrzyżowanie szyków cyberoszustom jest możliwość zastrzegania numeru PESEL. Rodzi się pytanie, czy rozwiązanie to nie przysporzy zbytnich trudności samym konsumentom, którzy po dokonaniu zastrzeżenia mogliby mieć problem z korzystaniem z najprostszych usług finansowych, pisze Karol Mórawski.

Na policjanta, komornika, OLX i Allegro, a nawet KNF i Związek Banków Polskich – każdy sposób dobry, by wyłudzić dane autoryzacyjne do konta bankowego od niespodziewającej się podstępu ofiary.

Prosty scenariusz oszustwa

Scenariusz jest do bólu prosty i przewidywalny: dział windykacji dostawcy energii elektrycznej lub operatora telekomunikacyjnego przysyła mailowe wezwanie do natychmiastowej zapłaty zaległego rachunku, pod groźbą niezwłocznego wyłączenia usług. Jeśli wystawiliśmy ogłoszenie o sprzedaży jakiegoś używanego przedmiotu, może się zgłosić napalony nabywca, gotów pokryć wszelkie koszty odbioru tegoż przez kuriera – i to nawet bez uprzedniego oglądania.

Dysponując pewną nadwyżką gotówki mamy sporą szansę natrafić na atrakcyjną ofertę inwestycji na rynku Forex, w kryptowaluty lub inne instrumenty finansowe, dające ponoć krociowy zysk. Wszystkich pomysłów cyberoszustów, bo to oni rzecz jasna stoją za tego rodzaju propozycjami, wyliczyć nie sposób, jednak elementem łączącym wszystkie phishingowe sztuczki jest link, pozwalający rzekomo na dokonanie płatności, a w istocie umożliwiający sprawcom przejęcie kontroli nad naszym rachunkiem bankowym.

A wówczas możemy się czuć naprawdę szczęśliwi, jeśli przestępcy ograniczą się do wyprowadzenia wszystkich oszczędności. Nie do rzadkości należą wszak przypadki, kiedy na podstawie danych ofiary zaciągane są kredyty i pożyczki nawet na kilkadziesiąt tysięcy złotych.

Są oczywiście i złodzieje, którzy zadowolą się mniejszym łupem, ale i tak szkoda stracić nawet kilkaset złotych, pod pretekstem opłacenia rzekomego rachunku za prąd czy gaz.

Problem z D+1

Negatywne konsekwencje kreatywności cyberoszustów odczuwają nie tylko ich bezpośrednie ofiary. Także i instytucje finansowe ponoszą całkiem wymierne straty, spowodowane wyprowadzeniem środków z konta przeciętnego Kowalskiego, czy choćby dokonania przezeń płatności na konto należące do sprawców.

Po stronie poszkodowanych klientów indywidualnych stają w tym przypadku organy ochrony konsumenta, wskazując, iż zgodnie z ustawą o usługach płatniczych bank powinien zwrócić klientowi środki w terminie D+1, czyli maksymalnie następnego dnia po dokonaniu nieautoryzowanej operacji płatniczej.

Stanowisko UOKiK jest restrykcyjne: fakt przyczynienia się konsumenta do utraty środków, np. wskutek rażącego niedbalstwa tegoż (bo jak inaczej określić sytuację, kiedy ktoś reaguje na monit od operatora telekomunikacyjnego, nie mając żadnych zaległości) nie zwalnia banku z obowiązku dokonania zwrotu.

Podejście takie budzi wprawdzie szereg wątpliwości odnośnie zgodności z prawem unijnym, choćby z uwagi na fatalną transpozycje dyrektywy PSD2 do polskiej ustawy o usługach płatniczych, gdzie wymiennie użyto pojęć „uwierzytelnianie” i „autoryzacja”, jednak na chwilę obecną dominuje narracja stosowana przez UOKiK.

W tych warunkach każda inicjatywa, mająca za cel utrudnienie życia przestępcom, wydaje się być szczególnie cenna, tak dla przeciętnego Kowalskiego jak i bezpieczeństwa obrotu gospodarczego.

Rejestr do zastrzegania PESEL

Czy takim rozwiązaniem może się okazać procedowany przez rząd projekt ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości? To kolejna już inicjatywa ustawodawcza wymierzająca w cyberprzestępców atakujących indywidualne osoby.

Pierwszą był projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, mającej za cel ograniczenie zjawiska spoofingu, która wzbudziła mieszane uczucia praktyków rynku, w tym finansowego.

Wskazywano, iż zbyt zerojedynkowe podejście do kwestii spoofingu może ograniczyć czy wręcz sparaliżować funkcjonowanie call center, które z tej technologii korzystają w sposób jak najbardziej zgodny z prawem.

Tym razem przestępcze szyki pokrzyżować ma możliwość zastrzegania numeru PESEL w specjalnym rejestrze, utworzonym i administrowanym przez administrację szczebla centralnego.

– Ustala się (…) katalog podmiotów zobligowanych do weryfikacji istnienia zastrzeżenia numeru PESEL pod rygorem braku możliwości dochodzenia roszczeń powstałych np. z zawartej umowy. Jeśli numer PESEL jest zastrzeżony podmiot taki powinien odmówić dokonania czynności. Może ją co prawda zrealizować i umowa taka będzie ważna, ale wyłącznie na swoje ryzyko i bez możliwości dochodzenia roszczeń w stosunku do właściciela danych. Jeśli numer PESEL nie jest zastrzeżony – transakcja może zostać zrealizowana zgodnie z przyjętymi przez strony ustaleniami – czytamy w uzasadnieniu do projektu.

Wśród instytucji, obowiązanych do weryfikacji klienta w rejestrze, mają się znaleźć m.in. podmioty sektora finansowego, a także kancelarie notarialne.

Uwagi sektora bankowego do inicjatywy rządowej

Czy umożliwienie zastrzegania numeru PESEL pozwoli ograniczyć plagę kradzieży tożsamości?  

Radca prawny Katarzyna Urbańska, Dyrektor Zespołu Prawno-Legislacyjnego Związku Banków Polskich, wskazuje na utrudnienia, z jakimi wiązałoby się przyjęcie regulacji w zaproponowanej postaci.

Zastrzeżenie numeru PESEL skutkować będzie wszak praktycznie uniemożliwieniem korzystania z usług kredytowych, jak również ograniczeniem dostępu do pozostałych kategorii usług płatniczych (np. niemożnością otwarcia nowego konta w banku).

Na ten sam problem zwracali uwagę przedstawiciele Konfederacji Lewiatan, dodając, iż zmiana przepisów może ograniczyć dynamiczny rozwój rynku płatności odroczonych (BNPL) – każdy udzielający tego typu finansowania musiałby uprzednio zweryfikować swego klienta w rejestrze, gdyż sprzedaż „na kreskę” osobom tam figurującym wiązałaby się z nadmiernym ryzykiem dla dostawcy.

Każdy będzie mieć wprawdzie prawo do cofnięcia zastrzeżenia swego numeru PESEL, co pozwoli na korzystanie z usług kredytowych/pożyczkowych bez ograniczeń, jednak będzie to o wiele trudniejsze niż samo złożenie dyspozycji zastrzeżenia.

Po uwagach złożonych przez ZBP zastrzeżenie numeru PESEL będzie możliwe przez: aplikację mObywatel, profil zaufany, osobiście w organie gminy, osobiście w placówce pocztowej, osobiście w placówce bankowej lub za pomocą systemu teleinformatycznego banku, a także za pośrednictwem instytucji wskazanych w art. 105 ust. 4 Prawa bankowego.

Tymczasem cofnięcie zastrzeżenia będzie tylko możliwe przez aplikację mObywatel i Profil Zaufany lub osobiście w organie gminy – przypomina Katarzyna Urbańska.

To nie jedyne zmiany, jakich dokonano w projekcie w oparciu o uwagi, składane przez sektor bankowy. Możliwość składania zastrzeżenia została ograniczona wyłącznie do konsumentów w rozumieniu kodeksu cywilnego, dokonując zatem zakupów „na firmę” nie będziemy ograniczeni wcześniej złożoną dyspozycją, co jest poniekąd logiczną konsekwencją uznania przedsiębiorców za podmioty profesjonalne.

– Doprecyzowano również proponowany przepis art. 105d Prawa bankowego wskazując, że należy również weryfikować zastrzeżenie numeru PESEL również przed zmianą umowy kredytu, pożyczki, leasingu, ale tylko w przypadku, gdy następuje zwiększenie zadłużenia – wskazała przedstawicielka ZBP.

To bardzo istotna poprawka, bowiem w pierwotnym brzmieniu ustawy bank mógłby mieć problem choćby z rozpatrzeniem wniosku o… likwidację kredytu odnawialnego w rachunku w przypadku klienta, który złożył stosowne zastrzeżenie PESEL.

Ochrona Seniora

Bardzo ważnym postulatem, z uwagi na bezpieczeństwo seniorów narażonych na wyłudzenia metodą „na wnuczka” i podobnymi, jest ograniczenie dziennych wypłat gotówki dla osób, które zastrzegły numer PESEL.

Rozwiązanie to będzie dotyczyło  jedynie wypłat dokonywanych w placówce banku, w ten bowiem sposób najczęściej działają oszuści odbierający od seniorów środki dla rzekomego policjanta, inkasenta bądź członka rodziny. Limity wskazane w projekcie nie będą obejmować wypłat dokonywanych w bankomatach.

Zastrzeganie numeru PESEL ma w określonych sytuacjach następować z urzędu – zgodnie z propozycjami bankowców, będzie to w przypadku zgonu danej osoby, jak również utracenia przezeń dowodu osobistego. Zastrzeżeniu nie będą natomiast podlegać numery osób niepełnoletnich.

–  Są to osoby nie mające pełnej zdolności prawnej stąd tez dane te nie mogą być wykorzystane do zawarcia np. umowy kredytu – przypomina Katarzyna Urbańska. Bank czy inny dostawca usług finansowych nie będzie tez ponosić negatywnych konsekwencji braku weryfikacji klienta w sytuacji, kiedy dostęp do rejestru zostanie uniemożliwiony, np. wskutek awarii tegoż.

Źródło: BANK.pl