W 2023 roku oszuści buszujący w sieci wykradli z kont Europejczyków 4,3 mld euro
Gdy ktoś zostanie pokrzywdzony bez winy własnej w wyniku przelewu zleconego zdalnie z domu, operacji dokonanej kartą, czy z użyciem apki, banki powinny mieć obowiązek zadośćuczynić pechowcowi. W Wielkiej Brytanii powstał na tym tle rwetes i bałagan.
Najpierw górna granica odszkodowania za utratę pieniędzy w wyniku działania hakerów i innych złoczyńców została ustalona w wysokości 415 tys. funtów, ale zanim limit ten zaczął obowiązywać, zmniejszono go w tych dniach do 85 tys. funtów. Banki i fintechy zajmujące się płatnościami zdołały przekonać regulatorów, że pierwszy limit był za wysoki.
Wartość kradzieży z rachunków bankowych w UE
W najnowszym raporcie „2024 Report on Payment Fraud” opracowanym dla Europejskiego Banku Centralnego i European Banking Authority podano, że w 2022 roku wartość kradzieży z rachunków bankowych, najczęściej w wyniku podszywaniu się pod poszkodowaną osobę, wyniosła na obszarze Unii oraz Norwegii i Islandii 4,3 mld euro. W pierwszej połowie 2023 roku było to 2 mld euro.
Kwoty strat są niebagatelne, ale ponieważ łączna wartość samych tylko przelewów z rachunku na rachunek dokonywanych w UE to ok. 141 bilionów (140 000 mld) euro, udział pieniędzy traconych w wyniku oszustw wynosi od 1 promila w przypadku przelewów do 8 promili w przypadku wypłat gotówki z bankomatów.
Podobnie jest z liczbami udanych oszustw. W przypadku przelewów – w pierwszym półroczu ’23 dokonano takich 616 000, ale łączna liczba przelewów wyniosła w tym czasie 21 810 000 000, czyli prawie 22 miliardy.
Przelewy elektroniczne stosujemy najczęściej do przekazywania drugiej stronie większych pieniędzy. W pierwszym półroczu przeciętna wartość pojedynczego przelewu wyniosła 6 485 euro, ale średnia kwota stracona w przekrętach była ponad trzy razy niższa. Większe transakcje były zapewne staranniej chronione przez nadawcę i wykonawcę.
Czytaj także: Raport Specjalny | Obrót Gotówkowy | Technologie pomogą bankowcom radzić sobie z gotówką
Fraudy podczas płatności kartą
Przeciętna strata na kradzieży przy poborze gotówki z bankomatów wyniosła 358 euro, na płatności e-money – 98 euro, na płatności kartą 87 euro i najmniej na poleceniu zapłaty (np. za czynsz, czy prąd) – 65 euro.
Niska wartość przekrętów podczas płatności kartą wynika z bezpośredniości transakcji i krótkiego czasu między inicjacją, a zatwierdzeniem płatności. Większość przestępstw dokonywanych jest zatem z użyciem ukradzionej karty. Polecenia zapłaty dotyczą z reguły względnie małych kwot, więc hakerom nie opłaca się skórka za wyprawkę.
Oszuści muszą pokonać SCA, a to coraz trudniejsze
Duże bezpieczeństwo elektronicznych przelewów bankowych jest wynikiem stosowania weryfikacji, np. przez konieczność wysłania do banku SMS z kodem wcześniej dostarczonym klientowi. Ta i inne metody nazywane są SCA (strong customer authentication), co oznacza silne potwierdzenie, że transakcji dokonuje osoba uprawniona.
W pierwszej połowie ’23 SCA wymagało w Europie aż 77 proc. elektronicznych przelewów bankowych i niemal tyle samo płatności kartowych.
Doświadczenie wskazuje, że nie ma rozwiązań idealnych. Kto stał się ofiarą oszustwa w rezultacie dokonywania płatności na odległość, ten jest w ocenie ich bezpieczeństwa srogi, ale nie nadwyręża to opinii, że płatności elektroniczne są w Europie bezpieczne, a stopień ich pewności jest wysoki.
Cyberbezpieczeństwo polskiego sektora bankowego
Polska wyróżnia się pod tym względem na korzyść i jest w zestawieniach oszustw w dolnych rejonach list. Nie mieliśmy np. ani jednego przypadku kradzieży w metodzie e-money.
Najczęściej Polacy padają ofiarami kradzieży podczas używania kart płatniczych. W I połowie ubiegłego roku było ich ok. 130 tys. na łączną kwotę prawie 53 mln euro, czyli ok. 400 euro na jedną kradzież.
Najważniejszym czynnikiem naszego bezpieczeństwa są korzyści z odtwarzania po PRL sektora bankowego praktycznie od początku, i to z ambicjami, aby tworzyć najnowocześniejszy i najpewniejszy z możliwych.
Uniknęliśmy m.in. płatności czekowych, z którymi Amerykanie lubią się borykać do dzisiaj, choć liczba zrealizowanych w USA czeków spada. Jeszcze w 2000 roku ich liczba dobrze przekraczała 4 miliardy kwartalnie, a obecnie wynosi do ok. 750 mln na kwartał.
Czytaj także: Raport EBC i EBA potwierdza skuteczność Strong Customer Authentication
Straty poniesione w wyniku oszukańczych APP a refundacje
Z powodu braku solidnych danych nie było możliwe dokonanie wiarygodnych porównań międzypaństwowych w odniesieniu do pokrywania strat poniesionych przez klientów w wyniku oszustw. Wiadomo jednak, że prawie 90 proc. strat na przelewach nie jest klientom rekompensowana.
Znacznie lepiej jest w transakcjach e-money, w których odsetek klientów pozostawianych samym sobie spada do 25 proc. M.in. dzięki ubezpieczeniom, w płatnościach kartowych i korzystania z bankomatów straty pokrywają mniej więcej po połowie klienci i dostawcy tych usług.
I jeszcze powrót na krótko do Londynu. Straty poniesione przez Brytyjczyków w wyniku tzw. oszukańczych APP (authorised push payments), tj. kradzieży podczas płatności inicjowanych przez klientów, wyniosły w 2023 roku 460 mln funtów, zatem proporcjonalnie więcej niż na kontynencie.
Podejście działających tam banków było bardzo różne. Wielkie i tradycyjne jak Nationwide i TSB pokrywały w całości straty klientów aż w 95 proc. przypadków. Banki cyfrowe Monzo, Danske Bank, czy AIB przyznały w zeszłym roku całkowitą refundację tylko w mniej niż 10 proc. przypadków.
Gdy regulator (Payment System Regulator – PSR) uznał, że limit rekompensaty powinien wynosić 415 tys. funtów, banki „oblały się potem”. Po fali przeprowadzonego lobbyingu PSR odstąpił i proponuje teraz, że górna granica rekompensaty wynosić będzie od 7 października 85 tys. funtów. Prasa wskazuje, że do cerberów trafił najwidoczniej do przekonania m.in. argument, że wysoki limit może być zachętą do zmów klientów z przestępcami.
Wg PSR, za obniżką przemawiają dane statystyczne, wg których aż 99 proc. przypadkach wysokość strat poniesionych w 2023 roku przez klientów indywidualnych i biznesowych nie przekroczyła wysokości 85 tys. funtów.
W minionym roku w Wielkiej Brytanii odnotowano w płatnościach 250 tys. przekrętów, ale jedynie 18 przyniosło utratę ponad 415 tys. funtów, a 411 – ponad 85 tys. funtów.
Brytyjczycy i ich rzecznicy przyjmują zmianę na gorsze z wielkim niezadowoleniem, podkreślając m.in. następstwa w wyniku mniejszej motywacji po stronie bankowej do stałej poprawy bezpieczeństwa oraz zagrożenia dla małych i średnich firm.
Z punktu widzenia osób fizycznych nowa wysokość wydaje się rozsądna, bo przy większych płatnościach trzeba raczej udać się osobiście do banku, zaś duże i wielkie firmy mają zbyt dobrych prawników, żeby dać zjeść się kaszy. Najbardziej zagrożony jest istotnie sektor MSP.
W Polsce nie ma podstaw do dyskusji, ponieważ nie ma takiego limitu. W przypadku oszustwa trzeba je zgłosić Policji i w banku, gdy bank odmawia zaspokojenia roszczeń ofiary oszustwa pozostaje droga sądowa.