Szybkie płatności mogą być niebezpieczne. Rosnąca fala wyłudzeń skłoniła brytyjskie instytucje płatnicze do dobrowolnego rekompensowania ofiarom strat. Dobrowolność skończy się jednak lada moment. Twarde podejście nadzoru PSR może znaleźć naśladowców w innych krajach.
Można okradać ofiarę, ale można też skłonić ją do tego, by sama wysłała przestępcy pieniądze. Druga ze ścieżek okazała się w ostatnich latach bardziej wydajna – wystarczy trochę socjotechnicznych sztuczek i łut szczęścia. Nic dziwnego, że schemat znany w Polsce pod hasłem oszustwa „na wnuczka” doczekał się setek różnych odmian. Przykładem mogą być zarówno wyłudzenia bazujące na podszywaniu się pod bank, pod internetowego sprzedawcę, wystawcę faktur, ale także np. prośby o dopłaty do paczki czy pożyczki dla znajomego rozpowszechniane za pośrednictwem komunikatorów i platform społecznościowych.
Bardziej fachowa nazwa na tego rodzaju przestępstwa to „authorized push payment fraud” (APP, oszustwo oparte na autoryzowanej płatności). Ponieważ ofiara sama zleca transakcję i potwierdza ją zgodnie z wymaganiami swojego dostawcy, można byłoby argumentować, że oszukany powinien ponosić finansowe konsekwencje swojej naiwności. Tak jest zazwyczaj, dopóki problem nie przybierze masowej skali. Przykładem tego, co może dziać się dalej, służy Wielka Brytania.
Od dobrych praktyk do twardych wymagań
W pierwszym półroczu 2023 r. Brytyjczycy stracili dzięki oszustwom typu APP 580 mln funtów. Skala wyłudzeń rosła dynamicznie przez lata, stopniowo zyskując medialny rozgłos. Szybko pojawiły się też naciski, by wzmocnić ochronę konsumentów-ofiar.
Już w 2019 r. brytyjski sektor płatniczy stworzył zestaw dobrych praktyk i mechanizm wyrównywania strat klientom, którzy padli ofiarą oszustw APP. Warunkiem stawianym ofiarom korzystającym z tzw. Contingent Reimbursement Model Code (jak nazwano przedsięwzięcie, CRM) było wykazanie się „rozsądną dozą uwagi” lub zaliczenie do szczególnie narażonych grup.
Przegląd praktyk brytyjskich banków prezentowaliśmy na łamach Bankier.pl w listopadzie 2023 r. Organ nadzoru nad rynkiem płatniczym PSR wskazywał, że obietnicę wyrównywania strat ofiarom dostawcy realizowali w bardzo różnym stopniu. „Najlepsza” z instytucji oddała oszukanym klientom 91 proc. środków, „najgorsza” zaledwie 10 proc.
Tuż przed świętami PSR opublikował zapowiadane regulacje skierowane do nadzorowanych podmiotów, a w szczególności do operatora systemu Faster Payments (płatności natychmiastowych). Podstawowe zasady obowiązkowego schematu wyrównywania strat oszukanym „na e-wnuczka” konsumentom prezentują się następująco:
- Dostawcy usług płatniczych będą musieli zwracać klientom do 415 tys. funtów (górna granica roszczeń).
- Obowiązek ciąży w proporcji pół na pół na instytucji-nadawcy i instytucji-odbiorcy wyłudzonych pieniędzy (z wzajemnymi rozliczeniami, jeśli uda się odzyskać wyłudzoną kwotę).
- Maksymalny „udział własny w szkodzie” oszukanego klienta (odejmowany od zwrotu) wynieść będzie mógł 100 funtów.
Zasady zaczną obowiązywać 7 października 2024 r. Ponieważ oznaczają one potencjalnie duże obciążenie dla nadzorowanych, PSR zapowiada monitorowanie przez najbliższe 10 miesięcy wartości żądanych przez konsumentów zwrotów.
Rażąca niedbałość w praktyce, czyli kto powinien płacić za błędy
Problem odpowiedzialności za transakcje oszukańcze to niezwykle delikatna materia. Każda ze skrajności rodzić może patologie. Jeśli uznać, że dostawca usług płatniczych ma tylko realizować zlecenia klienta i nic poza tym, to pokrzywdzeni będą konsumenci oczekujący chociaż minimalnej ochrony, np. w postaci monitoringu nietypowych transakcji. Zwolnienie konsumentów z jakiejkolwiek odpowiedzialności za konsekwencje oszustw rodzi z kolei hazard moralny – zachęca do niedbałego podejścia do cyberbezpieczeństwa lub wręcz tzw. „friendly fraud” (wyłudzania zwrotów mimo braku podstaw). Również w Polsce wokół tego zagadnienia toczyła się dyskusja, gdzie kością niezgody była m.in. terminologia użyta w ustawie o usługach płatniczych.
Także z tego powodu warto zwrócić uwagę na wskazówki interpretacyjne przygotowane przez brytyjski nadzór płatniczy. PSR wyjaśnia, w jakich okolicznościach można uznać, że konsument wykazał się odpowiednią ostrożnością i powinien liczyć na wyrównanie poniesionych strat. Wskazano na 4 wymagania:
- Uwzględnienie ostrzeżeń o schematach wyłudzeń kierowanych do klienta przez władze lub dostawcę usług płatniczych. Przy czym nie obejmuje to ogólnikowych („boilerplate”) komunikatów umieszczanych np. na stronie logowania do bankowości internetowej. Wymóg obejmuje konkretne, jednoznaczne ostrzeżenia np. podczas zlecania operacji.
- Niezwłoczne zgłoszenie oszustwa (nie później niż w ciągu 13 miesięcy).
- Udostępnienie informacji niezbędnych do oceny zasadności roszczenia. PSR zwraca uwagę jednak, że żądania dostawcy usług płatniczych powinny być uzasadnione, proporcjonalne i wyważone z uwzględnieniem prawa do prywatności konsumenta. Nadzór ostrzega też przed użyciem tego narzędzia jako sposobu na przeciągnięcie procesu wypłaty środków – zwrócenie się o informacje powoduje bowiem zatrzymanie „stopera” liczącego czas na obsługę roszczenia.
- Zgoda na zgłoszenie incydentu policji – za pośrednictwem dostawcy usług płatniczych lub bezpośrednio.
PSR podkreśla w wielu miejscach, że niespełnienie któregoś z wymogów nie pozbawia konsumenta automatycznie prawa do rekompensaty. Obowiązek udowodnienia rażącego zaniedbania spoczywa w każdym przypadku na dostawcy usługi płatniczej. Co więcej, w przypadku osób uznanych za szczególnie narażone na ryzyko oszustwa (np. w podeszłym wieku), wymienione kryteria nie są obowiązujące.
Gwóźdź do trumny małych instytucji płatniczych?
Chociaż regulacje zaprezentowane przez PSR nie spadły na sektor jak grom z jasnego nieba, to budzą sporo wątpliwości. Cytowani przez agencję Reuters przedstawiciele fintechów wskazują, że mali gracze mogą nie udźwignąć odpowiedzialności. Efektem może być rezygnacja z obsługi szybkich płatności lub pożegnanie się w ogóle z rynkiem.
Wielkie banki od dawna starają się z kolei zwrócić uwagę regulatorów na platformy społecznościowe. Większość schematów oszustw typu APP wykorzystuje komunikatory internetowe lub serwisy typu marketplace. Korporacje czerpiące profity z popularności swoich „cyberprzestrzeni” powinny zadbać o błyskawiczną eliminację zagrożeń dla użytkowników albo przynajmniej partycypować w kosztach obsługi rekompensat, argumentują bankowcy.
Pod koniec listopada 2023 r. jedenaście firm (m.in. Meta, Google, Amazon) przystąpiło do porozumienia UK Online Fraud Charter i zobowiązało się zdecydowanie walczyć z oszustami na swoim podwórku. To jednak nadal tylko dobrowolne zobowiązanie, a nie twarde prawo, za którym stają finansowe konsekwencje.
Wielka Brytania będzie uważnie obserwowana przez unijnych ustawodawców. W nowym pakiecie regulacji rynku płatniczego pojawiają się rozwiązania podobne do wprowadzanych przez nadzór na Wyspach – m.in. prawo do ubiegania się przez konsumenta o zwrot środków utraconych w wyniku oszustwa. Zanim jednak PSD3 i PSR (Payment Services Regulation) przyjmą ostateczną postać i zostaną wdrożone do lokalnego prawa w krajach UE, będzie już wiadomo czy Brytyjczycy po raz kolejny wskazali innym drogę, czy może zabrnęli w ślepy zaułek.
