Ofiarom oszustw należy się ochrona – tej zasady nie kwestionuje żaden z uczestników rynku finansowego. O tym, jak daleko ma ona sięgać i kto poniesienie konsekwencje udanych ataków przestępców, decydują regulacje prawne. Przy okazji dyskusji na temat zmian w unijnym prawie widać, jakie kontrowersje budzą szczegóły zamknięte w paragrafach.
Lada moment dziesiąte urodziny świętować będzie PSD2, unijna dyrektywa o usługach płatniczych. Przyniosła ona ze sobą kilka ważnych dla rynku nowości, w tym usankcjonowanie usług otwartej bankowości. Kluczowym z jej celów było jednak zwiększenie bezpieczeństwa transakcji i utrudnienie działania przestępcom. Dokładnie 6 lat temu w Polsce w życie weszły zmiany wynikające z unijnej regulacji, ujęte w ustawie o usługach płatniczych.
Nowy wymóg silnego uwierzytelnienia (SCA) wielu operacji zmusił klientów banków do zmiany przyzwyczajeń, ale postawił tamę najmniej wyrafinowanym scamom opartym na phishingu. Jednocześnie obniżono limit odpowiedzialności konsumentów za nieautoryzowane transakcje płatnicze, wzmacniając ochronę w razie np. kradzieży. Skrócono także czas na odpowiedź w reklamacjach.
W opublikowanym w 2022 r. przeglądzie skutków wdrożenia PSD2 Komisja Europejska zwróciła uwagę na „starzenie się” regulacji. Jednym z czynników, który wymagał reakcji, była ewolucja w oszustwach wycelowanych w konsumentów. W dokumencie wskazano m.in. na rosnące znaczenie ataków socjotechnicznych. Zakres ochrony konsumentów powinien zostać zwiększony – taka konkluzja znalazła się w opracowaniu.
Pod koniec czerwca 2023 r. opublikowano pierwszy zarys nowej regulacji, nazwanej roboczo pakietem PSD3. W jego skład wchodziła zarówno odnowiona dyrektywa koncentrująca się na kwestiach funkcjonowania dostawców usług płatniczych, jak i PSR (Payment Services Regulation) o bardziej technicznym charakterze. W czerwcu 2025 r. poznaliśmy nową wersję dokumentu, zaakceptowaną przez Radę UE.
W propozycjach znalazło się sporo nowości wycelowanych w epidemię oszustw. Część z nich dotyczy procesów odbywających się niejako „na zapleczu”, niewidocznych dla płatników. Zobowiązuje się instytucje płatnicze do wymiany informacji o zagrożeniach, a także pozwala im na pełnienie roli tzw. „trusted flaggers”, czyli podmiotów zgłaszających do platform internetowych, dostawców hostingu i innych pośredników przypadków oszustw finansowych. Takie zgłoszenia od zaufanych graczy mają być w myśl regulacji (w tym DSA, Digital Services Act) traktowane priorytetowo. Nie zabrakło także elementów szczególnie istotnych dla konsumentów, ofiar przestępczych praktyk.
Zmanipulowany płatnik objęty rozszerzoną ochroną
W proponowanej wersji regulacji pojawia się odniesienie do specyficznego scenariusza, tzw. impersonation fraud. Mowa tu o sytuacjach, w których płatnik zostaje poddany manipulacji przez przestępców udających dostawcę usług płatniczych. W propozycji wskazano szeroko na „trzecią stronę udającą dostawcę usług płatniczych przez kanały komunikacji przypisane temu dostawcy”. Mieściłoby się w tym zatem nie tylko podszycie pod pracownika, ale także np. pod serwis bankowości internetowej.
Jeśli efektem takiej perswazji jest transakcja (jak np. w oszustwach „na pracownika banku”), firma miałaby obowiązek w ciągu 15 dni roboczych zwrócić środki klientowi. Przewidziano jednak kilka warunków, od których uzależniona jest rozszerzona ochrona. Jeśli klient zorientował się, że padł ofiarą oszustwa i bezzwłocznie poinformował o tym dostawcę usług płatniczych, dostarczył wszelkie istotne informacje, jakie może posiadać o incydencie, jak również zgłosił sprawę na policję.
Dostawcom usług płatniczych pozostawia się opcję odmowy wypłacenia środków, ale muszą do istnieć solidne podstawy do podejrzewania próby wprowadzenia w błąd lub „rażącej niedbałości”. Konsument powinien także otrzymać wówczas uzasadnienie wraz z informacją o opcjach dalszego dochodzenia swoich praw.
Irlandia proponuje – niech platformy odsiewają oszustów
W trakcie prac nad nowym pakietem problem oszustw bazujących na podszywaniu się pod zaufane instytucje okazał się jednym z punktów generujących najwięcej kontrowersji. Pojawiły się propozycje, aby rozszerzona ochrona objęła szerszą kategorię spoofingu, nie tylko dostawców usług płatniczych, jak również, by platformy internetowe, które emitują reklamy przestępców przejęły finansową odpowiedzialność za straty konsumentów.
W maju 2025 r. Irlandia zgłosiła sugestię poprawki, która miałaby zmusić duże platformy do weryfikowania, czy reklamodawca jest licencjonowaną instytucją finansową. Oszustwa oparte na podszywaniu się pod znanego dostawcę mają swój początek zwykle właśnie w serwisach społecznościowych lub wyszukiwarkach. To właśnie tam potencjalne ofiary trafiają zazwyczaj na „oferty” przestępców.
Komisja Europejska zwróciła uwagę, że taki wymóg kłóciłby się z zakazem szerokiego monitorowania treści na platformach przewidzianym w DSA. Wyjściem z patowej sytuacji mogłoby być natomiast wzmocnienie wymiany danych pomiędzy Big Techami a sektorem finansowym.
Warto podkreślić, że inicjatywa Irlandii jest elementem szerszego planu zarysowanego przez tamtejszy bank centralny. Obejmuje on stworzenie wspólnej dla dostawców usług masowych, banków i instytucji płatniczych bazy znanych oszustw, a także uruchomienia mechanizmu filtrowania wiadomości SMS rozpowszechniających scam.
Nieautoryzowana transakcja z nowym spojrzeniem
Jednym z punktów na mapie sporów na linii konsumenci-banki w Polsce pozostają kwestie tzw. nieautoryzowanych transakcji płatniczych. Definicja zawarta w PSD2 nie została jednolicie ujęta w prawie poszczególnych krajów członkowskich. W nowej wersji projektu PSR dodano fragment, który odnosi się do tej sprawy.
„Transakcji płatniczej nie uznaje się za autoryzowaną, jeżeli transakcja została zainicjowana lub zmieniona przez osobę trzecią, która działa bez zgody użytkownika usług płatniczych, w tym przy użyciu osobistych danych uwierzytelniających użytkownika usług płatniczych uzyskanych w sposób noszący znamiona oszustwa” – tak brzmi w tłumaczeniu nowy element prawnej „układanki”.
Dodatkowo, doprecyzowano przesłanki uznania transakcji za autoryzowaną, gdy płatnik kwestionuje okoliczności jej zlecenia. “(…) fakt, że transakcja płatnicza została uwierzytelniona, w tym, w stosownych przypadkach, za pomocą silnego uwierzytelnienia klienta, prawidłowo zarejestrowana, zapisana na rachunkach i niedotknięta awarią techniczną lub inną wadą świadczonej usługi, sam w sobie nie musi być wystarczający do udowodnienia, że transakcja płatnicza została autoryzowana przez płatnika lub że płatnik działał w nieuczciwych zamiarach lub umyślnie lub w wyniku rażącego zaniedbania nie wypełnił co najmniej jednego z obowiązków (…)”.
Brzmienie tych fragmentów w ich obecnej formie można potraktować jako wzmocnienie pozycji płatników. Dla dostawców usług płatniczych oznacza jednak, że konieczne będzie zbieranie dodatkowych informacji o okolicznościach transakcji, które będą mogły wspierać tezę o ewentualnej odpowiedzialności lub współodpowiedzialności użytkownika.
Okres ochronny ma chronić przed oszustwami
Projekt PSR przewiduje nowy mechanizm spowalniający ruchy przestępców, którzy przełamią zabezpieczenia rachunku płatniczego. W umowie ramowej powinna znaleźć się informacja o maksymalnej kwocie transakcji dla każdego instrumentu płatniczego. Z nowego brzmienia PSR wynika, że użytkownik będzie mógł sam zmieniać te limity, a w przypadku zdalnego zlecenia (np. w bankowości mobilnej) wymagane będzie użycie silnego uwierzytelnienia.
Zmiana limitów dokonana zdalnie będzie miała jednak przewidziany „okres ochronny”. Wejdzie w życie po minimum 4 godzinach, a maksymalnie – po 12 godzinach od zlecenia. Z tego mechanizmu, w zamyśle chroniącego płatnika przed konsekwencjami oszustw, będzie można jednak zrezygnować. I tu konieczne będzie silne uwierzytelnienie lub osobiste stawiennictwo w placówce. Co ważne, zmiana taka również będzie objęta obowiązującym do tej pory opóźnieniem. Podobne zasady przewiduje się dla aktywacji aplikacji mobilnej pozwalającej na zarządzanie rachunkiem płatniczym.
Jakie będą dalsze losy projektów?
Następnym etapem prac nad pakietem „PSD plus PSR” jest tzw. trilog, czyli trójstronne negocjacje pomiędzy Komisją Europejską, Parlamentem Europejskim i Radą UE. Ostateczny tekst ustaw może zostać sfinalizowany jeszcze w 2025 r. Biorąc pod uwagę ewentualne opóźnienia po drodze, prawdopodobnie regulacje PSR wejdą w życie w drugiej połowie 2026 r. Można oczekiwać, że kwestie wzmocnienia ochrony konsumentów i zapobiegania oszustwom będą szczególnie mocno dyskutowane, jeśli pakiet ma się stać „antyfraudową konstytucją” UE na kolejne lata.
Scamming out! 2.0
Bankier.pl i „Puls Biznesu” po raz drugi zainicjowały akcję Scamming out! – kampanię informacyjno-edukacyjną, której celem jest wzrost zainteresowania społeczeństwa i czynników decyzyjnych rosnącą skalą zagrożenia ze strony cyberoszustów. Zapraszamy do śledzenia kampanii w obu serwisach oraz na stronie poświęconej naszej akcji: scammingout.pl
