Przelewy wyróżniają się w europejskich statystykach oszustw płatniczych. To w ich przypadku najwyższa jest wartość oszukańczych transakcji. I inaczej niż np. w płatnościach kartowych, największą część strat biorą na siebie klienci-płatnicy. Polska nie należy niestety do chlubnych wyjątków.
Hasło „oszustwo płatnicze” może kojarzyć się nam przede wszystkim z plastikowym pieniądzem i transakcjami w internecie. Dane opowiadają jednak zupełnie inną historię. W grudniu minionego roku Europejski Urząd Nadzoru Bankowego (EBA) oraz Europejski Bank Centralny (ECB) opublikowały wspólny raport, w którym wzięto pod lupę ciemną stronę płatności bezgotówkowych. Znaleźć w nim można sporo niepokojących wątków.
W raporcie instrumenty płatnicze podzielono na zlecenia uznaniowe (w Polsce przykładem jest polecenie przelewu), zlecenia obciążeniowe (direct debit, polecenie zapłaty), płatności kartowe, wypłaty gotówki oraz pieniądz elektroniczny.
Zlecenia uznaniowe odpowiadają za największą część oszustw płatniczych, ale jednocześnie mają najniższy odsetek transakcji oszukańczych. Pozorny paradoks wynika z wolumenu transakcji – przelewy to dominujący kwotowo sposób transferu środków. Odsetek oszustw na poziomie 0,001 proc. przekłada się na blisko 1,4 mld euro wartości przestępstw. Dla porównania, w przypadku kart płatniczych odsetek jest wielokrotnie wyższy (0,031 proc. wartości transakcji), ale oznacza „zaledwie” ok. 600 mln euro oszustw.
Przelewy są także jedynym obszarem, w którym widać zdecydowany i zatrważający trend. W 2024 r. za trzy czwarte wartości oszustw odpowiadały sytuacje, w których przestępca skłonił ofiarę do wysłania pieniędzy. Proporcja ta rośnie niemal liniowo. W połowie 2022 r. wynosiła 57 proc., rok później – 63 proc., w połowie 2024 r. – 71 proc.
Paradoks „trudniejszego celu” – więcej oszustw tam, gdzie jest dodatkowe zabezpieczenie
Od wielu lat klienci polskich banków znają z pierwszej ręki mechanizm nazywany silnym uwierzytelnieniem użytkownika (SCA, strong customer authentication). W niektórych scenariuszach musimy nie tylko zalogować się do aplikacji bankowej, ale także dodatkowo potwierdzić transakcję (np. PIN-em). Dotyczy to również przelewów zlecanych online, chociaż nie w każdym przypadku (np. zaufanych odbiorców, niskiej kwoty).
Z danych EBA i ECB wynika, że odsetek oszustw jest wyższy w przelewach, w których użyto dodatkowego zabezpieczenia niż tam, gdzie nie było ono wymagane. Czy oznacza to, że mechanizm wymagany przez regulację PSD2 nie spełnia swojego zadania?
Autorzy raportu zwracają uwagę, że taki wniosek jest błędny. „SCA jest zazwyczaj stosowane w transakcjach o wyższej wartości lub wyższym ryzyku, które są bardziej atrakcyjnym celem dla oszustów. Ponadto wiele rodzajów zwolnionych transakcji, takich jak przelewy własne (…) jest mniej narażonych na oszustwa, co skutkuje niższym wskaźnikiem obserwowanych fraudów. Dlatego wyższe wskaźniki oszustw w transakcjach uwierzytelnionych przez SCA prawdopodobnie wynikają z tego, że przestępcy skupiają swoje wysiłki na transakcjach gdzie stosuje się SCA, zamiast na próbach obejścia wymogów dodatkowego zabezpieczenia” – wskazano w opracowaniu.
Za oszukańcze przelewy płacą klienci
Osobny rozdział w raporcie poświęcono stratom wynikającym z oszustw płatniczych. Szczególnie ciekawy wątek dotyczy rozkładu odpowiedzialności pomiędzy dostawcami usług płatniczych (np. banki) a użytkownikami tych usług (klienci-płatnicy). Najwyższe straty odnotowano w przypadku zleceń uznaniowych oraz płatności kartowych. Ale niezależnie od typu instrumentu to użytkownicy zawsze byli w największym stopniu dotknięci finansowymi konsekwencjami przestępstw. W 2024 r. łącznie straty przerzucone na klientów oszacowano na 2,48 mld euro. Za 829 mln euro odpowiedzieli dostawcy usług, a 454 mln euro pozostali (w tej kategorii mieszczą się np. sytuacje podziału odpowiedzialności pomiędzy instytucję wysyłającą i odbierającą środki).
W 2024 r. z tytułu oszukańczych przelewów łączne straty wyniosły 2,2 mld euro i to w tej kategorii największy udział w odpowiedzialności finansowej przypadł klientom (ok. 85 proc.). W pozostałych typach transakcji konsekwencje oszustw rozłożone były bardziej równomiernie.
W dokumencie przedstawiono również interesujące zestawienie podziałów odpowiedzialności za oszukańcze przelewy w poszczególnych krajach. W Polsce 98 proc. strat z tego typu transakcji przypisano użytkownikom, a 2 proc. dostawcom usług płatniczych.
Wyższy odsetek odnotowano tylko w Bułgarii, Estonii, Słowacji, Słowenii, na Łotwie, Litwie, Węgrzech i w Luksemburgu.
„Jeśli chodzi o transfery uznaniowe, w 2024 roku użytkownicy ponosili większość strat w większości krajów. Warto zauważyć, że wszystkie kraje z wyjątkiem Austrii, Irlandii, Włoch, Malty, Norwegii i Portugalii zgłaszają udziały użytkowników przekraczające 80 proc. całkowitych strat z powodu oszustw związanych z tym instrumentem. Sugeruje to, że w większości krajów sposób postępowania w przypadku oszustwa przy zleceniach uznaniowych, często używających SCA, jest szczególnie surowy dla użytkowników. Uznanie wszystkich transakcji uwierzytelnionych przez SCA jako autoryzowanych może być istotnym powodem takiego a nie innego podziału odpowiedzialności” – czytamy w raporcie.
„Rodzi to również pytania o skuteczność mechanizmów zadośćuczynienia za oszustwa dostępnych dla klientów i może sugerować, że krajowe, restrykcyjne interpretacje pojęć ‘autoryzacji’ i ‘rażącego zaniedbania’ przyczyniają się do tego, że klienci ponoszą wysoki udział w stratach” – wskazano.
Przypomnijmy, że w Polsce wokół tych zagadnień toczy się spór pomiędzy bankami a UOKiK. Trwające postępowanie rzekomo zbliża się do zakończenia. Rewolucyjne zmiany w odpowiedzialności za oszustwa przewiduje natomiast wykuwający się właśnie pakiet regulacji unijnych.
