To kontynuacja i rozwinięcie obowiązującej już od kilku lat dyrektywy PSD2, która wprowadziła m.in. silną autoryzację klienta (SCA). Nowe przepisy mają wejść w życie najwcześniej w 2025 roku, a ich celem jest dalsze wzmocnienie ochrony klientów banków i fintechów w starciu z coraz bardziej wyrafinowanymi formami cyberprzestępczości.
Spoofing czy działanie w dobrej wierze
Wiceprzewodniczący Komisji Europejskiej Valdis Dombrovskis podkreśla, że Unia chce „wzmocnić ochronę konsumentów — także poprzez usprawnione zapobieganie oszustwom i zapewnienie lepszej oferty płatniczej”. Do głównych zmian należeć będzie wprowadzenie prawa do zwrotu środków nawet w przypadku transakcji, które klient autoryzował sam – pod warunkiem, że został zmanipulowany przez oszusta działającego np. metodą spoofingu. Ofiary będą musiały działać „w dobrej wierze”, ale odpowiedzialność nie będzie już mogła być automatycznie przerzucana na nich.Nowe przepisy przewidują też obowiązek dzielenia się informacjami o fraudach pomiędzy dostawcami usług płatniczych, bankami i operatorami telekomunikacyjnymi – oczywiście z poszanowaniem zasad ochrony danych osobowych. Pojawią się również obowiązkowe procedury wykrywania manipulacyjnych transakcji, takie jak systemy porównujące numer konta z nazwą odbiorcy przelewu (IBAN/name matching), a także dynamiczne monitorowanie nietypowych operacji.
Europejski Urząd Nadzoru Bankowego (EBA) w najnowszej publikacji ostrzega, że dotychczasowe zabezpieczenia, w tym Silna Autoryzacja Klienta, nie wystarczają wobec rosnącej fali oszustw opartych na tzw. social engineering, czyli manipulowaniu ludźmi zamiast systemami. Urząd alarmuje, że „obecne mechanizmy, choć przydatne, nie chronią przed dynamicznie rozwijającym się oszustwem społeczno-technologicznym. Trzeba wdrożyć aktywne rozwiązania zapobiegawcze”.
PSD3 i PSR mają zabezpieczyć interesy posiadaczy kont
Z danych EBA wynika, że aż 79 proc. ofiar oszustw płatniczych traci pieniądze mimo tego, że technicznie to one same potwierdziły przelew – najczęściej pod wpływem nacisku, strachu lub zaufania do fałszywego przedstawiciela banku. PSD3 i PSR mają ujednolicić reguły postępowania w takich sytuacjach w całej Unii Europejskiej i dać klientom szerszy zakres ochrony prawnej.Regulacje zobowiążą banki i instytucje do edukowania klientów, prowadzenia kampanii informacyjnych i szkolenia personelu w zakresie wykrywania oszustw. Przepisy obejmą także obowiązki techniczne – od zabezpieczeń systemów transakcyjnych, przez monitorowanie podejrzanych działań, po wymianę danych w czasie rzeczywistym między różnymi podmiotami rynku.
W praktyce oznacza to, że bank nie będzie mógł uchylić się od odpowiedzialności za transakcję, jeśli klient został zmanipulowany. System ma chronić ofiary, a nie karać je za brak czujności w starciu z wyrafinowanym przestępcą.
Nowe przepisy to również odpowiedź na presję opinii publicznej i organizacji konsumenckich. Fundacja EFRI (European Fund Recovery Initiative) od miesięcy apeluje o przyjęcie PSD3 i PSR jako „najpilniejszych i najbardziej oczekiwanych narzędzi walki z oszustwami płatniczymi” na terenie Unii.
Komentarze (0)