Przestępcy podszyli się pod bank i wyłudzili pieniądze? Taki
scenariusz już nie jest rzadki, a rozwój technologii deepfake sprawi, że będzie
jeszcze groźniejszy. Nowa wersja unijnych regulacji przewiduje jednak, że płatnik
zyska w takich przypadkach szczególną ochronę.
PSD – te trzy litery poznali klienci banków przy okazji
wprowadzenia przed kilkoma laty nowych
zasad potwierdzania transakcji. To jedna z nielicznych unijnych dyrektyw, o
której można powiedzieć, że otarła się o „masową rozpoznawalność”. Jest ona
fundamentem regulacji usług płatniczych w UE, a wkrótce doczeka się trzeciej
wersji.
Tym razem do PSD3 trafią przede wszystkim zapisy dotyczące
podmiotów aktywnych na rynku, a najważniejsze dla konsumentów zasady ujęto w innym
dokumencie – PSR (Payment Services Regulation). Razem tworzą one pakiet, który
właśnie nabiera kształtów. W czerwcu 2025 r. nową wersję zaprezentowała Rada UE.
Znalazło się w niej kilka zmian w porównaniu z prezentowaną
na łamach Bankier.pl „paczką” z 2023 r. Oto wybrane z nich.
Oszust-impersonator? Będzie zwrot transakcji
Rada UE zaproponowała istotną zmianę w zasadach postępowania
w przypadku tzw. impresonation fraud. Mowa tu o sytuacjach, w których
płatnik zostaje poddany manipulacji przez przestępców udających dostawcę usług
płatniczych. Rozszerzono opis takich scenariuszy, wskazując szeroko na „trzecią
stronę udającą dostawcę usług płatniczych przez kanały komunikacji przypisane
temu dostawcy”. Mieściłoby się w tym zatem nie tylko podszycie pod pracownika,
ale także np. pod serwis bankowości internetowej.
Jeśli efektem takiej perswazji jest transakcja (jak np. w
oszustwach „na pracownika banku”), firma ma obowiązek w ciągu 15 dni
roboczych zwrócić środki klientowi.
Przewidziano jednak kilka warunków, od których uzależniona
jest rozszerzona ochrona. Jeśli klient zorientował się, że padł ofiarą oszustwa
i bezzwłocznie poinformował o tym dostawcę usług płatniczych, dostarczył wszelkie
istotne informacje, jakie może posiadać o incydencie, jak również zgłosił
sprawę na policję.
Dostawcom usług płatniczych pozostawia się opcję odmowy
wypłacenia środków, ale muszą do istnieć solidne podstawy do podejrzewania próby
wprowadzenia w błąd lub „rażącej niedbałości”. Konsument powinien także otrzymać
wówczas uzasadnienie wraz z informacją o opcjach dalszego dochodzenia swoich
praw.
Autoryzowana transakcja, czyli jaka?
Jednym z punktów na mapie sporów na linii konsumenci-banki w
Polsce pozostają kwestie tzw. nieautoryzowanych
transakcji płatniczych. Problemowi przyglądał się m.in. UOKiK. W nowej
wersji projektu PSR dodano fragment, który zapewne zaniepokoi banki twierdzące,
że polskie prawo jest pod tym względem nadmiernie restrykcyjne.
„Transakcji płatniczej nie uznaje się za autoryzowaną,
jeżeli transakcja została zainicjowana lub zmieniona przez osobę trzecią,
która działa bez zgody użytkownika usług płatniczych, w tym przy użyciu
osobistych danych uwierzytelniających użytkownika usług płatniczych uzyskanych w
sposób noszący znamiona oszustwa” – tak brzmi w (niefachowym) tłumaczeniu
nowy element prawnej „układanki”.
Dodatkowo, doprecyzowano przesłanki uznania transakcji za
autoryzowaną, gdy płatnik kwestionuje okoliczności jej zlecenia. “(…) fakt,
że transakcja płatnicza została uwierzytelniona, w tym, w stosownych
przypadkach, za pomocą silnego uwierzytelnienia klienta, prawidłowo
zarejestrowana, zapisana na rachunkach i niedotknięta awarią techniczną lub
inną wadą świadczonej usługi, sam w sobie nie musi być wystarczający do
udowodnienia, że transakcja płatnicza została autoryzowana przez płatnika
lub że płatnik działał w nieuczciwych zamiarach, lub umyślnie, lub w wyniku
rażącego zaniedbania nie wypełnił co najmniej jednego z obowiązków (…)”.
Brzmienie tych fragmentów w ich obecnej formie można
potraktować jako wzmocnienie pozycji płatników. Dla dostawców usług płatniczych
oznacza jednak, że konieczne będzie zbieranie dodatkowych informacji o
okolicznościach transakcji, które będą mogły wspierać tezę o ewentualnej odpowiedzialności
lub współodpowiedzialności użytkownika.
Limity i blokady po nowemu
W umowie ramowej, którą zawieramy uruchamiając np. rachunek
bankowy, powinna znaleźć się informacja o maksymalnej kwocie transakcji dla
każdego instrumentu płatniczego (czyli m.in. polecenia przelewu, karty
płatniczej, BLIK itd.). Z nowego brzmienia PSR wynika, że użytkownik będzie mógł
sam zmieniać te limity, a w przypadku zdalnego zlecenia (np. w bankowości
mobilnej) wymagane będzie użycie silnego uwierzytelnienia.
Zmiana limitów dokonana zdalnie będzie miała jednak
przewidziany „okres ochronny”. Wejdzie w życie po minimum 4
godzinach, a maksymalnie – po 12 godzinach od zlecenia. Z tego mechanizmu, w
zamyśle chroniącego płatnika przed konsekwencjami oszustw, będzie można jednak
zrezygnować. I tu konieczne będzie silne uwierzytelnienie lub osobiste
stawiennictwo w placówce. Co ważne, zmiana taka również będzie objęta obowiązującym
do tej pory opóźnieniem. Podobne zasady przewiduje się dla aktywacji
aplikacji mobilnej pozwalającej na zarządzanie rachunkiem płatniczym.
Jakie będą dalsze losy projektów?
Następnym etapem prac nad pakietem „PSD plus PSR” będzie tzw.
trilog, czyli trójstronne negocjacje pomiędzy Komisją Europejską, Parlamentem
Europejskim i Radą UE. Ostateczny tekst ustaw może zostać sfinalizowany jeszcze
w 2025 r. Biorąc pod uwagę ewentualne opóźnienia po drodze, prawdopodobnie regulacje
PSR wejdą w życie w drugiej połowie 2026 r.
0 komentarzy