- Każdy z nas będzie mógł zastrzec w Biurze Informacji Kredytowej, że – do momentu, w którym nie odwoła tej decyzji – nie chce zaciągać kredytów - informuje Tadeusz Białek, wiceprezes ZBP.
Rzecznik finansowy w niedawnym wywiadzie dla DGP wskazał na ataki na klientów bankowości elektronicznej jako na największy obecnie problem konsumentów na rynku finansowym. Co mówią o tym statystyki Związku Banków Polskich?
Istotnie nasze statystyki potwierdzają, że liczba przestępstw z wykorzystaniem różnego rodzaju oszustw dotyczących bankowości elektronicznej bardzo wzrosła. Ma to związek z pandemią, która sprawiła, że istotnie wzrósł odsetek klientów korzystających z kanałów elektronicznych. Oceniamy zresztą, że jest to stałe zjawisko, przekładające się też na zmniejszenie liczby klientów obsługiwanych w oddziałach. Przestępcy wykorzystują jednak tę sytuację i stosują coraz bardziej wyrafinowane metody.
Ostatnio Komisja Nadzoru Finansowego alarmowała, że przestępcy podszywając się pod banki, stosują fałszywe panele do logowania…
Rzeczywiście skala zjawiska i liczba incydentów jest duża, a inwencja przestępców jest tu nieograniczona. Klasyczne oszustwa odchodzą na bok, a przestępcy nieprawdopodobnie rozwinęli stosowane przez siebie techniki, w tym socjotechniki i elementy manipulacji. W większości takich przestępstw dopuszczają się grupy międzynarodowe, bardzo często z Europy Wschodniej.
Obserwujemy przede wszystkim przestępstwa, które wplatają transakcje w bardziej skomplikowane mechanizmy, związane np. z oferowaniem różnego rodzaju alternatywnych źródeł szybkiego zysku. Przestępcy wykorzystują do tych oszustw fałszywe platformy internetowe inwestujące np. w kryptowaluty. Wyłudzają jednocześnie dane do logowania. Co więcej, często wykorzystują takie socjotechniki, że klienci w pełni autoryzują wszystkie transakcje, de facto nie mówimy więc o nieautoryzowanych transakcjach. Do tego stopnia, że nawet gdy bank, który dzięki systemowi antyfraudowemu orientuje się, że coś jest nie tak, ostrzega klienta, ten jednak potwierdza transakcję, mając przed oczami obiecywane wielkie zyski. Mamy wiele nagrań dokumentujących takie sytuacje. W takich przypadkach nie ma żadnych podstaw do podważenia transakcji. Oferty takie wyglądają dla klientów szczególnie atrakcyjne w środowisku niskich stóp procentowych.
Oprócz tego zdarza się, że klienci zgłaszają nieautoryzowane transakcje. W tym miejscu trzeba jednak podkreślić, że przepisy o usługach płatniczych wprost mówią o wyłączeniu odpowiedzialności banków w sytuacjach, gdy występuje podejrzenie oszustwa, czyli dochodzi do próby wyłudzenia, pod pozorem rzekomo nieautoryzowanej transakcji. Mamy tu do czynienia z bardzo wieloma schematami oszustw. A dochodzi nawet do takich zdarzeń, że ktoś kupuje bilety lotnicze, po czym - zaraz po odbytej podróży - zgłasza, że była to nieautoryzowana transakcja. To przestępstwo oszustwa i banki składają w takich przypadkach zawiadomienia do prokuratury.
Takich sytuacji jest bardzo dużo, a niestety dostrzegamy w tej kwestii bardzo jednostronne podejście organów odpowiedzialnych za ochronę konsumentów, ponieważ nie zwracają one uwagi na sytuacje, w których dochodzi do w pełni świadomych oszustw czy autoryzacji transakcji przez klienta zmanipulowanego za pomocą wyrafinowanych socjotechnik.
Jeżeli zaś chodzi o faktycznie nieautoryzowane transakcje, to - w bardzo wielu przypadkach - są one wynikiem oszustw dokonywanych np. pod przykrywką transakcji na popularnych serwisach sprzedażowych, gdy ktoś otrzymuje ofertę kupna, pod warunkiem np. przelania 10 zł na koszty operacyjne. Przy tej operacji dochodzi do przejęcia danych do logowania, a następnie wyczyszczenia konta, a dodatkowo - zaciągnięcia pożyczek i kredytów w maksymalnej dostępnej wysokości.
Bardzo często nieautoryzowane transakcje są więc wynikiem braku ostrożności klientów. A ustawa mówi o obowiązkach użytkownika instrumentu płatniczego i wprost stanowi, że klient odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z nałożonych na niego obowiązków. Jest to więc podstawa do odmowy przez bank wzięcia odpowiedzialności za taką nieautoryzowaną transakcję.
Rzecznik finansowy mówił w rozmowie z nami, że jeżeli bank podejrzewa wyłudzenie, powinien zawiadomić prokuraturę.
Banki zawiadamiają organy ścigania, jeżeli podejrzewają oszustwo w związku ze zgłoszeniem nieautoryzowanej transakcji. Niemniej jednak obecnie w wielu przypadkach zmanipulowany przez przestępców klient w pełni i świadomie autoryzuje transakcje i sam pozwala na instalację na swoim komputerze m.in. zdalnego pulpitu.
Nie może być jednak tak jak w przypadku prezesa Urzędu Ochrony Konkurencji i Konsumentów, który w oficjalnym komunikacie z lipca br. w ogóle nie uwzględnia obowiązujących przepisów mówiących o sytuacjach, w których odpowiedzialność banku jest wyłączona. Komunikat jest nieobiektywny i wprowadza w błąd odbiorców.
Na to nakłada się wadliwie implementowana w Polsce dyrektywa, która - wyłącznie w Polsce - błędnie stosuje słowo „autoryzacja” zamiast „uwierzytelnienie”. Ten błąd stawia banki w o wiele trudniejszej sytuacji dowodowej od banków w innych państwach członkowskich - i co trzeba wyraźnie podkreślić - niezgodnie z prawem unijnym. Autoryzacja to coś zupełnie innego niż uwierzytelnienie, a przyjęcie w ustawie tego terminu obarcza banki zwiększonymi wymogami dowodowymi, bardzo często w praktyce niemożliwymi do przeprowadzenia, wbrew przepisom dyrektywy. Orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej jasno przesądza o odpowiedzialności państwa członkowskiego za błędnie implementowaną dyrektywę, zwłaszcza jeśli nakłada ona obowiązki wbrew jej przepisom.
A jakie mogą być recepty na cyberprzestępczość wymierzoną w klientów bankowości elektronicznej? Rzecznik finansowy uważa za zasadne wprowadzenie np. możliwości zamrożenia przez klienta opcji pożyczki przez internet czy - tak jak w Wielkiej Brytanii - potrójnego uwierzytelnienia.
Bankowe Centrum Cyberbezpieczeństwa analizuje rozwiązania brytyjskie, polegające na potrójnym uwierzytelnieniu transakcji w bankowości elektronicznej. Trzeba jednak pamiętać, że podejmując - jako państwo członkowskie Unii Europejskiej - jakiekolwiek samoregulacyjne działania, nie możemy działać w sprzeczności z dyrektywą.
A potrójne uwierzytelnienie mogłoby być z nią sprzeczne?
Każda regulacja, która wprowadza jakiś dodatkowy standard, musi być prześwietlona pod tym kątem. Analizujemy więc to rozwiązanie. Poza tym ogromny nacisk kładziemy na edukację. Obecnie realizujemy kolejną już kampanię informacyjną dotyczącą cyberbezpieczeństwa. Wspieramy też banki w przeciwdziałaniu i wykrywaniu takich przypadków, zajmuje się tym wspomniane Bankowe Centrum Cyberbezpieczeństwa. Często szybkie działanie pozwala odzyskać środki. Mamy też odpowiednio wypracowane procedury z organami ścigania.
Jeżeli mówimy o edukacji, powiedzmy, na co klienci powinni być szczególnie wyczuleni?
Na nadzwyczajne obietnice zysków czy oferty inwestycyjne, niekiedy wykorzystujące wizerunek publicznie znanych osób, bez ich wiedzy. Bardzo często pochodzą one z serwerów spoza UE, więc bardzo trudno z nimi walczyć. A także na próby przejęcia danych identyfikacyjnych w postaci np. wspomnianego zdalnego pulpitu (nigdy nie udzielajmy zgody na instalowanie zdalnego pulpitu!). Trzeba być bardzo ostrożnym i pamiętać, że w aktualnych uwarunkowaniach niskich stóp procentowych wszystkie nadzwyczajnie atrakcyjnie wyglądające oferty inwestowania mogą być oszustwami.
Należy też chronić dane indentyfikacyjne - zakrywać PIN przy wpisywaniu go, czy nie zapisywać go z obawy przed zapomnieniem. A także logować się tylko z bezpiecznych urządzeń oraz nie za pośrednictwem publicznie dostępnych wi-fi.
Poza tym Biuro Informacji Kredytowej - na wzór rozwiązań funkcjonujących na rynku bankowym w USA - obecnie pracuje nad wdrożeniem rozwiązania dotyczącego zamrożenia przez klientów możliwości zaciągnięcia kredytu na ich konto. To rozwiązanie w Stanach świetnie się sprawdza. Jest to klasyczny przykład samoregulacji.
Na czym dokładnie będzie to polegać?
Każdy z nas będzie mógł zastrzec w BIK, że - do momentu, w którym nie odwoła tej decyzji - nie chce zaciągać kredytów. Informacja o decyzji klienta będzie przekazywana kredytodawcom przez BIK. Nie wchodząc w szczegóły rozwiązania, które wciąż jest w fazie projektu celem dostosowywania do polskich warunków, rozwiązanie stanowi szansę na identyfikację części rachunków bankowych założonych na skradzione dane osobowe klientów oraz części włamań na rachunki klientów.
Przejdźmy do tematu stóp procentowych - Rada Polityki Pieniężnej w październiku bardzo radykalnie je podniosła. Jaki poziom stóp uważa pan za optymalny?
Biorąc pod uwagę okoliczności związane z koniecznością wychodzenia z kryzysu pandemicznego i przeciwdziałania inflacji, poziom stóp powinien być większy niż tuż przed pandemią, gdzie w przypadku stopy referencyjnej wynosił 1,5 proc. Powinien kształtować się co najmniej na poziomie dwukrotności tego wskazania.
A nie obawiacie się, że podwyżki te doprowadzą do podobnego problemu, jak ten z frankowiczami?
Zacznę od frankowiczów. Bardzo niepokoi nas zero-jedynkowe stwierdzanie nieważności umów, z faktycznym pomijaniem obowiązkowego w świetle dyrektywy 93/13 i orzecznictwa Trybunału Sprawiedliwości UE - testu abuzywności. Do takich decyzji dochodzi w przypadku ponad 90 proc. wyroków w pierwszej instancji. Stoi to w sprzeczności z ostatnimi wyrokami TSUE (w sprawie BPH z 29 kwietnia br. i w sprawie węgierskiej z 2 września br.), które wskazują na prymat utrzymywania umów, po wyeliminowaniu z nich klauzul abuzywnych. TSUE podkreśla też, że nie ma czegoś takiego, jak stwierdzanie nieważności na życzenie klienta.
Poza tym już trzy banki wprowadziły programy ugód - dwa według koncepcji KNF, a Millennium - według zbliżonej, ale własnej. Kolejne banki intensywnie pracują i bez wątpienia pójdą tym śladem, wymaga to jednak czasu, bo jest to ogromna operacja logistyczna, informatyczna. Sytuacji nie ułatwia też niepewność związana z brakiem rozstrzygnięć po stronie Sądu Najwyższego.
Wracając do pytania - to nie jest porównywalna sytuacja. Przy wzroście stóp procentowych wzrasta oprocentowanie, ale kapitał pozostaje na dawnym poziomie. Choć oczywiście raty będą rosły. Banki w pełni realizują jednak oczekiwania nadzoru, uprzedzając klientów o ryzyku związanym ze stopami procentowymi. Poza tym zarówno UOKiK, jak i KNF prowadzą kampanie edukacyjne w tej sprawie. Sektor bankowy także prowadzi swoje kampanie informacyjne.
Czy receptą nie byłoby upowszechnienie kredytów o stałej stopie?
W najbliższych dniach ruszy kampania banków - koordynowana przez ZBP - informująca na szerszą skalę o kredytach o stałym oprocentowaniu. Realizujemy tutaj oczekiwania KNF. Do tej pory mieliśmy jednak do czynienia z brakiem zainteresowania tym rozwiązaniem po stronie klientów. W Polsce ciągle jest to produkt, do którego klienci podchodzą z rezerwą, inaczej niż np. w Czechach, gdzie praktycznie występują tylko kredyty o stałej stopie oprocentowania.
