Big techy i platformy społecznościowe powinny zadbać o bezpieczeństwo środków finansowych użytkowników.

Zapewnienie bezpieczeństwa środków finansowych klientów to duże wyzwanie dla sektora finansowego oraz organów administracji publicznej. Straty spowodowane cyberprzestępstwami rosną lawinowo, co stanowi istotne obciążenie i ryzyko operacyjne dla sektora finansowego. Skalę problemu potwierdzają m.in. liczne postępowania prowadzone przed prezesem Urzędu Ochrony Konkurencji i Konsumentów, w których UOKiK kwestionuje sposób rozliczania się instytucji finansowych z konsumentem oraz odpowiedzi na reklamacje w przypadku nieautoryzowanych transakcji.

Pomimo uregulowania kwestii związanych z bezpieczeństwem transakcji płatniczych ustawą o usługach płatniczych, która implementuje dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, nie udało się w efektywny sposób ograniczyć strat finansowych powodowanych nieuprawnionym dostępem do środków finansowych. Również działania edukacyjne dotyczące cyberzagrożeń, prowadzone przez instytucje finansowe, Związek Banków Polskich, UOKiK, i stanowiska Urzędu Komisji Nadzoru Finansowego nie przynoszą spodziewanych efektów. Czy zatem regulacje oraz inicjatywy edukacyjne sektora finansowego są jedynym sposobem na zapewnienie bezpieczeństwa środków finansowych?

Warto zaznaczyć, że zwiększający się problem nieuprawnionego dostępu do środków finansowych ma wymiar dalej idący niż tylko strata pieniędzy. Prowadzi on do zachwiania poczucia bezpieczeństwa użytkowników, zwłaszcza podczas korzystania z popularnych internetowych platform społecznościowych. Platformy społecznościowe oraz popularne komunikatory stają się bowiem polem działalności cyberprzestępców usiłujących uzyskać dostęp do środków finansowych za pomocą socjotechnik i fałszywych reklam produktów finansowych. Może to prowadzić do braku pewności wśród użytkowników co do tego, który przekaz lub która reklama są autentyczne, a które stanowią nielegalne treści. Może to wpłynąć na model biznesowy dostawców czerpiących zyski z reklam umieszczanych na stronach i odwrócenie się przynajmniej części klientów od ich usług, jeżeli dostawcy platform nie zapewnią skutecznych narzędzi filtrujących/blokujących nielegalne reklamy usług finansowych.

Istnieją regulacje, które mogłyby administracyjnie wymusić na największych dostawcach aktywną rolę w zapewnieniu bezpieczeństwa finansowego. Jedną z nich – kluczową, jeśli chodzi o platformy internetowe oraz dostawców wyszukiwarek internetowych – jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Digital Services Act, czyli DSA). Obowiązuje ono bezpośrednio w każdym kraju członkowskim Unii, zatem nie wymaga dodatkowych aktów implementujących do prawa krajowego.

Przepisy DSA obowiązują od 17 lutego 2024 r. m.in. dostawców pośrednich, tj. dostawców serwisów społecznościowych oraz bardzo dużych platform i wyszukiwarek internetowych, czyli dostawców, którzy mają ponad 45 mln użytkowników w UE.

Jakie obowiązki środowiskowe mają małe i średnie firmy z różnych branż?
Jakie obowiązki środowiskowe mają małe i średnie firmy z różnych branż?

Zobacz również

Nielegalna treść a fałszywa reklama

Rozporządzenie odnosi się do „reklam” lub treści mogących wprowadzać w błąd użytkowników platform społecznościowych lub wyszukiwarek internetowych. W art. 3 lit. h definiuje „nielegalne treści” jako informacje, które same w sobie lub przez odniesienie do działania, w tym sprzedaży produktów lub świadczenia usług, nie są zgodne z prawem Unii lub z prawem jakiegokolwiek państwa członkowskiego.

W motywie 12 podkreśla się konieczność zapewnienia bezpiecznego, przewidywalnego i godnego zaufania środowiska internetowego. Co ważne, DSA wskazuje, że:

  • „nielegalna treść” to także udostępnianie informacji dotyczącej sprzedaży towarów lub świadczenie usług z naruszeniem prawa ochrony konsumentów – czyli takiej, która może wpływać na bezpieczeństwo interesów finansowych konsumenta,
  • interpretacja terminu „nielegalna treść” powinna się odwoływać do skutków, jakie może ona wywrzeć na środowisku pozainternetowym – skutek wynikający z udostępnienia nielegalnej treści może się zmaterializować poza internetem (np. na naszym koncie bankowym lub inwestycyjnym).

DSA reguluje zatem udostępnianie fałszywych reklam mogących prowadzić do niezamierzonego przez użytkowników dysponowania swoimi środkami finansowymi. Wskazuje, że udostępnianie lub publiczne rozpowszechnianie obejmuje udostępnianie informacji potencjalnie nieograniczonej liczbie osób (czyli zapewnienie łatwego dostępu do informacji ogółowi odbiorców usługi) bez konieczności podejmowania dalszych działań. Nie ma znaczenia to, czy odbiorcy faktycznie korzystają z dostępu do tych informacji/fałszywych reklam (motyw 14 DSA).

Dostawcy bardzo dużych platform i wyszukiwarek internetowych zgodnie z DSA powinni wdrożyć środki automatycznie blokujące nielegalne treści i fałszywe reklamy

Usługi łączności interpersonalnej, tj. popularne komunikatory i poczta elektroniczna, zdefiniowane w Europejskim kodeksie łączności elektronicznej (dyrektywa Parlamentu Europejskiego i Rady [UE] 2018/1972 z 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej) nie są objęte definicją platform internetowych w DSA. Jednak określone w rozporządzeniu obowiązki dostawców platform internetowych mogą mieć zastosowanie do usług, które umożliwiają udostępnianie informacji potencjalnie nieograniczonej liczbie odbiorców, nieokreślonej przez nadawcę komunikatu, np. przez publiczne grupy lub otwarte kanały.

Zgłaszanie nie wystarcza

Kto i jakie działania może/powinien podjąć w celu usunięcia lub zablokowania fałszywej reklamy/nielegalnej treści? DSA wskazuje na dwa modele, które roboczo można określić jako następczy i proaktywny. Model następczy polega na umożliwieniu zgłoszenia do dostawcy platformy lub wyszukiwarki o zidentyfikowanej treści. Proaktywny nakłada obowiązek wdrażania odpowiednich środków technicznych w celu blokowania zamieszczania nielegalnych treści.

DSA w art. 16 zobowiązuje dostawcę do umożliwienia dowolnej osobie lub dowolnemu podmiotowi zgłoszenia dostawcy określonych informacji w ich usłudze, które zgłaszający uważają za nielegalne treści. Dodatkowo w art. 22 DSA przewiduje wprowadzenie niezbędnych środków technicznych i organizacyjnych w celu zapewnienia priorytetowego traktowania zgłoszeń dokonywanych przez zaufane podmioty sygnalizujące, które dysponują wiedzą ekspercką w danej dziedzinie. Dostawcy mają zapewnić rozpatrywanie takich zgłoszeń oraz podejmowanie decyzji bez zbędnej zwłoki. To oznacza, że każda osoba oraz powołane podmioty zaufane, np. zrzeszenia branżowe, organizacje finansowe lub konsumenckie, mogą zgłosić fałszywą reklamę w celu jej zablokowania. To trafne rozwiązanie, jednak jego efektywność może być ograniczona z uwagi na dynamikę i liczbę fałszywych reklam i przekazów marketingowych. Nawet najsprawniejsze procedowanie zgłoszeń i automatyzacja procesu zgłaszania i blokowania treści nie zagwarantują wyeliminowania fałszywych reklam mających na celu oszustwa finansowe.

Optymalne rozwiązanie

Artykuł 34 ust. 1 lit. a DSA nakłada na dostawców bardzo dużych platform internetowych i wyszukiwarek internetowych obowiązek identyfikacji, analizy i oceny ryzyka związanego z ich usługami. Ocena ryzyka musi obejmować rozpowszechnianie nielegalnych treści za pośrednictwem ich usług. Artykuł 35 DSA zobowiązuje dostawców do wprowadzenia skutecznych środków zmniejszających ryzyko, w tym związane z nielegalnymi treściami/fałszywymi reklamami. Środki zaradcze mogą obejmować moderowanie treści, m.in. uniemożliwianie dostępu do nielegalnych treści.

DSA nakłada zatem na dostawców bardzo dużych platform internetowych i wyszukiwarek internetowych obowiązek wzięcia pod uwagę ryzyka związanego z nielegalnymi treściami/fałszywymi reklamami. Dodatkowo rozporządzenie wskazuje, że dostawcy powinni wdrożyć środki automatycznie blokujące takie treści.

Takie rozwiązanie jest optymalne z uwagi na charakter nielegalnych reklam i może stanowić efektywny sposób zwiększenia bezpieczeństwa finansowego klientów.

Realizacja obowiązków

Za realizację obowiązków wynikających z DSA odpowiadają krajowi koordynatorzy ds. usług cyfrowych, a na poziome unijnym Komisja Europejska. Krajowi koordynatorzy egzekwują obowiązki DSA w odniesieniu do dostawców usług podlegających kompetencji ich państwa. Mogą to czynić, m.in. nakładając kary pieniężne, nakazując zaprzestanie naruszeń, nakładając okresowych kar pieniężnych. Państwa członkowskie zapewniają to, aby wysokość grzywien wynosiła maksymalnie 6 proc. rocznego światowego obrotu danego dostawcy w poprzednim roku obrotowym. Potencjalnymi problemami są rozbudowana procedura i niejednoznaczne sformułowania DSA, co może utrudnić ich praktyczne zastosowanie. ©℗