Problem nieautoryzowanych transakcji narasta. Jak się przed nim zabezpieczyć?
WróćTylko w I kwartale tego roku do Rzecznika Finansowego wpłynęło tyle wniosków o podjęcie interwencji w sprawie nieautoryzowanych transakcji co w całym 2016 roku. Jakie to są transakcje? Chodzi np. o kradzież środków z rachunku bankowego dostępnego przez internet czy obciążenie karty debetowej lub kredytowej bez wiedzy klienta. Rzecznik Finansowy wskazuje, że w takich sytuacjach banki nie zawsze trzymają się wszystkich procedur określonych przepisami. Problem w tym, że klienci też nie zawsze stosują się do podstawowych zasad bezpieczeństwa, narażając się tym samym na ryzyko kradzieży.
W ubiegłym roku weszły w życie przepisy, które zmieniają zasady odpowiedzialności dostawców usług płatniczych za nieautoryzowane transakcje na rachunkach bankowych lub z użyciem kart. Zgodnie z ustawą o usługach płatniczych od 20 czerwca 2018 roku obowiązuje ich zasada D+1, co oznacza, że pieniądze powinny wrócić na konto pokrzywdzonego najpóźniej do końca dnia roboczego następującego po dniu stwierdzenia nieautoryzowanej transakcji lub zgłoszenia klienta.
– Intencją prawodawców było przerzucenie odpowiedzialności za nieautoryzowane transakcje płatnicze w zasadzie w całości na dostawców. Ma to służyć nie tylko zwiększeniu ochrony klienta, ale również większej presji wobec profesjonalnych uczestników rynku, by maksymalnie zadbali o procedury bezpieczeństwa i ochronę transakcji. Wdrożenie rozwiązań, które zapewniają szybki zwrot utraconych środków zgodnie z zasadą D+1, zabezpiecza klientów również przed ryzykiem pozostawania przez dłuższy czas bez środków do życia. Niewątpliwie wstrzymanie się przez bank ze zwrotem środków powinno być działaniem wyjątkowym, a nie standardowym, jak ma to miejsce w dzisiejszej praktyce – uważa Izabela Dąbrowska-Antoniak, dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego.
Jak wynika z analizy Rzecznika Finansowego, banki nie tylko opóźniają zwrot pieniędzy, lecz także bezpodstawnie go odmawiają. Zgodnie z przepisami mają do tego prawo tylko w sytuacji, gdy mają uzasadnione i odpowiednio udokumentowane podejrzenie, że utrata pieniędzy nastąpiła z winy, umyślnego działania czy rażącego niedbalstwa klienta. Bank powinien o takim podejrzeniu na piśmie poinformować organy ścigania. Jednak – zdaniem ekspertów Rzecznika Finansowego – powinien najpierw dokonać zwrotu środków, a dopiero potem, jeżeli ma podstawy, dochodzić tej kwoty od klienta np. przed sądem. Klient będzie musiał oddać te pieniądze, jeśli bank udowodni, że próbował on oszukać bank lub umyślnie albo na skutek rażącego niedbalstwa naruszył obowiązki użytkownika, np. przekazał komuś dane dostępu do konta.
Analiza ta została przeprowadzona na podstawie wniosków o przeprowadzenie postępowania interwencyjnego, wpływających do Rzecznika Finansowego. Ich liczba z roku na rok dynamicznie rośnie. W ubiegłym roku było ich 246, czyli o 70 proc. więcej niż w 2017 roku, a w I kwartale tego roku do biura RF wpłynęły 83 wnioski, czyli tyle, ile w całym 2016 roku. Bardzo częste są także maile i telefony z pytaniem o to, jak radzić sobie w przypadku odkrycia nieautoryzowanej transakcji.
Problematyczne procedury
Eksperci biura Rzecznika Finansowego doszli do wniosku, że systemom bankowości internetowej i mobilnej brakuje bardziej skutecznych mechanizmów zabezpieczających przez próbami wyłudzeń. To np. fakt, że ustawione przez klienta dla bezpieczeństwa limity liczby i wartości przelewów dziennych mogą być łatwo zmienione przez przestępców włamujących się na konto. Problemem jest także możliwość zaciągnięcia kredytu przez jedno kliknięcie czy szybkie obciążenie karty kredytowej lub debetowej podpiętej do rachunku.
– Wydaje się, że tu również wskazane byłoby wprowadzenie dodatkowych procedur zabezpieczających – mówi Izabela Dąbrowska-Antoniak. – Być może należałoby rozważyć wprowadzenie rozwiązań poprawiających bezpieczeństwo nawet kosztem szybkości przeprowadzania transakcji.
Jak się zachować przed i po?
Cyberprzestępcy są coraz sprytniejsi i skuteczniejsi, więc nie ma 100-proc. pewnych sposobów, by się ochronić przed atakiem, ale są pewne zasady, które znacznie ułatwią to zadanie. Po pierwsze, należy korzystać tylko z legalnego i aktualnego oprogramowania oraz stosować programy antywirusowe i firewall. Po drugie, wchodząc na stronę internetową banku, należy upewnić się, czy jest ona chroniona. Eksperci radzą, by wpisywać adres strony, a nie wyszukiwać ją przez przeglądarkę. Dodatkowo nie należy logować się na swoje konto z otwartych sieci Wi-Fi.
Po trzecie, w bankowości internetowej sprawdzą się również zasady bezpieczeństwa obowiązujące np. przy skrzynkach mailowych, czyli regularna zmiana hasła do konta czy nieotwieranie załączników lub linków w mailach nieznanego pochodzenia. Po czwarte, każdorazowo przy sms-owym potwierdzeniu transakcji trzeba sprawdzić, czy dane zgadzają się z tymi wyświetlanymi na ekranie.
Po piąte, po otrzymaniu prośby o dopłatę ze strony sklepu lub pożyczkę ze strony znajomego trzeba to najpierw zweryfikować u źródła i upewnić się, czy nie jest to próba wyłudzenia. Taki mechanizm zastosowali ostatnio przestępcy w Lubinie, wyłudzając kilka tysięcy złotych metodą na BLIK-a. Włamali się najpierw na konto na profilu społecznościowym i podszywając się pod jedną ze znajomych, na komunikatorze poprosili pokrzywdzoną o szybką pożyczkę BLIK-iem.
Po szóste, można dodatkowo wzmocnić swoją ochronę odpowiednim ubezpieczeniem, np. ubezpieczeniem płatności zbliżeniowych wykonanych telefonem komórkowym lub kartą przez osobę nieuprawnioną. W tym ostatnim przypadku warunkiem jest zgłoszenie kradzieży na policję i zastrzeżenie karty w banku.
– Nawet szybka interwencja i zastrzeżenie karty, którą straciliśmy, może oznaczać dla nas wymierną materialną stratę. Banki odpowiadają finansowo za bezprawne użycie karty od kwoty 150 euro, co de facto oznacza, że wszystkie zobowiązania poniżej tej kwoty pokrywane są przez posiadacza karty. Właśnie tę różnicę może pokryć ubezpieczenie dodane czy to do karty pozwalającej na płatności zbliżeniowe, czy kupione wraz z coraz popularniejszymi cyberubezpieczeniami, jako jeden z elementów tego rodzaju produktu – mówi Piotr Ruszowski, dyrektor marketingu i sprzedaży w Mondial Assistance, firmie, która oferuje tego typu produkty.
W momencie, gdy zorientujemy się, że ktoś ukradł pieniądze z naszego konta internetowego, trzeba jak najszybciej poinformować o tym bank oraz policję, a także zespół Cert.pl. Samo zgłoszenie informacji do banku nie jest podstawą starania się o zwrot środków, do tego potrzebne jest osobne żądanie. Jeśli bank nie zrobi tego w określonym terminie, należy złożyć reklamację. Zgodnie z ustawą dostawca usługi płatniczej ma 15 dni roboczych na odpowiedź. Musi ona zostać przekazana na papierze lub – w przypadku uzgodnienia tego z klientem – na innym trwałym nośniku, np. w dokumencie PDF przesłanym mailem. Tylko w określonych przypadkach termin ten może zostać wydłużony do 35 dni, ale po 15 dniach klient powinien otrzymać uzasadnienie tego opóźnienia. W razie niedotrzymania terminów reklamacja uznawana jest za rozpatrzoną zgodnie z wolą klienta.
Z danych ZBP wynika, że rośnie także skala wyłudzeń kredytów na podstawie skradzionych lub podrobionych dokumentów. W II kwartale tego roku zablokowano ponad 1,12 tys. takich prób na kwotę 92 mln zł. W takim przypadku kluczowe jest natychmiastowe zgłoszenie utraty dokumentu i jego zastrzeżenie w systemie. Dzięki międzybankowej bazie liczącej już niemal 1,8 mln zastrzeżonych dokumentów od 2008 roku udało się zablokować 82,1 tys. prób wyłudzeń kredytów o łącznej wartości prawie 4,6 mld zł.