This article is also available in Polish.
The Polish Competition and Consumer Protection Authority issues recommendations for payment service suppliers
In response to the growing threat of fraud committed through online payment mechanisms, on October 23, 2024, the Polish Competition and Consumer Protection Authority (“UOKiK”) presented recommendations for payment service providers titled "Actions to Reduce the Risk of Fraudulent Transactions". Although these Recommendations do not constitute a source of binding law, their adoption by the payment services industry can positively contribute to minimizing the scope of unlawful activities targeting consumers.
Based on consumer complaints, UOKiK identified a set of risk factors—features provided to clients by payment service providers—that are most frequently exploited to carry out fraudulent transactions.
The core element of the document published by UOKiK consists of 16 recommendations for ensuring the security of payment transactions. These include, among other things, the recommendations on monitoring atypical transactions, applying transaction limits, and customer use of authorisation channels or a capacity to promptly report an unauthorised or fraudulent payment transaction.
The Recommendations are part of a broader range of actions undertaken by UOKiK to address the issue of unauthorized and fraudulent transactions. In recent years, UOKiK has primarily focused on actions targeting banks' responses to incidents involving unauthorized transactions. However, the purpose of the Recommendations seems somewhat different, focusing on prevention and limiting the possibility of unauthorized transactions occurring in the first place. Therefore, it is advisable for payment service providers to familiarize themselves with this document, assess the compliance of their operations with good practices, and evaluate the feasibility of implementing the proposed solutions.
Zalecenia Prezesa UOKiK dla dostawców usług płatniczych w zakresie przeciwdziałania transakcjom oszukańczym
23 października 2024 roku Prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK) przedstawił zalecenia dla dostawców usług płatniczych pt. „Działania ograniczające ryzyko wystąpienia transakcji oszukańczych”. Zalecenia nie mają charakteru prawnie wiążącego, jednak ich stosowanie przez dostawców usług płatniczych może przyczynić się do ograniczenia ryzyka nieautoryzowanych i oszukańczych działań, a tym samym do zwiększenia ochrony konsumentów.
Poniżej przedstawiamy kluczowe elementy Zaleceń i związane z nimi dobre praktyki.
Identyfikacja czynników ryzykas
Prezes UOKiK, opierając się na analizie skarg konsumenckich, wskazał funkcje i mechanizmy w udostępnianych klientom systemach płatniczych, które najczęściej wykorzystywane są w celu realizacji oszukańczych transakcji. Do najistotniejszych należą:
- możliwość samodzielnego zwiększania limitów transakcyjnych przez klientów z poziomu aplikacji mobilnej lub strony internetowej, oraz utrzymywanie wysokich limitów transakcyjnych
- opcja zaciągania zobowiązań finansowych online,
- samodzielna zmiana danych użytkownika w tym m.in. zmiana metod komunikacji, np. numeru telefonu lub adresu e-mail oraz danych wpływających na ocenę zdolności kredytowej,
- aktywacja dodatkowych funkcji online bez dodatkowej weryfikacji,
- natychmiastowe przelewy środków,
- płatności kartą bez fizycznego użycia karty, niewymagające silnego uwierzytelniania klienta.
Zalecenia Prezesa UOKiK dla dostawców usług płatniczych
1. Monitorowanie transakcji
Zaleca się szczegółowe monitorowanie aktywności klientów, w tym analizę ich zwyczajowych wpływów i wydatków, zwracając uwagę na nietypowe transakcje, takie jak:
- jednorazowe operacje o znacząco wyższej wartości niż zazwyczaj,
- seria transakcji (niskokwotowych lub w kwotach przeciętnie dokonywanych przez klienta) dokonywanych w krótkich odstępach czasu,
- operacje bezpośrednio lub krótko po zmianach danych na koncie użytkownika.
Warto monitorować także z pozoru typowe operacje, które mieszczą się w kategorii podwyższonego ryzyka, tj. m.in.:
- Transakcje dokonywane w krótkim czasie po aktywacji aplikacji mobilnej, szczególnie gdy klient wcześniej nie korzystał z aplikacji lub nie logował się na konto z poziomu strony internetowej.
- Operacje dokonywane przez konsumentów, którzy nie wyrazili zgody na ochronę z wykorzystaniem systemów opartych o analizę danych behawioralnych.
- Przypadki, w których ciąg zdarzeń wskazuje na nietypowy sposób realizacji transakcji, np. gdy: odbiega ona od zwyczajowych działań klienta lub sposób realizacji transakcji przypomina znane schematy oszustw.
2. Wprowadzenie „cooling period”
Mechanizm ten opóźnia realizację transakcji, umożliwiając klientowi jej potwierdzenie przed ostatecznym wykonaniem przez dostawcę. Szczególnie istotne jest stosowanie tego rozwiązania przy zmianach limitów transakcyjnych lub danych użytkownika.
3. Weryfikacja telefoniczna („voice communication”)
Przy podejrzanych operacjach rekomenduje się dodatkowe potwierdzenie tożsamości klienta za pomocą połączenia telefonicznego, w którym klient otrzymuje informacje o operacji i kod uwierzytelniający.
4. Bezpieczne limity transakcji
Domyślne limity dla nowych klientów powinny być określane na podstawie obiektywnych danych (np. średniego limitu transakcji dokonywanego przez konsumentów korzystających z danej usługi) oraz regularnie weryfikowane i aktualizowane (co najmniej raz na rok). Klienci powinni być informowani o ryzykach związanych z ich podwyższaniem.
W razie istotnego podwyższenia limitów, niezbędne jest dodatkowe potwierdzenie dyspozycji klienta, za pośrednictwem innego środka uwierzytelniania.
5. Ograniczenie domyślnych funkcji
Szybkie przelewy, przelewy zagraniczne czy transakcje bez użycia fizycznej wersji karty płatniczej (CNP) nie powinny być domyślnie dostępne dla klientów. Ich wprowadzenie wymaga wyraźnej zgody już na etapie zawierania umowy. Zaciąganie kredytów konsumenckich online oraz wypłata środków z otrzymanego kredytu również powinny wymagać osobnego wniosku oraz zastosowania dodatkowych środków bezpieczeństwa, takich jak cooling period lub weryfikacja biometryczna. Klient powinien być informowany o każdej takiej operacji różnymi kanałami.
6. Blokada dostępu przy aktywnej sesji zdalnej na innym urządzeniu
Dostawca usług płatniczych powinien weryfikować, czy urządzenie, z którego następuje próba logowania, nie jest aktywnie połączone sesją zdalną z innym urządzeniem. W przypadku wykrycia takiego połączenia, zwłaszcza gdy logowanie pochodzi z zagranicznego adresu IP, dostęp do konta powinien zostać zablokowany, a klient poinformowany o sytuacji. Jeśli klient wyrazi zgodę, powinien mieć możliwość zalogowania się, jednak proces ten musi być zabezpieczony dodatkowymi środkami ochrony.
7. Uwierzytelnianie pracowników
Każdy kontakt pracownika dostawcy usług płatniczych z klientem powinien być poprzedzony weryfikacją tożsamości pracownika (nawet jeśli klient tego nie oczekuje).
8. Przejrzysta komunikacja z klientem
Komunikacja z klientem dotycząca autoryzacji transakcji powinna być prosta i zrozumiała. Powinna jasno określać charakter transakcji, np. zmianę danych lub przelew, oraz zawierać czytelne wyjaśnienia działań, szczególnie w komunikatach SMS i PUSH. Przy transakcjach kwotowych należy podać wartość, a w przypadku wyższych kwot także ich transkrypcję słowną oraz wskazać adresata transakcji, jeśli jest to technicznie możliwe.
9. Odtwarzanie treści komunikatów przez klientów
Konsument powinien mieć możliwość odtwarzania i pobierania komunikacji związanej z autoryzacją przez co najmniej 13 miesięcy, z opcją zapisania jej na trwałym nośniku.
10. Szybkie dokonanie zgłoszenia nieautoryzowanej lub oszukańczej transakcji
Dostawcy usług płatniczych powinni zapewnić klientom łatwy dostęp do bezpłatnej infolinii i czatu (online) do zgłaszania nieautoryzowanych transakcji, z intuicyjnymi i widocznymi danymi kontaktowymi. Obsługa zgłoszeń powinna być sprawna. W przypadku użycia AI klient powinien być o tym poinformowany oraz mieć możliwość wyboru rozmowy z konsultantem. Infolinia powinna być dedykowana wyłącznie problemom związanym z transakcjami oszukańczymi.
11. Panic button
Rekomenduje się wprowadzenie funkcji takich jak „panic button”, pozwalających na szybkie zablokowanie konta w przypadku podejrzenia oszustwa.
12. Stosowanie SCA przy transakcjach CNP w każdym przypadku.
Transakcje typu CNP (bez fizycznego użycia karty), powinny wymagać silnego uwierzytelniania klienta (SCA).
13. Dane uwierzytelniające widoczne na karcie płatniczej
Dostawcy usług płatniczych powinni unikać umieszczania na kartach danych uwierzytelniających, takich jak numer CVC/CVV, szczególnie w przypadku braku wymogu silnego uwierzytelniania (SCA).
14. Jednorazowe karty wirtualne
Zaleca się umożliwienie klientom korzystania z jednorazowych kart wirtualnych na potrzeby pojedynczych transakcji.
15. Klucze sprzętowe U2F
Klient powinien móc skorzystać z metod silnego uwierzytelniania, takich jak np. klucze U2F, zabezpieczających przed przechwyceniem danych wrażliwych. Dostawca usług płatniczych powinien udzielić informacji o zaletach stosowania takich metod.
16. Stosowanie systemów opartych na sztucznej inteligencji lub biometrii behawioralnej
Dostawcy usług płatniczych powinni korzystać z potencjału AI i biometrii behawioralnej w procesach uwierzytelniania. W tym celu powinni jasno określić rodzaj weryfikowanych danych, uzyskać wyraźną zgodę konsumenta na ich przetwarzanie, zdefiniować cel ich wykorzystania (np. weryfikacja tożsamości) oraz wskazać podmioty trzecie przetwarzające dane osobowe.
Kontekst działań Prezesa UOKiK
W 2021 roku Prezes UOKiK prowadził postępowania wyjaśniające dotyczące sposobu rozpatrywania reklamacji przez banki w przypadku transakcji oszukańczych, a także stosowanych mechanizmów uwierzytelniania transakcji. Analiza zebranego materiału pozwoliła nie tylko na postawienie zarzutów wielu bankom, ale także znalazła się w opublikowanym w listopadzie 2022 r. Stanowisku Prezesa UOKiK w sprawie transakcji nieautoryzowanych. zawierającym interpretację przepisów forsowaną przez ten organ.
Najnowsze Zalecenia skupiają się na profilaktyce, oferując dostawcom usług płatniczych wskazówki dotyczące wdrażania dobrych praktyk i chociaż nie są źródłem prawa, wdrożenie zaproponowanych rozwiązań może znacząco ograniczyć ryzyko transakcji oszukańczych i podnieść standardy ochrony konsumentów.
Dostawcy usług płatniczych powinni dokładnie przeanalizować dokument i dostosować swoje działania do rekomendowanych praktyk.
W razie pytań lub potrzeby szczegółowych konsultacji, zapraszamy do kontaktu.
