Zalecenia Prezesa UOKiK dla dostawców usług płatniczych

Dnia 23 października 2024 roku na stronie internetowej Urzędu Ochrony Konkurencji i Konsumentów opublikowano „Zalecenia Prezesa UOKiK dla dostawców usług płatniczych”. W celu opracowania niniejszych wytycznych Prezes UOKIK powołał grupę roboczą (dalej: Grupa), w skład której weszli przedstawiciele m.in. Urzędu Komisji Nadzoru Finansowego oraz eksperci z sektora bankowego. Efektem prac Grupy było stworzenie dokumentu, w którym opisano zbiór 6 najczęściej wykorzystywanych przez oszustów czynników ryzyka oraz 16 zaleceń dla dostawców usług płatniczych.

Wskazane czynniki ryzyka Grupa opracowała w oparciu o analizy skarg skierowanych do UOKiK przez konsumentów oraz uwagi przekazane przez przedstawicieli dostawców usług płatniczych, w szczególności z sektora bankowego. Funkcje oferowane przez dostawców usług płatniczych postrzegane przez Grupę jako najbardziej ryzykowne obejmują możliwość:

1. 1. 1. samodzielnego zwiększenia limitów transakcyjnych na koncie klienta z poziomu aplikacji mobilnej lub strony internetowej i utrzymywanie przez klientów wysokich limitów transakcyjnych;
      2. zaciągnięcia zobowiązania finansowego z poziomu aplikacji mobilnej lub strony internetowej;
      3. samodzielnej zmiany danych na koncie klienta, w tym np. zmiany metod komunikacji (np. numeru telefonu, adresu e-mail) lub danych wpływających na ocenę zdolności kredytowej z poziomu aplikacji mobilnej lub strony internetowej;
      4. samodzielnego aktywowania dodatkowych funkcji z poziomu aplikacji mobilnej lub strony internetowej;
      5. dokonania natychmiastowego przelewu środków;
      6. dokonania płatności kartowej bez fizycznego użycia karty, (CNP) niewymagająca silnego uwierzytelnienia klienta (SCA) przez odbiorcę płatności.

Wskazane funkcje stanowią niewątpliwie udogodnienia, z których chętnie korzystają konsumenci będący klientami dostawców usług płatniczych; natomiast pozostawią one również szerokie pole do nadużyć dla przestępców. W ramach przykładu Grupa wskazuje m.in. ryzyko łatwego zaciągnięcia zobowiązania finansowego za pośrednictwem aplikacji mobilnej, w przypadku nieautoryzowanego dostępu do konta klienta przez osobę trzecią.

Z kolei katalog zaleceń dla dostawców usług płatniczych, o którym mowa powyżej obejmuje:

1. 1. 1. Bieżące monitorowanie transakcji klientów i odpowiednie stosowanie środków technicznych;
      2. Cooling period, czyli funkcję opóźniającą wykonanie transakcji od złożenia dyspozycji w systemie przez klienta do czasu jej wykonania przez dostawcę;
      3. Komunikaty voice polegające na zainicjowaniu połączenia telefonicznego z klientem, w czasie którego klientowi zostaje przekazana informacja o złożonym z  jego konta wniosku, dyspozycji lub zleconej transakcji płatniczej;
      4. Limity transakcji, których zmiana powinna wiązać się z bardziej złożonym procesem zapewniającym bezpieczeństwo, np. zainicjowaniem komunikatu voice, podczas którego klient otrzyma kod wymagany do potwierdzenia dyspozycji;
      5. Ograniczenie niektórych funkcjonalności, w tym dotyczących kredytu konsumenckiego dostępnego z poziomu aplikacji mobilnej lub konta klienta dostępnego z poziomu serwisu internetowego;
      6. Blokada możliwości zalogowania się z urządzenia do aplikacji mobilnej lub konta klienta dostępnego z poziomu serwisu internetowego, jeśli dane urządzenie pozostaje aktywnie połączone sesją zdalną z jakimkolwiek innym urządzeniem;
      7. Uwierzytelnienie pracownika dostawcy usług płatniczych przy wykorzystaniu np. komunikatów PUSH w aplikacji mobilnej informujących o zainicjowaniu kontaktu z pracownikiem lub wykorzystaniu ustalonego wcześniej z klientem kodu PIN bądź hasła;
      8. Treść komunikatów kierowanych do klientów, powinna być dla nich prosta i zrozumiała;
      9. Możliwość odtworzenia przez klientów treści kierowanych do nich komunikatów przez rekomendowany okres nie krótszy niż 13 miesięcy, jak również możliwość pobrania jego treści i zapisania na trwałym nośniku;
      10. Możliwość szybkiego dokonania zgłoszenia nieautoryzowanej transakcji płatniczej przez klienta za pośrednictwem przeznaczonej wyłącznie do obsługi takich zgłoszeń bezpłatnej infolinii, jak również czatu w aplikacji mobilnej i na stronie internetowej;
      11. Przycisk „panic buton”/„emergency buton” umożliwiający konsumentowi dokonanie natychmiastowej blokady dokonywania jakichkolwiek transakcji;
      12. Stosowanie silnego uwierzytelnienia klienta (SCA) przy transakcjach kartowych bez fizycznego użycia karty (CNP) w każdym przypadku
      13. Dane uwierzytelniające widoczne na karcie płatniczej/kredytowej
      14. Jednorazowe karty wirtualne
      15. Klucz sprzętowy U2F
      16. Stosowanie systemów opartych na sztucznej inteligencji lub biometrii behawioralnej

Co ważne Urząd wskazuje, że przedstawione zalecenia nie powinny być traktowane jako katalog zamknięty, podkreślając jednocześnie kluczową rolę dostawców usług płatniczych, którzy powinni stale współpracować w zakresie kształtowania dobrych praktyk w niniejszym obszarze i wdrażać wszelkie inne środki zaradcze, reagując niezwłocznie na pojawiające się zagrożenia.

#UOKIK #ZaleceniaUOKIK #PSP #MIP #KIP #PISP #Payments

Oskar Czerchawski | Associate

Maciej Raczyński | Partner