Współpraca banków i mediów społecznościowych. Eksperci szukają sposobu na walkę z transakcjami oszukańczymi

Rosnąca popularność płatności cyfrowych zwiększa wygodę, ale rodzi też nowe zagrożenia. Dlatego fundacja Future Finance Poland, wraz z Mastercardem, strategicznym partnerem inicjatywy, oraz ekspertami z PKO BP, Krajowej Izby Rozliczeniowej, DLK Legal i kancelarii Dudkowiak & Putyra, przygotowała 151-stronicowy raport poświęcony zwiększaniu bezpieczeństwa płatności cyfrowych. Redakcja XYZ jako pierwsza miała okazję zapoznać się z dokumentem.

– Bezpieczeństwo płatności cyfrowych przestało być wyłącznie zagadnieniem technologicznym. To dziś wspólna odpowiedzialność całego ekosystemu podmiotów: banków, fintechów, dostawców infrastruktury płatniczej, regulatorów oraz samych użytkowników. Stąd pomysł, aby stworzyć dokument, który nie tylko opisze aktualne zagrożenia, ale przede wszystkim wskaże praktyczne kierunki działań wzmacniających bezpieczeństwo rynku – tłumaczy Paweł Widawski, prezes Future Finance Poland.

Jego zdaniem klucz do poprawy bezpieczeństwa płatności cyfrowych to współpraca, wymiana informacji i tworzenie wspólnych standardów dla całego rynku.

Przeczytaj: Koniec eksperymentów. Cyfrowe aktywa wchodzą do głównego nurtu finansów

Liczba transakcji oszukańczych rośnie w całej Europie

Autorzy raportu powołują się na dane Europejskiego Banku Centralnego (EBC) i Europejskiego Urzędu Nadzoru Bankowego (EBA). Wynika z nich, że w latach 2021-2025 zarówno w Polsce, jak i w całej Unii Europejskiej rosła liczba transakcji oszukańczych. W 2024 r. ich łączna wartość w UE sięgnęła 4,2 mld euro, co oznacza wzrost o jedną piątą r/r. W przypadku przelewów dominowała socjotechniczna manipulacja płatnikiem, odpowiadająca za 76 proc. oszustw. Z kolei w transakcjach kartowych najczęściej dochodziło do składania fałszywych zleceń przez oszustów – ten mechanizm odpowiadał za 90 proc. przypadków. Najrzadziej stosowaną metodą była modyfikacja zleceń.

Sytuacja w poszczególnych państwach jest jednak bardzo zróżnicowana. Polska, z transakcjami oszukańczymi o wartości 187 mln euro w 2024 r., zajęła szóste miejsce w Europie – za Belgią, ale przed Holandią. Lepiej wypada pod względem udziału oszustw we wszystkich transakcjach. Wskaźnik ten wynosi 0,11 proc. i pozostaje poniżej unijnej średniej na poziomie 0,15 proc.

Inne dane przedstawia Narodowy Bank Polski (NBP). Wynika z nich, że wartość transakcji oszukańczych w drugim półroczu 2025 r. wyniosła 382 mln zł. Była o 18 proc. wyższa niż w pierwszym półroczu 2024 r.

W Polsce najpopularniejszym oszustwem dotyczącym kart płatniczych pozostaje kradzież danych karty, odpowiadająca za 37 proc. przypadków. Kolejne 14 proc. stanowi nakłonienie płatnika do dokonania transakcji. W segmencie przelewów manipulacja płatnikiem odpowiada za 77 proc. oszustw. Chodzi o nakłonienie ofiary do dokonania transakcji na rzecz oszusta, najczęściej przy użyciu technik socjotechnicznych. Co istotne, dane te nie obejmują płatności mobilnych BLIK ani szybkich przelewów w systemie Elixir. Dlatego mogą zaniżać rzeczywistą skalę problemu.

Analiza grupy roboczej wykazała, że banki nie raportują oszustw w spójny sposób. Przykładowo, tzw. „manipulację posiadaczem karty” zgłasza jedynie część instytucji. Autorzy postulują zatem ujednolicenie sposobu przypisywania poszczególnych scenariuszy oszustw do odpowiednich kategorii sprawozdawczych. Uważają, że poprawiłoby to przejrzystość danych i ułatwiłoby skuteczniejszą ochronę rynku płatniczego.

Przeczytaj: Upadek muru berlińskiego w płatnościach. BLIK buduje europejski hub i negocjuje z Erste

Kluczowa słabość? Brak dodatkowej weryfikacji ze strony instytucji w krytycznych momentach

W kolejnym rozdziale autorzy raportu opisują 16 scenariuszy oszustw. Chodzi m.in. o podszywanie się pod pracownika banku, oferowanie rzekomo legalnej, bezpiecznej i zyskownej inwestycji oraz podszywanie się pod zaufanych sprzedawców na platformach takich jak OLX, Allegro czy Vinted. Zauważają, że najpoważniejsze scenariusze zwykle łączy kilka cech:

• Klient samodzielnie autoryzuje transakcję,
• Jej kwota stopniowo rośnie,
• Brakuje skutecznego mechanizmu weryfikacji,
• Oszuści wykorzystują manipulację, presję czasu i pozorny autorytet.

„Kluczową słabością zidentyfikowaną w analizie jest brak mechanizmów weryfikacyjnych w momentach krytycznych, takich jak zmiana danych odbiorcy, realizacja przelewu na nowy rachunek lub instalacja oprogramowania zewnętrznego. W większości przypadków brak dodatkowego potwierdzenia lub niezależnego kanału weryfikacji umożliwia skuteczne przeprowadzenie ataku. I to mimo obecności standardowych zabezpieczeń, takich jak silne uwierzytelnianie czy autoryzacja SMS” – czytamy w raporcie Future Finance Poland.

W Wielkiej Brytanii udało się ograniczyć skalę problemu

Autorzy wskazują też dobre praktyki stosowane za granicą. W Wielkiej Brytanii poważnym problemem były oszustwa zakupowe polegające na płaceniu za produkty i usługi, które nigdy nie są dostarczane. Banki często odmawiały uwzględnienia reklamacji dotyczących takich transakcji, ponieważ ostatecznie zatwierdzał je sam klient. To sprawiało, że odzyskanie pieniędzy było trudniejsze niż w przypadku zwykłej kradzieży danych bankowych.

W odpowiedzi brytyjski regulator w 2024 r. wprowadził obowiązkową refundację strat wynikających z takich oszustw. Efekt? W ciągu pół roku odsetek zaakceptowanych przez banki wniosków o zwrot pieniędzy wzrósł z 62 do 88 proc. Banki zwróciły klientom łącznie 173 mln funtów. Przeniesienie kosztów oszustw na sektor bankowy sprawiło, że instytucje zaczęły jeszcze intensywniej inwestować w prewencję.

Doprowadziło to do rozwoju rozwiązań w zakresie Consumer Fraud Risk, które wykrywają nietypowe działania klienta jeszcze przed wykonaniem przelewu. Kluczowa stała się analiza informacji z całego ekosystemu płatności, a nie tylko danych posiadanych przez pojedynczą instytucję. Takie rozwiązanie wdrożył Mastercard. Według firmy korzyści z jego zastosowania przewyższają koszty wdrożenia i utrzymania.

– Bezpieczeństwo to jeden z nielicznych obszarów, w których banki nie rywalizują ze sobą, a coraz bardziej współpracują. Kluczowe dla poprawy bezpieczeństwa całego ekosystemu płatniczego stają się bezpośrednia wymiana doświadczeń oraz wsparcie ze strony organizacji płatniczych. Jest to istotne, bo już dawno ekosystem płatniczy stracił charakter lokalny. Stał się częścią globalnej sieci, w której płatności wędrują z jednego kraju do drugiego w milisekundach. Dlatego szukając inspiracji, trzeba patrzeć nie tylko na rodzimy rynek, ale i na zagranicę. Internet i AI sprawiają, że schemat ataku stosowany dziś w innym kraju szybko pojawia się również w Polsce – mówi Michał Macierzyński, dyrektor departamentu usług cyfrowych w PKO Banku Polskim.

Konieczna jest współpraca z mediami społecznościowymi

Przykładów dobrych praktyk jest więcej. W 2024 r. również w Wielkiej Brytanii rozpoczął się półroczny pilotaż platformy FIRE. Integracja danych bankowych z informacjami o aktywności w mediach społecznościowych pozwoliła skuteczniej identyfikować całe sieci przestępcze zamiast analizować wyłącznie pojedyncze incydenty. Zwiększyło to skuteczność działań operacyjnych, takich jak blokowanie kont, usuwanie fałszywych profili oraz ograniczanie możliwości popełniania kolejnych oszustw przez zorganizowane grupy. Podobny program ruszył w Australii i doprowadził do usunięcia 17 tys. oszukańczych treści w ciągu zaledwie pół roku.

Autorzy proponują zatem rozważenie pilotażu programu FIRE także w Polsce. Rozwiązanie byłoby szczególnie przydatne w zwalczaniu oszustw zakupowych i inwestycyjnych. Postulują stworzenie platformy wymiany danych między mediami społecznościowymi a instytucjami finansowymi. Pozwoliłaby ona na identyfikowanie oszustw na podstawie danych rachunku bankowego oraz profilu w mediach społecznościowych, np. na Facebooku lub Instagramie.

Potrzebny wspólny standard

Poza dobrymi praktykami rynkowymi autorzy wskazują także na uwarunkowania prawne. Postulują, aby wspólnie z Urzędem Ochrony Danych Osobowych (UODO), Urzędem Komisji Nadzoru Finansowego (UKNF) oraz Urzędem Ochrony Konkurencji i Konsumentów (UOKiK) wypracować standard możliwy do szybkiego wdrożenia. Chodzi o to, by sygnały wskazujące na oszustwo można było łatwo przypisać do właściwej, zgodnej z RODO podstawy przetwarzania danych. Autorzy podkreślają również, że klient musi mieć zapewnioną ścieżkę odwoławczą. System antyfraudowy nie może służyć jako pretekst do automatycznego odrzucania roszczeń dotyczących nieautoryzowanego obciążenia rachunku.

„Zdolność do realnego, operacyjnego przeciwdziałania nadużyciom – a nie deklaratywne spełnienie wymogów regulacyjnych – będzie w najbliższych latach stanowić podstawowe kryterium oceny zgodności i odpowiedzialności w sektorze usług płatniczych” – czytamy w raporcie.

Autorzy wskazują na konieczność stworzenia zintegrowanego standardu powiadomień o incydentach. Zwracają uwagę, że obecnie instytucje muszą raportować incydenty związane z AI zgodnie z AI Act, incydenty ICT, czyli zdarzenia zagrażające bezpieczeństwu systemów, na mocy rozporządzenia DORA oraz incydenty płatnicze zgodnie z przepisami PSD2/PSR. Przestrzegają, że Polska nie potrzebuje kolejnego, równoległego kanału raportowania, ale integracji już istniejących systemów.

Zdaniem eksperta

Potrzeba podejścia systemowego i szerokiej współpracy

Współczesne oszustwa coraz częściej rozpoczynają się na długo przed dokonaniem transakcji. Schemat działania przestępców zwykle obejmuje kilka etapów: reklamę internetową zachęcającą do pozostawienia danych, kontakt telefoniczny lub za pośrednictwem komunikatora, manipulację prowadzącą do samodzielnego przekazania pieniędzy przez ofiarę, a następnie wyprowadzenie ich poza nadzorowany system bankowy.

Skala i sposób działania współczesnych oszustów wymagają podejścia systemowego oraz współpracy wielu instytucji. Kluczowe jest także spójne podejście regulatorów do obszarów, w których nakładają się na siebie różne wymogi prawne. Dotyczy to w szczególności rynku finansowego, na którym wykorzystanie zaawansowanych technologii do przeciwdziałania oszustwom musi pozostawać zgodne z obowiązującymi regulacjami.

Drugim istotnym wnioskiem jest potrzeba przejścia od modelu reaktywnego do proaktywnego. Oznacza to konieczność identyfikowania i ograniczania ryzyka oszustwa przed dokonaniem transakcji. W praktyce wymaga wdrażania narzędzi działających w czasie rzeczywistym oraz budowania architektury bezpieczeństwa płatności opartej nie tylko na danych transakcyjnych, lecz także na sygnałach pochodzących z różnych źródeł. Dlatego ponownie kluczowe okazują się partnerstwa i współdziałanie.

Mastercard wspiera uczestników rynku w tworzeniu bezpiecznego, odpornego i nowoczesnego ekosystemu płatności cyfrowych. Zależy nam, aby raport stał się impulsem do konkretnych, wspólnych działań systemowych obejmujących instytucje finansowe, firmy technologiczne, operatorów telekomunikacyjnych i regulatorów. Tylko skoordynowane podejście może realnie ograniczyć skalę oszustw, m.in. przez podniesienie kosztu skutecznego ataku oraz utrudnienie przestępcom działania w polskim ekosystemie cyfrowym.

Małgorzata Domagała

VP, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację w Mastercard Europe

Główne wnioski

1. Socjotechnika dominuje nad technologią. Największym zagrożeniem w ekosystemie płatności cyfrowych nie są luki w oprogramowaniu, lecz manipulowanie ludźmi. Ta metoda odpowiada za 76 proc. oszustw związanych z przelewami w UE oraz 77 proc. w Polsce. Przestępcy wykorzystują presję czasu, pozorny autorytet i fakt, że zmanipulowany klient samodzielnie autoryzuje transakcję.
2. Tradycyjne zabezpieczenia zawodzą w krytycznych momentach. Standardowe mechanizmy, takie jak silne uwierzytelnianie (SCA) czy kody SMS, nie zawsze są wystarczające. Kluczową słabością polskiego rynku jest brak dodatkowej, niezależnej weryfikacji w sytuacjach takich jak nagła zmiana danych odbiorcy, instalacja zewnętrznego oprogramowania czy przelew na nieznany dotąd rachunek.
3. Konieczna jest wymiana danych między sektorami. Skuteczna walka z oszustwami wymaga przejścia od działań reaktywnych do proaktywnych, czyli wykrywania zagrożeń w czasie rzeczywistym, jeszcze przed dokonaniem transakcji. Wzorując się na doświadczeniach Wielkiej Brytanii i Australii z programem FIRE, eksperci proponują stworzenie systemu wymiany danych między bankami a platformami społecznościowymi. Pozwoliłoby to identyfikować całe sieci przestępcze, a nie tylko pojedyncze incydenty.