Należy przywrócić równowagę między ochroną konsumentów a odpowiedzialnością za własne decyzje

Dzięki wypracowanym przez lata relacjom i wzajemnemu zaufaniu możemy skutecznie działać na kilku płaszczyznach. Z jednej strony podnosimy świadomość klientów, ale z drugiej – skuteczniej reagujemy na zagrożenia i ścigamy przestępców. Tego rodzaju współpraca jest dowodem na to, że sektor publiczny i komercyjny, jeśli mają wspólny cel, mogą stworzyć efektywny i sprawny system działania – tak o współpracy pomiędzy sektorem bankowym a administracją publiczną na rzecz cyberbezpieczeństwa mówi dr Tadeusz Białek, prezes Związku Banków Polskich, w rozmowie z Przemysławem Barbrichem i Jakubem Boruckim.

Jakub Borucki: Klienci w dużej mierze postrzegają bank jako instytucję w pełni odpowiedzialną za bezpieczeństwo ich środków, a swoją rolę w tym procesie traktują marginalnie – wykazały badania, prowadzone przez Związek Banków Polskich. Czy to kwestia edukacji, a może efekt działań organów ochrony konsumenta, takich jak UOKiK czy Rzecznik Finansowy, które wywołują u klientów poczucie, iż pewna beztroska jest dla nich korzystna?

– W pewnym sensie to rzeczywiście efekt obecnego podejścia zarówno legislacyjnego, jak i interpretacyjnego. Klienci mogą czuć się zwolnieni z myślenia o bezpieczeństwie, bo system niemal w całości przerzuca odpowiedzialność na banki. Takiemu postawieniu sprawy stanowczo się sprzeciwiamy. W innych krajach UE dyrektywy są implementowane w sposób bardziej wyważony, a samo pojęcie autoryzacji transakcji nie jest interpretowane tak restrykcyjnie jak w Polsce.

Obecne regulacje prowadzą do absurdów, w których oczekuje się od banków, że będą niemal fizycznie obecne przy każdej operacji klienta, by sprawdzić jego wolę i świadomość. To nie tylko ogranicza rozwój płatności, ale także zagraża stabilności całego systemu w dłuższej perspektywie. Banki nie mogą być traktowane jak ostatnia instancja, która uzna każdą reklamację, nawet w sytuacjach oczywistego nadużycia.

Przykłady? Rekordzista w jednym z banków zgłosił ponad 300 rzekomo nieautoryzowanych transakcji w ciągu kilku miesięcy, a ktoś inny notorycznie kwestionuje zakupy biletów lotniczych, mimo że z nich korzysta. Takie działania prowadzą do wypaczenia systemu, co musi być naprawione, zwłaszcza w kontekście prac nad regulacjami na poziomie UE (pakiet PSR). Liczę, że podczas polskiej prezydencji uda nam się wypracować zmiany, które przywrócą równowagę i odpowiedzialność także po stronie klienta.

Skąd więc ten optymizm, skoro mamy do czynienia z tak silnym trendem prokonsumenckim? Patrząc na to, co płynie z Unii Europejskiej i Wielkiej Brytanii, widzimy niemal absolutną dominację klientocentryzmu. W Polsce dodatkowo jest to podlane specyficznym klimatem prawnym – jak w przypadku tysięcy pozwów frankowych, gdzie po latach klienci twierdzą, że nie wiedzieli, że kurs franka może się zmienić, choć wcześniej potwierdzali, że rozumieją ryzyko frankowe. Czy można zaryzykować stwierdzenie, że powstało przekonanie, iż każdą umowę czy transakcję można podważyć, a odpowiedzialność klienta za własne decyzje praktycznie przestaje istnieć?

– To bardzo trafne spostrzeżenie. Myślę, że mamy tutaj do czynienia z kombinacją kilku czynników. Z jednej strony, skrajny klientocentryzm wynika z regulacji unijnych, które, choć mają chronić konsumentów, w praktyce często osłabiają konkurencyjność gospodarek UE. Niedawne dyskusje na ten temat, choćby na gruncie raportu Draghiego, zaczynają to dostrzegać, co daje pewne nadzieje na zmianę.

Z drugiej strony, mamy orzecznictwo TSUE, które w mojej opinii bywa oderwane od rzeczywistości. Decyzje te nie uwzględniają w pełni dynamicznego kontekstu rynkowego i tworzą precedensy, które są trudne do pogodzenia z zasadą odpowiedzialności obu stron umowy, nie wspominając już nawet o systematycznym osłabianiu pozycji konkurencyjnej Europy.

Jeśli mówimy o polskiej specyfice, to na ten obraz nakłada się jeszcze rozwój przemysłu kancelarii prawnych, specjalizujących się w masowym podważaniu umów – nie tylko tych długoterminowych, jak w przypadku kredytów frankowych, ale także krótszych zobowiązań, kredytów konsumenckich, a nawet transakcji płatniczych. Obecny system, szczególnie przy błędnej, niezgodnej z dyrektywą PSD interpretacji przepisów dotyczących autoryzacji transakcji, otwiera furtkę do nadużyć, które stawiają banki w trudnej pozycji wobec działań nieuczciwych klientów.

Kilka miesięcy temu mieliśmy okazję spotkać się z naszymi partnerami w Stanach Zjednoczonych, którzy prezentowali nam specjalne centrum do walki z oszustwami. Oczywiście skala nadużyć, np. w operacjach kartowych, jest tam także ogromna. Jednak amerykańskie banki mają znacznie lepsze możliwości obrony – tam autoryzacja jest rozumiana jako faktyczne działanie klienta, a nie tylko domniemanie jego woli. W Polsce zaś przepisy i interpretacje niekiedy tworzą niemal pole ochronne dla nieuczciwych działań.

Potrzebujemy zmian systemowych, które przywrócą równowagę między ochroną konsumentów a odpowiedzialnością za własne decyzje, bo inaczej zagrożona jest stabilność całego rynku.

Wróćmy na chwilę do naszej bankowej kuchni i porozmawiajmy o cyberbezpieczeństwie. Kampania „Nie pomagaj się okraść” to duże przedsięwzięcie, zarówno pod względem skali, jak i kosztów. Jak udało się stworzyć platformę współpracy między bankami, która umożliwia realizację takich kampanii? To nie pierwsza tego typu inicjatywa Związku Banków Polskich – wcześniej mieliśmy przecież kampanie „Ugoda lepsza niż proces” czy „Banki w Polsce tak nowoczesne, że nawet nie wiesz, że z nich korzystasz”. Jak udało się przekonać sektor bankowy do wspólnego finansowania takich działań, i czy na horyzoncie pojawiają się już inne podmioty z otoczenia bankowego, które mogą dołączyć do takich inicjatyw w przyszłości?

– Rzeczywiście, budowanie takiego konsensusu w sektorze bankowym nie było łatwe, ale było konieczne. Banki – jako członkowie naszej izby gospodarczej – dostrzegają, że współpraca w ramach dużych kampanii edukacyjnych jest nie tylko dobrym wspólnym działaniem środowiska bankowego, ale również inwestycją w świadomość i bezpieczeństwo klientów. Kluczowe było przekonanie, że mówimy tu o działaniach edukacyjnych, a nie reklamowych – kampanie te służą uświadamianiu, a nie promowaniu pojedynczych instytucji.

Nasza ostatnia kampania „Nie pomagaj się okraść” jest największym tego typu przedsięwzięciem w historii Związku Banków Polskich. Pokazuje na przykładach z życia codziennego, jak cyberprzestępcy najczęściej próbują oszukać klientów. Korzystamy z szerokiej gamy środków przekazu – od tradycyjnych mediów, przez internet, aż po media społecznościowe – aby dotrzeć do tzw. Kowalskiego. I, co najważniejsze, odbiór tej kampanii jest bardzo pozytywny, co widać w danych o zasięgu i świadomości problemu.

Współpracujemy również z innymi instytucjami. Przykładem może być nasza wspólna kampania z Komendą Główną Policji – „Bankowcy dla cyberedukacji” – w ramach której nakręciliśmy serię paradokumentów o najczęstszych metodach wyłudzania pieniędzy. Kolejnym przełomowym momentem była pierwsza w historii wspólna konferencja prasowa ZBP i Centralnego Biura Zwalczania Cyberprzestępczości, gdzie razem uświadamialiśmy klientów o schematach działania przestępców.

Na horyzoncie pojawiają się również inne podmioty, które chcą dołączyć do takich działań, zwłaszcza firmy z otoczenia sektora bankowego, które również zdają sobie sprawę, jak kluczowa jest edukacja w walce z cyberprzestępczością. Wierzę, że takie partnerstwa będziemy rozwijać w przyszłości, bo skala wyzwań w zakresie cyberbezpieczeństwa wymaga współdziałania na wielu płaszczyznach.

Wiele osób zapewne zastanawia się, jak to się udało; jak podmioty komercyjne mogły usiąść przy jednym stole z instytucjami publicznymi, takimi jak Policja? Wiadomo przecież, że instytucje publiczne często ostrożnie podchodzą do współpracy z sektorem komercyjnym.

– W istocie, mogę powiedzieć, że kluczem była tutaj wspólna misja – ochrona klientów i walka z cyberprzestępczością. To cel, który jednoczy różne strony i wszystkich interesariuszy w walce z cyberprzestępcami, ponieważ zagrożenie ze strony grup przestępczych, które często działają spoza terytorium Polski, zwłaszcza z Europy Wschodniej, dotyka nas wszystkich. W obszarze cyberbezpieczeństwa między bankami po prostu nie ma konkurencji – od lat podkreślamy tę zasadę.

Komitet Cyberbezpieczeństwa Banków, funkcjonujący w ramach Związku Banków Polskich, jest moim zdaniem jednym z najlepiej działających komitetów w naszej strukturze. Jego praca to dowód na to, że sektor bankowy potrafi mówić jednym głosem w sprawach bezpieczeństwa.

Jeśli chodzi o współpracę z Policją, a zwłaszcza z Komendą Główną Policji, w tym z Biurem Zwalczania Przestępczości Ekonomicznej, i Centralnym Biurem Zwalczania Cyberprzestępczości, które wyodrębniono kilka lat temu, mamy już sprawdzone, modelowe relacje. Ta współpraca nie ogranicza się tylko do wspólnych działań edukacyjnych, takich jak kampanie czy materiały dla klientów. Przynosi również wymierne efekty operacyjne w zwalczaniu cyberprzestępczości.

Dzięki wypracowanym przez lata relacjom i wzajemnemu zaufaniu możemy skutecznie działać na kilku płaszczyznach. Z jednej strony podnosimy świadomość klientów, ale z drugiej – skuteczniej reagujemy na zagrożenia i ścigamy przestępców. Tego rodzaju współpraca jest dowodem na to, że sektor publiczny i komercyjny, jeśli mają wspólny cel, mogą stworzyć efektywny i sprawny system działania.

Tymczasem w mediach społecznościowych hulaj dusza, piekła nie ma – znane twarze zachęcają do różnorodnych inwestycji, które często są zwykłymi oszustwami. Czy nie przydaliby się tacy influencerzy do współpracy ze Związkiem Banków Polskich, by promować ważne kampanie, takie jak „Stop hejtowi” czy „Stop fake newsom”?

– Absolutnie tak. Już teraz połączyliśmy siły z niektórymi dużymi graczami. Być może część z Państwa zauważyła, że na pewnym etapie kampanii „Nie pomagaj się okraść” dołączyła do nas Meta, właściciel Facebooka. Wspólnie prowadzimy działania edukacyjne, a Meta wykorzystuje swoje kanały i nasze materiały, by docierać do szerokiej grupy odbiorców.

Niestety, cyberprzestępcy niezwykle sprawnie wykorzystują platformy społecznościowe, często używając wizerunków znanych osób bez ich zgody, czy bazując na serwerach zlokalizowanych w jurysdykcjach, które są poza regulacjami. Nawet firmy takie jak Meta czy Google, mimo ich zaawansowanych technologii, mają trudności w zwalczaniu takich nadużyć. Fakt, że Meta aktywnie zaangażowała się w kampanię, świadczy o tym, że traktują problem poważnie i chcą wspierać ochronę użytkowników przed cyberprzestępczością.

Dr Przemysław Barbrich: Meta już działa, to dobrze, ale czy inne podmioty również zaangażują się w kampanie Związku Banków Polskich? W końcu one także są bezpośrednio narażone na ataki.

– Tak, prowadzimy rozmowy z innymi podmiotami. Sukces kampanii „Nie pomagaj się okraść” zachęcił nas do myślenia o kolejnych działaniach w tym roku. Oczywiście, organizacja takich kampanii to ogromne wyzwanie logistyczne i finansowe, ale widzimy ich wartość – docierają one do osób najbardziej narażonych na ataki.

Nie jest tajemnicą, że dziś głównym celem cyberprzestępców stał się człowiek – najsłabsze ogniwo systemu. Banki są dobrze przygotowane technologicznie i skutecznie zabezpieczają się przed klasycznymi atakami na swoje systemy, dlatego przestępcy koncentrują swoje działania na socjotechnice i manipulacji. Niestety, potrafią dotrzeć do szerokich grup, czasem zaskakując swoją skutecznością.

W przeciwieństwie do przestępstw analogowych, jak np. oszustwo metodą na wnuczka, gdzie osoby starsze były ofiarami ataków, cyberprzestępcy coraz częściej kierują swoje działania do młodych ludzi w wieku 20-30 lat. To pokazuje, że świadomość na temat zagrożeń wciąż wymaga wzmacniania, a nasze kampanie są jednym z kluczowych narzędzi w tej walce.

Skoro mówimy o naiwności, chciałem zapytać o eksperyment społeczny, który Związek Banków Polskich przeprowadził z „Super Expressem”. Chodzi o akcję z informacją zachęcającą do inwestowania na międzynarodowych rynkach finansowych i prośbą o podanie wrażliwych danych. Trwało to przez cały listopad. Jakie są wyniki tego eksperymentu i jakie wnioski można z niego wyciągnąć?

– Rzeczywiście, wspólnie z „Super Expressem” podsumowaliśmy drugą edycję tego eksperymentu w ramach naszej kampanii. Tym razem oszustwo polegało na wykorzystaniu zwykłej reklamy mechanizmu inwestycyjnego – bez użycia wizerunku znanych osób. Wyniki? Aż 14 tys. osób zdecydowało się kliknąć w link prowadzący do rzekomej superinwestycji i podać swoje wrażliwe dane, takie jak imię, nazwisko, PESEL czy data urodzenia, w formularzu umożliwiającym „otwarcie konta inwestycyjnego”.

To liczby zatrważające, choć nieco lepsze niż podczas edycji 2023 r. eksperymentu dotyczącego fałszywych sklepów internetowych – wtedy potencjalnych ofiar było jeszcze więcej. Jednak wciąż pokazuje to, jak bardzo jesteśmy naiwni i bezrefleksyjni, nawet wobec oczywistych przesłanek wskazujących na oszustwo.

Na przykład – obietnice ogromnych zysków w krótkim czasie, które brzmią zbyt dobrze, by mogły być prawdziwe, powinny uruchamiać u każdego dzwonek alarmowy. A jednak wiele osób, zwłaszcza młodych, skuszonych wizją szybkiego zarobku, bez zastanowienia podaje swoje dane. Może to wynikać z niedoświadczenia życiowego, ale efekty bywają dramatyczne – niektórzy tracą wszystkie swoje oszczędności.

Często perfidia takich oszukańczych platform inwestycyjnych polega na prezentowaniu wirtualnych zysków, które mają wzmocnić zaufanie inwestora-ofiary. Czasem klient może nawet wypłacić niewielkie kwoty, co dodatkowo uwiarygadnia platformę. Problem zaczyna się, gdy chce wypłacić większe środki – wtedy platforma znika.

Mieliśmy niedawno przypadek starszej kobiety, która zainwestowała na takiej platformie całe swoje oszczędności życia, licząc na zwielokrotnioną emeryturę. Niestety, straciła wszystko i została bez środków do życia, co gorsza z zaciągniętymi na jej konto pożyczkami. To pokazuje, jak ważne jest uświadamianie społeczeństwa o metodach działania cyberprzestępców.

Ktoś mógłby złośliwie powiedzieć: jak to jest, że ludzie są w stanie polecieć na Księżyc i chodzić po jego powierzchni, a bankowcy – nie tylko w Polsce, ale i na świecie – nie potrafią w pełni zabezpieczyć kont czy instrumentów płatniczych swoich klientów. Czy nie można tego zrobić bez udziału klienta?

– Muszę przyznać, że to pytanie zabrzmiało jak klasyczny populizm. Rozumiem jednak jego prowokacyjny charakter. Faktycznie, podobne zarzuty często są kierowane w naszą stronę.

Jednak chciałbym podkreślić, że zabezpieczenia po stronie banków – szczególnie w Polsce – są na jednym z najwyższych poziomów w Europie. Nasz sektor bankowy wyróżnia się nie tylko innowacyjnością, ale też wyjątkowo silnymi mechanizmami ochrony. To właśnie dlatego liczba przypadków, w których oszuści przełamują zabezpieczenia techniczne banków jest znikoma.

Problemem, jak wielokrotnie wspominałem, jest czynnik ludzki – to najsłabsze ogniwo. Klienci są podatni na manipulacje i techniki socjotechniczne, które w ostatnich latach stają się coraz bardziej zaawansowane.

Niestety, zaczynamy powoli obserwować pierwsze oszustwa oparte na sztucznej inteligencji, w tym deepfaki. Są już potwierdzone przypadki wykorzystania tej technologii do wyłudzania pieniędzy. Szczególnie niepokojące są oszustwa, w których przestępcy łączą manipulację z AI, na przykład imitując głos bliskiej osoby.

W takich sytuacjach ofiara jest przekonana, że rozmawia z członkiem rodziny znajdującym się w rzekomej kryzysowej sytuacji i pilnie potrzebującym pieniędzy. Nie mówimy tu o próbie podrobienia głosu – to faktyczny głos danej osoby, pozyskany z internetu, mediów społecznościowych, czy – jak ostatnio zaobserwowaliśmy – z popularnych komunikatorów wykorzystujących krótkie nagrania głosowe (tzw. głosówki).

Wystarczy kilkanaście sekund nagrania, by przestępcy stworzyli doskonały deepfake głosu członka rodziny. Niestety, technologia ta staje się coraz bardziej dostępna również dla przestępców, co zwiększa zagrożenie dla klientów.

Na zakończenie chciałbym poprosić o kilka praktycznych porad. Czy są jakieś miejsca, które można nazwać autoryzowanymi przez Związek Banków Polskich, gdzie przeciętny klient mógłby znaleźć rzetelne informacje?

– Oczywiście. Chociaż dziś rozmawiamy w gronie specjalistów, to faktycznie mamy przygotowany zestaw praktycznych porad dla tzw. przeciętnego klienta banków. Zachęcam Państwa również do promowania tych materiałów. Na stronie Banki w Polsce dostępnych jest 10 podstawowych zasad higieny cyberbezpieczeństwa.

Te zasady dotyczą bezpiecznego korzystania z bankowości elektronicznej oraz zakupów w internecie. Każdy element naszej kampanii, w tym filmy edukacyjne o codziennych sytuacjach, w których oszuści próbują działać, kieruje klientów właśnie na tę stronę. To tzw. landing page, gdzie można znaleźć kluczowe informacje wypracowane we współpracy z bankami.

Do promowania tych zasad włącza się także Policja i prokuratura. Wspólnie staramy się maksymalnie uświadamiać klientów o podstawowych zagrożeniach i konieczności stosowania prostych, lecz skutecznych zasad ochrony.

Rzeczywiście, odruchy i cybernawyki są kluczowe i powinny być szeroko promowane. Bardzo dziękujemy za rozmowę i spotkanie ze społecznością Digital Banking Academy.