Economie
Exclusiv
Fraudele online golesc conturile românilor. Ce obligații au băncile și cum pot fi protejați clienții
Hacker. Sursa foto: Freepik
Din cuprinsul articolului
În ultimele luni, Centrul de Soluționare Alternativă a Litigiilor în domeniul Bancar (CSALB) a înregistrat un val de sesizări privind fraudele comise prin intermediul canalelor bancare. Datele arată că mulți consumatori cer sprijinul instituțiilor de credit pentru a-și recupera economiile pierdute în urma atacurilor informatice.
În unele cazuri, păgubiții au reușit să își recupereze sumele pierdute, însă există și cazuri în care aceștia plătesc rate la un credit de care nu au beneficiat niciodată în realitate. În exclusivitate pentru EVZ, avocatul Luca Păun a vorbit despre obligațiile pe care le au instituțiile bancare. De asemenea, Alin Iacob, președintele Asociației Utilizatorilor Români de Servicii Financiare (AURSF) a explicat pentru EVZ cum ar putea fi prevenite cazurile de fraudă prin intermediul canalelor de comunicare.
Tot mai multe cazuri de fraudă
Digitalizarea accelerată a serviciilor financiare a schimbat radical relația dintre clienți și bănci. Plățile se fac mai ușor ca oricând, aplicațiile bancare sunt tot mai intuitive, iar accesul la servicii financiare este rapid și permanent. Dar această evoluție vine cu un preț. Automatizarea proceselor și extinderea mediului digital au deschis noi uși pentru infractorii cibernetici. Potrivit avocatului Luca Păun, sistemele bancare moderne sunt tot mai expuse la riscuri pe care legislația actuală nu le-a anticipat pe deplin.
„Digitalizarea accelerată a serviciilor financiare, coroborată cu tendinţa globală de automatizare a proceselor bancare, a adus beneficii incontestabile consumatorilor — accesibilitate sporită, rapiditate în efectuarea plăţilor şi o interfaţă intuitivă între client şi instituţia de credit. Totuşi, această evoluţie tehnologică are un revers juridic complex: expunerea la noi forme de criminalitate informatică şi la riscuri operaţionale pe care cadrul normativ tradiţional nu le anticipa integral. Fraudele prin telefon („vishing”), e-mail („phishing”) sau SMS („smishing”) reprezintă astăzi una dintre cele mai frecvente modalităţi prin care infractorii obţin acces la datele de autentificare ale clienţilor bancari. În esenţă, aceste scheme se bazează pe înşelăciune, pe mimarea identităţii instituţiei de credit sau pe exploatarea neglijenţei utilizatorilor”, arată el.
Hacker. Sursa foto: pixabay.com
Cum ar trebui să acționeze băncile și ce este PSD2
Avocatul Luca Păun adaugă că întrebarea esențială este: în ce măsură instituțiile de credit pot fi considerate responsabile pentru prejudiciile suferite de clienți.
„Consecinţa practică este că sume considerabile sunt transferate fără autorizarea titularului de cont, în timp ce băncile sunt chemate să răspundă pentru lipsa de securitate sau diligenţă. Problema centrală nu este doar de ordin tehnologic, ci eminamente juridic: care sunt obligaţiile băncilor în faţa acestor fraude şi în ce măsură pot fi ţinute răspunzătoare pentru prejudiciul clientului? Răspunsul implică o analiză corelată între dreptul intern (Legea nr. 209/2019 privind serviciile de plată) şi dreptul european (Directiva (UE) 2015/2366 — PSD2), dar şi o interpretare doctrinară a conceptelor de „operaţiune neautorizată”, „neglijenţă gravă” şi „diligenţă profesională”, explică acesta.
La nivel european, protecția clienților bancari în fața fraudelor este reglementată prin Directiva (UE) 2015/2366 privind serviciile de plată, cunoscută sub denumirea PSD2. Actul stabilește un cadru comun pentru toate statele membre și impune băncilor și altor prestatori de servicii de plată obligații stricte în cazul tranzacțiilor neautorizate.
Printre cerințele directivei se numără răspunderea instituțiilor pentru operațiunile efectuate fără acordul clientului, dar și implementarea autentificării stricte a utilizatorilor („Strong Customer Authentication” – SCA), menită să reducă riscul accesului fraudulos la conturi.
Cum se aplică în România
În România, PSD2 a fost transpusă prin Legea nr. 209/2019 privind serviciile de plată, publicată în Monitorul Oficial în noiembrie 2019. Legea stabilește condițiile de funcționare pentru prestatorii de servicii de plată, drepturile și obligațiile clienților, dar și regulile de transparență în relația bancă–consumator. Totodată, actul normativ prevede măsuri clare pentru protejarea plătitorilor în fața operațiunilor neautorizate, consolidând responsabilitatea instituțiilor de credit față de securitatea fondurilor clienților.
„Complementar, băncile trebuie să respecte şi reglementările prudenţiale emise de Banca Naţională a României (BNR) în materie de securitate a sistemelor de plăţi electronice, precum şi standardele tehnologice şi de organizare internă aplicabile instituţiilor de credit. Deşi literatura şi jurisprudenţa românească specifică privind fraudele prin telefon/e-mail este încă în curs de dezvoltare, se remarcă tendinţa instanţelor de a aplica principiile răspunderii pentru operaţiuni neautorizate în sensul Legii 209/2019 şi PSD2, respectiv de a analiza dacă instituţia de plată a dovedit că clientul a autorizat operaţiunea sau că a fost vorba de neglijenţă gravă a clientului”, mai spune avocatul.
Responsabilitățile instituțiilor de credit
Pentru a înțelege ce responsabilități au băncile în fața fraudelor comise prin telefon sau e-mail, avocatul atrage atenția asupra a trei direcții principale: obligația de diligență și securitate, obligația de informare a clientului și acțiunea promptă în cazul unei suspiciuni de fraudă.
Prima dintre acestea – obligația de diligență și securitate – presupune ca instituțiile de credit să implementeze măsuri tehnice și organizatorice capabile să prevină accesul neautorizat la conturile clienților sau la datele lor de autentificare.
În practică, băncile trebuie să asigure sisteme performante de autentificare, cum este „Strong Customer Authentication” (SCA), să monitorizeze constant tranzacțiile suspecte și să dețină proceduri clare de reacție la incidentele de securitate. De asemenea, instituțiile sunt obligate să păstreze jurnale de acces și să declanșeze alerte automate atunci când sunt detectate activități neobișnuite, cum ar fi conectările din alte țări sau de pe dispozitive necunoscute.
Conform Legii nr. 209/2019, băncile au obligația expresă de a se asigura că elementele de securitate personalizate ale instrumentelor de plată nu pot fi accesate de terți, această prevedere reprezentând una dintre cele mai importante garanții legale pentru protejarea clienților împotriva fraudelor.
„Aceasta implică faptul că banca trebuie să dovedească respectarea standardelor de securitate din industrie şi că nu a existat o lipsă de protecţie care să permită frauda. Din perspectivă practică, în cazul fraudelor cu phishing sau vishing, banca trebuie să demonstreze că: • a fost utilizată o metodă de autentificare adecvată; • sistemul sau procedura nu a fost vulnerabil într-o măsură ce putea fi subsumată unei neglijenţe grave; • clientul nu a fost indus în eroare printr-un comportament imprevizibil şi necontrolabil de către bancă (ex. spoofing mascat)”, afirmă el.
Ce se întâmplă în situația în care banca nu poate demonstra aceste aspecte
În situația în care banca nu poate demonstra că a respectat toate măsurile de securitate, există riscul să fie considerată responsabilă pentru pierderile suferite de client. O altă obligație esențială este informarea și educarea clienților cu privire la riscurile fraudei și la metodele de protecție.
„Dacă instituţia de credit nu poate să demonstreze aceste aspecte, riscă să fie considerată răspunzătoare pentru pierderea suferită de client. Obligaţia de informare şi educare a clientului O altă dimensiune importantă este informarea adecvată a clientului asupra riscurilor de fraudă, precum şi furnizarea de recomandări de securitate pentru folosirea serviciilor de plată. Astfel, instituţia de credit are obligaţia de a pune la dispoziţia utilizatorului informaţii referitoare la: • riscurile asociate tranzacţiilor efectuate telefonic, online sau prin e-mail; • măsurile de precauţie; • canale oficiale de contact pentru raportarea suspiciunilor de fraudă”, explică avocatul Luca Păun.
El adaugă că aceste obligaţii au suport atât contractual (în contractul-cadru de prestare a serviciilor de plată), cât şi legal (prin Legea nr. 209/2019, care prevede că utilizatorul are obligaţia de a notifica prestatorul în cazul pierderii instrumentului de plată sau a utilizării sale neautorizate).
De exemplu, art. 166 alin. (1) lit. b) din Legea nr. 209/2019 impune utilizatorului să notifice prestatorul „fără întârziere nejustificată” de îndată ce ia cunoştinţă de pierderea, furtul, folosirea fără drept a instrumentului său de plată, mai spune acesta. În cazul fraudelor prin telefon/e-mail, banca trebuie să poată arăta că a furnizat clientului informaţii adecvate privind modul în care se face autentificarea, cum se poate detecta o tentativă de fraudă, că are proceduri de alertă şi că a transmis avertismente (ex. mesaje SMS, notificări în aplicaţie) legate de comportamentele de fraudă cunoscute.
Dacă banca nu poate demonstra că și-a îndeplinit obligația de informare și educare a clientului, argumentele consumatorului privind lipsa de diligență devin mult mai puternice. Atunci când instituția constată o tranzacție suspectă, legea impune măsuri imediate: contul sau instrumentul de plată trebuie blocat, clientul notificat, iar o investigație internă inițiată. Banca trebuie, totodată, să colaboreze cu autoritățile competente, inclusiv cu poliția sau alte organe de anchetă specializate.
În plus, dacă operațiunea este neautorizată, banca poate demara procedura de restituire a sumei. Conform articolului 204 alin. (2) din Legea nr. 209/2019, prestatorul de servicii de plată este obligat să restituie plătitorului „fără întârziere nejustificată” sumele rezultate din tranzacțiile neexecutate sau incorect efectuate, potrivit avocatului.
Răspunderea instituţiilor de credit în caz de fraudă
Conform Legii nr. 209/2019, în cazul unei operațiuni de plată neautorizate, banca are obligația să restituie imediat suma debitată și să readucă contul clientului la starea anterioară tranzacției.
Sarcina probei privind autorizarea operațiunii revine prestatorului de servicii de plată. Astfel, banca trebuie să demonstreze că tranzacția a fost inițiată de client sau că pierderea a fost cauzată de o neglijență gravă a acestuia.
Noțiunea de „neglijență gravă” este interpretată restrictiv, pentru a proteja consumatorul și a nu limita dreptul acestuia la recuperarea sumelor pierdute în urma fraudelor.
„Doctrina europeană (şi jurisprudenţa CJUE, în special cauza C-287/19 DenizBank AG) a subliniat că simpla neatenţie a utilizatorului nu echivalează cu neglijenţa gravă. Este necesară manifestarea unui comportament neglijent, cum ar fi divulgarea intenţionată a codului OTP, păstrarea datelor de autentificare în mod nesecurizat sau ignorarea avertismentelor explicite ale băncii”, explică avocatul.
El adaugă că instituţia de credit răspunde pentru orice lipsă de securitate sau deficienţă în procedurile de autentificare.
„Această răspundere este obiectivă, în sensul că nu depinde de culpa propriu-zisă, ci de simpla nerespectare a standardului profesional de diligenţă impus de lege. Or, în era digitală, diligenţa profesională presupune: • implementarea autentificării puternice a clientului (SCA); • monitorizarea tranzacţiilor neobişnuite; • existenţa unor sisteme de blocare automată a contului la detectarea comportamentului atipic; • informarea constantă şi clară a utilizatorilor asupra riscurilor de fraudă. Prin urmare, dacă instituţia de credit nu a adoptat aceste măsuri — chiar şi în absenţa unei intenţii de a prejudicia clientul — răspunderea sa poate fi angajată. Aceasta decurge nu doar din neexecutarea obligaţiilor contractuale, ci şi din principiul bunei- credinţe, consacrat de art. 14 Cod civil”, mai spune el.
Alin Iacob, despre cazurile de fraudă prin intermediul canalelor de comunicare
În ultimii ani, Alin Iacob, președintele AURSF, a depus eforturi pentru a veni în sprijinul celor care au devenit ținta infractorilor cibernetici. El atrage atenția că există situații în care băncile aruncă vina asupra consumatorilor, menționând că ar fi vorba despre o „neglijență gravă”. Președintele AURSF subliniază că orice fraudă trebuie investigată și soluționată de forțele de ordine, inclusiv Poliție și Parchet.
„Situația fraudei este reglementată de Directiva serviciilor de plăți PSD2 și acolo sunt responsabilități mari atât ale consumatorilor, cât și ale prestatorilor de servicii de plată. Băncile, de cele mai multe ori, invocă „neglijența gravă” a consumatorilor, dar rămâne de analizat în ce măsură a fost vorba despre o neglijență reală a clientului sau despre alte circumstanțe care nu pot fi calificate astfel. În aceste cazuri, responsabilitatea revine cel puțin prestatorului de servicii de plată. Orice fraudă trebuie investigată și rezolvată inclusiv de către forțele de ordine – Poliție și Parchet. Aruncarea vinovăției asupra persoanei păgubite este, cel puțin, imorală. Faptul că fraudele continuă să existe arată că sistemele actuale oferă oportunități infractorilor”, afirmă el.
În opinia sa, platformele prin intermediul cărora au loc astfel de cazuri de fraudă pot fi considerate responsabile.
„Responsabilitatea majoră aparține nu doar instituțiilor financiar-bancare, ci și Poliției, Parchetului și chiar platformelor de comunicare, având în vedere că majoritatea fraudelor se desfășoară prin WhatsApp, Messenger, Instagram sau alte aplicații de mesagerie. În prezent, în trialogul de la Comisia Europeană pentru reforma PSD2, se discută intens despre necesitatea impunerii unor responsabilități și acestor canale prin care infractorii ajung la oameni”, adaugă președintele AURSF.
Păgubiții ar trebui tratați în mod egal
Făcând referire la situațiile menționate recent de CSALB, Alin Iacob susține că ar trebui clarificate criteriile care stau la baza restituirii sumelor pierdute prin aceste metode frauduloase.
„Comunicatul CSALB, din punctul meu de vedere, poate induce un hazard moral. Ei menționează că, în anumite situații, băncile au restituit oamenilor banii. Orice persoană care a fost fraudată se va întreba de ce altcuiva i s-au returnat sumele, iar ei nu. CSALB ar trebui să clarifice și criteriile după care sumele sunt restituite, altfel riscăm să vorbim despre „neglijență gravă” imputată consumatorului”, subliniază el.
Alin Iacob atrage atenția că în multe cazuri de fraudă prin telefon, victimele au fost abordate de persoane care le cunoșteau numele. El subliniază necesitatea unor măsuri clare de protecție a clienților și implicarea activă a instituțiilor financiare pentru prevenirea fraudelor.
„Am reprezentat consumatori care au fost victime ale fraudei prin telefon, unde cei de la capătul firului le adresau direct numele. În aceste cazuri, banca a contribuit prin inacțiune la facilitarea fraudei. Încerc să găsesc soluții împreună cu instituția financiară”, arată acesta.
Prin ce a trecut o româncă
Pentru a evidenția cum ajuns infractorii cibernetici să acționeze, președintele URSF a vorbit despre situația unei românce care a fost păcălită să ia un credit de nevoi personale de zeci de mii de lei și să depună banii într-un ATM destinat criptomonedelor.
În mod evident, urma banilor a fost pierdută.
„Un exemplu grav este al unei consumatoare care a fost convinsă să ia un credit de nevoi personale de câteva zeci de mii de lei pentru a depune banii într-un ATM de criptomonede, de unde s-au pierdut complet. În mod normal, nicio urmă electronică nu ar trebui să fie pierdută, cu excepția situațiilor în care sunt implicați și operatorii acelor ATM-uri. Persoana respectivă avea inițial o limită de retragere de circa 5.000 de lei pe zi, care a fost majorată la 60.000 prin simpla selectare a unei opțiuni în aplicație. Banca cunoaște tipologiile de fraudă și, în astfel de cazuri, ar trebui să contacteze clientul prin call center pentru a verifica solicitarea. Acea discuție ar fi putut ridica semnale de alarmă și preveni frauda”, arată el.
Banca ar fi putut acționa la timp
Potrivit reprezentantului AURSF, banca ar fi putut preveni această fraudă prin măsuri simple.
„Se pare că, prin inacțiunea sa, banca a facilitat comiterea fraudei. E foarte ușor să arunci vina asupra consumatorului, dar în realitate vorbim despre șarlatani cu o psihologie extrem de bine perfecționată, în fața cărora consumatorul devine victimă prin încrederea acordată persoanei de la celălalt capăt al firului”, a explicat acesta.
Propunerile făcute de Alin Iacob
Propunerile făcute de Alin Iacob vizează atât prevenția, cât și reacția rapidă în cazul fraudelor financiare, subliniind nevoia unei abordări coordonate între autorități și instituțiile financiare. În primul rând, președintele AURSF propune ca tipologiile de fraudă să fie prezentate publicului sub formă de mesaje scurte, clare și ușor de înțeles, transmise prin sistemul Ro-Alert. În opinia sa, acțiunea ar contribui la educarea consumatorilor în privința pericolelor din mediul digital și financiar.
O altă propunere este legată de înființarea unui task force antifraudă, compus din specialiști ai Poliției, Parchetului și instituțiilor financiare. Acest grup ar urma să intervină rapid și coordonat în cazurile de fraudă, să investigheze incidentele, să recupereze sumele pierdute și să colaboreze cu platformele de comunicare unde sunt comise fraudele, cum ar fi WhatsApp, Messenger sau Instagram.
„Am propus ca tipologiile de fraudă să fie traduse în mesaje scurte și transmise românilor prin Ro-Alert, dar propunerea a rămas fără răspuns. De asemenea, am sugerat crearea unui task force antifraudă, care ar putea interveni coordonat. Vorbim despre măsuri care s-ar putea implementa dacă ar exista voință. Poliția, prin departamentele sale specializate, ar trebui să ia aceste probleme foarte în serios”, a mai spus el.
Același plan de abordare este conturat și de avocatul Luca Păun.
„O abordare preventivă implică instruirea continuă a personalului, informarea clară şi constantă a clienţilor privind riscurile de phishing sau vishing, dezvoltarea unor mecanisme inteligente de detecţie automată a anomaliilor tranzacționale.Numai prin aplicarea consecventă a acestor standarde poate fi atins echilibrul între protecţia consumatorului şi stabilitatea sistemului bancar. Într-o epocă în care încrederea se construiește digital, banca nu mai poate fi doar un operator de conturi, ci un garant al siguranței tranzacțiilor și al integrității relației juridice cu clientul”, a încheiat el.
