În ultimele luni, Centrul de Soluționare Alternativă a Litigiilor în domeniul Bancar (CSALB) a înregistrat un val de sesizări privind fraudele comise prin intermediul canalelor bancare. Datele arată că mulți consumatori cer sprijinul instituțiilor de credit pentru a-și recupera economiile pierdute în urma atacurilor informatice, potrivit EVZ.ro.
În unele cazuri, păgubiții au reușit să își recupereze sumele pierdute, însă există și cazuri în care aceștia plătesc rate la un credit de care nu au beneficiat niciodată în realitate. În exclusivitate pentru EVZ, avocatul Luca Păun a vorbit despre obligațiile pe care le au instituțiile bancare. De asemenea, Alin Iacob, președintele Asociației Utilizatorilor Români de Servicii Financiare (AURSF) a explicat pentru EVZ cum ar putea fi prevenite cazurile de fraudă prin intermediul canalelor de comunicare.
Tot mai multe cazuri de fraudă
Digitalizarea accelerată a serviciilor financiare a schimbat radical relația dintre clienți și bănci. Plățile se fac mai ușor ca oricând, aplicațiile bancare sunt tot mai intuitive, iar accesul la servicii financiare este rapid și permanent. Dar această evoluție vine cu un preț. Automatizarea proceselor și extinderea mediului digital au deschis noi uși pentru infractorii cibernetici. Potrivit avocatului Luca Păun, sistemele bancare moderne sunt tot mai expuse la riscuri pe care legislația actuală nu le-a anticipat pe deplin.
„Digitalizarea accelerată a serviciilor financiare, coroborată cu tendinţa globală de automatizare a proceselor bancare, a adus beneficii incontestabile consumatorilor — accesibilitate sporită, rapiditate în efectuarea plăţilor şi o interfaţă intuitivă între client şi instituţia de credit. Totuşi, această evoluţie tehnologică are un revers juridic complex: expunerea la noi forme de criminalitate informatică şi la riscuri operaţionale pe care cadrul normativ tradiţional nu le anticipa integral. Fraudele prin telefon („vishing”), e-mail („phishing”) sau SMS („smishing”) reprezintă astăzi una dintre cele mai frecvente modalităţi prin care infractorii obţin acces la datele de autentificare ale clienţilor bancari. În esenţă, aceste scheme se bazează pe înşelăciune, pe mimarea identităţii instituţiei de credit sau pe exploatarea neglijenţei utilizatorilor”, arată el.
Avocatul Luca Păun adaugă că întrebarea esențială este: în ce măsură instituțiile de credit pot fi considerate responsabile pentru prejudiciile suferite de clienți.
„Consecinţa practică este că sume considerabile sunt transferate fără autorizarea titularului de cont, în timp ce băncile sunt chemate să răspundă pentru lipsa de securitate sau diligenţă. Problema centrală nu este doar de ordin tehnologic, ci eminamente juridic: care sunt obligaţiile băncilor în faţa acestor fraude şi în ce măsură pot fi ţinute răspunzătoare pentru prejudiciul clientului? Răspunsul implică o analiză corelată între dreptul intern (Legea nr. 209/2019 privind serviciile de plată) şi dreptul european (Directiva (UE) 2015/2366 — PSD2), dar şi o interpretare doctrinară a conceptelor de „operaţiune neautorizată”, „neglijenţă gravă” şi „diligenţă profesională”, explică acesta.
La nivel european, protecția clienților bancari în fața fraudelor este reglementată prin Directiva (UE) 2015/2366 privind serviciile de plată, cunoscută sub denumirea PSD2. Actul stabilește un cadru comun pentru toate statele membre și impune băncilor și altor prestatori de servicii de plată obligații stricte în cazul tranzacțiilor neautorizate.
Printre cerințele directivei se numără răspunderea instituțiilor pentru operațiunile efectuate fără acordul clientului, dar și implementarea autentificării stricte a utilizatorilor („Strong Customer Authentication” – SCA), menită să reducă riscul accesului fraudulos la conturi.
Responsabilitățile instituțiilor de credit
Pentru a înțelege ce responsabilități au băncile în fața fraudelor comise prin telefon sau e-mail, avocatul atrage atenția asupra a trei direcții principale: obligația de diligență și securitate, obligația de informare a clientului și acțiunea promptă în cazul unei suspiciuni de fraudă.
Prima dintre acestea – obligația de diligență și securitate – presupune ca instituțiile de credit să implementeze măsuri tehnice și organizatorice capabile să prevină accesul neautorizat la conturile clienților sau la datele lor de autentificare.
În practică, băncile trebuie să asigure sisteme performante de autentificare, cum este „Strong Customer Authentication” (SCA), să monitorizeze constant tranzacțiile suspecte și să dețină proceduri clare de reacție la incidentele de securitate. De asemenea, instituțiile sunt obligate să păstreze jurnale de acces și să declanșeze alerte automate atunci când sunt detectate activități neobișnuite, cum ar fi conectările din alte țări sau de pe dispozitive necunoscute.
Conform Legii nr. 209/2019, băncile au obligația expresă de a se asigura că elementele de securitate personalizate ale instrumentelor de plată nu pot fi accesate de terți, această prevedere reprezentând una dintre cele mai importante garanții legale pentru protejarea clienților împotriva fraudelor.
„Aceasta implică faptul că banca trebuie să dovedească respectarea standardelor de securitate din industrie şi că nu a existat o lipsă de protecţie care să permită frauda. Din perspectivă practică, în cazul fraudelor cu phishing sau vishing, banca trebuie să demonstreze că: • a fost utilizată o metodă de autentificare adecvată; • sistemul sau procedura nu a fost vulnerabil într-o măsură ce putea fi subsumată unei neglijenţe grave; • clientul nu a fost indus în eroare printr-un comportament imprevizibil şi necontrolabil de către bancă (ex. spoofing mascat)”, afirmă el.
Ce se întâmplă în situația în care banca nu poate demonstra aceste aspecte
În situația în care banca nu poate demonstra că a respectat toate măsurile de securitate, există riscul să fie considerată responsabilă pentru pierderile suferite de client. O altă obligație esențială este informarea și educarea clienților cu privire la riscurile fraudei și la metodele de protecție.
„Dacă instituţia de credit nu poate să demonstreze aceste aspecte, riscă să fie considerată răspunzătoare pentru pierderea suferită de client. Obligaţia de informare şi educare a clientului O altă dimensiune importantă este informarea adecvată a clientului asupra riscurilor de fraudă, precum şi furnizarea de recomandări de securitate pentru folosirea serviciilor de plată. Astfel, instituţia de credit are obligaţia de a pune la dispoziţia utilizatorului informaţii referitoare la:
• riscurile asociate tranzacţiilor efectuate telefonic, online sau prin e-mail;
• măsurile de precauţie;
• canale oficiale de contact pentru raportarea suspiciunilor de fraudă”, explică avocatul Luca Păun.
El adaugă că aceste obligaţii au suport atât contractual (în contractul-cadru de prestare a serviciilor de plată), cât şi legal (prin Legea nr. 209/2019, care prevede că utilizatorul are obligaţia de a notifica prestatorul în cazul pierderii instrumentului de plată sau a utilizării sale neautorizate).
De exemplu, art. 166 alin. (1) lit. b) din Legea nr. 209/2019 impune utilizatorului să notifice prestatorul „fără întârziere nejustificată” de îndată ce ia cunoştinţă de pierderea, furtul, folosirea fără drept a instrumentului său de plată, mai spune acesta.
În cazul fraudelor prin telefon/e-mail, banca trebuie să poată arăta că a furnizat clientului informaţii adecvate privind modul în care se face autentificarea, cum se poate detecta o tentativă de fraudă, că are proceduri de alertă şi că a transmis avertismente (ex. mesaje SMS, notificări în aplicaţie) legate de comportamentele de fraudă cunoscute. Dacă banca nu poate demonstra că și-a îndeplinit obligația de informare și educare a clientului, argumentele consumatorului privind lipsa de diligență devin mult mai puternice. Atunci când instituția constată o tranzacție suspectă, legea impune măsuri imediate: contul sau instrumentul de plată trebuie blocat, clientul notificat, iar o investigație internă inițiată.
Banca trebuie, totodată, să colaboreze cu autoritățile competente, inclusiv cu poliția sau alte organe de anchetă specializate. În plus, dacă operațiunea este neautorizată, banca poate demara procedura de restituire a sumei. Conform articolului 204 alin. (2) din Legea nr. 209/2019, prestatorul de servicii de plată este obligat să restituie plătitorului „fără întârziere nejustificată” sumele rezultate din tranzacțiile neexecutate sau incorect efectuate, potrivit avocatului.
D.A.
