Niestandardowe wzorce zachowań? Zapobieganie oszustwom płatniczym w świetle PSD2, RODO oraz AML

W jednym z ostatnich artykułów poruszyliśmy tematykę realizacji transakcji płatniczych z użyciem biometrii. Jedną z konkluzji, którą tam zawarłem była kwestia niedostosowania przepisów do obecnie stosowanych i dostępnych technologii w zakresie FaceID/TouchID. Trudno bowiem w chwili obecnej znaleźć inne rozwiązanie niż outsourcing, które w pełni pokrywałoby wymogi Rozporządzenia 2018/389 w kontekście silnego uwierzytelnienia klienta. Ponieważ w kolejnej odsłonie zmierzę się z tym co dzieje się „w tle” (back-end), muszę przyjąć że jest to rozwiązanie wyjściowe dla wykorzystania biometrii na potrzeby realizacji określonych czynności na rachunkach płatniczych (zgodnie z wymaganiami silnego uwierzytelnienia klienta – zainteresowanych pogłębieniem wiedzy zachęcam do przejrzenia tej serii – klik1klik2klik3klik4). Przy czym nie będę ograniczał się wyłącznie do biometrii. Zajmę się więc dzisiaj kilkoma wątkami (monitoring transakcji, przetwarzanie danych płatniczych czy zapobieganie oszustwom), które dotyczą zarówno pakietu PSD2, jak i AML oraz RODO. Dzisiaj część pierwsza poświęcona „zwalczaniu” fraudów. Zaczynamy!

Wyjątkowo, żeby nie zaburzyć sensu całego artykułu, nie przedstawię pełnego wykazu przepisów oraz regulacji, które będą miały tutaj zastosowanie (osoby zainteresowane zachęcam do przejrzenia tego artykułu, gdzie znajduje się aktualna lista). Wspomnieć tylko należy, że do oceny potrzebujemy przede wszystkim Rozporządzenia 2018/389ustawy o usługach płatniczychRozporządzenia 2016/679 (RODO)ustawy o AML oraz Rozporządzenie 2018/1807 (dane nieosobowe) – szczególnie jeżeli dochodzi do przetwarzania niektórych (zanonimizowanych) danych w chmurze obliczeniowej (o samej chmurze więcej tutaj).

Zacznijmy od podstawowych obowiązków dostawcy usług płatniczych

No alt text provided for this image

Generalnie dostawcy usług płatniczych mają dwa podstawowe obowiązki względem klientów (poza oczywiście samym świadczeniem usług w zgodzie z przepisami), które odbywają się bez czynnego udziału klienta, tj.:

1.      Zapobieganie oszustwom oraz

2.      Zapobieganie praniu pieniędzy oraz finansowaniu terroryzmu.

Pierwszy z obowiązków bardziej szczegółowo opisuje Rozporządzenie 2018/389 (w szczególności art. 2 oraz art. 18) oraz częściowo ustawa o usługach płatniczych (uUP) (w kontekście raportowania transakcji fraudowych oraz przetwarzania danych osobowych).

Monitoring transakcji

Zapobieganie oszustwom wymaga wdrożenia odpowiedniego systemu monitorowania transakcji i taki wymóg został wyrażony w art. 2 Rozporządzenia 2018/389. Pochodną tego obowiązku będzie konieczność raportowania transakcji oszukańczych do Komisji Nadzoru Finansowego na podstawie art. 32h uUP (corocznie lub zgodnie z wytycznymi EBA w sprawie raportowania fraudów – co pół roku).

Rozporządzenie 2018/389 jest dość ogólne jeżeli chodzi o wytyczne w zakresie tego jak ma wyglądać system monitorowania transakcji. Powinny obejmować one jednak weryfikację elementów typowych dla użytkownika usług płatniczych określonej kategorii i uwzględniając takie elementy jak: (i) elementy uwierzytelnienia „poddane” fraudom; (ii) kwoty transakcji; (iii) scenariusze oszustw; (iv) sygnały sugerujące, że oprogramowanie dostępowe (np. aplikacja mobilne) były zainfekowane i wpłynęły na wykonanie transakcji; (v) historia udostępniania urządzeń/oprogramowania i niestandardowych zachowań. Nadmienić należy, że środki te poddawane są regularnemu audytowi zgodnie z art. 3 Rozporządzenia.

Dodatkowe warunki określa również art. 18, który „upoważnia” dostawcę do niestosowania silnego uwierzytelnienia klienta o ile wprowadzi on system monitorowania transakcji, który pozwoli na uzyskanie niskiego poziomu ryzyka transakcji eCommerce. W takiej sytuacji system monitorowania powinien zostać wzmocniony o dodatkowe elementy (określone w art. 18 ust. 2), takie jak np. lokalizacja płatnika czy nawet niestandardowych wydatków płatnika. Temat zwolnienia z art. 18 Rozporządzenia 2018/389 opiszę w innym artykule.

W efekcie, w idealnym scenariuszu, po wykryciu nietypowej i potencjalnie oszukańczej transakcji, dostawca (bank) powinien zablokować daną transakcję lub instrument płatniczy (tutaj znaczenie ma wprowadzenie odpowiednich zapisów do umowy/regulamin z klientem zgodnie z art. 41 ust. 2 ustawy o usługach płatniczych). Ważne jest również informowanie klienta o takim podejrzeniu.

No alt text provided for this image

Taki system (automatyczny) w idealnym scenariuszu powinien umożliwiać generowanie raportów odnośnie transakcji fraudowych (w ujęciu jak w załączniku 2 do wytycznych EBA w sprawie raportowania fraudów, czyli w podziału na konkretne usługi oraz SCA on/SCA off). Tutaj warto zwrócić uwagę na jeden aspekt – wzorce przedstawione przez EBA nie zawierają rubryk dotyczących niestosowania SCA na innej podstawie niż wyłączenie, co uznać należy za pewne przeoczenie. W jaki sposób bowiem zakwalifikować transakcje, które odbywają się bez SCA ze względu na „odroczenie” KNF?

A gdzie RODO? Gdzie biometria?

W art. 10 ustawy o usługach płatniczych, który upoważnia do przetwarzania danych osobowych klientów w zakresie niezbędnym do zapobiegania oszustwom związanym z wykonywaniem usług płatniczych (obejmuje to zarówno stosowanie SCA, jak i wyłączeń zgodnie z art. 2 ust. 2 Rozporządzenia 2018/389). Przepis jest bardzo ogólny, ale stanowi podstawę do „wykorzystania” danych osobowych (w tym danych biometrycznych, o czym w dalszej części) w celu sprawnego realizowania obowiązków wynikających m.in. z art. 2.

No alt text provided for this image

Przepis nie wprowadza ograniczenia co do zakresu danych osobowych, a ściślej nie wyklucza możliwości przetworzenia danych biometrycznych na potrzeby monitorowania transakcji. Wyraźne wykluczenie znajduje się przykładowo w art. 105 ust. 1c Prawa bankowego (o czym pisałem w tym artykule), który odnosi się do niemożliwości wykorzystania danych biometrycznych na potrzeby oceny zdolności kredytowej. Przypomnieć należy, że przed wejściem w życie ustawy sektorowej pod RODO, przetwarzanie danych biometrycznych było wyraźnie niemożliwe. Wspomniana ustawa usunęła te wątpliwości, chociaż analiza dopuszczalności przetwarzania wzorca biometrycznego wcale nie jest bezzasadna na gruncie obecnie obowiązujących przepisów.

Wprowadzenie analogicznego ograniczenia w odniesieniu do monitoringu transakcji byłoby pozbawione sensu, tym bardziej, że sam art. 18 ust. 2 lit (i) Rozporządzenia 2018/389 „mówi” o niestandardowych wzorcach zachowań płatnika, co jest oczywiście elementem biometrii behawioralnej. Z drugiej strony teoretycznie można uznać, że art. 9 ust. 1 Rozporządzenia 2016/679 ma charakter nadrzędny nad art. 10 ustawy o usługach płatniczych, co jednak kłóciłoby się z brzmieniem art. 2 oraz 18 Rozporządzenia 2018/389. Można jednak przyjąć i taką interpretację, że użytkownik decydując się na skorzystanie z usługi płatniczej z wykorzystaniem biometrii wyraża de facto zgodę, o której mowa w art. 9 ust. 2 lit a) RODO. To jednak wymagałoby wyraźnego wskazania w umowie/regulaminie zakresu przetwarzania danych z uwzględnieniem monitoringu transakcji.

A co z obowiązkiem prawnym?

No alt text provided for this image

Wydaje mi się zasadnym przyjęcie, że art. 10 uUP (z zastrzeżeniem jak powyżej) „współgra” wraz z art. 6 ust. 1 lit. c) Rozporządzenia 2018/389, który wskazuje kiedy przetwarzanie danych osobowych będzie zgodne z prawem, tj. jeżeli od administratora wymagają tego przepisy prawa. Taką podstawą będzie nie tylko art. 2 Rozporządzenia 2018/389, ale również 46 ust. 1 ustawy o usługach płatniczych (być może jest to daleko idąca interpretacja), który obowiązku informowania o podejrzeniu oszustwa płatniczego. Jeżeli taki obowiązek się pojawia, to musi być i możliwość zidentyfikowania takiej transakcji jako fraudowej.

Co w następnej odsłonie?

Zajmę się kwestią realizacji obowiązków wynikających z ustawy o AML w kontekście przetwarzania danych osobowych oraz poruszę pozostałe wątki dotyczące wykorzystania biometrii.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *