Czyszczą konta, zostawiają ludzi z kredytem. Rzecznik Finansowy obnaża luki w systemie [WYWIAD]

Karolina Wysota, money.pl: Oszuści okradają Polaków z pieniędzy na potęgę. Walka w pojedynkę z nimi nie ma sensu. Zgadza się pan z tym?

Dr Michał Ziemniak, Rzecznik Finansowy: Zgadzam się. Jeśli nie obejmiemy tej problematyki niedźwiedzim uściskiem, będziemy szli z procą na czołgi. Ta kwestia wymaga podejścia systemowego. Dlatego z inicjatywy Ministerstwa Sprawiedliwości powstał specjalny zespół, który ma zajmować się m.in. przestępstwami finansowymi w cyberprzestrzeni – zarówno na gruncie prawa cywilnego, jak i karnego.

Celem zespołu jest wypracowanie prewencyjnych mechanizmów ochrony Polaków oraz skutecznego ścigania przestępców. Zostaliśmy włączeni do tej inicjatywy. Przedstawiciele naszego departamentu bankowego uczestniczą w pracach. Za nimi są już pierwsze spotkania.

Rzecznik Finansowy jest na pierwszym froncie, bo to do was w pierwszej kolejności zgłaszają się poszkodowani klienci banków i innych firm oferujących usługi finansowe. Jak wygląda problem z waszej perspektywy?

Jeśli chodzi o sprawy, które do nas trafiają, w latach 2022–2025 otrzymaliśmy ponad 10 tys. wniosków o interwencję. Chodzi o osoby, którym bank lub instytucja płatnicza odrzuciły reklamację.

Nie profilujemy spraw pod kątem wieku, niemniej około połowa dotyczy seniorów, którzy padli ofiarą oszustów podszywających się pod wnuczka, policjanta, celebrytę czy urzędnika pomagającego w uzyskaniu dotacji, np. na termomodernizację budynku. To najbardziej narażona grupa społeczna.

Dlaczego seniorzy?

Seniorzy zostali wrzuceni na głęboką wodę cyfrowych finansów. Banki w praktyce wymuszają na klientach korzystanie z bankowości online poprzez różne działania, m.in. ograniczanie liczby placówek czy popularyzację płatności BLIK-iem.

Żeby zapłacić BLIK-iem, trzeba zalogować się do aplikacji bankowej. System bije rekordy popularności. Tylko w ubiegłym roku zrealizowano łącznie 2,9 mld transakcji o wartości 441,5 mld zł. Niemal w każdej sekundzie Polacy płacą BLIK-iem.

Właśnie. Seniorom w obsłudze BLIK-a pomagają dzieci czy wnukowie. Zachęcają: "Babciu, ogarnę ci BLIK-a, łatwiej będzie coś załatwić". Widzę, jak to wygląda również na przykładzie mojej babci, która przestała chodzić do banku i korzysta z bankowości internetowej.

Skoro wzrosła liczba seniorów funkcjonujących w świecie wirtualnym, łatwiej ich wychwycić przestępcom.

10 tys. wniosków o interwencję Rzecznika Finansowego to zaledwie wycinek problemu.

Tak, ponieważ nie każdy przyznaje się do tego, że został oszukany, i nie każdy szuka naszej pomocy. Z różnych przyczyn – np. ze wstydu, że padł ofiarą manipulacji.

Ten wstyd jest dziś dodatkowo wzmacniany przez jedną z kampanii informacyjnych organizowanych przez środowisko bankowe. Sugerowanie, że ofiara manipulacji "sama się okrada" czy "pomaga się okraść", budzi mój głęboki sprzeciw.

Czego konkretnie się wstydzą?

Tego, że zostali zmanipulowani przez kogoś, kto podszył się pod osobę bliską i kilkukrotnie wyłudził kod BLIK, a następnie wypłacił pieniądze z bankomatu.

Oszust pisze na Messengerze czy WhatsAppie: "Wyślij jeszcze raz, bo nie działa" – i powtarza to do skutku, aż wyczyści konto.

Która z historii najbardziej zapadła panu w pamięć?

Historia zasłyszana od dyrektora oddziału jednego z banków. Dotyczyła emeryta, któremu nie tylko wyczyszczono konto, ale też zmanipulowano go do tego stopnia, że zaciągał kredyty i pożyczki, a następnie – jak w filmie gangsterskim – wypłacał gotówkę w banku, pakował ją do torby i przekazywał oszustowi.

Gdy bank interweniował, mężczyzna wpadł w histerię i twierdził, że to bank działa przeciwko niemu. Konieczne było wezwanie policji. Dopiero po rozmowie z funkcjonariuszami dotarło do niego, że padł ofiarą przestępców.

To pokazuje, jak niebezpieczne może być połączenie technologii i socjotechniki.

Czy to zorganizowane grupy przestępcze, czy raczej drobni oszuści?

To muszą być osoby odpowiednio przeszkolone – i z pewnością nie przy pomocy poradnika z YouTube. Najprawdopodobniej są to zorganizowane grupy przestępcze działające na skalę międzynarodową.

Gdzie dostrzega pan największą lukę w systemie?

Problem dotyczy nieautoryzowanych transakcji, czyli płatności zrealizowanych bez zgody właściciela przez oszusta. Spór najczęściej dotyczy tego, czy w danej sytuacji mamy do czynienia z rażącym niedbalstwem po stronie klienta.

Skoro bank uznaje manipulację za rażące niedbalstwo i na tej podstawie odrzuca reklamację ofiary, jak sobie z tym poradzić?

Postulowano, aby uznać działania socjotechniczne za nieautoryzowane transakcje, jednak ze strony banków pojawia się silny opór. Dla nich oznaczałoby to kolejną falę roszczeń.

Kto zgłaszał taki postulat?

Sprawa była przez nas poruszana na przełomie 2023 i 2024 r., przy okazji prac nad unijnym rozporządzeniem PSR. W Biurze Rzecznika Finansowego rozważano wówczas, czy zasadne byłoby wprowadzenie zasad odpowiedzialności dostawcy usług płatniczych w sytuacji, gdy w wyniku manipulacji osoby trzeciej – podszywającej się pod pracownika dostawcy – dochodzi do nielegalnych, nieautoryzowanych transakcji.

Podpisuje się pan pod tym pomysłem?

Problem wymaga zaadresowania zarówno na poziomie legislacyjnym, jak i edukacyjnym. Narzędzie do walki z tego rodzaju przestępczością musi być na tyle uniwersalne, by obejmowało różne jej formy. Metody przestępców ewoluują, więc sposoby radzenia sobie z nimi również powinny się zmieniać.

Spójrzmy na liczby. Z raportów CERT Polska i CSIRT KNF wyłania się niepokojący obraz. W 2024 r. liczba oszukańczych stron internetowych była o 70 proc. większa niż rok wcześniej. Mowa o blisko 46 tys. stron z pseudoofertami inwestycyjnymi, 4 tys. fałszywych ankiet wyłudzających dane oraz 11 tys. oszukańczych reklam w mediach społecznościowych, które udało się zablokować.

Naszym zdaniem platformy społecznościowe powinny szybciej reagować na zgłoszenia. Wydaje się, że mają także techniczne możliwości samodzielnego identyfikowania takich przypadków. Powstaje więc pytanie o ich odpowiedzialność w sytuacji, gdy dochodzi do oszustwa.

Z raportów wynika również, że metody oszustów zmieniają się pod wpływem nagłośnienia. Im głośniej mówi się o danej metodzie, np. "na wnuczka", tym szybciej przestępcy porzucają ją na rzecz nowej – np. "na celebrytę". Metody wracają, pojawiają się też kolejne. Dlatego mówię o potrzebie rozwiązań uniwersalnych – w przeciwnym razie nie dościgniemy przestępców.

Co rozumie pan przez "uniwersalne"?

Na problem trzeba spojrzeć szerzej. Nośnikiem przestępstwa jest telefon, komunikator internetowy – Messenger, WhatsApp – czy szeroko pojęty internet.

W poprawkach zgłaszanych przez Parlament Europejski do projektu rozporządzenia PSR proponowano przepis, zgodnie z którym jeśli dostawcy usług telekomunikacyjnych nie usuną nielegalnych lub oszukańczych treści po otrzymaniu informacji o ich istnieniu, byliby zobowiązani do zwrotu dostawcy usług płatniczych kwoty oszukańczej transakcji autoryzowanej. Warunkiem miałoby być wcześniejsze zgłoszenie oszustwa przez konsumenta organom ścigania oraz dostawcy usług płatniczych.

Zakładano więc możliwość dochodzenia regresu wobec operatora telekomunikacyjnego.

Na czym stanęło?

Pomysł spotkał się ze sprzeciwem. Organizacje branżowe wskazywały, że jego skutkiem byłoby przerzucanie się odpowiedzialnością między instytucjami finansowymi a dostawcami usług telekomunikacyjnych.

Jak miałoby to działać w praktyce?

Szlaki przeciera Australia. W uproszczeniu: klient jest chroniony przez bank, bank ma możliwość dochodzenia regresu, telekomy i platformy społecznościowe odpowiadają za własne zaniedbania, a regulator nadzoruje cały system.

Na podmioty profesjonalne nakłada się obowiązki o charakterze prewencyjnym – monitoring ruchu w sieci, wykrywanie ataków i blokowanie oszustw.

Może pan podać więcej szczegółów?

Australijski regulator ACMA pracuje nad wzmacnianiem tego systemu. Ochrona zaczyna się od rygorystycznej weryfikacji użytkownika przy wydaniu numeru telefonu oraz przy jego przenoszeniu do innego operatora. Następnie operator monitoruje ruch i reaguje na anomalie.

Jeśli oszust podszywa się pod pracownika banku i dzwoni z zagranicy, korzystając ze spoofingu, operator powinien to wychwycić i powiadomić bank, który może ostrzec klienta. Trzecim filarem jest weryfikacja źródła nadawcy, mająca ograniczyć podszywanie się pod zaufane instytucje.

Co w tym zakresie robi UE?

21 stycznia Komisja Europejska ogłosiła propozycję rozporządzenia Digital Networks Act (DNA), czyli Aktu o Sieciach Cyfrowych. Ma ono na celu modernizację i ujednolicenie przepisów telekomunikacyjnych w Unii Europejskiej. Proponuje się, aby umowa między użytkownikiem a dostawcą usług telekomunikacyjnych określała działania podejmowane w razie incydentów bezpieczeństwa oraz warunki odpowiedzialności odszkodowawczej.

Można z tego wywnioskować, że Komisja Europejska chce, aby roszczenia klienta były zabezpieczone już na poziomie umowy. Operatorzy i regulatorzy mieliby tym samym więcej obowiązków w zakresie ochrony użytkowników przed oszustwami.

Czy potrzebujemy międzynarodowej instytucji do walki z taką przestępczością?

Mamy wewnętrzny pomysł powołania europejskiego Rzecznika Finansowego, który współpracowałby z krajowymi organami i sygnalizował na poziomie unijnym problemy systemowe. Dziś ścieżka reagowania jest wydłużona – najpierw jako Rzecznik alarmuję KNF lub UOKiK, a dopiero później sprawa trafia wyżej. To opóźnia reakcję.

Co dalej z tym pomysłem?

Na razie nie wyszedł poza nasze mury. Powstał podczas spotkań z rzecznikami z innych krajów, w ramach stowarzyszenia INFO Network. Widzimy, że oszuści działają w podobny sposób na całym świecie i zastanawiamy się, jak skuteczniej temu przeciwdziałać. Ze względu na podobieństwa rynków i regulacji warto rozważyć powołanie bardziej sformalizowanego ciała na poziomie europejskim.

Jakie rozwiązania z innych krajów moglibyśmy wdrożyć w Polsce?

Jednym z nich jest instytucja osoby zaufanej, wywodząca się ze Stanów Zjednoczonych. Jeśli ktoś o drugiej w nocy zaczyna kupować kryptowaluty, bank dostrzega nietypową aktywność i może skontaktować się z osobą zaufaną wskazaną przez klienta – np. dzieckiem czy sąsiadem.

O co w tym chodzi?

O zwiększenie szans na przerwanie manipulacji. Jeśli zadzwoni bank, ofiara może zbagatelizować ostrzeżenie. Jeśli zadzwoni osoba zaufana – skuteczność może być większa. Oczywiście wymaga to dostosowania do naszych realiów prawnych.

Czy zawsze trzeba zmieniać przepisy?

Niekoniecznie. Przeanalizowaliśmy orzeczenia polskich sądów dotyczące art. 50 ust. 2 Prawa bankowego. Zgodnie z tym przepisem bank ma obowiązek zachowania szczególnej staranności w zakresie bezpieczeństwa powierzonych mu środków. Sądy podchodzą do tej kwestii w sposób zdroworozsądkowy.

Sąd Rejonowy w Łodzi wskazał, że należyta staranność obejmuje także monitorowanie transakcji pod kątem ich nietypowości. Z kolei Sąd Okręgowy w Kielcach podkreślił, że procedury banku nie były na tyle skuteczne, by wychwycić nietypową aktywność po zmianie urządzenia autoryzacyjnego.

Wyrok Sądu Okręgowego w Żorach z 2023 r. stwierdza natomiast, że banki muszą działać proaktywnie i wdrażać rozwiązania techniczne oparte na analizie znanych metod działania przestępców.

Czyli według sądów to banki powinny chronić klientów?

Dokładnie. Podzielamy to stanowisko. W niektórych krajach dostępne są aplikacje autoryzowane przez bank lub regulatora, które klient dobrowolnie instaluje w telefonie. Monitorują one aktywność na rachunku i wysyłają alerty w przypadku podejrzanych zdarzeń.

Walczymy także o wprowadzenie 24-godzinnej karencji przy wypłacie kredytów udzielanych "na klik". Chodzi o to, by zanim pieniądze trafią na konto, upłynęła doba. To zabezpieczenie przed oszustami, którzy przejmują kontrolę nad kontami ofiar, zaciągają kredyty i znikają z pieniędzmi.

To działanie pod prąd trendowi "tu i teraz".

Klient powinien mieć wybór. Jeśli chce ograniczyć funkcje w aplikacji ze względów bezpieczeństwa, powinien móc to zrobić. Aplikacja mobilna jest wyjątkowo elastycznym narzędziem, dlatego ograniczenie niektórych funkcjonalności – tak, aby chronić seniorów i nie tylko ich – nie powinno stanowić problemu dla banku.

Mieliśmy przypadek studentki, która miała na koncie 600 zł, a oszuści zaciągnęli na jej rachunek 15 tys. zł pożyczki przy użyciu funkcji "kredyt na klik". Naszym zdaniem należy rozważyć koncepcję podstawowej, bardziej ostrożnościowej wersji bankowości internetowej, w tym aplikacji mobilnych – bez możliwości zaciągania kredytów czy wykonywania wysokich przelewów, jeśli klient zgłasza taką potrzebę.

Inną opcją jest "Money Lock". Takie rozwiązanie stosowane jest m.in. w Singapurze. Pomaga chronić środki przed oszustwami, np. nieautoryzowanymi przelewami lub wypłatami. Blokując pieniądze na rachunkach bieżących, do których klient nie potrzebuje codziennego dostępu, może on bezpiecznie korzystać z usług bankowych w ustalonym przez siebie zakresie – bez narażania oszczędności czy konieczności przenoszenia środków na inny rachunek.

Aby odblokować środki, klient musi osobiście potwierdzić swoją tożsamość w dowolnym oddziale banku. Do połowy 2025 roku ponad 370 tys. klientów w Singapurze zablokowało w ten sposób swoje oszczędności, zapewniając im dodatkową ochronę przed oszustami.

Wreszcie nie możemy zapominać o obowiązkach przedkontraktowych. W UE ochrona konsumenta w dużej mierze opiera się właśnie na tych obowiązkach.

Co ma pan na myśli?

Jeszcze przed zawarciem umowy bank powinien zebrać od klienta informacje pozwalające dopasować produkt do jego profilu. Ustalenie takiego profilu wydaje się kluczowe. Jeśli bank zna zwyczaje płatnicze klienta, może monitorować rachunek pod kątem anomalii i ostrzegać go przed potencjalnym zagrożeniem.

Jeżeli klient zignoruje ostrzeżenie, bank może mieć podstawę do odrzucenia reklamacji – ale wcześniej musi dołożyć wszelkich starań, by zadbać o jego bezpieczeństwo.

Rozmawiała Karolina Wysota, dziennikarka money.pl