Łukasz, klient PKO BP, podczas zakupów w supermarkecie Dino wygenerował kod BLIK, by zapłacić za swoje zakupy. Po otrzymaniu prośby o potwierdzenie płatności w aplikacji mobilnej odruchowo ją zaakceptował. Niestety, zamiast zapłacić za zakupy w Dino, nieświadomie opłacił czyjś obiad na Pyszne.pl o wartości 51,79 złotych. Kiedy kasjer poinformował go o odmowie transakcji, mężczyzna wygenerował kolejny kod, którym już skutecznie zapłacił za swoje zakupy.
Po sprawdzeniu historii transakcji Łukasz odkrył, że oba potwierdzenia, których dokonał, skutkowały pobraniem środków z jego konta. Pierwsza płatność trafiła do serwisu Pyszne.pl, a druga do Dino. Zaniepokojony sytuacją, złożył reklamacje w banku, BLIK-u oraz Pyszne.pl, jednak początkowo wszystkie zostały odrzucone.
Dalsza część artykułu pod materiałem wideo
Wyjaśnienie nietypowego incydentu
Eksperci z Niebezpiecznika rozważali kilka możliwych wyjaśnień tej sytuacji. Jedną z hipotez było przypadkowe wprowadzenie przez innego użytkownika kodu należącego do Łukasza. Według tej teorii, w tym samym momencie, gdy Łukasz wygenerował swój kod BLIK, ktoś inny mógł przez pomyłkę wpisać identyczny ciąg cyfr na stronie Pyszne.pl. W efekcie prośba o autoryzację trafiła do Łukasza, który zaakceptował ją, myśląc, że potwierdza własną transakcję w Dino.
Rozważano również możliwość błędu systemowego w aplikacji bankowej lub systemie BLIK, który mógłby spowodować, że dwie różne osoby zobaczyłyby ten sam kod na swoich urządzeniach. Przedstawiciele BLIK-a stanowczo zaprzeczyli takiej możliwości, twierdząc że "kod BLIK generowany jest indywidualnie na urządzeniu użytkownika i przypisany do konkretnego konta bankowego. Kody są jednorazowe i ważne przez 2 minuty, po tym czasie tracą ważność i mogą zostać ponownie wykorzystane przez inną osobę, jednak nigdy równocześnie przez dwie osoby autoryzujące transakcje BLIK".
Pojawiła się również hipoteza o celowym działaniu osoby trzeciej, która mogłaby wykorzystać specjalne oprogramowanie do testowania losowych kodów BLIK. Ta teoria została jednak uznana za mało prawdopodobną ze względu na niską kwotę transakcji - potencjalny oszust raczej wykorzystałby taką metodę do zakupu droższych produktów niż posiłek za około 50 złotych.
Oficjalne stanowisko BLIK i możliwości odzyskania środków
Po publikacji artykułu na portalu Niebezpiecznik.pl, przedstawiciele BLIK ponownie skontaktowali się z poszkodowanym i potwierdzili, że doszło do sytuacji, w której inny użytkownik wpisał kod wygenerowany przez Łukasza. Zbieg okoliczności był na tyle niefortunny, że doprowadziło to do zaakceptowania przez niego płatności innego użytkownika serwisu Pyszne.pl.
BLIK poinformował poszkodowanego, że zgodnie z ustawą o usługach płatniczych, ma on możliwość pisemnego zwrócenia się do swojego banku o pozyskanie danych osoby, która skorzystała z jego kodu, w celu odzyskania utraconych środków. "Jest to procedura dedykowana przypadkom transferu środków do innych niż zamierzonych odbiorców. Nie jest to procedura reklamacyjna, a wystąpienie z prośbą o pomoc w pozyskaniu danych niezbędnych do odzyskania środków" - wyjaśnili przedstawiciele BLIK w stanowisku dla serwisu Niebezpiecznik.
Eksperci z Niebezpiecznika podkreślają, że przypadek Łukasza pokazuje, jak ważna jest uważna weryfikacja szczegółów transakcji przed jej zatwierdzeniem. Podczas płatności BLIK-iem zawsze należy sprawdzać zarówno kwotę, jak i nazwę odbiorcy płatności, aby uniknąć podobnych sytuacji. BLIK jako jedno z nielicznych narzędzi płatniczych na polskim rynku daje użytkownikom możliwość weryfikowania tych informacji podczas autoryzacji płatności w aplikacji mobilnej.
Mimo że dokładny mechanizm, który doprowadził do tej sytuacji, nie został jednoznacznie wyjaśniony, najbardziej prawdopodobna wydaje się teoria o przypadkowym wpisaniu przez innego użytkownika identycznego kodu BLIK, który w tym samym czasie został wygenerowany przez bankowość mobilną Łukasza. Przypadek ten pokazuje, że nawet przy zaawansowanych systemach bezpieczeństwa, niezwykły zbieg okoliczności może prowadzić do nieoczekiwanych problemów z płatnościami elektronicznymi.
