Анализ Один из высших юридических советников Европейского союза пытается изменить подход банков к жертвам киберпреступлений, что может обеспечить им более быструю финансовую защиту, чем ожидалось.
В недавно опубликованном юридическом заключении Генеральный адвокат Атанасиос Рантос настоятельно призвал законодателей изменить толкование Директивы о платежных услугах (PSD2), что потребует от банков возмещать убытки жертвам финансового мошенничества до того, как будет доказана их вина.
Ключевым моментом здесь является трактовка грубой небрежности в рамках PSD2. Если мнение Рантоса будет принято, жертвы таких преступлений, как мошенничество с выдачей себя за сотрудников банка, будут немедленно возмещены, независимо от того, были ли их деньги потеряны по их собственной грубой небрежности согласно законодательству ЕС.
Согласно действующей PSD2, банки обладают властью. Если жертва онлайн-мошенничества сообщает о преступлении своему банку, учреждение проводит проверку дела, чтобы решить, следует ли производить возмещение.
Нынешняя модель часто оставляет жертв в неопределенном и потенциально опасном финансовом положении до тех пор, пока банк не решит, возмещать ли им средства.
Банки часто используют защиту, основанную на грубой небрежности, чтобы отсрочить возмещение. Заключение Рантоса, которое пока не имеет обязательной юридической силы, предлагает перевернуть эту ситуацию, вынуждая банки немедленно выплачивать средства жертвам, независимо от того, привела ли грубая небрежность к успеху мошенничества, а затем требовать деньги обратно после рассмотрения дела.
В соответствии с правилами ЕС по обработке платежей, грубая небрежность может быть заявлена в случаях, когда жертвы обманом передают злоумышленникам одноразовый пароль или свои учетные данные, которые преступник затем использует для обогащения за счет несанкционированных платежей.
Гипотетический пример Рантоса
Генеральный адвокат привел вымышленный пример [PDF] дела, в котором жертва выиграла бы от законодательной поправки.
Например, клиент банка в ЕС становится жертвой фишинга со стороны преступника, который разместил товар на онлайн-маркетплейсе. Они соглашаются приобрести товар, и преступник отправляет жертве ссылку, ведущую на веб-страницу, имитирующую банк жертвы.
Убежденный в том, что веб-страница легитимна и не находится под контролем злоумышленника, ничего не подозревающий жертва вводит свои банковские данные для подтверждения транзакции, но злоумышленник крадет эти учетные данные и использует их для совершения платежа со счета жертвы.
Жертва сообщает о мошенничестве своему банку, но тот заявляет, что к мошеннической транзакции привела грубая небрежность (не заметив, что веб-страница была фишинговой). Банк отказывается немедленно выдать возмещение, вынуждая жертву добиваться возврата средств через суд, вероятно, находясь в положении ограниченных ресурсов из-за кражи, совершенной злоумышленником.
Заключение Рантоса потребовало бы от банка немедленно выплатить деньги жертве и разрешило бы ему вернуть средства, если грубая небрежность будет доказана позже, обеспечивая жертве большую финансовую безопасность в краткосрочной перспективе.
Джонатан Фрост, директор по глобальному консультированию по EMEA в компании BioCatch, занимающейся обнаружением киберугроз и мошенничества, заявил: «Заключение Генерального адвоката указывает на серьезный сдвиг в ответственности за мошенничество в европейских платежах. Если Суд согласится, банкам, возможно, придется оперативно возмещать клиентам несанкционированные транзакции, а затем предъявлять претензии по поводу небрежности. Это перекладывает первоначальный финансовый риск на банки, усиливая необходимость обнаружения захвата учетных записей и компрометации учетных данных до обработки платежей».
«Это отражает ключевой принцип Пересмотренной директивы о платежных услугах (PSD2): клиенты должны оперативно получать возмещение за несанкционированные платежи, если только банк не может четко доказать мошенничество или грубую небрежность. Британские банки уже возмещают около 98 процентов убытков от несанкционированного мошенничества, тогда как европейские банки часто отказывались возмещать клиентам, если те не обращались в суд».
Пересмотр толкования PSD2, согласно заключению Рантоса, почти наверняка произойдет в ближайшее время в виде обновленной PSD3 и совершенно нового Регламента о платежных услугах (PSR).
В отличие от PSD2, этот конкретный сценарий прямо кодифицирован в обоих предлагаемых новых нормативных актах, в их текущей формулировке.
Однако затянутый законодательный процесс может означать, что меры защиты не будут официально введены и применены в течение некоторого времени, несмотря на то, что они были впервые предложены в 2024 году, поэтому Генеральный адвокат хочет ускорить их в рамках нового толкования PSD2.
PSD3/PSR внесут ряд изменений в регулирование платежей ЕС. Помимо более финансовых аспектов, поставщики платежных услуг (PSP) должны будут внедрить более надежную Строгую аутентификацию клиента (SCA) – одно из наиболее влиятельных изменений, которое, как надеются законодатели, сдержит растущее число случаев финансового мошенничества. Если PSP не смогут должным образом внедрить SCA, регуляторы смогут привлечь их к ответственности.
Торговцы также играют свою роль. Им потребуется делиться большим объемом данных с PSP, которые затем смогут принимать более обоснованные решения о том, одобрять или отклонять транзакции. Местоположение пользователей, данные сеансов, IP-адреса устройств и многое другое будут использоваться для предоставления PSP более четкой картины того, кто именно авторизовал платеж: настоящий держатель карты или злонамеренная третья сторона.
SCA уже является требованием согласно действующей PSD2, хотя PSD3 внесет улучшения, а PSR обеспечит их соблюдение. Учитывая, что PSR является регламентом, а не директивой — которая требует от государств-членов транспонировать требования во внутреннее законодательство, что является еще одним длительным процессом, — ЕС может немедленно применить его во всех государствах-членах.
Типы данных, используемых для SCA, в значительной степени останутся прежними, но PSD3 более четко определит ответственность в случаях сбоев.
SCA в рамках PSD2 также обычно обеспечивается средствами, доступными только через смартфон, а PSD3/PSR обяжут PSP расширить эти методы аутентификации, предоставляя большую защиту тем, у кого нет доступа к смартфону, например, или людям с ограниченными возможностями. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
