Urząd Ochrony Konkurencji i Konsumentów chce ograniczyć liczbę oszust w sieci. A, że płatności elektroniczne to jeden z najszybciej rozwijających się segmentów usług finansowych, UOKiK postuluje wprowadzenie mechanizmów ograniczających oszukańcze praktyki w tym segmencie. Urząd opublikował rekomendacje dla dostawców usług płatniczych.
UOKiK przedstawił 17 stronicowy dokument, w którym zawarł zalecenia dla dostawców usług płatniczych, które mają chronić bezpieczeństwo płatności. Zalecenia nie mają mocy prawnej, są jedynie sugestiami bezpiecznego działania.
Limit transakcji i kredytów
UOKiK postuluje wprowadzenie limitów transakcyjnych dla nowych klientów, które miałyby być ustalane na podstawie danych dostępnych dla dostawcy usług płatniczych.
„Możliwość zaciągnięcia zobowiązania finansowego – kredytu konsumenckiego – z wykorzystaniem aplikacji mobilnej lub poprzez konto klienta dostępne z poziomu serwisu internetowego (tzw. „kredyt na klik”), nie powinna być domyślnie udostępniana konsumentom” – zaleca UOKiK.
W przypadku złożenia wniosku o udzielenie „kredytu na klik” przez klienta, który tę funkcję aktywował, sugerowane jest, aby dostawca usług płatniczych co do zasady stosował cooling period, czyli tzw. transakcję z opóźnionym zapłonem, albo środek o równoważnym lub wyższym poziomie bezpieczeństwa.
Rola spowolnionych transakcji
Urząd proponuje transakcje z tzw. opóźnionym zapłonem. Taki typ płatności daje klientowi pewien czas między złożeniem zlecenia a jego wykonaniem. Wyłączenie Cooling period byłoby dopuszczalne przy zastosowaniu dodatkowej weryfikacji tożsamości lub uprzednim notyfikowaniu zamiaru dokonania określonej transakcji przez klienta u dostawcy usług płatniczych (dotyczy transakcji, których kwota przekraczałaby określony poziom).
UOKiK zaleca też dostawcom monitorowanie urządzeń, z których następuje próba logowania do aplikacji lub na konto. Jeśli dostawca uzna, że urządzenie pozostaje aktywnie połączone sesją zdalną z jakimkolwiek innym urządzeniem, powinien zablokować dostęp – w szczególności jeśli jego adres IP wskazuje lokalizacje inne niż Polska.
Panic button
Zalecane jest również udostępnienie opcji „Panic buton” po skorzystaniu z której możliwość dokonywania transakcji powinna pozostać zablokowana do czasu odblokowania jej w placówce dostawcy usług płatniczych lub przez z góry określony czas.
Dostawca usług płatniczych powinien przy tym, natychmiast po zgłoszeniu przez konsumenta nieautoryzowanej transakcji płatniczej lub ryzyka jej wystąpienia, zawiesić możliwość dokonywania transakcji płatniczych z rachunku klienta. Blokada powinna dotyczyć wyłącznie możliwości wykonywania transakcji i nie powinna być powiązana z blokadą kanałów komunikacji dostępnych w aplikacji mobilnej lub na koncie klienta dostępnym z poziomu serwisu internetowego.
