ABE precizează că tehnicile frauduloase au fost adaptate la contextul tehnologic contemporan și la gradul actual de reglementare. Cu toate că autentificarea strictă a clienților a contribuit cu succes la prevenirea fraudelor bazate pe furtul datelor de autentificare, noi forme (mai complexe) au apărut sau au devenit mai răspândite în ultimii ani.
În demersul său de a veni cu reglementări concrete care să elimine pe cât posibil interpretabilul, ABE propune anumite măsuri suplimentare pentru a asigura o prevenire mai eficientă a fraudelor, precum și revizuirea regulilor privind răspunderea.
1. Noi cerințe care să ajute la o mai bună prevenire a fraudelor:
- obligația prestatorilor de servicii de a efectua monitorizarea tranzacțiilor, în timp real, înainte de a executa operațiunile de plată;
- cerințe de securitate pentru prestatorii de servicii de plată vizând consolidarea procedurii de autentificare a tranzacțiilor, atenuarea vulnerabilităților exploatate în alte faze ale procesului de plată, precum și oferirea de suport în detectarea și investigarea fraudelor;
- un cadru de gestionare a riscului de fraude care să fie pus în aplicare de către prestatorii de servicii de plată, pe lângă cerințele obligatorii de securitate;
- modificarea regulilor privind răspunderea, inclusiv o delimitare adecvată între tranzacțiile autorizate și tranzacțiile neautorizate, precum și clarificarea conceptului de „gravă neglijență";
- supraveghere consolidată și armonizată a gestionării cazurilor de fraudă;
- crearea unei platforme unice de transmitere de informații la nivelul UE pentru a preveni și detecta tranzacțiile de plată potențial frauduloase.
2.1. Clarificarea delimitării dintre tranzacțiile autorizate și cele neautorizate:
- să se prevadă că, în cazul în care un plătitor neagă că a autorizat o tranzacție, utilizarea autentificării stricte nu ar trebui să fie în sine suficientă nici pentru a dovedi că tranzacția a fost autorizată de plătitor și nici că plătitorul a acționat în mod fraudulos;
- să se specifice că, în cazul tranzacțiilor inițiate de plătitor, o tranzacție nerecunoscută de plătitor nu poate fi considerată autorizată în cazul în care ordinul de plată a fost inițiat de un fraudator, chiar dacă a fost ulterior autentificată de prestatorul de servicii de plată;
- să se precizeze că o tranzacție nerecunoscută de plătitor nu poate fi considerată ca fiind autorizată în cazul în care plătitorul nu a fost informat despre o nepotrivire între IBAN și numele beneficiarului, inclusiv, de exemplu, pentru că fraudatorul a interceptat notificarea transmisă de prestatorul de servicii de plată plătitorului.
- să se clarifice că, în cazul în care un utilizator de servicii de plată este victima unor acțiuni de inginerie socială, pentru a evalua dacă acesta a acționat cu gravă neglijență, ar trebui să se țină seama de toți factorii relevanți, inclusiv, dar fără a se limita la complexitatea fraudei, circumstanțele personale ale utilizatorului, dacă acesta avea motive rezonabile să creadă că face o plată către un beneficiar legitim și dacă prestatorul de servicii de plată ar fi putut să ia măsuri suplimentare pentru a ajuta la prevenirea producerii fraudei;
- includerea unei liste neexhaustive de circumstanțe relevante pentru evaluarea neglijenței grave, cum ar fi:
a) utilizatorul serviciilor de plată a efectuat o plată către un fraudator fără a avea niciun motiv rezonabil pentru a considera că acesta este beneficiarul legitim;
b) comportamentul utilizatorului a făcut ca datele sale personale de securitate, inclusiv dispozitivele sau elementele utilizate pentru al doilea factor de autentificare, să fie ușor accesibile fraudatorilor;
c) utilizatorul a fost anterior victima aceluiași tip de fraudă și modus operandi;
d) utilizatorul a ignorat avertismentele referitoare la tipul specific de fraudă, adresată recent de prestatorul de servicii de plată;
e) utilizatorul nu a notificat în timp util frauda către prestatorul de servicii de plată după ce a luat cunoștință de aceasta.
- nu și-au îndeplinit obligațiile de a furniza clientului asistență în ceea ce privește securitatea în raport cu frauda experimentată;
- fraudatorul a accesat informațiile personale sau de cont ale utilizatorului ca urmare a unei încălcări referitoare la datele prestatorului de servicii de plată.