Inteligența artificială în servicii profesionale: prieten sau dușman?

Intr-o lume tot mai conectată digital, fraudele legate de serviciile de plată sunt o preocupare majoră atât pentru instituții de plată/ bănci, cât și pentru autoritățile cu putere de reglementare.

În contextul procesului de adoptare a unui nou cadru legal la nivelul UE cu privire la serviciile de plată, Autoritatea Bancară Europeană (ABE) a publicat, în data de 29 aprilie 2024, o opinie privind noile tipuri de fraude legate de serviciile de plată și posibile măsuri de prevenire a acestora.

ABE precizează că tehnicile frauduloase au fost adaptate la contextul tehnologic contemporan și la gradul actual de reglementare. Cu toate că autentificarea strictă a clienților a contribuit cu succes la prevenirea fraudelor bazate pe furtul datelor de autentificare, noi forme (mai complexe) au apărut sau au devenit mai răspândite în ultimii ani.

În demersul său de a veni cu reglementări concrete care să elimine pe cât posibil interpretabilul, ABE propune anumite măsuri suplimentare pentru a asigura o prevenire mai eficientă a fraudelor, precum și revizuirea regulilor privind răspunderea.

1. Noi cerințe care să ajute la o mai bună prevenire a fraudelor

• Obligația prestatorilor de servicii de a efectua monitorizarea tranzacțiilor, în timp real, înainte de a executa operațiunile de plată;
• Cerințe de securitate pentru prestatorii de servicii de plată vizând consolidarea procedurii de autentificare a tranzacțiilor, atenuarea vulnerabilităților exploatate în alte faze ale procesului de plată, precum și oferirea de suport în detectarea și investigarea fraudelor;
• Un cadru de gestionare a riscului de fraude care să fie pus în aplicare de către prestatorii de servicii de plată, pe lângă cerințele obligatorii de securitate;
• Modificarea regulilor privind răspunderea, inclusiv o delimitare adecvată între tranzacțiile autorizate și tranzacțiile neautorizate, precum și clarificarea conceptului de „gravă neglijență";
• Supraveghere consolidată și armonizată a gestionării cazurilor de fraudă;
• Crearea unei platforme unice de transmitere de informații la nivelul UE pentru a preveni și detecta tranzacțiile de plată potențial frauduloase.

1. Reguli mai clare pentru stabilirea răspunderii

2.1.  Clarificarea delimitării dintre tranzacțiile autorizate și cele neautorizate:

• Să se prevadă că, în cazul în care un plătitor neagă că a autorizat o tranzacție, utilizarea autentificării stricte nu ar trebui să fie în sine suficientă nici pentru a dovedi că tranzacția a fost autorizată de plătitor și nici că plătitorul a acționat în mod fraudulos;
• Să se specifice că, în cazul tranzacțiilor inițiate de plătitor, o tranzacție nerecunoscută de plătitor nu poate fi considerată autorizată în cazul în care ordinul de plată a fost inițiat de un fraudator, chiar dacă a fost ulterior autentificată de prestatorul de servicii de plată;
• Să se precizeze că o tranzacție nerecunoscută de plătitor nu poate fi considerată ca fiind autorizată în cazul în care plătitorul nu a fost informat despre o nepotrivire între IBAN și numele beneficiarului, inclusiv, de exemplu, pentru că fraudatorul a interceptat notificarea transmisă de prestatorul de servicii de plată plătitorului.

2.2. Clarificarea conceptului de „gravă neglijență”:

• Să se clarifice că, în cazul în care un utilizator de servicii de plată este victima unor acțiuni de inginerie socială, pentru a evalua dacă acesta a acționat cu gravă neglijență, ar trebui să se țină seama de toți factorii relevanți, inclusiv, dar fără a se limita la complexitatea fraudei, circumstanțele personale ale utilizatorului, dacă acesta avea motive rezonabile să creadă că face o plată către un beneficiar legitim și dacă prestatorul de servicii de plată ar fi putut să ia măsuri suplimentare pentru a ajuta la prevenirea producerii fraudei;
• Includerea unei liste neexhaustive de circumstanțe relevante pentru evaluarea neglijenței grave, cum ar fi:

a)     utilizatorul serviciilor de plată a efectuat o plată către un fraudator fără a avea niciun motiv rezonabil pentru a considera că acesta este beneficiarul legitim;

b)     comportamentul utilizatorului a făcut ca datele sale personale de securitate, inclusiv dispozitivele sau elementele utilizate pentru al doilea factor de autentificare, să fie ușor accesibile fraudatorilor;

c)     utilizatorul a fost anterior victima aceluiași tip de fraudă și modus operandi;

d)     utilizatorul a ignorat avertismentele referitoare la tipul specific de fraudă, adresată recent de prestatorul de servicii de plată;

e)     utilizatorul nu a notificat în timp util frauda către prestatorul de servicii de plată după ce a luat cunoștință de aceasta.

2.3. Stabilirea răspunderii prestatorilor pentru fraudă și atunci când:

• Nu și-au îndeplinit obligațiile de a furniza clientului asistență în ceea ce privește securitatea în raport cu frauda experimentată;
• Fraudatorul a accesat informațiile personale sau de cont ale utilizatorului ca urmare a unei încălcări referitoare la datele prestatorului de servicii de plată.

Viziunea exprimată de ABE poate fi considerată extrem de împovărătoare pentru furnizorii de servicii de plată, aceasta implicând resurse importante atât din perspectiva tehnologiilor utilizate, precum și prin prisma costurilor antrenate. În concluzie, se anticipează că o astfel de poziție fermă și bine definită din partea Autorității Bancare Europene va conduce la transformări paradigmatice semnificative în noul cadru legislativ propus pentru adoptare în sectorul serviciilor de plată la nivelul Uniunii Europene.