Автор: Николай Стоянов, старши правен съветник в Обединена българска банка, част от групата на KBC
Част I
Дигитални портфейли и карти, електронни пари, незабавни преводи (познати още като „blink“) – все термини, които навлязоха светкавично бързо в съвременния дискурс. Под диктата на технологиите регулациите нямаха друг избор, освен да се опитат да наваксат с информационния прогрес. Бумът на картовите и дигиталните разплащания усили и измамните атаки към потребителите. Почти няма лице, което пряко или непряко да не е било обект на опит (без значение успешен или неуспешен) на phishing измама, целяща узнаването на неговите пароли за електронно банкиране и карти.
PSD2 е съкращение, произхождащо от втората директива за платежни услуги (на англ. ез. Payment Services Directive 2) и има същата цел като PSD1, а именно да създаде правна рамка за по-прости, по-бързи и по-сигурни плащания в ЕС.[1] Първата Директива за платежни услуги (PSD1) бе приета през 2007 г. Това законодателство осигури правната основа на единния пазар за плащания в ЕС, за да се предоставят по-безопасни и по-иновативни платежни услуги в ЕС/ЕИП. Целта е трансграничните плащания във валутата на дадена държава членка да станат толкова лесни, ефикасни и сигурни, колкото и „националните“ плащания в рамките на определената държава членка.[2]
I. Задължение за задълбочено установяване на платеца.
Съгласно чл. 26, ал. 5 от Наредба № 3 на БНБ при извършване на платежни операции с платежни карти от разстояние, доставчикът на платежни услуги, издател на картата, предоставя на оправомощения ползвател персонализирани средства за сигурност, които да осигурят изискванията за сигурност на чл. 100 – от Закона за платежните услуги и платежни системи (ЗПУПС). Въз основа на тази разпоредба (чл. 100, ал.1, т. 2 – ЗПУПС), когато платецът инициира електронна платежна операция, доставчиците на платежни услуги са задължени да прилагат задълбочено установяване на идентичността на клиента чрез променливи елементи, свързващи операцията с конкретна сума и получател. При задълбоченото установяване на идентичността на клиента следва да се включва използването на два или повече от долуизброените независими елемента:
- Знание – данни, с които само ползвателят е наясно (например статична парола).
- Притежание – нещо, с което само ползвателят разполага (например push съобщение чрез мобилен телефон през електронно банкиране или изпратена динамична парола, която има определен срок на валидност).
- Характерна особеност – нещо, което е присъщо само на ползвателя и го индивидуализира (например верификация чрез биометрични данни).[3]
Следва да отбележим, че поверителността на данните винаги трябва да е защитена и нарушаването на някои от елементите не може да влияе на надеждността на останалите. Съгласно чл. 100 от ЗПУПС и чл. 5 от Делегиран Регламент 2018/389 доставчиците на платежни услуги са задължени да прилагат задълбочено установяване на идентичността на клиента.
Според становище на Европейския банков орган (ЕБО) 2019/06 за целите на задълбоченото удостоверяване на идентичността на клиента статичната парола способства за осигуряване на елемента „знание“, а еднократният код със SMS, който е валиден за определено време и е съотносим само към конкретната трансакция, осигурява елемента „притежание“. Тук трябва да подчертаем, че този код може да бъде получен единствено и само на мобилен номер, известен на доставчика на платежни услуги.
Интересен казус са т.нар. „дигитални портфейли“. Освен че могат да съхраняват платежни данни, дигиталните портфейли са в състояние да се свързват с традиционните банкови сметки и да съхраняват информация за потребителските кредитни и дебитни карти. Правата и задълженията на доставчика на платежни услуги и картодържателя, по отношение на добавянето и използването на издаваните от доставчика платежни дебитни и кредитни карти в мобилни приложения на трети страни (например „Apple Pay“ и „Google Pay“), се уреждат от общите условия на самия доставчик. Най-често срещани хипотези са картата да може да бъде регистрирана чрез въвеждане на нейните данни пряко – посредством приложението или чрез достъпване на функционалността за регистрация с помощта на апликацията на доставчика (напр. банково мобилно приложение). Доставчикът прилага задълбочено установяваване на идентичността на клиента, като допуска дигитализиране на картата му посредством изпращането на код, известен само на него и който следва да се използва единствено за дигитализация на конкретната карта.
Европейският законодател изброява изрично и случаи, в които не е задължително да се прилага задълбочено установяване на идентичността. Тези хипотези са уредени детайлно в разпоредбите на членове 10 – 20 от Делегиран Регламент (ЕС) 2018/389. Обичайно такива ситуации могат да бъдат, когато: клиентът иска да провери салдото на своята платежна сметка, индивидуалната стойност на трансакцията му не надвишава 50 EUR, броят на последователните транскации не надвишава 5, бенефициерът е категоризиран от наредителя като „доверен“, операциите са повтарящи се или с ниска стойност, както и други по-рядко срещани обстоятелства.
- II. Географско ограничение за прилагане на задълбочане установяване на идентичността или „с двата крака вътре“, или „с един навън“.
PSD2 се прилага за платежни трансакции, при които както издателят, така и придобиващият се намират в рамките на Европейското икономическо пространство (т.нар. трансакции „с двата крака вътре“). Местоположението на картодържателя и търговеца не е от значение. Това е така, защото само местоположението на доставчика на платежни услуги на платеца и на доставчика на платежни услуги на получателя е от важност за определяне дали трансакцията е предмет на изискванията на PSD2.[4] Според ЕБО местоположението на търговеца може да се вземе предвид само ако издателят технически не може да определи местоположението на приобретателя.[5]
За платежни трансакции, при които има повече от един доставчик, ако един от тях се намира в рамките на Съюза, задълбоченото установяване на идентичността трябва да се прилага в съответствие с член 97 – PSD2 и Делегиран регламент (ЕС) 2018/389 към тези части на трансакциите, които се извършват в рамките на Съюза.
В случай на картови плащания, при които доставчикът на получателя се намира извън ЕС (т.нар. „трансакция с един крак навън“), приемащата страна не следва да се подчинява на регулациите на PSD2. Когато платецът желае да извърши плащане с карта в онлайн среда на търговец, чийто придобиващ се намира извън Съюза и издателят не може технически да осигури използването на ЗУИ, издателят прави собствена преценка дали да блокира плащането или потенциално да подлежи на изискванията за отговорност съгласно член 73 – PSD2 (транспониран в чл. 80 – ЗПУПС) по отношение на платеца, в случай че плащането е неразрешено.[6]
III. Неразрешени платежни операции чрез картови инструменти.
Един от основните постулати на директивата, транспониран и в Закона за платежните услуги и платежните системи е, че в случай на неразрешени платежни операции, доставчикът на платежни услуги трябва да възстанови на клиента сумата от специфичната платежна операция до края на следващия работен ден, след като е бил уведомен за операцията. Той трябва да възстанови сметката на платеца в първоначалното ѝ състояние. Доказателствената тежест, че платежната операция е надлежно удостоверена, записана и не е засегната от техническа повреда, е на доставчика, а не на клиента.[7]
Разпоредбата на чл. 73 от PSD2 е транспонирана в чл. 79, ал. 1 от българския Закон за платежните услуги и платежните системи. Правилото за възстановяване на сумата до следващия работен ден следва да бъде включено в общите условия на всички доставчици на платежни услуги. Като единствено изключение от това общо правило е във връзка със случаите, когато доставчикът на платежни услуги има основателни съмнения за измама и е информирал съответните компетентни органи за това.[8] Тоест, само когато доставчикът има основателни съмнения, че клиентът е недобросъвестен и всъщност се опитва да осъществи измама, може да не спази законоустановения срок.
Доставчиците на платежни услуги следва да имат ясни процедури относно спазването на тази разпоредба, които да гарантират съответствие с изискванията на действащото законодателство (PSD2), както и с правилата на международните картови организации – VISA и MasterCard.[9]
В случай на оспорване на операция от страна на картодържател например, той следва да се идентифицира (виртуално/физически) пред доставчика, за да може да бъде установена неговата самоличност. При оспорване на операции с карти, издадени към платежна сметка, картодържателят трябва да е титулярят на сметката, към която е издадена платежната карта.[10]
Доставчикът на платежни услуги е длъжен да съдейства на картодържателя за изясняване на сумите, като му предостави данни за оспорваната трансакция, съдържащи се в извлечението от сметката (данните трябва да съдържат информация за датата на картовата трансакция, името на търговеца/АТМ, адреса/държавата и точната сума и валутата на плащането/тегленето).[11]
Той е длъжен да запознае картодържателя с условията съгласно тарифата и общите условия за платежни услуги на организацията, с максималния срок за подаване на спор пред VISA или Mastercard, както и със сроковете, в които доставчикът трябва да информира картодържателя за предприетите действия и становището си по спора. Общият срок за отговор на жалби, уреден в ЗПУПС, е 15 работни дни, но по независещи от доставчика причини, максималният срок може да бъде удължен до 35 работни дни от получаването на жалбата.[12]
Наложена от Комисията за защита на потребителя практика е при твърдение за неразрешено използване на картата доставчикът да трябва да информира картодържателя, че може да подаде сигнал до компетентните разследващи органи (полиция, прокуратура и др.) за проверка и разследване на евентуално престъпление.
В случаите, когато картодържателят поддържа твърдението си за спорна трансакция, доставчикът на платежни услуги трябва да предостави на картодържателя формуляр за жалба за попълване и представяне на детайли на картовата трансакция.
Ако картодържателят твърди, че трансакциите с картата не са изпълнени от него, се извършват разследващи действия, като анализът включва не само трансакцията/те предмет на спора, но и цялостното използване на картата от картодържателя.
Когато оспорените трансакции са на територията на Република България, доставчикът на платежни услуги, при необходимост, може да изпрати информация по електронна поща до други банки в страната за проверка, искане за обмен на информация за подобни случаи и евентуално откриване на споделена слабост в техните защити. Такъв тип послание обаче следва да бъде анонимизирано и съобразено с нормативната уредба за защита на личните данни на клиентите, замесени в дадения казус, за да няма налице злоупотреба и превишаване на правомощия.
Фактическото иницииране на спорна трансакция с банката на търговеца (т.нар. на англ. ез. „Dispute/Chargeback“) се извършва след задълбочен анализ на основателността на рекламацията от страна на картодържателя и е необходимо да е в съответствие с правилата и изискванията на МКО, PSD2 и съответния код за спорния процес.[13]
Ако правилата и разпоредбите на МКО не позволяват на доставчика на платежни услуги да инициира спор/иск към отсрещната страна, се изпраща само искане за представяне на документи. Съгласно критериите на VISA и MasterCard, които се прилагат спрямо всички доставчици на платежни услуги, не може да се оспорва трансакция, която е протекла при коректно въвеждане на 3D Secure код към търговец. 3D Secure е система за подобряване на сигурността на онлайн трансакциите и насърчаване на растежа на плащанията в електронната търговия. Целта е да се направи онлайн пазаруването по-безопасно и подобряващо доверието на клиентите при пазаруване в интернет. Ако такива трансакции са протекли при коректно въвеждане, те не могат да бъдат оспорени и съответно стойността им да бъде възстановена за сметка на търговеца – получател на плащането. В тези случаи се смята, че платецът се е идентифицирал правилно чрез осигурените му от издателя на картата персонализирани средства за сигурност, служещи за потвърждаване на самоличността му, които той следва да не предоставя на трети лица.
При установяване на разумни и категорични индикации, потвърждаващи твърдението на картодържателя за неоторизирано използване на платежния инструмент, сумите по оспорените трансакции се възстановяват по сметката на картодържателя в законоустановения срок по чл. 79, ал. 1 от ЗПУПС.
IV. Неразрешени платежни операции чрез електронни канали.
При регистриране на сигнал за неоторизирани трансакции през електронните канали доставчикът на платежни услуги следва да предприеме посочените действия:
1) Идентифициране на клиентите и блокиране на сметките към дигиталните канали (онлайн и мобилно банкиране);
2) Да инструктира клиентите какви действия да предприемат, за да сменят съответните си пароли;
3) На клиента трябва да се предостави стандартен формуляр за оспорване на изходящ паричен превод;
4) Да насочи клиента да подаде сигнал към разследващите органи.
При получаване на сигнал за неразрешен достъп и/или неразрешени трансакции доставчикът следва да блокира сметката на клиента в онлайн банкирането и в случай на установяване на злонамерени действия от страна на трети лица да включи компрометираните устройства/сървъри/мрежи в забранителните списъци за достъп до своите системи за сигурност, както и да изготви сигнал до Държавна агенция „Национална сигурност“[14] във връзка с установените факти. В случай на идентифициране на фишинг сайтове и при получаване на уведомления от системите за сигурност на доставчика на платежни услуги следва да се изпрати запитване към обслужващото сайта лице (доставчик на хостинг услуга) с молба за сваляне на уеб страницата.
Понасяне на отговорност до 50 EUR.
В ситуация на неразрешени платежни операции платецът може да бъде задължен да поеме загубите в размер до 50 EUR, ако е налице изгубен или откраднат платежен инструмент, или незаконно присвояване. Този лимит не се прилага, ако платецът е действал с измама или по небрежност (например не е съобщил за открадната карта). Вътрешните процедури следва да бъдат разработени така, че да се постигне този резултат. От друга страна, ако не е приложено задълбочено установяване на идентичността, тогава доставчикът трябва да понесе всички загуби, освен ако платецът не е действал с измама.[15]
В хипотезите на неразрешени платежни операции, причинени от клиента чрез измама или неизпълнение на задълженията му да пази персонализираните от него защитни характеристики на своя платежен инструмент (статични/динамични пароли) и задълженията му да не извършва злоумишлени действия или да проявява пълна небрежност, вредата, в тези ситуации, винаги се понася от клиента, независимо от нейния размер.
******************
Източници:
[1] Вж. POLASIKA, Michał, Huterskaa, Rehan Iftikharb, Agnieszka, Mikulac, Štěpán, „The impact of Payment Services Directive 2 on the PayTech sector development in Europe“, 11 July 2020;
[2] Вж. RANK, Pim and Tomé, Matheus, „PSD2 and the safeguarding of clients’ funds: a comparative analysis with respect to funds of payment service users in the Netherlands and Brazil“, публикувано в „Butterworths Journal of International Banking and Financial Law“, стр. 620, October 2020;
[3] Вж. KUMAR PAUL, Pongku, „Strong Customer Authentication: Security Issues and Solution Evaluation“, стр. 13, May 2020;
[4] Вж. разпоредбата на чл. 2 от ДИРЕКТИВА (ЕС) 2015/2366 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 25 ноември 2015 година за платежните услуги във вътрешния пазар, за изменение на директиви 2002/65/ЕО, 2009/110/ЕО и 2013/36/ЕС и Регламент (ЕС) № 1093/2010 и за отмяна на Директива 2007/64/ЕО;
[5] Вж. Становище на ЕБО 2018_4030;
[6] Вж. Становище на ЕБО 2018_4233;
[7] Вж. чл. 72-73 от ДИРЕКТИВА (ЕС) 2015/2366 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 25 ноември 2015 година за платежните услуги във вътрешния пазар, за изменение на директиви 2002/65/ЕО, 2009/110/ЕО и 2013/36/ЕС и Регламент (ЕС) № 1093/2010 и за отмяна на Директива 2007/64/ЕО;
[8] Вж. разпоредбата на чл. 79, ал. 1 от Закона за платежните услуги и платежните системи;
[9] Вж. Managing Online Disputes. In: Pro PayPal E-Commerce, 2007, Apress. https://doi.org/10.1007/978-1-4302-0353-7_9;
[10] MACINNES, Ian, „Understanding Disputes In Online Auctions“ (2004). BLED 2004 Proceedings. 51.
http://aisel.aisnet.org/bled2004/51;
[11] Вж. BOTTONI, Andrea, Dini, Gianluca, „Improving authentication of remote card transactions with mobile personal trusted devices“, 2007, https://doi.org/10.1016/j.comcom.2007.02.006;
[12] Вж. разпоредбите на чл. 173, ал. 3 и 4 от Закона за платежните услуги и платежните системи;
[13] MACINNES, Ian, „Understanding Disputes In Online Auctions“ (2004). BLED 2004 Proceedings. 51.
http://aisel.aisnet.org/bled2004/51;
[14] Вж. разпоредбата на чл. 4, ал. 1, т. 10 от Закон за Държавна агенция „Национална сигурност“;
[15] Вж. разпоредбата на чл. 74 от ДИРЕКТИВА (ЕС) 2015/2366 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 25 ноември 2015 година за платежните услуги във вътрешния пазар, за изменение на директиви 2002/65/ЕО, 2009/110/ЕО и 2013/36/ЕС и Регламент (ЕС) № 1093/2010 и за отмяна на Директива 2007/64/ЕО;