Apelujemy do bankowców: pozwólcie klientom, którzy sobie tego zażyczą, dezaktywować oferty typu „pożyczka na klik” dostępne w bankowości elektronicznej. W razie włamania na konto cyberprzestępcy mogą bowiem ukraść nie tylko oszczędności klienta, ale też na jego konto zaciągnąć pożyczkę
Zabezpieczenia bankowych systemów są lepsze niż jeszcze kilka lat temu. Mam na myśli np. unijną dyrektywę PSD2, która nakłada m.in. na banki kilkuetapowy proces logowania się do bankowości elektronicznej i autoryzowania transakcji. Nie wystarczy dziś znać loginu i hasła, żeby wejść na konto bankowe i wyprowadzić pieniądze. Jeśli chcemy wysłać przelew, zwykle tę transakcję musimy autoryzować w bankowości mobilnej lub (mniej bezpiecznym) kodem przesłanym przez bank SMS-em.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ale złodzieje i na to mają sposoby – socjotechnikę. Podstawiają fałszywe strony bankowe, potrafią przejąć kontrolę nad telefonem, a odpowiednio zmanipulowana osoba jest w stanie podać przestępcom na tacy wszystkie informacje potrzebne nie tylko do zalogowania się na konto, ale też do wyprowadzenia z niego pieniędzy.
Rosnąca popularność bankowości elektronicznej to raj dla cyberprzestępców. Co chwilę opisujemy na „Subiektywnie o Finansach” historie czytelników, którzy padli ich ofiarami.
Pożyczka na klik okazją dla złodzieja
Nie będę wchodził w anatomię cyberataków. Więcej na ten temat przeczytacie m.in. w tych artykułach:
- Klikasz w podesłany przez nieznajomego link i… tracisz wszystkie pieniądze z konta. Banki spychają z siebie 100% odpowiedzialności. Czy to fair?
- Zmieniasz kartę SIM? Bank może zablokować ci konto. Tak na wszelki wypadek. Jak skutecznie walczyć z kradzieżami pieniędzy z wykorzystaniem duplikatów kart SIM?
- Z powodu pandemii (ale nie tylko) staliśmy się bardziej aktywni w internecie. I kusimy cyberprzestępców. Jak technologie i my sami możemy się przed nimi chronić?
Chciałbym zwrócić uwagę na inny problem, który podczas ataku oszustów na nasze konto może wywołać jeszcze większe finansowe spustoszenia. Chodzi o tzw. kredyty na klik oferowane przez banki od ładnych paru lat.
Bank, w którym mamy konto, dość dobrze zna naszą sytuację finansową. Widzi wpływy na rachunek i wydatki. Na tej podstawie może przygotować ofertę pożyczki. Nie trzeba składać wniosku o kredyt i dostarczać zaświadczeń o zatrudnieniu i zarobkach. Pożyczka „leży na półce” i czeka aż po nią sięgniemy. A żeby z niej skorzystać, wystarczy kilka razy kliknąć, stąd też nazwa tych pożyczek. To spryty trik marketingowy banków. Ktoś, kto nie potrzebuje kredytu, ale zobaczy jak łatwo sięgnąć po pieniądze, może dać się skusić.
Niebezpiecznie robi się wtedy, kiedy oszuści sforsują zabezpieczenia bankowości elektronicznej. Mogą bowiem nie tylko wyczyścić konto osobiste, oszczędnościowe, zerwać lokaty terminowe i wytransferować wszystkie środki. Jeśli w bankowości elektronicznej czeka na klienta przygotowana pożyczka „na klik”, złodzieje mogą ją również uruchomić. W efekcie klient straci nie tylko swoje oszczędności, ale również pochodzące z szybkiej pożyczki.
Przeczytaj też: Zastrzeżenie kredytowe, czyli wystarczy jedno kliknięcie i nikt nie wyłudzi kredytu na twoje nazwisko. Dlaczego banki nie lubią tej usługi?
Wyłączenie pożyczki na klik. Banki: nie da się
O pożyczkach na klik rozmawiałem niedawno ze znajomym, który w kilku bankach poprosił o wyłączenie takiej opcji. Nie zamierzał się zadłużać, a więc taka oferta nie była mu potrzebna, a dodatkowo rodziła opisane wyżej zagrożenia – w razie „włamu” na konto, strata mogłoby być podwójnie bolesna.
Co usłyszał? Bankowcy tłumaczyli, że to niemożliwe, bo pożyczka na klik jest integralną częścią systemu bankowości elektronicznej. W tej sprawie napisał też do nas czytelnik:
„Te pożyczki na klik to szczyt bezczelności banków. Próbowałem kiedyś z tym walczyć. Skoro nie daję zgody marketingowej, to dlaczego po zalogowaniu pojawia się reklama pożyczki? Poddałem się, konsultant z rozbrajającą szczerością przyznał, że aplikacja rządzi się swoimi prawami i nie da się tego wycofać, nie da się zablokować pożyczek na klik w aplikacji. Mimo iż składam taką dyspozycję i mimo że to ewidentnie komunikat marketingowy”.
Poważne zastrzeżenia do braku możliwości wyłączenia pożyczki na klik ma też Rzecznik Finansowy. W 2019 r. opublikował raport na temat rosnącego zagrożenia cyberatakami na klientów banków, w którym zwracał uwagę na ryzyko związane z pożyczkami na klik.
„Rzecznik Finansowy obserwuje też przypadki, w których ofiara oszustwa nie tylko traci pieniądze zgromadzone na koncie, ale też w jej imieniu zaciągany jest kredyt. Dodatkowo w takich sytuacjach część banków nie wstrzymuje się z żądaniem spłaty kolejnych rat kredytu, przynajmniej do czasu wyjaśnienia sprawy. Niestety, uproszczona procedura przyznania kredytu (nazywana często marketingowo „na klik”) powoduje, że przestępcy po przejęciu kontroli nad dostępem do konta ofiary wykorzystują wszelkie dostępne możliwości pozyskania finasowania”
– czytamy w raporcie, w którym Rzecznik Finansowy zaapelował do banków o wprowadzenie dodatkowych zabezpieczeń, które uniemożliwiłyby taki proceder. Rzecznik Finansowy właśnie przypomniał, że problem nieautoryzowanych transakcji z wykorzystaniem przez oszustów środków z pożyczek się nawarstwia.
„Tylko w pierwszej połowie 2021 r. przyjęliśmy ok. 700 zgłoszeń dotyczących nieautoryzowanych transakcji. To niewiele, biorąc pod uwagę skalę zjawiska. Do Rzecznika Finansowego trafiają jednak głównie sprawy najpoważniejsze, związane z dużymi kwotami i zaciągnięciem wieloletnich, wysokich zobowiązań kredytowych”
– mówi Mariusz Golecki, Rzecznik Finansowy. W najnowszym komunikacie RF opisuje m.in. historię seniora, który stracił 160 000 zł:
„Po wypłaceniu wszystkich oszczędności zgromadzonych na rachunku w skutek nieautoryzowanych transakcji, przestępcy doprowadzili bank do wypłaty kwot dwóch pożyczek tytułem rzekomych umów zawartych przez system bankowości internetowej. Klient twierdzi, że nie składał wniosku o żadną pożyczkę ani nie podejmował czynności prowadzących do zawarcia umowy pożyczki lub autoryzacji transakcji. Klient złożył również reklamację w banku, oczekując zwrotu utraconych środków oraz odstąpienia przez bank od roszczeń związanych z rzekomo zawartymi umowami pożyczki. Mimo upływu kilku miesięcy, klient nie otrzymał zwrotu utraconych środków, a bank nie uznał umów pożyczki za nieistniejące.”
Pożyczka na klik. Sprawa dla KNF i UOKiK?
Wygląda jednak na to, że banki problemu nie widzą i nie posłuchały apelu Rzecznika Finansowego. A rozwiązanie problemu, czyli de facto zwiększenie bezpieczeństwa klientów banków, wydaje się banalnie proste. Każdy klient powinien móc zdecydować, czy chce otrzymywać ofertę pożyczki na klik w bankowości elektronicznej. Jeśli nie, bank powinien mu tę funkcję wyłączyć. Nie wierzę, że z informatycznego punktu widzenia nie da się tego zrobić. Da się, tylko trzeba chcieć.
Wspomniany przed chwilą czytelnik przypomina, że podobnie bankowcy mówili – a więc „że się nie da” – kiedy rozpowszechniały się w Polsce płatności zbliżeniowe. Nie każdy chciał płacić kartą bez podawania kodu PIN, ale banki nie pozwalały wyłączyć tej usługi. Dopiero presja dziennikarzy, a w pewnym momencie również Komisji Nadzoru Finansowego, sprawiła, że banki zmieniły procedury. Dziś bez problemu wyłączymy funkcję zbliżeniową – całkowicie lub poprzez odpowiednie ustawienie limitów transakcyjnych (trzeba ustawić limit płatności zbliżeniowych na zero).
Okazuje się, że jest „chałupniczy” sposób na to, by nie otrzymywać ofert pożyczek na klik. Jedna z naszych czytelniczek opowiada, że w przeszłości chciała zaciągnąć pożyczkę w Alior Banku. Była nawet trochę zła na bank, że w ogóle nie wysyła jej pożyczkowych promocji. Okazało się, że powodem braku reklam był fakt, że czytelniczka w przeszłości wycofała zgody marketingowe (lub nigdy ich nie wydała). Alior Bank potwierdza, że przy braku zgód marketingowych pożyczka na klik się nie wyświetli.
„Warunkiem niezbędnym do wystawienia pożyczki na klik lub innej oferty pre-approved w Alior Banku jest posiadanie aktywnej zgody marketingowej. Jeśli klient wycofa taką zgodę, nie pojawią się one w systemie”
– wyjaśnia Paweł Kapias, dyrektor działu kredytów niezabezpieczonych w Alior Banku. Zapewne podobnie działa to w innych bankach. Problem w tym, że raczej nie można wycofać zgody tylko na produkty kredytowe. Jeśli wycofamy zgodę, to od razu na wszystkie produkty bankowe. Poza tym zgoda marketingowa często bywa przepustką do usług oferowanych na lepszych warunkach, np. do wyżej oprocentowanej lokaty.
Nie chodzi o to, by zakazać bankom oferowania pożyczek na klik. Zapewne części klientom to nie przeszkadza i chwalą sobie szybką procedurę kredytową. Ale ci, którzy nie chcą korzystać z produktów oferowanych w takiej formie, powinni móc je wyłączyć, bez konieczności wycofania zgody marketingowej. Czy banki zrobią to z własnej woli? Wątpię. Dlatego liczę, że czytają nas ludzie z Komisji Nadzoru Finansowego i Urzędu Ochrony Konkurencji i Konsumentów. Może ich „apel” bankowcy wezmą sobie do serca?
