Noti Tekniċi
Mudell għall-allokazzjoni ta’ responsabbiltà bejn Fornituri ta’ Servizzi ta’ Pagament (PSP) u Utenti tas-Servizzi ta’ Pagament (PSU) f’każ ta’ scams ta’ pagamenti frawdolenti
Fid-dawl taż-żieda riċenti f’ilmenti dwar forom varji ta’ pagamenti frawdolenti li rċieva l-Uffiċċju tal-Arbitru għas-Servizzi Finanzjarji, bħal scams ta’ smishing u spoofing, l-Uffiċċju jemmen li jkun għaqli li huwa jipprovdi ċarezza fuq kif se tinqasam ir-responsabbiltà bejn Fornituri ta’ Servizzi ta’ Pagament (PSP, jew il-banek) u Utenti tas-Servizzi ta’ Pagament (PSU, jew il-klienti tal-banek) f’dawn il-każijiet sfortunati.
F'din il-paġna ser issib spjegat qafas ta' kriterji u piżijiet li se jintużaw sabiex jiġi ddeterminat jekk negliġenza grossolana tal-PSU tistax tkun ippruvata mill-PSP, ħaġa li hija meħtieġa biex jiġi miċħud rimbors sħiħ taħt id-Direttiva dwar is-Servizzi ta’ Pagament (PSD2). L-għan hu li jiġu żgurati l-ġustizzja, il-konsistenza, it-trasparenza, u l-oġġettività għall-partijiet kollha involuti fil-proċess tal-ilmenti. Inħeġġu lil PSP jistudjaw dan il-qafas b’attenzjoni, għaliex sejjer isawwar id-deċiżjonijiet tal-Arbitru fuq il-varji kawżi ta’ scams frawdolenti li jkomplu jinqalgħu.
Allokazzjoni ta’ responsabbiltà ġusta u bbażata fuq l-evidenza hija fl-interess ta’ kulħadd. Fil-fatt, inħeġġu lill-PSP jaddottaw dan il-mudell mhux biss għal ilmenti preżenti u oħrajn futuri li jirċievu, imma li jerġgħu jikkunsidraw każijiet li dawn il-PSP iltaqgħu magħhom direttament almenu minn ftit xhur ilu ‘l hawn. Huwa rakkomandat li l-mudell jiġi applikat ukoll għal dawk il-klienti tal-PSP li ma jkunux ilmentaw formalment mal-bank imma l-bank huwa konxju, jew messu kien konxju, li l-klijent tiegħu aktarx li sofra detriment finanzjarju minħabba l-iscam. Kull PSP għandu japplika dan il-qafas b’mod proattiv u jevalwa mill-ġdid kwalunkwe offerti magħmula preċedentement ħalli jwaqqaf l-iskalar bla bżonn ta’ ilmenti u jibni bonavolontà permezz ta’ rimborsi raġjonevoli fejn ġustifikat.
Fl-aħħar qed nagħmlu numru ta’ rakkomandazzjonijiet li l-PSP huma mħeġġa li jaddottaw biex itejbu l-protezzjoni tal-konsumatur u l-fiduċja fejn jintużaw servizzi ta’ pagament offruti mis-settur bankarju lokali.
Xi termini importanti
PSP jew Fornitur ta’ Servizzi ta’ Pagament: Dan jista’ jkun bank jew istituzzjoni finanzjarja oħra li toffri servizzi ta’ pagament lil klienti. Dan id-dokument japplika għal dawk il-fornituri ta’ servizzi kollha li huma liċenzjati mill-Awtorità għas-Servizzi Finanzjarji f’Malta (MFSA), ir-regolatur finanzjarju f’Malta.
PSU jew Utent ta’ Servizzi ta’ Pagament: Dan jirreferi għal kwalunkwe klijent li jirċievi servizzi ta’ pagament minn PSP.
PSD2 jew id-Direttiva dwar is-Servizzi ta’ Pagament: Direttiva (UE) 2015/2366 dwar is-servizzi ta’ pagament fis-suq intern. Din id-Direttiva hija komunement imsejħa ‘PSD2’ il-għaliex issegwi direttiva oħra maħruġa mill-UE fuq l-istess suġġett.
Introduzzjoni
PSD2 hija ntiża biex tissalvagwardja l-PSU mir-responsabbiltà għal pagamenti li ma jkunux awtorizzati kif suppost.
PSD2 ġiet trasposta fil-Liġi Maltija u addottata mir-Regolatur ta’ Pagamenti, il-Bank Ċentrali ta’ Malta, permezz ta’ Direttiva Nru. 1 – IL-FORNIMENT U UŻU TA’ SERVIZZI TA’ PAGAMENT ref CBM 01/2018 li tgħid li “Din id-Direttiva hija mmudellata fuq ir-rekwiżiti tal-Direttiva (UE) 2015/2366”.
Il-Preambolu 72 tal-PSD2 huwa ta’ relevanza partikolari fl-istudju tal-allokazjoni ta’ responsabbilitá għal scams ta’ pagamenti frawdolenti li ma jkunux awtorizzati bejn il-PSP u l-PSU. Dan il-preambolu jgħid:
“Sabiex jiġi vvalutat jekk kienx hemm negliġenza jew negliġenza serja fuq il-parti tal-utent ta’ servizzi ta’ pagament, għandu jittieħed kont taċ-ċirkostanzi kollha. L-evidenza u l-livell ta’ negliġenza allegata għandhom ġeneralment ikunu evalwati skont il-liġi nazzjonali. Madankollu, filwaqt li l-kunċett ta’ negliġenza jimplika ksur ta’ dmir ta’ diliġenza, negliġenza serja għandha tfisser aktar minn sempliċi negliġenza, li tkun tinvolvi mġiba li turi grad sinifikanti ta’ traskuraġni; pereżempju jinżammu l-kredenzjali użati biex jawtorizza tranżazzjoni ta’ pagament jinżammu ħdejn l-istrument ta’ pagament, f’format li jkun miftuħ u faċilment identifikabbli minn partijiet terzi. It-termini u l-kundizzjonijiet kuntrattwali marbutin mal-forniment u l-użu ta’ strument ta’ pagament, li l-effett tagħhom ikun li jżidu l-oneru tal-provi fuq il-konsumatur jew li jnaqqsu l-oneru tal-provi fuq l-emittent għandhom jitqiesu nulli u bla effett. Barra minn hekk, f’sitwazzjonijiet speċifiċi u b’mod partikolari meta l-istrument tal-pagament ma jkunx preżenti fil-punt tal-bejgħ, bħal fil-każ ta’ pagamenti online, jixraq li l-fornitur ta’ servizzi ta’ pagament ikun obbligat jipprovdi evidenza ta’ negliġenza allegata minħabba li l-mezzi biex il-pagatur jagħmel dan huma limitati ħafna f’każijiet bħal dawn.”
Dan il-preambolu, jistabbilixxi prinċipji importanti meta wieħed ikun qed jikkunsidra tali allokazzjoni ta’ responsabbiltà:
- Biex l-PSU jinstab responsabbli, mhux biżżejjed il-prova ta’ negliġenza ordinarja; trid tiġi pruvata negliġenza grossolana.
- Il-piż tal-prova ta’ negliġenza grossolana hija obbligu tal-PSP.
- Dispożizzjoni li tgħid xort’oħra (eż. li tagħmel lill-PSU responsabbli għal pagamenti mhux awtorizzati fl-assenza ta’ negliġenza grossolana) fit-termini tan-negozju bejn il-partijiet, tkun nulla u bla effett.
Skond il-preambolu 71 tal-imsemmija PSD2, l-PSU huwa responsabbli għall-ħlas ta’ kwalunkwe tranżazzjoni ta’ pagament mhux awtorizzat biss sal-ammont ta’ €50, ħlief jekk l-PSU aġixxa b’mod frawdolenti jew b’negliġenza grossolana.
Negliġenza grossolana mhix definita speċifikament fil-PSD2, u kull każ għandu l-merti tiegħu biex jiġi determinat jekk l-PSU ikkontribwixxiex għat-telf permezz ta’ negliġenza grossolana. Il-maġġoranza tal- ilmenti magħmula lill-Arbitru li jikkonċernaw scams ta’ pagamenti frawdolenti huma bejn il-PSP li jattribwixxu negliġenza grossolana lill-PSU, u l-PSU li jiċħdu tali negliġenza grossolana.
Il-preambolu tal-PSD2 jagħti biss eżempju wieħed ta’ negliġenza grossolana (fejn l-apparat u l-kodiċi ta’ awtentikazzjoni jinżammu flimkien u jsiru aċċessibbli b’mod negliġenti lill- frodisti), imma l-frodi sar ħafna aktar sofistikat minn kif kienet meta daħlet fis-seħħ il-PSD2. Id-determinazzjoni tal-preżenza jew assenza ta’ negliġenza grossolana saret ħafna aktar diffiċli għax iċ-ċirkostanzi ta’ kull scam filwaqt li jkollhom l-istess tifsila, jkunu jvarjaw f’pekuljaritajiet importanti.
L-Arbitru jsostni b’saħħa li l-għażla bejn negliġenza normali u negliġenza grossolana mhix binarja. Mhux il-każ li negliġenza normali tfisser li m’hemm l-ebda responsabbiltà tal-PSU filwaqt li negliġenza grossolana tfisser responsabbiltà totali. Bejn negliġenza normali u dik grossolana teżisti firxa neboluża fejn ikun neċessarju li l-allokazzjoni ta’ responsabbiltà bejn l-PSU u l-PSP issir b’mod meqjus skont iċ-ċirkostanzi partikolari ta’ kull każ. L-Arbitru fil-fatt jissuġġerixxi li każijiet fejn parti jew mhi responsabbli għal xejn inkella hija responsabbli għal kollox għandhom ikunu l-eċċezzjoni u mhux ir-regola. Il-preambolu 73 tal-PSD2 donnu jħaddan il-kunċett tal-allokazzjoni ta’ responsabbiltà bejn il-partijiet skond jekk l-PSU hux konsumatur jew le. Dan il-kunċett ta’ allokazzjoni ta’ responsabbiltà għandha tapplika wkoll f’aspetti oħra tat-tranżazzjoni in kwistjoni.
Huwa importanti li l-PSP jifhmu li hemm differenza bejn l-awtentikazzjoni u l-awtorizzazzjoni ta’ pagamenti. Il-pożizzjoni ġenerali meħuda mill-PSP hija li ġaladarba pagament jiġi awtentikat allura huwa awtomatikament awtorizzat permezz tan-negliġenza grossolana tal-PSU. Dan mhux il-każ u wieħed irid iżomm il-kunċetti ta’ awtentikazzjoni u awtorizzazzjoni ben distinti minn xulxin.
L-ewwel kunsens ġenerali li wieħed jagħti meta wieħed jiffirma għal servizz ġdid mhux biżżejjed biex tiġi awtorizzata tranżazzjonijiet ta’ pagament. Il-kunsens tal-PSU huwa meħtieġ kull darba li titwettaq tranżazzjoni ta’ pagament. Għalhekk, huwa ċar li l-PSU irid jesprimi l-kunsens mhux biss għall-kuntratt prinċipali miftiehem mal-PSP iżda wkoll għal kull ħlas mgħoddi lill-PSP. Ħafna PSP jiddeskrivu fit-termini u l-kundizzjonijiet tal-kuntratt qafas tagħhom li l-kunsens jingħata meta tiġi applikata awtentikazzjoni qawwija tal-klijent (SCA).
SCA huwa proċess ta’ awtentikazzjoni li jivvalida l-identità tal-PSU jew tas-servizz ta’ pagament. B’mod aktar speċifiku, l-SCA tindika jekk l-użu tal-istrument tal-pagament huwiex awtorizzat. SCA hija bbażata fuq l-użu ta’ mill-inqas żewġ elementi mit-tliet kategoriji li ġejjin:
- Għarfien, li huwa xi ħaġa li l-PSU biss jaf (bħal PIN jew password);
- Pussess, li huwa xi ħaġa li għandu biss l-PSU (bħal karta ta’ kreditu jew apparat reġistrat); u
- Inerenza, li tkun xi ħaġa li huwa l-PSU (bħall-użu tal-marki tas-swaba’ jew ir-rikonoxximent tal-vuċi).
Minħabba s-sistemi ta’ kontroll adoperati mill-Banek permezz tat-two factor authentication (ħlief f’pagamenti taħt il-€50) jaf jidher ovvju li pagamenti jistgħu isiru biss wara li jiġu debitament awtentikati. Però, il-vjaġġ mill-awtentikazzjoni għall-awtorizzazzjoni, fil-każ ta’ pagamenti frawdolenti, jeħtieġ prova mill-PSP li l-PSU kien negliġenti b’mod grossolan meta għamel il-kredenzjali tal-aċċess għal pagament (mogħtija mill-PSP bħala parti mir-relazzjoni kuntrattwali) disponibbli lill-frodisti. L-Arbitru isostni li mhux awtomatiku li ġaladarba pagament frawdolenti jiġi awtentikat allura huwa wkoll awtorizzat mill-PSU. Fil-fatt, jista’ jkun hemm ċirkostanzi evidenti fejn il-grad ta’ negliġenza grossolana tal-PSU jitnaqqas, jekk mhux jitneħħa għal kollox. Wieħed irid iżomm f’moħħu d-dispożizzjonijiet tal-preambolu 71 tal-PSD2 li jipprovdi li “Ma għandu jkun hemm l-ebda responsabbiltà f’każ li l-pagatur ma jkunx f’pożizzjoni li jsir jaf bit-telf, is-serq jew il-miżapproprjazzjoni tal-istrument ta’ pagament”. Il-frodisti, filfatt, qed isiru aktar sofistikati fil-mod ta’ kif iżejnu l-iskemi qarrieqa tagħhom b’tali mod li huwa diffiċli li wieħed jagħrafhom mir-realtà.
Dan iqajjem il-kwistjoni ta’ kif l-Arbitru għandu jiddetermina l-allokazzjoni ta’ responsabbiltà bejn il-PSP u l-PSU. Biex jevita, jew almenu jnaqqas, il-perċezzjoni ta’ suġġettività u inkonsistenza fl-għoti ta’ kumpens f’każijiet ta’ pagamenti frawdolenti, l-Arbitru jixtieq jippubblika mudell li jispjega l-kriterji, u l-piż korrispettiv tagħhom, użati fid-determinazzjoni tal-allokazzjoni ta’ responsabbiltà bejn il-PSP u l-PSU.
Għal dan il-għan, l-Arbitru se jkun qed jaddotta l-mudell segwenti għall-allokazzjoni ta’ responsabbiltà bejn il-PSP u l-PSU f’każijiet ta’ lmenti ta’ scams ta’ pagamenti frawdolenti.
Il-Mudell
Kriterji għall-allokazzjoni ta’ responsabbiltà (iċ-ċifri fil-parentesi jindikaw tnaqqis fir-responsabbilitá allokata) |
PSP |
PSU |
Negliġenza grossolana bla kwistjoni tal-PSU |
0% |
100% |
Tnaqqis ta’ negliġenza grossolana minħabba li l-frodist jagħmel użu minn mezzi ta’ komunikazzjoni normalment użati mill-PSP, u allura ta impressjoni ċara li din kienet komunikazzjoni ġenwina - Nota 1 |
50%
|
(50%)
|
Żieda jekk l-PSU ipparteċipa attivament fil-frodi lil hinn milli biss żvela l-kredenzjali – Nota 2 |
(30%) |
30% |
Żieda jekk PSP innotifika lill-PSU b’komunikazzjoni diretta biex joqgħod attent mit-tali scams: |
|
|
Fl-aħħar 3 xhur |
(20%) |
20% |
Fl-aħħar 6 xhur |
(10%) |
10% |
Aktar minn 6 xhur |
0% |
0% |
Tnaqqis jekk japplikaw ċirkostanzi speċjali - Nota 3 |
20% |
(20%) |
Tnaqqis jekk l-PSU m’għamilx tranżazzjonijiet ġenwini simili fl-aħħar 12-il xahar jew l-ammont tal-pagament mhux tipiku tal-esperjenza tal-kont tal-PSU – Nota 4 |
20% |
(20%) |
Dan il-mudell huwa applikabbli b’mod ġenerali imma l-Arbitru jibqa’ ħieles li ma jimxix miegħu f’każijiet speċifiċi li jirrikjedu apprezzament partikolari. Però, l-Arbitru se jiġġustifika, bi spjegazzjonijiet adegwati fid-deċiżjonijiet tiegħu meta ma jimxix ma’ dan il-mudell, fejn applikabbli.
Noti għat-tabella t’hawn fuq
Nota 1: Spiss, scammers jużaw tattiċi ta’ smishing li jippermettuhom jippużaw, b’mod illegali, bħala komunikazzjonijiet ġenwini mill-PSP billi jużaw il-mezzi normali ta’ komunikazzjoni tagħhom, inklużi SMS, emails, u telefon. Anke jekk il-PSP jista’ ma jkollux is-setgħa teknika li jwaqqaf dawn l-illegalitajiet, l-PSU ma tistax tlumu għal kollox li assuma li dik kienet komunikazzjoni ġenwina. Ħafna jiddependi mill-effettività tax-xandir tal-PSP mal-klijenti tagħhom biex iwissihom biex joqogħdu attenti minn tali skemi bi spjegazzjonijiet ċari ta’ x’għandhom u x’m’għandhomx jagħmlu fiċ-ċirkostanzi.
Nota 2: Xi kultant PSU imorru lil hinn milli sempliċiment jinfurmaw lill-frodist bil-kredenzjali tas-sigurtà tagħhom, imma attivament jipparteċipaw u jkomplu billi jimlew id-dettalji tal-pagament tagħhom. Ħaġa li biha jmisshom jintebħu li l-iskema hija ta’ natura frawdolenti. F’każijiet bħal dawn, l-PSU iġorr doża ogħla ta’ negliġenza grossolana.
Nota 3: Ċirkustanzi speċjali jistgħu jinkludu każijiet fejn il-klijent ikollu negozjati oħra għaddejjin mal-PSP li jagħmlu t-talba frawdolenti għal awtentikazzjoni mill-ġdid inqas suspettuża.
Nota 4: PSP huma obbligati li jkollhom sistemi effettivi ta’ sorveljanza ta’ pagamenti biex jipproteġu lill-PSU minn pagamenti frawdolenti. Ir-Regolament Delegat tal-Kummissjoni (UE) 2018/389 tas-27 ta' Novembru 2017 jistabbilixxi standards tekniċi regolatorji għall-awtentikazzjoni qawwija tal-konsumatur u standards miftuħin ta’ komunikazzjoni, u jissupplimenta d-Direttiva (UE) 2015/2366.
Dan jipprovdi fl-artikolu 2(1) li:
“Il-fornituri ta' servizzi ta' pagament għandu jkollhom fis-seħħ mekkaniżmi li jimmonitorjaw it-tranżazzjonijiet li jippermettulhom jaqbdu tranżazzjonijiet tal-pagament mhux awtorizzati jew frodulenti ... Dawn il-mekkaniżmi għandhom ikunu msejsa fuq l-analiżi tat-tranżazzjonijiet tal-pagament, filwaqt li jqisu elementi li huma tipiċi tal-utent ta' servizzi ta' pagament fiċ-ċirkustanzi ta' użu normali tal-kredenzjali personalizzati ta' sigurtà.”
L-artikolu 2(2) jipprovdi li s-segwenti fatturi bbażati fuq riskju għandhom jitqiesu fil-mekkaniżmi li jissorveljaw it-tranżazzjonijiet:
- Listi ta' elementi tal-awtentikazzjoni kompromessi jew misruqa;
- L-ammont ta' kull tranżazzjoni ta' pagament;
- Xenarji tal-frodi magħrufa fl-għoti ta' servizzi ta' pagament;
- Sinjali ta' infezzjoni tal-malwer fi kwalunkwe sessjoni tal-proċedura ta' awtentikazzjoni;
- F'każ li l-apparat jew is-softwer tal-aċċess jingħata mill-fornitur ta' servizzi ta' pagament, log tal-użu tal-apparat tal-aċċess jew tas-softwer mogħti lill-utent ta' servizzi ta' pagament u l-użu anormali tal-apparat tal-aċċess jew tas-softwer.
Ġie ċċarat li l-obbligazzjoni ta’ sorveljanza ta’ mekkaniżmi ta’ pagament m’għandux ikun ‘sorveljanza ta’ riskju f’ħin reali’ u solitament isir ‘wara’ l-eżekuzzjoni tat-tranżazzjoni ta’ pagament. Għadu ma ġiex definit kemm wara, imma ovvjament għal kwalunkwe valur reali ta’ tali mekkaniżmi, d-differenza bejn il-ħin reali tal-pagament u dak tas-sorveljanza effettiva ma tridx tkun wisq.
Aktar minn hekk, l-artikolu 68(2) tal-PSD2 jawtorizza PSP li jimblokka pagament:
“Jekk maqbul fil-kuntratt qafas, il-fornitur ta’ servizzi ta’ pagament jista’ jirriżerva d-dritt li jimblokka l-użu tal-istrument ta’ pagament għal raġunijiet oġġettivament ġustifikabbli relatati mas-sigurtà tal-istrument ta’ pagament, is-suspett ta’ użu mhux awtorizzat jew frodulenti tal-istrument ta’ pagament jew, fil-każ ta’ strument ta’ pagament b’linja ta’ kreditu, riskju sinifikattivament akbar li l-pagatur jista’ ma jkunx kapaċi jissodisfa r-responsabbiltà tiegħu li jħallas.”
Jekk l-PSU qatt ma għamel tali pagament onlajn fit-12-il xahar ta’ qabel l-avveniment frawdolenti, jew jekk il-pagament mhux ta’ valur tipiku tal-esperjenza normali tal-PSU, għandu jiġi kkunsidrat li jiżdied is-sehem allokat lill-PSP għan-nuqqas tiegħu li jaddotta mekkaniżmi ta’ sorveljanza ta’ pagamenti effettivi.
Applikazzjonijiet prattiċi tal-mudell
PSU jirċievi SMS fuq il-kanal li s-soltu juża l-PSP biex jikkomunika miegħu, liema SMS jinfurmah li jrid jagħfas ħolqa sabiex jivvalida l-kont tiegħu. Għalkemm il-PSP regolarment iħabbar, permezz tal-mezzi ġenerali u soċjali tiegħu, li PSU iridu jikkomunikaw mal-bank permezz tal-APP jew internet banking u xejn aktar u li qatt ma jmisshom jagħfsu fuq ħolqiet mibgħuta permezz ta’ email jew SMS, l-PSU b’negliġenza jaqa’ fin-nasba u jagħfas il-ħolqa li donnha tagħtih aċċess għall-website normali tal-PSP. Allura hu ma jissuspettax li hemm frodi.
Il-frodisti, li issa jafu li l-PSU bela’ l-lixka, jikkonvinċuh jaqsam magħhom il-kredenzjali tiegħu u jipproċedu billi jeffettwaw pagament lill-kont tal-IBAN tagħhom stess fil-Litwanja, per eżempju. Huma jibdlu t-termini tal-pagament għal pagament immedjat/bi priorità, u jpoġġu isem ta’ benefiċjarju falz b’indirizz Malti (għax is-sistema tas-SEPA timxi biss fuq in-numru tal-IBAN u ma tagħmilx konnessjonijiet mal-isem tal-benefiċjarju).
Mumenti wara, l-PSU jirċievi notifika mill-PSP li pagament sar mill-kont tiegħu li l-PSU jemmen li hu ma awtorizzax, u għall-ewwel darba jinduna li ġie ngannat.
Rapport immedjat lill-PSP ikun tard wisq biex iwaqqaf il-pagament li ġie effettwat immedjatament u talba għal sejħa lura tal-fondi ma jkollhiex suċċess.
F’każ bħal dan it-telf jinqasam nofs bin-nofs.
Jekk hemm evidenza li l-PSU fil-verità ipparteċipa fit-tranżazzjonijiet billi eżegwixxa struzzjonijiet mill-frodisti lil hinn milli qasam magħhom it-two-factor authentication (eż. billi mela l-ammont u l-aħħar numri tal-kont benefiċjarju permezz ta’ informazzjoni miġjuba mill-App) allura n-negliġenza grossolana timxi bi 30% mill-PSP għall-PSU biex l-allokazzjoni tiġi 20:80.
Dan huwa test li jqis is-saħħa tas-sistemi tas-sigurtà tal-pagamenti tal-PSP. Sistemi robusti għandhom jifilħu għal tentattivi frawdolenti li jawtorizzaw tranżazzjonijiet ta’ pagamenti speċifiċi, sakemm il-PSU ma jikkooperax b’negliġenza ma’ min ikun qed iwettaq il-frodi lil hinn mill-iżvelar tal-kredenzjali tas-sigurtà u b’negliġenza jikkoopera ma’ min qed jagħmel il-frodi biex jawtorizza l-pagament speċifiku. Jekk is-sistemi ma jkunux b’saħħithom biżżejjed u jippermettu lil min qed jagħmel il-frodi biex jippenetrahom u jawtorizza anki mingħajr il-parteċipazzjoni attiva tal-PSU fil-livell tal-awtorità tal-pagament tat-tranżazzjoni, allura l-PSP għandu jerfa’ r-responsabbiltà.
Jekk hemm evidenza li l-PSP fit-tlitt xhur ta’ qabel l-inċident kien bagħat komunikazzjoni diretta (mhux biss komunikazzjoni permezz tal-website tal-medja ġenerali/soċjali) lill-PSU biex joqgħod b’seba’ għajnejn għal skemi frawdolenti ta’ dan it-tip, allura n-negliġenza grossolana timxi b’20% oħra mill-PSP għall-PSU. Dan jenfasizza l-importanza li jintużaw mezzi ta’ avviżi diretti mal-PSU meta PSP isir konxju ta’ skemi frawdolenti li jkunu qed jitwettqu biex jingannaw PSU. F’każ bħal dan, l-allokazzjoni ssir ta’ 0:100.
Jekk il-komunikazzjoni diretta tkun saret aktar minn tlitt xhur qabel però xorta waħda fis-sitt xhur ta’ qabel l-inċident, allura l-bidla tkun ta’ 10%. L-allokazzjoni allura tkun ta’ 10:90. Jekk il-komunikazzjoni tkun saret aktar minn sitt xhur qabel, ma jsir l-ebda bdil u r-responsabbiltà tibqa’ ta’ 20:80, dejjem jekk ikun hemm parteċipazzjoni attiva fit-tranżazzjoni frawdolenti permezz ta’ negliġenza grossolana. Fin-nuqqas ta’ parteċipazzjoni attiva, (i.e. jekk l-PSU jonqos biss billi jiżvela kredenzjali sigrieti) ir-responsabbiltà tibqa’ 50:50 jekk in-notifika diretta tkun eqdem minn sitt xhur.
Jekk it-tranżazzjoni frawdolenti isseħħ fi żmien meta l-PSU qed ikollu negozjati mal-PSP fuq xi servizz ieħor li jagħmel it-talba frawdolenti għall-awtentikazzjoni inqas suspettuża, dan jiġi kkunsidrat b’tibdil ta’ responsabbiltà ta’ 20%. Dan jista’ jinkludi wkoll ċirkostanzi fejn il-PSU ikun qed jagħmel pagamenti li mhux soltu jagħmilhom, eż. waqt li jkun qed jivvjaġġa, li jagħmel it-talba frawdolenti għal awtentikazzjoni mill-ġdid inqas suspettuża.
Bdil ieħor simili ta’ 20% jsir jekk l-PSU qatt ma jkun għamel trasferimenti ġenwini simili fit-12-il xahar ta’ qabel l-inċident, jew l-ammont tal-pagament huwa differenti ferm mill-esperjenza normali tal-kont tal-PSU, minħabba li s-sistema ta’ sorveljanza tal-bank irid ikun sensittiv għal ħwejjeġ strambi bħal dawn u l-bank imissu għalhekk ifittex validazzjoni diretta mingħand l-PSU qabel ma jipproċedi bil-pagament.
Eżempju prattiku 1
Sra AB irċeviet SMS meta kienet qed tivvjaġġa barra minn Malta. Hi ppanikkjat għall-prospett li l-card tagħha tiġi bblukkata għax kien l-uniku mezz li biha setgħet tiffinanzja l-ispejjeż tagħha sakemm kienet imsiefra, u allura għafset il-ħolqa fl-SMS. Il-frodist b’arti imma b’ingann irkupra l-kredenzjali ta’ awtentikazzjoni tagħha u wara madwar nofs siegħa hi rċeviet notifika b’SMS mill-PSP li kkonferma l-pagament ta’ €4000 lil kont tal-IBAN barrani. Hemmhekk hi ndunat li kienet ġiet ingannata u kkuntattjat il-bank biex jibblokka l-kont tagħha u jeffettwa talba għal sejħa lura tal-fondi.
Minħabba li l-pagament sar fuq bażi ta’ priorità mill-frodist, talba għal sejħa lura tal-fondi ma kellhiex suċċess minkejja li ġiet effettwata mill-PSP bla dewmien.
Il-PSP jirrifjuta li jirrimborsa għax jargumenta li s-Sra AB kienet negliġenti b’mod grossolan meta għafset il-ħolqa fuq l-SMS meta l-bank kien regolarment avża kontra li jsir dan fuq il-mezzi ġenerali u soċjali tiegħu. Is-Sra AB wettqet pagamenti online fit-12-il xahar ta’ qabel imma ma kinitx attivament għenet lill-frodist lil hinn mill-iżvelar negliġenti tal-kredenzjali sigrieti tagħha. Ma kinitx irċeviet komunikazzjonijiet ta’ twissija diretti dwar skemi frawdolenti ta’ dan it-tip mill-PSP fit-3 xhur jew 6 xhur ta’ qabel.
X’porzjoni tat-tort għandu jkollha s-Sra AB?
Porzjoni dovuta għax għafset il-ħolqa tal-SMS: 50%
Żid assistenza attiva fit-tranżazzjoni frawdolenti: 0%
Żid jekk irċeviet twissija diretta fl-aħħar tlett / sitt xhur: 0%
Treġġa’ lura ċirkustanza speċjali**: 0%
Treġġa’ lura ma kienx hemn pagamenti online fl-aħħar 12-il xahar: 0%
Allokazzjoni totali ta’ responsabbiltà 50% b’50% għall-PSP.
** Dal-każ jassumi li kienet imsiefra fl-Ewropa u ma kienx hemm użu sinjifikanti mhux tas-soltu tal-kont waqt is-safar qabel ma jseħħ il-każ ta’ frodi.
Eżempju prattiku 2
L-istess bħall-eżempju ta’ qabel imma s-Sra AB kienet irċeviet twissija diretta xahrejn qabel.
Porzjoni dovuta talli ntagħfset il-ħolqa tal-SMS: 50%
Assistenza attiva fit-tranżazzjoni frawdolenti: 0%
Żid irċevuta ta’ twissija diretta fl-aħħar tlett xhur: 20%
Treġġa’ lura ċirkustanza speċjali: 0%
Treġġa’ lura pagamenti online fl-aħħar 12-il xahar: 0%
Allokazzjoni totali ta’ responsabbiltà 70% b’30% għall-PSP.
Eżempju prattiku 3
L-istess bħall-eżempju 1 hawn fuq imma s-Sra AB kienet attivament assistiet fil-frodi billi ddaħħal informazzjoni fl-ordni għal pagament b’żieda mal-iżvelar tal-kredenzjali sigrieti tagħha, u kienet irċeviet twissija diretta xahar qabel però qatt m’għamlet pagament online fl-aħħar 12-il xahar.
Porzjoni dovuta talli ntagħfset il-ħolqa tal-SMS: 50%
Żid l-assistenza attiva fit-tranżazzjoni frawdolenti: 30%
Żid irċevuta ta’ twissija diretta fl-aħħar tlett xhur: 20%
Treġġa’ lura ċirkustanza speċjali: 0%
Treġġa’ lura pagamenti online fl-aħħar 12-il xahar: (20)%
Allokazzjoni totali ta’ responsabbiltà 80% b’20% għall-PSP.
L-Arbitru jenfasizza li dawn huma eżempji biex juru kif il-mudell kieku jaħdem b’mod ġenerali, imma dejjem bir-riżerva tad-dritt li jitlaq mill-mudell skont iċ-ċirkostanzi partikolari tal-ilment bi spjegazzjoni fid-deċiżjoni tal-każ għal tali avarija mill-mudell.
Rakkomandazzjonijiet ulterjuri biex PSP isaħħu l-protezzjoni tal-PSU tagħhom kontra scams ta’ pagamenti frawdolenti
L-Arbitru jixtieq jagħmel dawn ir-rakkomandazzjonijiet li jmisshom jiġu kkunsidrati b’serjetà mill-PSP.
- Tneħħija jew tnaqqis ta’ ħlas ta’ tariffi standard għal talbiet għal sejħa lura tal-fondi f’każ ta’ pagamenti frawdolenti speċjalment fejn tapplika negliġenza grossolana ta’ inqas minn 100%.
- Kampanji edukattivi aktar effettivi u frekwenti li jwissu dwar scams ta’ pagamenti frawdolenti fuq il-medja kemm ġenerali kif ukoll soċjali, imma partikolarment bl-użu ta’ mezzi ta’ komunikazzjoni diretti mal-PSU.
- Applikazzjoni ta’ dan il-mudell fl-għoti ta’ rimborsi f’każijiet ta’ pagamenti frawdolenti li ma jiġux ilmentati mal-OAFS imma jiġu rrappurtati lil (u rrifjutati minn) PSP.
- Fissazzjoni ta’ limiti aktar baxxi mil-limitu ta’ kuljum totali, fil-każ ta’ limiti fuq tranżazzjonijiet online. L-Arbitru huwa sensittiv għall-fatt li huwa teknoloġikament ta’ sfida għall-PSP li jiffissaw il-limiti tal-ħlas ta’ kuljum u tat-tranżazzjonijiet biex ikunu adattati għal kull ċirkustanza tal-klijent. Madankollu, għandu jkun pjuttost fattibbli għall-PSP li japplikaw limiti aktar baxxi għall-klijenti retail milli għall-klijenti kummerċjali, u li l-limitu ta’ tranżazzjoni jkun aktar baxx mil-limitu ta’ kuljum li jkopri aktar minn tranżazzjoni unika f’ġurnata waħda.
- Addottar ta’ sistemi ta’ sorveljanza ta’ tranżazzjonijiet aktar sensittivi għal tranżazzjonijiet mhux tas-soltu li jmisshom jiġu kkonfermati direttament mal-PSU qabel ma tiġi mwettqa t-tranżazzjoni.
- L-introduzzjoni ta’ proċessi ta’ verifika aktar stretti għal bidliet fid-dettalji ta’ kuntatt jew reġistrazzjoni ta’ apparat ġdid (possibbilment inkluża żjara fiżika f’fergħa jew verifika bit-telefon). In-notifika ta’ tali bidliet ta’ kuntatt għandha tintbagħat ukoll lil numri ta' kuntatt/indirizzi tal-email preċedenti.
- Li apps intiżi biex jiġġeneraw kodiċijiet ta’ awtentikazzjoni jiġu limitati għal użu fuq apparat elettroniku uniku.