Zapobieganie oszustwom płatniczym: co działa, a co jest teatrem
Dwie aplikacje płatnicze, to samo zagrożenie, przeciwne rezultaty. W jednym narożniku Cash App, której spółka macierzysta została zobowiązana do zapłaty 175 milionów dolarów na początku 2025 roku za sposób, w jaki rozpatrywała roszczenia klientów dotyczące oszustw. W drugim PayPal , który w tym roku przelał ponad bilion dolarów, a mimo to utrzymał wskaźnik strat na poziomie około 0,08% wolumenu. Obie aplikacje mierzą się z tymi samymi oszustami, tymi samymi skradzionymi kartami, tymi samymi skryptami socjotechnicznymi. Dlaczego więc jedna z nich znalazła się w komunikacie prasowym regulatora, a druga w przypisie do telekonferencji dotyczącej wyników finansowych?
Różnica nie leży w budżecie. Chodzi o to, na co każda firma stawia. Większość działań zapobiegających oszustwom płatniczym to teatr: wygląda obiecująco, wypełnia slajd i praktycznie niczego nie zatrzymuje. Kilka mechanizmów kontrolnych wykonuje faktyczną pracę. PayPal i Cash App to czysty, naturalny eksperyment pozwalający odróżnić te dwa systemy, ponieważ w ich przypadku ocenę przeprowadził za nas regulator. To praktyczny podręcznik pokazujący, co się sprawdza, a co po cichu zawodzi.
Ile oszustwa płatnicze kosztują obecnie gospodarkę
Liczby w nagłówkach są na tyle duże, że aż trudno się nimi znudzić. Amerykanie zgłosili straty w wysokości 12,5 miliarda dolarów z powodu oszustw w 2024 roku, co stanowi wzrost o 25% w ciągu jednego roku, według danych Consumer Sentinel Network Federalnej Komisji Handlu (FTC) . Globalna wartość oszustw kartowych osiągnęła 33,41 miliarda dolarów, a Stany Zjednoczone poniosły około 42% tych strat, przy około jednej czwartej globalnego wolumenu kart.
Bardziej użyteczny fakt kryje się pod sumami: gdzie faktycznie wyciekają pieniądze. Dwiema metodami płatności o największej liczbie zgłoszonych strat były przelewy bankowe (2,09 miliarda dolarów) i kryptowaluty (1,42 miliarda dolarów) – a nie karty. To nie przypadek. Te systemy zostały stworzone do szybkiego i szybkiego przesyłania pieniędzy, bez wbudowanego sposobu na ich odzyskanie. Sieci kart płatniczych mają za sobą dekady mechanizmów rozstrzygania sporów. Przelewy z konta na konto zazwyczaj ich nie mają. Oszustwa podążają ścieżką najmniejszej odwracalności.
| Metryka (najnowsza) | Postać | Źródło |
|---|---|---|
| Straty z tytułu oszustw zgłoszone w USA w 2024 r. | 12,5 mld USD (+25% r/r) | FTC Consumer Sentinel |
| Metoda największej straty: przelewy bankowe | 2,09 mld dolarów | FTC, 2024 |
| Straty kryptowalutowe | 1,42 mld dolarów | FTC, 2024 |
| Straty z tytułu oszustw kartowych na świecie, 2024 r. | 33,41 mld dolarów | Raport Nilsona |
| Udział USA w globalnych oszustwach kartowych | ~42% (przy ~26% objętości) | Raport Nilsona |
Najczęstsze rodzaje oszustw płatniczych, posortowane według tego, kto płaci
Każdy poradnik dotyczący oszustw przedstawia tę samą, płaską listę kilkunastu rodzajów ataków. Bardziej przydatne jest sortowanie ich według tego, kto faktycznie ponosi straty, ponieważ to decyduje, czy warto się nimi przejmować. Typowe oszustwa płatnicze nie rozkładają ciężaru równomiernie.
Na szczycie listy znajdują się oszustwa związane z firmowymi e-mailami i autoryzowanymi płatnościami push, ponieważ oszukują ofiarę, zmuszając ją do wysłania pieniędzy, których ofiara zazwyczaj nie może odzyskać. UK Finance odnotowało 257,5 miliona funtów oszustw związanych z płatnościami push tylko w pierwszej połowie 2025 roku, co stanowi wzrost o 12% w porównaniu z rokiem poprzednim. Następnie następuje przejęcie konta: oszust włamuje się na prawdziwe konto i je opróżnia, co oznacza, że prawowity właściciel musi udowodnić, że to nie on. Oszustwa związane z kartami są powszechne, ale dla konsumentów są najczęściej absorbowane przez wystawcę za pośrednictwem obciążeń zwrotnych. Następnie mamy oszustwa przyjazne, gdzie prawdziwy klient kwestionuje prawdziwy zakup — generuje to szacunkowo 75% do 79% obciążeń zwrotnych w handlu elektronicznym, a sprzedawca płaci. Oszustwa deepfake i klonowanie głosu to nowe zjawisko, dziś niewielkie w dolarach, ale szybko rosnące. Schemat jest prosty: im mniej odwracalna metoda płatności, tym bardziej oszustwo dotyka osobę najmniej zdolną do jego wykorzystania.
Cash App: studium przypadku w teatrze zapobiegania oszustwom
Jeśli chcesz zobaczyć, jak wygląda teatr zapobiegania oszustwom na dużą skalę, spójrz na Cash App. W momencie pojawienia się regulatorów, aplikacja miała około 56 milionów aktywnych kont i elegancką, przyjazną dla użytkownika aplikację. Brakowało jej jednak mało efektownego mechanizmu za ekranem: prawdziwych śledztw, działającej linii telefonicznej i poczucia, że problem nieautoryzowanego przelewu to problem firmy, który musi rozwiązać.
Co tak naprawdę odkryli regulatorzy
W styczniu 2025 roku Biuro Ochrony Konsumentów Finansowych (CFPB) nakazało firmie Block, właścicielowi Cash App, zapłatę 175 milionów dolarów — 120 milionów dolarów zwrotu poszkodowanym użytkownikom i karę w wysokości 55 milionów dolarów . Warto uważnie przeczytać ten tekst. CFPB stwierdziło, że firma celowo stosowała „nierzetelne praktyki dochodzeniowe”, aby zamykać zgłoszenia oszustw na swoją korzyść. Klienci dzwoniący na infolinię ds. oszustw odbierali martwe, nagrane wcześniej wiadomości; przez lata nie było w ogóle agentów, z którymi można było się skontaktować. W tym samym miesiącu koalicja 48 stanowych organów regulacyjnych nałożyła osobną karę w wysokości 80 milionów dolarów za uchybienia w zakresie przeciwdziałania praniu pieniędzy. Łączne narażenie: około 255 milionów dolarów. Nic z tego nie było spowodowane przez sprytnych hakerów. Chodziło o firmę, która uznała, że odbieranie telefonu jest opcjonalne.
Dlaczego nieodwracalne transfery P2P stanowią wadę strukturalną
Pod egzekwowaniem przepisów kryje się wybór projektu. Aplikacja Cash App przesyła pieniądze z konta na konto, jak gotówkę. Po jej zniknięciu nie ma sieci kart płatniczych, która mogłaby to cofnąć. To jest w porządku, dopóki ktoś nie zostanie oszukany lub zhakowany, a wtedy model „to jak gotówka” zmienia się w „jesteś zdany na siebie”. Prawo federalne (Rozporządzenie E) faktycznie wymaga od banków i aplikacji płatniczych badania nieautoryzowanych przelewów elektronicznych i wypłacania użytkownikom odszkodowania. Wciąż wracam do tego, jak zwyczajna była ta awaria: nie naruszenie, a jedynie decyzja o traktowaniu nieautoryzowanych przelewów jako problemu klienta. Biuro Ochrony Finansów Konsumentów (CFPB) uznało tę decyzję za naruszenie.
Jak w rzeczywistości działa wykrywanie oszustw przez PayPal
PayPal to naturalny przykład „co działa”, ale wersja marketingowa jest błędna. PayPal nie jest wolny od oszustw, a udawanie, że jest inaczej, ukrywa prawdziwą lekcję. Z własnych danych wynika, że straty z transakcji i kredytów wyniosły 1,72 miliarda dolarów w 2025 roku, o 19% więcej niż rok wcześniej. Oszustwa wciąż mają się dobrze w PayPalu. Różnica tkwi w tym, co dzieje się dalej.
Ochrona kupującego i sprzedającego jako warstwa odwracalności
PayPal wbudował w produkt funkcję odwracalności, aby chronić obie strony transakcji. Zakupy objęte Ochroną Kupującego, a sprzedawcy mają własne zabezpieczenie, z dodatkowym procesem składania reklamacji i składania skarg. W przypadku oszustwa system często może zwrócić kupującemu pieniądze lub cofnąć transakcję, zamiast pozwolić mu pozostać bez środków. To właśnie tej funkcji brakowało w Cash App. Jest ona również droga, powolna i pełna skrajnych przypadków, a PayPal otrzymuje na nią mnóstwo skarg. Jednak „frustrujący proces składania reklamacji” i „niedziałający telefon” to nie to samo, co „niedziałająca linia”.
Ocena ryzyka uczenia maszynowego w momencie transakcji
Drugim poziomem jest detekcja. PayPal ocenia transakcje w czasie rzeczywistym na podstawie setek sygnałów – urządzenia, lokalizacji, historii, prędkości i zachowania – aby oznaczyć te, które wydają się nieprawidłowe, zanim pieniądze zostaną przelane. Głównym rezultatem jest wskaźnik strat, który oscyluje w pobliżu 0,08% całkowitego wolumenu płatności, blisko rekordowo niskiego poziomu, nawet gdy straty bezwzględne rosną wraz ze skalą. Połącz te dwie liczby, a otrzymasz uczciwą wersję: większy wolumen oznacza więcej dolarów z oszustw, ale adaptacyjne scoringi utrzymują wskaźnik na niskim poziomie. System nie jest magiczny. Jest po prostu utrzymywany.
Co działa: najlepsze praktyki ograniczające oszustwa
Co więc tak naprawdę wpływa na tę liczbę? Po usunięciu talii dostawców, mechanizmy kontroli, które rzeczywiście zapobiegają oszustwom, są krótkie i nudne. Łączy je jedna wspólna cecha: adaptują się lub dodają drugą, niezależną kontrolę, zamiast ufać pojedynczej, statycznej bramce.
Uwierzytelnianie wieloskładnikowe to najtańsza dostępna metoda kontroli o wysokim poziomie kontroli. Firma Microsoft poinformowała, że uwierzytelnianie wieloskładnikowe blokuje ponad 99,9% zautomatyzowanych prób naruszenia bezpieczeństwa kont, a prawie wszystkie przejęte konta nigdy go nie aktywowały. Punktacja transakcji oparta na uczeniu maszynowym, odcisk palca urządzenia i biometria behawioralna wychwytują wzorce pomijane przez stałe reguły; jeden bank odnotował zmniejszenie strat z tytułu oszustw o około 35% po wdrożeniu analizy behawioralnej, choć wartość ta pochodzi od dostawcy i należy ją traktować jako orientacyjną, a nie oczywistą. Silne uwierzytelnianie klienta za pomocą 3-D Secure 2 dodaje etap weryfikacji do płatności kartą; wiąże się to z pewnymi kosztami (około jedna na pięć prób uwierzytelnienia kończy się niepowodzeniem), ale przenosi odpowiedzialność i zapobiega rzeczywistemu wykorzystaniu skradzionych kart. Listę uzupełniają kontrole KYC (Know Your Customer) podczas rejestracji i limity prędkości.
| Kontrola | Co zatrzymuje | Dowód | Werdykt |
|---|---|---|---|
| Uwierzytelnianie wieloskładnikowe | Przejęcie konta | Blokuje >99,9% zautomatyzowanych ataków (Microsoft) | Fabryka |
| ML / punktacja behawioralna | Transakcje anomalne | Wskaźnik strat w stylu PayPal wynosi około 0,08% | Fabryka |
| 3-D Secure 2 / SCA | Użycie skradzionej karty | Przeniesienie odpowiedzialności; ~1 na 5 porzuca | Działa z tarciem |
| Odcisk palca urządzenia | Powtarzający się oszuści | Sygnał zgodny ze standardem branżowym | Fabryka |
| KYC podczas wdrażania | Tożsamości syntetyczne | Baza regulacyjna | Fabryka |
Teatr bezpieczeństwa: ochrona przed oszustwami, która zawodzi
Teraz, gdy budżet marnuje się na kontrole, które wydają się być zabezpieczeniem przed oszustwami, a praktycznie nic nie dają. Pytania bezpieczeństwa to najgorszy przestępca. Odpowiedzi (nazwisko panieńskie matki, pierwsze zwierzę) można zgadnąć, skopiować lub złamać, a amerykański organ normalizacyjny NIST formalnie zakazuje uwierzytelniania opartego na wiedzy jako ważnego czynnika logowania. Nie dodaje ono „żadnej warstwy”. Dodaje fałszywą warstwę.
Jednorazowe kody SMS to kolejna pułapka. Przypominają uwierzytelnianie wieloskładnikowe (MFA), ale bazują na numerze telefonu, który atakujący może ukraść poprzez zamianę kart SIM , co według badań branżowych udaje się za pierwszym razem w około 80% przypadków; FBI odnotowało około 26 milionów dolarów strat z tytułu zamiany kart SIM w samym 2024 roku. Do tego dochodzą statyczne, oparte wyłącznie na regułach silniki, które nigdy się nie uczą, oraz powolne kolejki ręcznego sprawdzania, które pozwalają oszustwom wyjść na jaw, zanim spojrzy na nie człowiek. Najdroższym elementem teatru ze wszystkich jest to, czego nauczyła nas aplikacja Cash App: domyślne ustawianie nieodwracalności przelewów i nazywanie tego szybkością. Inżynierowie mają tendencję do traktowania odwracalności jako tarcia, które można wyeliminować w projektowaniu. Dla ofiary to jest cały sens.
Oszustwa związane z przejęciem konta: gdzie modele się dzielą
Oszustwo związane z przejęciem konta to najczystszy test całej dyskusji, ponieważ obie firmy mierzą się z tym samym atakiem: przestępca zdobywa dane uwierzytelniające prawdziwego użytkownika i próbuje przelać pieniądze. Te same dane wejściowe, zupełnie inne wyniki.
Po stronie prewencji, sposób przeciwdziałania jest dobrze ugruntowany: należy egzekwować silne uwierzytelnianie wieloskładnikowe (MFA) (a nie kody SMS), monitorować sygnały behawioralne pod kątem logowania niezgodnego z użytkownikiem i ograniczać podejrzaną prędkość. Jednak zapobieganie zawsze powoduje pewne wycieki, a drugie pytanie brzmi: co się wtedy dzieje? Odwracalność i proces rozstrzygania sporów w PayPalu dają przejętemu użytkownikowi drogę powrotną. Historyczne stanowisko Cash App, że nieautoryzowany przelew był problemem użytkownika, pozostawiło go bez pomocy, co właśnie przekształciło incydent bezpieczeństwa w sprawę o 175 milionów dolarów. To samo oszustwo, z odwrotnym zakończeniem, rozstrzygnięte przez wybór polityki, a nie przez fragment kodu.
| Przód | PayPal | Aplikacja Cash App (przed 2025 r.) |
|---|---|---|
| Model pieniądza | Z tyłu karty, odwracalny | Konto do konta, nieodwracalne |
| Kiedy pojawia się oszustwo | Ochrona kupującego/sprzedającego, ścieżka rozstrzygania sporów | Traktowane jako problem użytkownika |
| Wykrywanie | Ocena ryzyka uczenia maszynowego w czasie rzeczywistym | Ograniczone, nastawione na wzrost |
| Wsparcie w zakresie oszustw | Proces składania roszczeń (powolny, ale realny) | Niedziałająca linia telefoniczna od lat |
| Rekord regulacyjny | Współczynnik strat ~0,08% ujawniony w dokumentach | Nakaz CFPB na kwotę 175 mln dolarów, kara stanowa w wysokości 80 mln dolarów |
Jak reagować na oszustwo po jego wystąpieniu
Wykrycie to tylko połowa zadania; reakcja to połowa, którą organy regulacyjne faktycznie oceniają. Gdy nieautoryzowany przelew zostanie przepuszczony, podstawą prawną w amerykańskich aplikacjach płatniczych jest Rozporządzenie E: należy niezwłocznie zbadać sprawę i zrekompensować użytkownikowi straty, jeśli przelew nie został autoryzowany. Oznacza to rzeczywiste dochodzenie, kontakt z człowiekiem i zegar. Rachunek Cash App na 175 milionów dolarów nie miał nic wspólnego z włamaniem. Chodziło o to, jak firma odpowiedziała później, a może odmówiła. Stwórz odpowiedź, a nie tylko mur.
Trendy w zakresie oszustw: dokąd zmierza zapobieganie
Kolejnym etapem jest wyścig zbrojeń, w którym obie strony walczą tą samą bronią. Generatywna sztuczna inteligencja napędza najszybciej rosnący wektor ataku: Deloitte prognozuje, że straty z tytułu oszustw spowodowanych sztuczną inteligencją w USA wzrosną z 12,3 miliarda dolarów w 2023 roku do około 40 miliardów dolarów w 2027 roku, a oszustwa oparte na deepfake'ach osiągną wartość miliardów dolarów w 2025 roku, według szacunków branży. Ta sama technologia napędza również najlepszą obronę. Raport Nilsona przypisuje sztucznej inteligencji stworzenie najsilniejszych modeli walki z oszustwami w historii branży kart płatniczych. Ten, kto iteruje szybciej, wygrywa rundę, co właśnie dlatego statyczne metody obrony są skazane na porażkę, a adaptacyjne nie.
Co to oznacza dla zapobiegania oszustwom płatniczym
Lekcja z PayPala i Cash App nie brzmi: „wydaj więcej na technologię”. Obie firmy wydały mnóstwo pieniędzy. Wygrywający zakład jest wąski i mało atrakcyjny: odwracalność, rozliczalność i kilka mechanizmów kontroli, które dostosowują się do sytuacji zamiast udawać. Teatr jest tańszy, dopóki regulator nie wyceni go na 175 milionów dolarów. Dlatego sprawdź swój własny stos w porównaniu z powyższą tabelą i zadaj jedyne pytanie, które ma znaczenie. Jeśli nie możesz cofnąć oszukańczego przelewu lub odebrać telefonu, gdy klient zostanie okradziony, nie masz zabezpieczenia przed oszustwami płatniczymi. Masz logo.
