分析 欧州連合の最高法務顧問の一人が、銀行がサイバー犯罪被害者を扱う方法を変更しようとしており、これにより被害者がより早く財政的保護を享受できる可能性があります。
最近公表された法的意見書で、法務官アタナシオス・ラントスは、銀行が違法行為を証明する前に金融詐欺の被害者に返金することを要求する第2決済サービス指令(PSD2)の解釈を変更するよう立法者に促しました。
これに重要なのは、PSD2に基づく重大過失の取り扱いです。ラントスの意見書が採択された場合、銀行詐称詐欺などの犯罪の被害者は、EU法の下で自らの重大過失により金銭が失われたかどうかにかかわらず、直ちに払い戻されることになります。
現在のPSD2では、銀行が権力を握っています。オンライン詐欺の被害者が犯罪を銀行に報告する場合、その機関はその後、返金すべきかどうかを判断するためにケースのレビューを実施します。
現在のモデルは、銀行が払い戻すかどうかを判断するまで、被害者を不確実で潜在的に危険な財政的立場に置き去りにすることができます。
銀行はしばしば重大過失の弁護を使用して払い戻しを遅延させます。まだ法的拘束力のないラントスの意見書は、重大過失が詐欺の成功につながったかどうかにかかわらず、銀行に被害者に直ちに支払うことを強制し、その後ケースのレビューが完了した後に金銭を回収するという、この状況を逆転させることを目指しています。
EUの決済処理規制では、被害者が攻撃者にワンタイムパスコードまたはログイン認証情報を渡すよう騙され、犯人がそれを無許可の支払いを行うことで利益を得ることに使用する場合、重大過失を主張することができます。
ラントスの想定例
法務官は、被害者が立法上の微調整から利益を得ることができる事件の架空の例[PDF]を提供しました。
例えば、EU内の銀行の顧客が、オンラインマーケットプレイスで販売品を掲載した犯人にフィッシングされます。彼らはアイテムの購入に同意し、犯人は被害者に被害者の銀行を模倣するウェブページに通じるリンクを送信します。
ウェブページが正当であり、攻撃者の管理下にないと確信させられた、無意識の被害者は、取引を承認するために銀行情報を入力しますが、攻撃者はそれらの認証情報を盗み、被害者のアカウントから支払いを行うために使用します。
被害者は詐欺を銀行に報告しますが、銀行は重大過失が不正な取引につながったと主張します(ウェブページがフィッシングサイトであることに気付きません)。銀行は直ちに払い戻しを発行することを拒否し、攻撃者の盗難により限定的なリソースの状況にある可能性が高い中で、被害者が裁判所を通じた回復を追求することを強制しています。
ラントスの意見書は、銀行が被害者に直ちに金銭を支払うことを要求し、後で重大過失が証明された場合には資金を回収することを可能にし、短期的には被害者により大きな財政的安全保障を提供することになります。
サイバーおよび詐欺検出企業BioCatchのEMEA向けグローバルアドバイザリー部長のジョナサン・フロストは次のように述べています:「法務官の意見は、欧州決済における詐欺責任の大きな転換を示しています。裁判所が同意する場合、銀行は不正な取引について顧客にすぐに払い戻す必要があり、その後過失請求を追求する可能性があります。これにより初期的な財政リスクが銀行にシフトされ、支払いを処理する前にアカウント乗っ取りと認証情報の侵害を検出する必要性が高まります。」
「これは改正決済サービス指令(PSD2)の重要な原則を反映しています:銀行が詐欺または重大過失を明確に証明できない限り、顧客は不正な支払いについて速やかに払い戻されるべきです。英国の銀行はすでに不正な詐欺損失の約98パーセントを払い戻していますが、欧州の銀行は多くの場合、顧客が法的措置を講じない限り払い戻すことを拒否しています。」
ラントスの意見に基づくPSD2の解釈の大規模な改訂は、更新されたPSD3と真新しい決済サービス規制(PSR)の形でほぼ確実にまもなく実現するでしょう。
PSD2とは異なり、この特定のシナリオは、現在の文言で、提案されている新しい規制の両方に明示的に成文化されています。
しかし、長期にわたる立法プロセスは、2024年に最初に提案されたにもかかわらず、保護が正式に導入・施行されるまでにはしばらく時間がかかることを意味する可能性があります。これが法務官がPSD2の再解釈の一部として迅速化することを望んでいる理由です。
PSD3/PSRはEUの決済規制に多くの変更をもたらします。より金融関連の部分を除いて、決済サービスプロバイダー(PSP)はより堅牢な強力顧客認証(SCA)を実装する必要があります。これは立法者が金融詐欺事件の増加を抑制することを期待している、より影響力のある変更の1つです。PSPがSCAを適切に実装できない場合、規制当局は彼らを起訴する可能性があります。
マーチャントも役割を果たします。彼らはPSPとより多くのデータを共有する必要があり、これにより取引を承認するか拒否するかについてより情報に基づいた判断を下すことができます。ユーザーの場所、セッションデータ、デバイスIPアドレスなどが、PSPに支払いを正確に承認した者が本物のカードホルダーであるか悪意のある第三者であるかについて、より明確な全体像を提供します。
SCAはすでに既存のPSD2の下での要件ですが、PSD3はPSRがそれらを施行する改善をもたらします。PSRが指令ではなく規制であることを考えると、加盟国が要件を国内法に転置することが必要で、別の長期プロセスですが、EUはそれをすべての加盟国にわたって直ちに施行することができます。
SCAに知らせるデータの種類は大部分において変わりませんが、PSD3は失敗の場合の責任をより明確に定義します。
PSD2に基づくSCAはまた通常スマートフォン経由でのみアクセス可能な手段を通じて施行されており、PSD3/PSRはPSPに認証のこれらの方法を広げることを強制し、例えばスマートフォンへのアクセスがない人々、または障害者に対してより大きな保護を提供します。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/11/eu_psd2_compensation/
