Pięć kroków do bezpiecznych zakupów online

Wystarczy zaznaczyć, że w grupie 28,8 mln polskich internautów aż 77 proc. z nich dokonało co najmniej jednej transakcji online w swoim życiu , a odsetek ten systematycznie rośnie. Trzeba jednak pamiętać, że pośród niewątpliwie szerokiej gamy zalet dokonywania zakupów online, istnieją również pewne zagrożenia, o których konsumenci nie mogą zapominać. Wystarczy wymienić choćby phishing, kradzież tożsamości czy cyberzagrożenia. W niniejszym artykule zostały omówione wybrane istotne zasady bezpiecznego dokonywania zakupów w sklepach on-line.

Opinie o sklepie

Internet umożliwia błyskawiczne zakupy, ale również sprawną weryfikację sprzedawcy sklepu online, choć o tym drugim często kupujący zapominają. Pytanie, czy sprzedawców należy weryfikować, jest retoryczne. Skoro dla konsumenta oczywista jest weryfikacja opinii o produkcie, którego zakup jest planowany, to tak samo naturalna powinna być dla kupującego weryfikacja sprzedawcy. Ma to istotne znaczenie z perspektywy bezpieczeństwa transakcji, a finalnie satysfakcji z zakupu.

Pierwszy krok w tym kierunku brzmi jak truizm, ale jest niezwykle istotny – należy sprawdzać opinie o sprzedawcy dostępne w internecie. Nie bez powodu najpopularniejszy serwis aukcyjny i portal sprzedażowy w Polsce już od wielu lat stosuje system ocen sprzedawcy. Daje on bowiem konsumentom, szczególnie przy większej ilości transakcji dokonanych w danym sklepie, istotną informację odnośnie wiarygodności sprzedawcy, w tym jego terminowości czy jakości oferowanych produktów. Natomiast opinie o internetowych sklepach z łatwością można znaleźć na forach internetowych czy dzięki popularnym porównywarkom cenowym.

Rozsądny konsument musi mieć jednak na uwadze, że niektóre komentarze negatywne tworzone są przez nieprzychylną konkurencję, a pozytywne przez samego sprzedawcę. Zachowanie zdrowego rozsądku jest w pełni wskazane i same komentarze nie powinny być jedynym miernikiem wiarygodności. Warto również wiedzieć, jak w łatwy sposób ustalić, czy sklep rozpoczął działalność tydzień temu, co czyniłoby wątpliwym posiadanie kilkuset komentarzy kupujących, czy może działa na rynku kilka lat. Istnieje bowiem możliwość sprawdzenia archiwum strony. Portal web.archive.org umożliwia podgląd zrzutów ekranu z historii danej strony.

Dane sprzedawcy

Kolejnym etapem weryfikacji sprzedawcy jest ustalenie danych rejestrowych firmy. Każdy wiarygodny przedsiębiorca oferujący swoje produkty online, powinien w transparentny sposób przekazać takie informacje jak: nazwa firmy, siedziba, adres korespondencyjny, kontaktowy numer telefonu, adres e-mail. Przedsiębiorcy prowadzący jednoosobową działalność gospodarczą lub na podstawie umowy spółki cywilnej powinni udostępnić NIP, który obok wymienionych danych firmowych umożliwia ustalenie w Centralnej Ewidencji i Informacji o Działalności Gospodarczej² informacji o przedmiocie działalności, danych kontaktowych czy dacie rozpoczęcia działalności gospodarczej. Wątpliwości uważnego Kowalskiego powinny budzić takie fakty jak zawieszenie działalności gospodarczej czy niezgodność deklarowanego w rejestrze przedmiotu działalności z faktycznie realizowanymi usługami. Sprzedawcy prowadzący działalność w formie spółek osobowych i kapitałowych powinni z kolei podać numer Krajowego Rejestru Sądowego. Umożliwia on weryfikację w rejestrze przedsiębiorców³ informacji o osobach prawnych. Nieufność powinny budzić m.in. wpisy w dziale 4 (zaległości) czy w dziale 6 (likwidacja, upadłość).

Czytaj więcej

Konsumenci

Zakupy online a prawa konsumenta - rękojmia, gwarancja, odstąpienie od umowy

Konsumenci dokonujący zakupów online mają różne możliwości postępowania, w przypadku gdy zakup z jakiegoś powodu im nie odpowiada.

Brak danych kontaktowych sprzedawcy w zakładce „Kontakty” czy w regulaminie sprzedaży (świadczenia usług) stanowi wyraźny sygnał do zmiany sprzedawcy.

Warto również pamiętać, że polski adres korespondencyjny podany przez sprzedawcę bądź strona internetowa prowadzona w języku polskim wcale nie musi oznaczać, że firma prowadzi działalność gospodarczą z Polski. Ma to istotne znaczenie w kontekście prostoty w potencjalnym dochodzeniu roszczeń od nierzetelnego sprzedawcy, ale także w kontekście terminu dostawy. Wystarczająco czytelna informacja o długim czasie dostawy i konieczności np. sprowadzenia towaru z Chin, ma istotne znaczenie w procesie decyzyjnym konsumenta.

Konto w e-sklepie

Proces zakładania konta w e-sklepie wbrew pozorom uwypukla istotne dla e-konsumenta kwestie, które na etapie zakupu produktu zasadniczo nie są brane pod uwagę – mianowicie podejście formalne i techniczne sprzedającego do bezpieczeństwa przetwarzania danych osobowych kupujących. Warto zwrócić uwagę na to, czy:

- istnieje możliwość dokonania wyboru i złożenia zamówienia przy jednoczesnym założeniu konta albo jako gość – druga opcja wiąże się z koniecznością podania mniejszej ilości informacji i jest szczególnie przydatna wtedy, gdy zakup ma charakter jednostkowy;

- na etapie dokonywania zakupu kupujący jest proszony o wyrażenie zgód marketingowych; nierzadkim przypadkiem jest domyślne zaznaczanie zgód, co jest sprzeczne z przepisami, ponieważ zgoda musi być aktywnie wyrażona, a nie domyślnie zaznaczona, bądź umieszczanie ukrytych (zwiniętych) zgód szczegółowych i pozostawienie jednego checkboxa, który ma akceptować wszystkie schowane klauzule – takie praktyki nie są właściwe;

- na etapie dokonywania zakupu kupujący jest proszony o wyrażenie zgody na przekazanie danych podmiotom trzecim bądź „zaufanym partnerom” w celu prowadzenia działań marketingowych – taka zgoda bez wskazania konkretnych podmiotów, którym dane mają być przekazywane również jest niewłaściwa. Kupujący musi być świadomy, kto otrzyma jego dane.

- logowanie do konta wymaga dwuskładnikowego uwierzytelnienia bądź czy użytkownik ma co najmniej możliwość aktywacji lub dezaktywacji tej formy potwierdzenia swojej tożsamości; zastosowanie tego rozwiązania jest standardem⁴ i wpływa pozytywnie na wzrost bezpieczeństwa konsumentów, utrudniając dostęp do danych kupujących przetwarzanych przez sklepy online.

- czy i jakie minimalne wymogi dotyczące haseł stosuje sprzedawca. Zgodnie z najnowszymi wytycznymi CERT Polska⁵ opracowanymi w oparciu o wytyczne FBI, Microsoftu, brytyjskiej (NCSC) czy amerykańskiej organizacji zajmującej się cyberbezpieczeństwem (NIST) hasło: powinno składać się co najmniej z 12 znaków, użytkownik nie powinien być zmuszany do cyklicznej zmiany hasła, chyba że zajdzie podejrzenie utraty jego poufności, nie powinna istnieć możliwość ustawienia hasła zawierającego najczęściej występujące frazy (imiona, zbitki popularnych konfiguracji liter i innych znaków takich jak admin1234), użytkownik powinien móc zweryfikować siłę ustanawianego hasła za pomocą odpowiedniego wskaźnika udostępnionego przez sprzedawcę.

Omówione wyżej obszary nie świadczą (przynajmniej samoistnie) o tym, że sprzedawca zamierza konsumenta „oszukać”. Rozsądny konsument powinien natomiast mieć je na uwadze przy dokonywaniu wyborów zakupowych, ponieważ uwypuklają pozytywne, umiarkowane lub negatywne podejście sprzedawcy do kwestii bezpieczeństwa.

Bezpieczne płatności w e-sklepie

Zakupy w internecie mogą być bardziej bezpieczne wtedy, gdy dokonujemy płatności kartą. Daje to bowiem prawo do skorzystania z usługi chargeback. Umożliwia ona kupującym w określonych przypadkach złożenie reklamacji do banku, który za pośrednictwem organizacji kartowej takiej jak Mastercard czy Visa przesyła ją finalnie do sprzedawcy. Niewątpliwą zaletą, z którą wiąże się skorzystanie z tej instytucji, jest fakt, że taka procedura jest bezpłatna i relatywnie szybka.

Co ciekawe, zasady funkcjonowania chargeback nie zostały uregulowane prawnie na poziomie ustawy⁶, a mimo wszystko mają one charakter powszechny. Jest to konsekwencją umieszczenia stosownych procedur w regulaminach organizacji kartowych, do których przestrzegania zobowiązały się banki. Może ona znaleźć zastosowanie przy każdej transakcji płatniczej dokonanej przy użyciu karty debetowej czy kredytowej, ale również w transakcjach bankowych czy przy użyciu terminali sprzedażowych.

W praktyce chargeback umożliwia odzyskanie zwrotu pieniędzy wtedy, gdy opłacona kartą płatniczą usługa lub produkt nie zostały dostarczone lub wykonane, nie otrzymano części lub całości podjętych z bankomatu pieniędzy lub rachunek płatniczy został obciążony transakcją, mimo że została ona anulowana, a towar zwrócony.

Przy dokonywaniu płatności online dobrze jest również upewnić się, czy podane przez sklep konto rachunku bankowego nie należy do tzw. elektronicznych portmonetek, czyli kupowanych, np. w urzędzie pocztowym za 5 zł kart płatniczych wraz z numerem konta w celu późniejszego ich doładowania (karta płatnicza typu pre-paid). Wiarygodność konta sprzedawcy można sprawdzić, wpisując numer rachunku bankowego pod adresem konto.uwaga.info, gdzie w przypadku karty typu pre-paid nie pojawi się żaden oddział banku, a tylko centrala. Należy pamiętać, iż transakcja taka jest niebezpieczna, gdyż numer konta rachunku bankowego nie jest powiązany z żadnymi danymi personalnymi.

(Nie)bezpieczne linki

Na każdym etapie e-zakupu: szukania produktu, wyboru sprzedawcy, zamawiania towaru, jego opłacania czy dostawy, na e-konsumenta czyhają liczne pułapki, które mają zmusić internautę do wykonania pożądanego przez przestępcę działania. Często za pomocą celowego wprowadzania w błąd, wzbudzenia emocji (strachu, chciwości, wstydu, stresu) czy wywołania poczucia presji czasu (natychmiastowe zamknięcie konta, niezwykła okazja, która zaraz wygaśnie). Przestępcy działają w taki sposób, aby podstępem doprowadzić do udostępnienia naszych danych, czy to dostępu do konta w e-sklepie, dostępu do konta w banku czy przelewu środków pieniężnych na inny numer rachunku. Tego typu przestępcze działania można określić mianem phishingu, którego częstotliwość występowania stale wzrasta, wraz z rozwojem internetu.

Warto odnotować, że CERT Polska7 zarejestrował w 2021 r. łącznie 29 483 unikalnych incydentów bezpieczeństwa, co stanowiło wzrost obsłużonych incydentów o  182 proc. w porównaniu do roku 2020. Najczęstszym typem incydentów był phishing – stanowiący aż 76,57 proc. wszystkich obsłużonych incydentów. Statystycznie najbardziej narażone na zagrożenia są właśnie sektory handlu hurtowego i detalicznego, poczty i usług kurierskich. W minionym roku przestępcy skupili się na udoskonalaniu znanych scenariuszy phishingowych: przejęciu kont na Facebooku, fałszywych bramkach płatności oraz wyłudzaniu pieniędzy od sprzedających na portalach ogłoszeniowych.

Jednym z bardziej popularnych ataków było wyłudzenie danych dostępu do konta bankowego poprzez podanie przez przestępcę w wiadomości prywatnej linku prowadzącego do fałszywej strony. Wciąż popularne są również „ataki” polegające na wprowadzeniu użytkownika w błąd i zachęceniu go do zainstalowania fałszywej, choć imitującej wiernie oryginał, aplikacji (patrz grafika).

Nie ma jednej uniwersalnej rady, jak nie stać się ofiarą tego typu przestępczych działań. W parze musi iść ze sobą zdrowy rozsądek, spokój i ostrożność. Należy unikać instalowania aplikacji pochodzących z nieznanych źródeł czy klikać w linki, które są lub mogą być podejrzane. Niejednokrotnie w sytuacjach wątpliwych bardziej bezpiecznym rozwiązaniem będzie wejście na stronę poprzez ręczne wpisanie adresu www aniżeli klikanie w link. Wysyłanie linków z czasem staje się coraz mniej popularne właśnie z uwagi na tego typu ataki. A jeśli już e-konsument trafi do podejrzanego serwisu, to powinien zgłosić stronę, która może wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub portali społecznościowych, za pomocą formularza dostępnego na incydent. cert.pl/phishing. Dzięki temu strona zostanie zweryfikowana, a w przypadku weryfikacji negatywnej, umieszczona na liście ostrzeżeń.

Podsumowanie

Opisane w niniejszym artykule zasady nie mają kompleksowego charakteru, ale odnoszą się do podstawowych zasad bezpieczeństwa, których przestrzeganie, niewymagające wielkiego wysiłku, w sposób istotny to bezpieczeństwo zwiększy. Wraz z rozwojem internetu i branży e-commerce będą pojawiać się nowe zagrożenia. Rozsądny użytkownik powinien dbać o dobre nawyki w sieci, tak jak dba o to, aby nie trzymać w świecie offline portfela w tylnej kieszeni spodni.

Maciej Bednarek – Specjalista z zakresu prawa dla branży e-commerce, ochrony danych osobowych oraz prawa pracy

Przypisy:

1 Gemius, „E-commerce w Polsce 2021”,

2 Jawny rejestr dostępny jest pod adresem: aplikacja.ceidg.gov.pl

3 Jawny rejestr dostępny jest pod adresem: ekrs.ms.gov.pl w zakładce „Wyszukiwarka KRS”

4 Tak UODO w artykule: https://techinfo.uodo.gov.pl/hasla-praktyczne-wskazowki-czy-naprawde-trzeba-zmienic-haslo-co-30-dni/, oraz w decyzji administracyjnej z dnia 10 września 2019 r. w sprawie o sygn. ZSPR.421.2.2019

5 https://cert.pl/posts/2022/01/rekomendacje-techniczne-systemow-uwierzytelniania/

6 Istnieją jedynie punktowe regulacje, m.in. art. 46 Ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych