„Oszustwa internetowe zdarzają się dziś bardzo często i zbyt często skutkują stratami finansowymi konsumentów” — napisała we wtorek na X Henna Virkkunen, szefowa unijnej komisji ds. technologii, informując o piśmie wysłanym do trzech amerykańskich big techów i jednego z Europy. „Oszuści szeroko wykorzystują platformy internetowe i wyszukiwarki, aby znaleźć swoje ofiary — zarówno osoby prywatne, jak organizacje — i komunikować się z nimi” — wyjaśnił Thomas Regnier, rzecznik Komisji Europejskiej.
Według komisarz Henny Virkkunen cyberoszustwa — fałszywe oferty hoteli i fałszywe aplikacje bankowe, deepfejki z wykorzystaniem wizerunków osób publicznych promujących fałszywe inwestycje — kosztują Europejczyków ponad 4 mld EUR rocznie.
Pismo Komisji Europejskiej odbiło się szerokim echem, bo chociaż nie jest to pierwsza akcja podjęta przez Brukselę na podstawie Aktu o Usługach Cyfrowych (DSA), to po raz pierwszy dyrektywa została wykorzystana do walki z oszustwami finansowymi. Koszty działania cyberprzestępców ponosili dotychczas konsumenci i banki, a apele o rozciągnięcie odpowiedzialności na platformy internetowe przynosiło umiarkowane skutki. Rząd Australii nałożył na big techy obowiązek weryfikowania reklam inwestycji finansowych. W Wielkiej Brytanii Meta, operator Facebooka i Instagrama, zdecydował się dobrowolnie wprowadzić taką procedurę (reklamodawca produktów finansowych musi mieć licencję nadzoru finansowego). Efekty nie są jednoznaczne. Australia odnotowała 24-procentowy spadek liczby zgłoszonych oszustw, lecz o 26 proc. wzrosła wartość wyłudzeń. W Wielkiej Brytanii kolejny rok z rzędu przybyło ofiar oszustw — aż o 22 proc.
Przykład Australii jest ważny, ponieważ jest to kraj, który podejmuje skoordynowane działania na wielu poziomach zarządzania państwem — od administracji publicznej przez instytucje nadzorcze organy ścigania i podmioty rynkowe w celu ograniczenia oszustw. Przymuszenie platform internetowych do współpracy jest tylko jednym z elementów większego wysiłku.
Wielka Brytania od kilku lat jest w dialogu z big techami, które podpisały nawet specjalne porozumienie z poprzednim rządem o zwalczaniu oszustw. Na razie bez większych efektów.
UE poszła inną drogą i swoim zwyczajem przygotowała obszerną regulację opisującą zasady działania platform internetowych. Jak w przypadku każdej dyrektywy, była krytykowana za próby administrowania rynkiem. Głównym celem DSA było stworzenie bezpiecznej przestrzeni cyfrowej, w której chronione są podstawowe prawa i ustanowienie równych warunków działania dla innowacyjnych usług cyfrowych w całej UE. Pismo wysłane do big techów we wtorek pokazuje, że dyrektywa może być dobrym narzędziem do walki z cyberoszustwami. DSA zawiera bowiem wiele obowiązków, jakie muszą spełnić platformy internetowe.
- Obowiązek identyfikacji i ograniczania ryzyk systemowych
Duże platformy (VLOP — very large online platforms) i wyszukiwarki muszą przeprowadzać ocenę ryzyka systemowego, w tym w zakresie oszustw finansowych. W praktyce oznacza to, że Apple, Google, Microsoft, Meta, TikTok, AliExpress, Booking.com czy Temu muszą udowodnić, że wiedzą, jak ich systemy mogą być wykorzystywane do scamów, i że wdrażają działania zaradcze.
- Mechanizmy zgłaszania i działania (notice and action)
Platformy muszą mieć łatwy i skuteczny system zgłaszania nielegalnych treści, w tym oszukańczych reklam, aplikacji czy ofert inwestycyjnych. Są one też zobowiązane do usuwania takich treści szybko i skutecznie oraz informowania o podjętych działaniach.
- Obowiązek know your business customer
Platformy handlowe, reklamowe i aplikacyjne muszą weryfikować swoich klientów biznesowych (np. sprzedawców, reklamodawców). Przepis ma ograniczyć możliwość zakładania fałszywych kont przez oszustów i publikowania scamów anonimowo.
- Repozytoria reklam
VLOP muszą prowadzić publiczne bazy danych reklam z informacją, kto je zamówił, jak zostały targetowane i jakie treści promują. To ułatwia regulatorom i badaczom wykrywanie wzorów działań oszustów (np. powtarzających się kampanii inwestycyjnych scamów).
- Transparentność algorytmów i rekomendacji
Platformy muszą ujawniać, jak działają ich systemy rekomendacyjne (np. App Store, Google Play, Booking.com). Jeśli algorytmy sprzyjają promocji nielegalnych ofert finansowych, może to być uznane za naruszenie DSA.
- Dostęp dla badaczy i organów nadzoru
KE i regulatorzy krajowi mogą żądać danych od platform dotyczących np. tego, jak często pojawiają się oszukańcze reklamy czy fałszywe aplikacje. Zapis ten przesuwa ciężar dowodu na platformy — to one muszą wykazać, że działają skutecznie przeciwko scamom.
- Egzekucja i sankcje
Jeśli platformy nie spełnią wymogów DSA, KE może wszcząć formalne postępowanie. Sankcje mogą wynosić do 6 proc. globalnego rocznego obrotu firmy — dla gigantów technologicznych to miliardy euro. Możliwe jest też nałożenie środków naprawczych, np. obowiązku zmiany systemów rekomendacji lub procedur dopuszczania aplikacji do App Store/Google Play.
Wykorzystując zapisy dyrektywy o usługach cyfrowych, KE wszczęła dotychczas pięć postępowań wobec dużych platform.
Lista postępowań wszczętych na podstawie DSA przez KE wobec big techów
Pierwsze postępowanie w ramach DSA rozpoczęte w grudniu 2023 r. Skupia się na walce z dezinformacją i nielegalnymi treściami.
Walka z nielegalnymi treściami
Podejrzenie braku należytych środków i zasobów do walki z nielegalnymi treściami i dezinformacją, zwłaszcza w kontekście eskalacji konfliktów (np. wojna Izrael-Hamas).
Przejrzystość i dostęp do danych
Obawy dotyczące braku przejrzystości polityki moderacji treści oraz niewystarczającego dostępu do danych dla naukowców i badaczy.
Zarządzanie ryzykiem
Niedostateczne środki w zakresie ograniczania ryzyka systemowego związanego z projektowaniem interfejsu (np. funkcja community notes) i algorytmami.
Postępowanie wszczęte w lutym 2024 r. ze szczególnym naciskiem na bezpieczeństwo i ochronę nieletnich. Dodatkowo grudniu 2024 r. KE otworzyła dodatkowe postępowanie w związku z ryzykiem wyborczym (związanym z manipulacją treścią w kontekście wyborów).
Ochrona małoletnich
Podejrzenie, że projekt platformy i algorytmy (np. system rekomendacji) mogą powodować uzależnienia behawioralne i prowadzić do dostępu do szkodliwych treści.
Przejrzystość reklam
Niespełnienie wymogów DSA dotyczących prowadzenia publicznego, przeszukiwalnego repozytorium reklam i udostępniania informacji o targetowaniu.
Zarządzanie ryzykiem systemowym
Wątpliwości co do zarządzania ryzykiem związanym ze szkodliwymi treściami w szczególności w kontekście szybkiego rozprzestrzeniania się nieprawdziwych informacji.
Dostęp badaczy do danych
Obawy dotyczące niewystarczającego dostępu do publicznie dostępnych danych platformy dla naukowców.
Status
W maju 2025 r. KE ogłosiła wstępne ustalenia — stwierdziła, że TikTok nie wypełnia obowiązków dotyczących repozytorium reklam, które powinno zawierać pełne, łatwo przeszukiwalne informacje o kampaniach. TikTok może się odnieść do zarzutów, a KE rozważy dalsze działania.
Postępowanie wszczęte w marcu 2024 r. Dotyczy obowiązków platform handlowych w zakresie legalności oferowanych produktów.
Walka z nielegalnymi towarami
Niewystarczająca weryfikacja i usuwanie nielegalnych produktów (np. podrabiane leki, niebezpieczne zabawki, towary niezgodne z normami UE).
Ukryte linki i manipulacje
Brak skutecznych środków zapobiegających celowej manipulacji na platformie z użyciem ukrytych linków (hidden links) do promowania nielegalnych produktów poza mechanizmami kontrolnymi.
Identyfikowalność sprzedawców
Wątpliwości co do wypełniania obowiązku identyfikowalności handlowców (obowiązek know your business customer).
Przejrzystość i dostęp do danych
Obawy dotyczące przejrzystości systemów reklamowych i rekomendacyjnych oraz dostępu do danych dla badaczy.
Status
KE przyjęła prawnie wiążące zobowiązania w ramach Strategii Cyfrowej Europy, co oznacza, że platforma musiała zaakceptować konkretne działania naprawcze wskazane przez KE.
Postępowanie zostało wszczęte w maju 2024 r. Koncentruje się na ryzykach związanych z procesami demokratycznymi, wyborami oraz ochroną konsumentów.
Ryzyko dezinformacji i wyborów
Podejrzenie niewystarczającego przeciwdziałania rozpowszechnianiu wprowadzających w błąd reklam i kampanii dezinformacyjnych, które mogą zagrażać integralności wyborczej i debacie publicznej.
Oszukańcze reklamy
Niedostateczne środki weryfikacji i usuwania oszukańczych reklam, które naruszają ochronę konsumentów.
Dostęp do danych (CrowdTangle)
Obawy dotyczące braku przejrzystego i skutecznego dostępu do danych dla badaczy i dziennikarzy (np. poprzez wyłączenie narzędzia CrowdTangle bez odpowiedniego zamiennika), co utrudnia monitorowanie dyskursu publicznego w czasie rzeczywistym.
Moderacja treści
Wątpliwości co do skuteczności mechanizmów zgłaszania nielegalnych treści oraz wewnętrznych procedur rozpatrywania skarg przez użytkowników.
W październiku 2024 r. KE wszczęła postępowanie ściśle związane z bezpieczeństwem produktów oraz funkcjami interfejsu.
Rozpowszechnianie nielegalnych produktów
Wstępne ustalenia wskazują na wysokie ryzyko, że konsumenci w UE napotykają się na platformie naiebezpieczne lub nielegalne produkty (w tym zabawki i małą elektronikę).
Wady w ocenie ryzyka
Ocena ryzyka dokonana przez Temu jest niedokładna i nieoparta na wystarczających danych dotyczących własnego rynku.
Ciemne wzorce (dark patterns)
Badanie stosowania funkcji uzależniających lub manipulacyjnych technik projektowych, które mogą skłaniać użytkowników do zakupów lub podejmowania decyzji wbrew ich najlepszemu interesowi.
Skuteczność środków łagodzących
Ocena, czy środki wdrożone przez platformę są wystarczające do ograniczenia zidentyfikowanych ryzyk systemowych.
