Firmy od lat edukują klientów, jak nie dać się nabrać na fałszywe SMS-y, maile, telefony z banku, „dopłaty do paczki” i instalowanie podejrzanych aplikacji. Problem zaczyna się wtedy, gdy oficjalne procedury tej samej firmy działają na bardzo podobnych schematach jak znane fraudy. Z perspektywy organizacji to „wymogi bezpieczeństwa” i „standardowy proces”. Z perspektywy klienta - czerwone lampki. Efekt jest podwójnie szkodliwy: spada zaufanie do marki, a jednocześnie rozmywa się czytelność komunikatów antyfraudowych. Skoro wszystko wygląda jak scam, to przestaje być jasne, czego naprawdę unikać.

Dlatego każda organizacja powinna regularnie audytować swoje procesy obsługi klienta właśnie pod kątem podobieństwa do schematów oszustw. Nie chodzi o kosmetykę, ale o fundament zaufania.

Lustro oszustów: od czego w ogóle się odbić

Punktem wyjścia nie są procedury wewnętrzne, ale obrazy i historie, które klient nosi w głowie. Słyszał o SMS-ach o dopłacie 1 zł do przesyłki. O fałszywych mailach z „banku” z prośbą o kliknięcie w link. O telefonach z „działu bezpieczeństwa”, podczas których ktoś prosi o kody autoryzacyjne. O pseudo-konsultantach proszących o zainstalowanie aplikacji do zdalnego pulpitu. O stronach logowania na dziwnych domenach, które „prawie” wyglądają jak prawdziwe.

Właśnie na tle tych historii trzeba położyć firmowe procesy. Jeżeli proces płatności opiera się na SMS-ie z linkiem do dopłaty, jeżeli weryfikacja telefoniczna zaczyna się od natychmiastowego zbierania danych wrażliwych, jeżeli klient jest przekierowywany na mało znaną domenę z innym layoutem - wchodzi w scenariusz, który zna z ostrzeżeń policji, banków i mediów. To nie klient przesadza. To procedura jest źle zaprojektowana komunikacyjnie.

Spójność jako pierwszy warunek zaufania

Klient nie analizuje architektury systemów. Ocenia spójność: nadawcy, domeny, wyglądu, tonu komunikacji. Jeśli mail przychodzi z jednego adresu, SMS z przypadkowego numeru, formularz weryfikacyjny jest na innej domenie, a okno płatności wygląda jak z innego świata - powstaje dokładnie ten sam dysonans, który towarzyszy phishingowi. Gdy do tego treść wiadomości jest sztywna, pełna żargonu albo z błędami, mamy komplet.

Audyt procedur powinien zacząć się od przejścia całej ścieżki oczami klienta, krok po kroku. Czy z poziomu zwykłego użytkownika da się rozpoznać, że wszystkie te elementy należą do jednej, tej samej, wiarygodnej organizacji? Czy klient w każdym punkcie widzi tę samą markę, czy raczej czuje się jak w labiryncie podwykonawców i obcych serwisów? Jeżeli firma używa zewnętrznych dostawców płatności, weryfikacji czy zdalnego wsparcia, musi o tym jasno powiedzieć i osadzić te rozwiązania w swojej narracji. Inaczej rozsądny klient ma pełne prawo się wycofać.

Wyjaśniać „po co”, zanim poprosi się o „co”

Oszustwo zwykle zaczyna się od presji czasu, niejasnego zagrożenia albo atrakcyjnej okazji. Procedury budujące zaufanie działają odwrotnie: tłumaczą, uspokajają, pozwalają sprawdzić.

Jeżeli konsultant prosi o dane osobowe, powinien jeszcze przed pytaniem wytłumaczyć, dlaczego są potrzebne, jak wąski jest zakres tych danych i czego firma nigdy nie wymaga. Przykładowo: prośba o fragment danych do weryfikacji tożsamości może być uzasadniona, ale jednocześnie trzeba jasno podkreślić, że firma nigdy nie poprosi o kody SMS, PIN do bankowości, pełne dane karty czy loginy do innych usług. To samo dotyczy linków w SMS: o wiele bezpieczniejsze - i lepiej odbierane – jest wysłanie powiadomienia z informacją, że dalsze kroki należy wykonać po zalogowaniu się na znaną klientowi oficjalną stronę, niż oczekiwanie, że kliknie w losowy adres z krótkiego linka.

Przykład „scamopodobny”: wiadomość „Twoje konto zostanie zablokowane, jeśli w ciągu 24 godzin nie zaktualizujesz danych” z linkiem do strony, która nie przypomina głównego serwisu firmy. Przykład dojrzały: informacja w panelu klienta o konieczności aktualizacji wraz z równoległym, spójnym komunikatem mailowym i jasną instrukcją, co dokładnie zrobić, bez grania na strachu.

Daj klientowi możliwość odwrócenia kontroli

Większość znanych fraudów telefonicznych opiera się na tym, że ofiara nie ma jak zweryfikować, kto faktycznie dzwoni. Legalne procedury często nieświadomie kopiują ten układ sił. Konsultant dzwoni „z banku” i od razu żąda odpowiedzi na pytania weryfikacyjne. Klient, który słyszał o oszustwach, słusznie się blokuje.

Dojrzałe organizacje wbudowują w skrypty zasadę odwróconej kontroli. Konsultant nie obraża się, gdy klient chce przerwać rozmowę i oddzwonić na oficjalną infolinię. Wręcz zachęca: „Jeśli wolisz, rozłącz się teraz i zadzwoń na numer z naszej strony. Informacja o [sprawie X] będzie widoczna w systemie. Możesz też sprawdzić powiadomienie w swojej aplikacji”. Taka procedura jednocześnie utrudnia życie oszustom i wzmacnia zaufanie do marki.

Sytuacją graniczną są skrypty windykacyjne i sprzedażowe. Jeśli konsultant sugeruje, że klient „nie może się rozłączyć”, „nie ma czasu na weryfikację” albo „natychmiast musi podać dane, bo inaczej…”, to z punktu widzenia wzorca zachowania jest to nieodróżnialne od agresywnego scamu. Audyt powinien takie zapisy eliminować bez dyskusji.

Płatności, 3D Secure i „dopłaty 1 zł”

Proces płatności to jedna z najbardziej wrażliwych przestrzeni. Oszuści do znudzenia korzystają z mechanizmu „dopłać 1 zł, aby potwierdzić”, „kliknij w link, żeby dokończyć płatność”, „podaj dane karty na stronie, która wygląda prawie jak bankowa”. Jeśli oficjalna procedura firmy jest zbliżona do tych schematów, problem nie jest po stronie klienta.

Jeżeli w procesie pojawiają się dodatkowe okna autoryzacji kartowych lub bankowych, klient powinien być o tym uprzedzony wprost, zanim do nich dotrze. Dobrą praktyką jest komunikacja w stylu: „Za chwilę przekierujemy Cię na stronę Twojego banku z dodatkowym oknem potwierdzenia. Upewnij się, że widzisz prawdziwą nazwę banku i połączenie szyfrowane”. Złą praktyką jest brak informacji, przypadkowy wygląd, brak polskiej wersji językowej, dziwne komunikaty techniczne i sugerowanie drobnych „opłat weryfikacyjnych” w sposób przypominający fałszywe SMS-y o paczkach.

Jeżeli projekt zespołu płatności zakłada dokładnie to, co od lat rozpoznajemy w kampaniach oszustów, audyt powinien to zatrzymać, nawet jeśli od strony prawnej i technicznej wszystko „się spina”.

Zdalne wsparcie techniczne: klasyk wykorzystywany przez oszustów

Kolejny obszar ryzyka to zdalny dostęp do urządzeń klienta. Technicznie bywa uzasadniony, ale komunikacyjnie jest niemal identyczny jak scenariusz „proszę zainstalować ten program, pokażę panu, co kliknąć, tylko proszę zalogować się do banku”. Jeżeli firma realnie korzysta z narzędzi typu remote desktop, musi zbudować dookoła nich bardzo restrykcyjną, transparentną otoczkę.

Instrukcja powinna być dostępna na oficjalnej stronie, a inicjatywa połączenia powinna wychodzić od klienta, który sam przechodzi przez link opublikowany w zaufanym miejscu. Konsultant musi jasno zakomunikować, do czego ma dostęp i czego nigdy nie będzie wymagał. Jeżeli aktualna procedura polega na wysłaniu mailem pliku .exe z prośbą „proszę uruchomić”, wygląda to jak podręcznikowy przykład oszustwa - i tak właśnie będzie czytana.

Język, który brzmi jak scam

Nawet formalnie poprawna procedura może wywoływać wrażenie oszustwa przez sam sposób komunikacji. Fraudy mają charakterystyczny styl: nacisk na pośpiech, niejasne konsekwencje, obietnice korzyści, brak możliwości spokojnego zweryfikowania informacji. Jeśli oficjalne komunikaty firmy są naszpikowane podobnymi elementami, trudno oczekiwać, że klient będzie im ufał.

Jeżeli mail o „konieczności aktualizacji danych” straszy natychmiastową utratą dostępu do środków, jeżeli SMS dotyczący bezpieczeństwa zawiera nachalną promocję, jeśli konsultant zamiast cierpliwego wyjaśnienia używa półgroźnych formułek, to organizacja mimowolnie wchodzi w estetykę komunikacyjną oszustów. Audyt języka powinien eliminować takie kalki i zastępować je tonem spokojnym, informacyjnym, spójnym z edukacją antyfraudową, którą sama firma prowadzi na zewnątrz.

Jak zorganizować audyt „anty-scamowy” na serio

Tego typu sprawdzenie nie może być jednorazową akcją „na oko”. Powinno wejść na stałe w governance: obok zgodności z prawem, RODO i wymaganiami regulatorów. Zespół odpowiedzialny za bezpieczeństwo, obsługę klienta i komunikację powinien cyklicznie przechodzić przez wszystkie scenariusze, w których klient:

  • podaje dane,
  • wykonuje płatność,
  • reaguje na prośbę z kanału wychodzącego (telefon, SMS, mail),
  • ma coś zainstalować lub kliknąć poza główną stroną.

Każdy z tych scenariuszy należy obejrzeć oczami kogoś, kto właśnie obejrzał w telewizji materiał o oszustwach i dostał kilka ostrzegawczych ulotek z banku. Jeśli w tym spojrzeniu procedura wygląda choć trochę jak to, przed czym ostrzegacie - trzeba ją uprościć, doprecyzować, ujednolicić, albo całkowicie przeprojektować.

Kluczowe pytanie kontrolne, które warto sobie zadać na koniec każdego takiego przeglądu, jest brutalnie proste: gdybyśmy zobaczyli tę procedurę u innej firmy, jako prywatni klienci - czy nie uznalibyśmy jej za podejrzaną? Jeśli odpowiedź nie jest natychmiastowym „nie”, to znaczy, że procedura nie jest bezpieczna komunikacyjnie. A to w dzisiejszej rzeczywistości jest równie istotne jak bezpieczeństwo techniczne.