Jak nowa funkcja maskowania numeru M-Pesa może powstrzymać tysiące oszustw

Od momentu uruchomienia platformy mobilnych płatności M-Pesa firmy Safaricom w 2007 roku, za każdym razem, gdy użytkownik wysyła pieniądze, płaci za paliwo, artykuły spożywcze lub przejazd boda boda, pozostawia swój numer telefonu, który pojawia się w powiadomieniu o transakcji wysyłanym do odbiorcy lub sprzedawcy. Ten numer może zostać zapisany, udostępniony lub sprzedany złośliwym podmiotom zaangażowanym w oszustwa typu SIM swap.

Dla ponad 37 milionów Kenijczyków korzystających z platformy jest to możliwe ogniwo w łańcuchu, które w niektórych przypadkach prowadziło do utraty środków przez klientów na rzecz oszustów.

W piątek Bank Centralny Kenii (CBK) zatwierdził długo oczekiwany wniosek Safaricom o ukrywanie numerów telefonów użytkowników podczas dokonywania płatności. 

Decyzja ta oznacza znaczącą zmianę w zakresie prywatności cyfrowej dla użytkowników platformy i bezpośrednią interwencję w zagrożenie oszustwami, które napędzało tysiące oszustw w kraju.

„Informujemy, że CBK przeanalizował Państwa wniosek i dokumentację wspierającą rozwiązanie oraz zatwierdza Państwa prośbę o wdrożenie minimalizacji danych w transakcjach peer-to-peer" – napisał CBK w liście do Safaricom.

W nowym systemie numery telefonów będą częściowo maskowane w transferach peer-to-peer. Jeśli odbiorca chce zobaczyć pełny numer, będzie musiał o to poprosić – a nadawca może wyrazić zgodę lub odmówić.

Funkcja ta uniemożliwi również sprzedawcom zobaczenie pełnego imienia i nazwiska lub numeru telefonu płatnika podczas regulowania rachunków lub kupowania towarów za pośrednictwem numerów Till lub Paybill platformy, ograniczając widoczność danych osobowych, co było przedmiotem obaw milionów użytkowników.

Rosnące zagrożenia oszustwami 

Konsekwencje łatwego dostępu do numerów telefonów były wyraźne. W 2025 roku Dyrekcja Dochodzeń Kryminalnych (DCI) aresztowała sześciu podejrzanych o cyberprzestępstwa w Mombasie, którzy prowadzili siatkę oszustów w nadmorskim mieście. Według DCI oszuści używali aplikacji do podszywania się pod tożsamość – zakupionych za ponad 500 000 KES (3 875 USD) – aby podszywać się pod przedstawicieli obsługi klienta banków i operatorów telefonicznych.

Używając numerów telefonów pozyskanych z legalnych transakcji, mogli przekonać ofiary, że rozmawiają z zaufanym urzędnikiem, wyłudzając kody PIN i hasła.

Oszustwa typu SIM swap stały się również jedną z najbardziej szkodliwych przestępstw w kenijskiej gospodarce opartej na urządzeniach mobilnych, wykorzystując fakt, że numer telefonu pełni podwójną rolę jako nazwa użytkownika banku i konto mobilnych pieniędzy.  Oszuści podstępem lub przekupstwem skłaniają agentów telekomunikacyjnych do przeniesienia numeru ofiary na nową kartę SIM, blokując prawowitego właściciela.

Po dokonaniu tego resetują kody PIN bankowości mobilnej i M-Pesa, przechwytują jednorazowe hasła i opróżniają konta w ciągu kilku minut. Skala zagrożenia wielokrotnie przyciągała ostrzeżenia ze strony Urzędu ds. Komunikacji Kenii i Banku Centralnego Kenii, a także zaostrzenie zasad rejestracji kart SIM i silniejsze wymagania dotyczące weryfikacji klientów.

Sąd Najwyższy Kenii również przyznał odszkodowania konsumentom za nieuzasadnione kontakty i spamowanie przez prywatne firmy. Na przykład lokalne firmy często wysyłają wiadomości promocyjne do klientów płacących za pośrednictwem mobilnych pieniędzy.

Regulatorzy zacieśniają teraz oczekiwania dotyczące tego, jak cyfrowe usługi finansowe obsługują dane osobowe. W 2024 roku firmy finansowe i ubezpieczeniowe stanowiły około 30% orzeczeń wydanych przez Biuro Komisarza ds. Ochrony Danych (ODPC), przy ponad 5 000 złożonych skarg.