Klientka padła ofiarą phishingu. Bank oddał pieniądze i wezwał do ich zwrotu

Tak sprawę opisuje czytelniczka: –
Ku mojemu zdziwieniu, po kilku miesiącach bank cofnął reklamację i wysłał mi
przedsądowe wezwanie do zapłaty, twierdząc, że doszło z mojej strony do
„rażącego niedbalstwa”. Wcześniejsze pisma z banku zawierały sprzeczne
informacje – w jednym bank uznaje transakcje za autoryzowane, w innym za
nieautoryzowane. Zwrot środków nastąpił dopiero po interwencji Rzecznika
Finansowego. Dodatkowo, w aplikacji mBanku, w zakładce „Kredyty”, nagle
pojawiła się kwota 10 000 zł – mimo że mój PESEL jest zastrzeżony od lipca 2024
roku.

UOKiK: Bank ma zwracać pieniądze natychmiast

Warto przypomnieć, że niedawno
Urząd Ochrony Konkurencji i Konsumenta pogroził bankom palcem, nakazując
rozpatrywanie reklamacji w szybszym tempie i na korzyść klientów. Urząd,
powołując się na zapisy art. 46 ustawy o usługach płatniczych, stanowiącej
implementację przepisów unijnych PSD2, stwierdził, że banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub
przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji – do końca
następnego dnia roboczego po zgłoszeniu. Wyjątkiem są dwie sytuacje:
zgłoszenie konsumenta nastąpiło później niż 13 miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa
ze strony rzekomo poszkodowanego konsumenta, o czym bank zawiadomił policję lub
prokuraturę.

Zwróciliśmy się do mBanku z
prośbą o wyjaśnienie sytuacji. Bank z uwagi na obowiązującą tajemnicę bankową
nie mógł odnieść się do tego konkretnego przypadku, ale wyjaśnił jak wygląda
procedura w przypadku reklamacji dotyczących transakcji nieautoryzowanych i co
mogło się stać w opisanej sytuacji.

Trzy scenariusze

Zgodnie z ustawą o usługach
płatniczych, w przypadku zgłoszenia reklamacji transakcji nieautoryzowanej bank
może rozwiązać zgłoszenie, wybierając jeden ze scenariuszy:

1) jeśli ustali, że transakcja
nie była autoryzowana przez klienta, powinien oddać pieniądze,

2) jeśli ustali, że transakcja
była autoryzowana przez klienta i ma uzasadnione oraz udokumentowane
podejrzenie usiłowania popełnienia oszustwa, nie oddaje środków i informuje o
tym w formie pisemnej organy powołane do ścigania przestępstw,

3) jeśli ustali, że transakcja
była nieautoryzowana przez klienta i jednocześnie klient doprowadził do niej
umyślnie lub w wyniku będącego skutkiem rażącego
niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w
art. 42 ustawy, bank powinien oddać środki, zachowując prawo do ich zwrotu
przez klienta.

Przedstawiciele mBanku
przytaczają także stanowisko prezesa UOKiK z dnia 16 listopada 2022 r., z
którego wynika, że procedura oddania
środków klientowi, a następnie żądanie ich zwrotu może mieć miejsce, w
sytuacji, gdy doszło do tzw. „rażącego niedbalstwa” ze strony klienta.

UOKiK: Bank może uznać, że zwrot był niezasadny i wystąpić z
roszczeniem

„Podejrzenie dostawcy, że
zachowanie płatnika mogło cechować się rażącym niedbalstwem, nie stanowi zatem
podstawy do odmowy dokonania zwrotu kwoty transakcji, której autoryzacji
płatnik zaprzecza. W przypadku gdy zwrot kwoty płatnikowi jeszcze nie nastąpił,
dostawca usług płatniczych, jeżeli dokonał odpowiednich ustaleń, powołując się
na treść art. 46 ust. 3, powinien poinformować płatnika o swoich ustaleniach i
o tym, że w jego ocenie zwrot kwoty transakcji jest niezasadny. Nie może on jednak odmówić zwrotu kwoty,
jeżeli płatnik w dalszym ciągu go żąda. W takim przypadku dostawca usług
płatniczych po dokonaniu zwrotu może wystąpić z roszczeniem o zapłatę wobec
płatnika. Podobna sytuacja ma miejsce w przypadku, gdy dostawca usług
płatniczych dokona ww. ustaleń już po dokonaniu zwrotu kwoty transakcji
płatnikowi.”

„Bank w połowie zeszłego roku
zmienił proces obsługi reklamacji dotyczące transakcji nieautoryzowanych, by
dostosować go do wskazanego wyżej stanowiska. Jeśli klient złożył reklamację
przed zmianą procesu, a zdaniem banku doszło do transakcji w wyniku jego
rażącego niedbalstwa, bank nie zwracał środków i jednocześnie informował
klienta o okolicznościach, które wskazują na to niedbalstwo. W analogicznej
sytuacji, po zmianie procesu, bank zwraca
środki i jednocześnie informuje, że jego zdaniem doszło do rażącego niedbalstwa
ze strony klienta oraz że będzie dochodził zwrotu środków.” – usłyszałem w
biurze prasowym mBanku.

„To nie kredyt, tylko kwota do zwrotu”

Innymi słowy, sprawa wygląda
następująco: bank ma obowiązek zwrócić klientowi pieniądze, jeśli klient zgłosi
reklamację. Ma na to jeden dzień. Jeśli jednak w toku analizy stwierdzi, że
wina leży po stronie klienta, ma dwie opcje: albo zażądać zwrotu środków, albo
zgłosić do organów ścigania sprawę potencjalnego oszustwa. Taka procedura
obowiązuje w całej branży.

Przedstawiciele mBanku tłumaczą
też, że w takiej sytuacji pierwszym etapem przed skierowaniem sprawy do sądu
jest wezwanie do zapłaty. Sprawa  zostaje
przekazana do windykacji. W przypadku trudnej sytuacji klienta można pójść na
ugodę i porozumieć się z bankiem co do zasad oraz terminu spłaty. Dodają też,
że od lat prowadzą działania edukacyjne, w których na bieżąco informują o
sposobach działania przestępców oraz jak się przed nimi ochronić. 

Co to jest „rażące niedbalstwo”?

Tu oczywiście kwestią dyskusyjną
jest termin „rażące niedbalstwo”, który nie został zdefiniowany w żadnych
przepisach. Bankowcy, z którymi rozmawiałem mówią, że chodzi w tym przypadku o
ewidentne błędy w zachowaniu użytkownika bankowości elektronicznej, czyli np.
instalowanie aplikacji na prośbę fałszywego pracownika banku, logowanie się do
systemów transakcyjnych przez linki w mailach lub sms-ach i tego typu podobne
sytuacje. Z orzecznictwa sądowego wynika, że do rażącego niedbalstwa dochodzi
wtedy, gdy istnieją dowody na to, że bank informował o zasadach bezpieczeństwa
i ostrzegał swoich klientów przed takim sposobem działania oszustów, a klient zignorował
to.

W tym kontekście ważne są też dwa
pojęcia: uwierzytelnienie i autoryzacja transakcji. Jak informuje UOKiK, uwierzytelnienie
to „procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości
użytkownika lub ważności stosowania konkretnego instrumentu płatniczego,
łącznie ze stosowaniem indywidualnych danych uwierzytelniających” (np. podanie
kodu PIN). Natomiast autoryzacja – poza uwierzytelnieniem, które jest
czynnością techniczną – obejmuje zgodę użytkownika na daną transakcję. Transakcją nieautoryzowaną będzie zatem
również transakcja uwierzytelniona (np. poprzez podanie kodu PIN), ale bez
zgody konsumenta.

Natomiast zdaniem banków, zgoda
klienta jest wtedy, kiedy użytkownik zatwierdza komunikat autoryzacyjny, w
którym jest napisane, co się wydarzy z jego środkami po akceptacji.

Ciężar udowodnienia, że to klient
zaakceptował komunikat autoryzacyjny, a nie przestępcy spoczywa na banku.

UOKiK: w przypadkach spornych winę rozstrzygają sądy

– W sytuacji, gdy oszustom udaje
się rozpracować bankowe procedury i zabezpieczenia, bank nie może być sędzią we
własnej sprawie, arbitralnie odrzucając reklamacje konsumentów oraz wbrew
obowiązującemu prawu wstrzymując się od zwrotu środków. Oceną i uznaniem winy w
sytuacjach budzących wątpliwości powinny się zajmować sądy – bezstronne zarówno
dla banku, jak i konsumenta – mówił Tomasz Chróstny, prezes UOKiK.

Dodał też, że w przeszłości
dochodziło do sytuacji, gdy banki twierdziły, że transakcja została
autoryzowana i jednocześnie konsument mógł dopuścić się rażącego niedbalstwa lub że samo wykazanie uwierzytelnienia przez bank zwalnia go z obowiązku zwrotu.
Konsumenci, którzy otrzymali tego typu odpowiedzi na reklamacje w sprawie
kradzieży pieniędzy z konta, mogli zostać wprowadzeni w błąd co do faktu
autoryzowania takiej transakcji oraz zakresu obowiązków i odpowiedzialności
banku. W 2022 roku UOKiK postawił w tej sprawie zarzuty pięciu bankom.

Źródło: