Rzadko zdarza się, że niemal każdy przedsiębiorca w sektorze
znajduje się na celowniku UOKiK. Taki „zaszczyt” spotkał banki w sprawie
postępowania z nieautoryzowanymi transakcjami. Jest spora szansa, że urząd
będzie w tym sporze górą. Sprawdzamy, co to oznacza dla konsumentów.

Nieautoryzowana transakcja na koncie – jak powinien zachować się bank?
Nieautoryzowana transakcja na koncie – jak powinien zachować się bank?
fot. Geobor / / Shutterstock

Urząd Ochrony Konkurencji i Konsumentów pochwalił się w Walentynki
kolejnymi postępowaniami wobec banków. Do
9 instytucji, które wcześniej znalazły się pod lupą urzędu, dołączyło 6
kolejnych
. W tym gronie znalazły się Alior Bank, Citi Handlowy, BOŚ, Bank
Pekao, PKO BP oraz Plus Bank.

Sprawa nie jest nowa, można wręcz powiedzieć, że już mocno
nieświeża. Postępowaniu banków w sprawach nieautoryzowanych transakcji
przyglądał się najpierw Rzecznik Finansowy, który opublikował raporty w 2019 i
2020 r. Rzecznik napiętnował niewłaściwe praktyki, ale nie był w stanie wpłynąć
na banki. UOKiK, który pierwsze zarzuty urząd postawił bankom w 2022 r., ma
natomiast odpowiednie narzędzia, w tym możliwość nałożenia kar finansowych
sięgających 10 proc. rocznego obrotu przedsiębiorcy.

Głównym (ale nie jedynym) zarzutem stawianym bankom jest niewłaściwe
postępowanie ze zgłoszeniami dotyczącymi transakcji płatniczych. Chodzi o m.in.
przypadki wyłudzenia danych kart płatniczych, danych dostępu do bankowości
internetowej i kodów do potwierdzenia przelewów, które kończą się utratą przez
klienta pieniędzy. Dlaczego tak podstawowa sprawa nadal jest osią sporów, mimo
istnienia szczegółowych regulacji prawnych?

UOKiK i Rzecznik Finansowy promują skrajnie prokonsumencką
wizję
obowiązków banku w takiej sytuacji, bazuje ona na literalnym
odczytaniu obowiązujących przepisów. Banki w większości unikają do tej pory
automatycznego przyznawania racji klientom
. Co ważne, obie strony mają
istotne argumenty
.

„Pieniądze mają wrócić natychmiast”

Na pozór regulacje prawne (ustawa o usługach płatniczych) są
w sprawie nieautoryzowanych transakcji jasne. Bank powinien najpóźniej
następnego dnia roboczego po zgłoszeniu klienta zwrócić mu środki
. Wyjątki
są dwa:

  1. Przypadek, w którym dostawca usługi płatniczej
    podejrzewa oszustwo („ma uzasadnione i należycie udokumentowane podstawy”) i
    informuje o tym organy ścigania.
  2. Przypadek, w którym klient zgłasza
    nieautoryzowaną lub niewłaściwie zrealizowaną transakcję płatniczą po ustawowym
    terminie (13 miesięcy od dnia wykonania operacji lub obciążenia rachunku
    płatniczego).

Przypomnijmy, że za nieautoryzowaną transakcję płatniczą
odpowiada płatnik (my, konsument), jeśli doprowadził do niej umyślnie lub wskutek rażącego niedbalstwa i naruszenia co najmniej jednego z obowiązków
wymienionych w ustawie (m.in. korzystanie z instrumentu płatniczego zgodnie z
umową, przechowywanie go z należytą starannością, nieudostępnianie osobom
nieuprawnionym). Inne zasady, z ograniczeniem kwotowym odpowiedzialności,
obowiązują w przypadku kradzieży instrumentu lub jego utraty (np. zgubienia).
Wówczas do momentu zastrzeżenia instrumentu odpowiadamy za transakcje do kwoty
50 euro.

Sednem sprawy jest jednak rozumienie terminu „nieautoryzowana
transakcja”. W ustawie jest mowa, iż „transakcję płatniczą uważa się za
autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w
sposób przewidziany w umowie między płatnikiem a jego dostawcą”. Co jeśli
jednak padliśmy ofiarą oszustów, którzy skłonili nas do zrealizowania innej
transakcji, niż zamierzaliśmy? Czy jako płatnik wyraziliśmy zgodę?

UOKiK i Rzecznik Finansowy: Najpierw zwrot, później
ustalenie odpowiedzialności

Instytucje chroniące konsumentów mają na ten problem
wyrobiony pogląd. „Ustawa o usługach płatniczych nie zawiera definicji legalnej
pojęcia nieautoryzowanej transakcji płatniczej […] A contrario, z
nieautoryzowaną transakcją płatniczą mamy do czynienia w sytuacji, gdy płatnik
nie wyraził na nią zgody
” – wskazywał
w swoim opracowaniu Rzecznik Finansowy
.

Jeśli zatem wbrew naszym intencjom, zamiast dopłacić kilka złotych
do paczki (patrz oszustwa „na dopłatę”), oczyszczamy swoje konto, wysyłając
pieniądze oszustom, mielibyśmy do czynienia z nieautoryzowaną transakcją. Co
więcej, ciężar udowodnienia, że transakcja była autoryzowana w takim rozumieniu
ciąży na dostawcy usługi płatniczej.

Bank powinien zatem najpierw zwrócić utracone środki w
ustawowym terminie, a następnie dopiero ustalić, w jakim zakresie (jeśli w
ogóle) odpowiedzialność ponosi klient.

Banki: Winne jest błędne tłumaczenie unijnej dyrektywy

Banki od początku kwestionowały interpretacje prezentowane
przez UOKiK. Zestaw najważniejszych argumentów odnaleźć można, chociażby w stanowisku
Związku Banków Polskich z 2022 r.
Mowa jest w nim m.in. o braku prawnych
podstaw dla podejścia „najpierw oddać, potem dochodzić zwrotu”. Fundamentem
nieporozumień ma być jednak niewłaściwe tłumaczenie fragmentu unijnej dyrektywy
PSD2
, na której oparto polskie przepisy.

Zdaniem bankowców pomylono termin uwierzytelnienie i
autoryzacja. Uwierzytelnienie oznacza w tym kontekście potwierdzenie tożsamości
klienta składającego zlecenie z użyciem odpowiedniego mechanizmu (np. loginu i
hasła oraz np. aplikacji mobilnej jako drugiego poziomu). W cytowanym powyżej
fragmencie ustawy powinien znaleźć się właśnie ten termin. Bank jest w stanie
sprawdzić poprawność danych użytych do uwierzytelnienia, autoryzacja
odwoływałaby się raczej do intencji.

„Instytucja finansowa nie dysponuje narzędziami, żeby
potwierdzić przeprowadzenie autoryzacji, która nie jest niczym innym, jak zgodą
klienta na dokonanie transakcji” – wskazywała
w wywiadzie dla miesięcznika „Bank” Katarzyna Urbańska ze Związku Banków
Polskich
. „W sytuacji, kiedy w przepisach zamieniono pojęcie
uwierzytelnienia na autoryzację, dochodzimy do sytuacji, w której na bank
przerzucono ciężar dowodu, a przecież bank nie jest w stanie udowodnić, czy
klient faktycznie wyraził zgodę na wykonanie operacji, ponieważ bank nie jest w
stanie zweryfikować stanu umysłu klienta. Dostawca natomiast jest w stanie
wykazać, że doszło (lub nie) do uwierzytelnienia, ponieważ jest to procedura
stosowana przez samego dostawcę” – dodała ekspertka.

Przez lata nie doprecyzowano ustawy

Sprawę jednoznacznie rozstrzygnąć mogłoby znowelizowanie
obowiązujących przepisów. Mimo starań banków do tego jednak nie doszło. Projekt
przygotowany w 2021 r. pod nadzorem Ministerstwa Finansów przeszedł przez kilka
etapów konsultacji i… utknął w miejscu. Ostatnie zmiany odnotowane w Rządowym
Centrum Legislacji pochodzą z listopada 2022 r.

Jest zatem prawdopodobne, że UOKiK wyegzekwuje od banków zmiany
w podejściu do nieautoryzowanych transakcji. Urząd bazuje bowiem na obecnym
brzmieniu przepisów, obowiązującym niezależnie od zastrzeżeń banków.

Sytuację zmienić może natomiast wdrożenie nowego unijnego
pakietu regulacji usług płatniczych – PSD3 i PSR. Jak wskazywaliśmy na łamach
Bankier.pl, obejmują
one zasady postępowania w przypadku oszustw typu APP
(authorized push
fraud, metoda na „e-wnuczka”) i jednocześnie wprowadzają dodatkowe wymagania
techniczne, które ograniczą skalę tego rodzaju przestępstw. Zanim to jednak nastąpi, minie kilka lat.

Publikacja zawiera linki afiliacyjne.

Źródło:

0 komentarzy

Dodaj komentarz

Avatar placeholder

Twój adres e-mail nie zostanie opublikowany.