Nieautoryzowana transakcja na koncie – jak powinien zachować się bank?

Rzadko zdarza się, że niemal każdy przedsiębiorca w sektorze znajduje się na celowniku UOKiK. Taki „zaszczyt” spotkał banki w sprawie postępowania z nieautoryzowanymi transakcjami. Jest spora szansa, że urząd będzie w tym sporze górą. Sprawdzamy, co to oznacza dla konsumentów.

Urząd Ochrony Konkurencji i Konsumentów pochwalił się w Walentynki kolejnymi postępowaniami wobec banków. Do 9 instytucji, które wcześniej znalazły się pod lupą urzędu, dołączyło 6 kolejnych. W tym gronie znalazły się Alior Bank, Citi Handlowy, BOŚ, Bank Pekao, PKO BP oraz Plus Bank.

Sprawa nie jest nowa, można wręcz powiedzieć, że już mocno nieświeża. Postępowaniu banków w sprawach nieautoryzowanych transakcji przyglądał się najpierw Rzecznik Finansowy, który opublikował raporty w 2019 i 2020 r. Rzecznik napiętnował niewłaściwe praktyki, ale nie był w stanie wpłynąć na banki. UOKiK, który pierwsze zarzuty urząd postawił bankom w 2022 r., ma natomiast odpowiednie narzędzia, w tym możliwość nałożenia kar finansowych sięgających 10 proc. rocznego obrotu przedsiębiorcy.

Głównym (ale nie jedynym) zarzutem stawianym bankom jest niewłaściwe postępowanie ze zgłoszeniami dotyczącymi transakcji płatniczych. Chodzi o m.in. przypadki wyłudzenia danych kart płatniczych, danych dostępu do bankowości internetowej i kodów do potwierdzenia przelewów, które kończą się utratą przez klienta pieniędzy. Dlaczego tak podstawowa sprawa nadal jest osią sporów, mimo istnienia szczegółowych regulacji prawnych?

UOKiK i Rzecznik Finansowy promują skrajnie prokonsumencką wizję obowiązków banku w takiej sytuacji, bazuje ona na literalnym odczytaniu obowiązujących przepisów. Banki w większości unikają do tej pory automatycznego przyznawania racji klientom. Co ważne, obie strony mają istotne argumenty.

„Pieniądze mają wrócić natychmiast”

Na pozór regulacje prawne (ustawa o usługach płatniczych) są w sprawie nieautoryzowanych transakcji jasne. Bank powinien najpóźniej następnego dnia roboczego po zgłoszeniu klienta zwrócić mu środki. Wyjątki są dwa:

Przypomnijmy, że za nieautoryzowaną transakcję płatniczą odpowiada płatnik (my, konsument), jeśli doprowadził do niej umyślnie lub wskutek rażącego niedbalstwa i naruszenia co najmniej jednego z obowiązków wymienionych w ustawie (m.in. korzystanie z instrumentu płatniczego zgodnie z umową, przechowywanie go z należytą starannością, nieudostępnianie osobom nieuprawnionym). Inne zasady, z ograniczeniem kwotowym odpowiedzialności, obowiązują w przypadku kradzieży instrumentu lub jego utraty (np. zgubienia). Wówczas do momentu zastrzeżenia instrumentu odpowiadamy za transakcje do kwoty 50 euro.

Sednem sprawy jest jednak rozumienie terminu „nieautoryzowana transakcja”. W ustawie jest mowa, iż „transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą”. Co jeśli jednak padliśmy ofiarą oszustów, którzy skłonili nas do zrealizowania innej transakcji, niż zamierzaliśmy? Czy jako płatnik wyraziliśmy zgodę?

UOKiK i Rzecznik Finansowy: Najpierw zwrot, później ustalenie odpowiedzialności

Instytucje chroniące konsumentów mają na ten problem wyrobiony pogląd. „Ustawa o usługach płatniczych nie zawiera definicji legalnej pojęcia nieautoryzowanej transakcji płatniczej [...] A contrario, z nieautoryzowaną transakcją płatniczą mamy do czynienia w sytuacji, gdy płatnik nie wyraził na nią zgody” – wskazywał w swoim opracowaniu Rzecznik Finansowy.

Jeśli zatem wbrew naszym intencjom, zamiast dopłacić kilka złotych do paczki (patrz oszustwa „na dopłatę”), oczyszczamy swoje konto, wysyłając pieniądze oszustom, mielibyśmy do czynienia z nieautoryzowaną transakcją. Co więcej, ciężar udowodnienia, że transakcja była autoryzowana w takim rozumieniu ciąży na dostawcy usługi płatniczej.

Bank powinien zatem najpierw zwrócić utracone środki w ustawowym terminie, a następnie dopiero ustalić, w jakim zakresie (jeśli w ogóle) odpowiedzialność ponosi klient.

Banki: Winne jest błędne tłumaczenie unijnej dyrektywy

Banki od początku kwestionowały interpretacje prezentowane przez UOKiK. Zestaw najważniejszych argumentów odnaleźć można, chociażby w stanowisku Związku Banków Polskich z 2022 r. Mowa jest w nim m.in. o braku prawnych podstaw dla podejścia „najpierw oddać, potem dochodzić zwrotu”. Fundamentem nieporozumień ma być jednak niewłaściwe tłumaczenie fragmentu unijnej dyrektywy PSD2, na której oparto polskie przepisy.

Zdaniem bankowców pomylono termin uwierzytelnienie i autoryzacja. Uwierzytelnienie oznacza w tym kontekście potwierdzenie tożsamości klienta składającego zlecenie z użyciem odpowiedniego mechanizmu (np. loginu i hasła oraz np. aplikacji mobilnej jako drugiego poziomu). W cytowanym powyżej fragmencie ustawy powinien znaleźć się właśnie ten termin. Bank jest w stanie sprawdzić poprawność danych użytych do uwierzytelnienia, autoryzacja odwoływałaby się raczej do intencji.

„Instytucja finansowa nie dysponuje narzędziami, żeby potwierdzić przeprowadzenie autoryzacji, która nie jest niczym innym, jak zgodą klienta na dokonanie transakcji” – wskazywała w wywiadzie dla miesięcznika „Bank” Katarzyna Urbańska ze Związku Banków Polskich. „W sytuacji, kiedy w przepisach zamieniono pojęcie uwierzytelnienia na autoryzację, dochodzimy do sytuacji, w której na bank przerzucono ciężar dowodu, a przecież bank nie jest w stanie udowodnić, czy klient faktycznie wyraził zgodę na wykonanie operacji, ponieważ bank nie jest w stanie zweryfikować stanu umysłu klienta. Dostawca natomiast jest w stanie wykazać, że doszło (lub nie) do uwierzytelnienia, ponieważ jest to procedura stosowana przez samego dostawcę” – dodała ekspertka.

Przez lata nie doprecyzowano ustawy

Sprawę jednoznacznie rozstrzygnąć mogłoby znowelizowanie obowiązujących przepisów. Mimo starań banków do tego jednak nie doszło. Projekt przygotowany w 2021 r. pod nadzorem Ministerstwa Finansów przeszedł przez kilka etapów konsultacji i… utknął w miejscu. Ostatnie zmiany odnotowane w Rządowym Centrum Legislacji pochodzą z listopada 2022 r.

Jest zatem prawdopodobne, że UOKiK wyegzekwuje od banków zmiany w podejściu do nieautoryzowanych transakcji. Urząd bazuje bowiem na obecnym brzmieniu przepisów, obowiązującym niezależnie od zastrzeżeń banków.

Sytuację zmienić może natomiast wdrożenie nowego unijnego pakietu regulacji usług płatniczych – PSD3 i PSR. Jak wskazywaliśmy na łamach Bankier.pl, obejmują one zasady postępowania w przypadku oszustw typu APP (authorized push fraud, metoda na „e-wnuczka”) i jednocześnie wprowadzają dodatkowe wymagania techniczne, które ograniczą skalę tego rodzaju przestępstw. Zanim to jednak nastąpi, minie kilka lat.

Publikacja zawiera linki afiliacyjne.

Źródło: