Nieautoryzowane transakcje płatnicze a postawa banków
Nieautoryzowane transakcje płatnicze a postawa banków
W dzisiejszym wpisie chciałbym skupić się na kwestii nieautoryzowanych transakcji płatniczych i związanej z nimi postawy banków.
Okazuje się bowiem, że postawa banków jest w przeważającej części wadliwa, a sam problem staje się coraz bardziej powszechny. Chodzi mianowicie o takie sytuacje, w których ktoś uzyskuje dostęp do naszego rachunku bankowego, najczęściej przejmując kontrolę nad aplikacją mobilną do obsługi takiego rachunku, którą mamy zainstalowaną na naszym telefonie. Na takim przykładzie skupię się w niniejszym wpisie, aczkolwiek omawiane przeze mnie regulacje i zasady mają rzecz jasna bardziej uniwersalne znaczenie i dotyczą każdego rodzaju nieautoryzowanych transakcji płatniczych, w tym przykładowo z wykorzystaniem przejętych danych kart płatniczych lub kredytowych.
Jakie w takiej sytuacji mamy środki ochronne? Jak powinien zachować się bank? Jak w praktyce bank się zachowuje?
Na te pytania postaram się odpowiedzieć. Uprzedzam jednak, że wpis będzie sięgał do pojęć i regulacji ustawowych, które są delikatnie rzecz ujmując mało precyzyjne. Jest to już niestety cecha charakterystyczna w przypadku implementacji do krajowego porządku prawnego dyrektyw unijnych.
Całkowicie pominę przy tym kwestie prawnokarne, związane z przestępstwem tak zwanego phishingu (art. 287 kodeksu karnego), albowiem ich omówienie doprowadziłoby do nadmiernego rozbudowania niniejszego wpisu.
regulacje prawne
Podstawowe akty prawne, które mają zastosowanie w analizowanej kwestii to:
- ustawa z dnia 19 sierpnia 2011 roku o usługach płatniczych, Dziennik Ustaw z 2011 roku, numer 199, pozycja 1175 ze zmianami - dalej jako: ustawa,
- dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) numer 1093/2010 oraz uchylająca dyrektywę 2007/64/WE, Dziennik Urzędowy UE L 337/35 z dnia 23 grudnia 2015 roku, ze zmianami - dalej jako dyrektywa.
Zgodnie z art. 2 pkt 29 ustawy przez transakcję płatniczą należy rozumieć:
zainicjowaną przez płatnika lub odbiorcę wpłatę, transfer lub wypłatę środków pieniężnych
Zgodnie z art. 2 pkt 36 ustawy przez zlecenie płatnicze należy rozumieć:
oświadczenie płatnika lub odbiorcy skierowane do jego dostawcy zawierające polecenie wykonania transakcji płatniczej
Zgodnie z art. 2 pkt 10 ustawy przez instrument płatniczy należy rozumieć:
indywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego
W związku z powyższym aplikacja mobilna na telefonie służąca do korzystania z rachunku bankowego będzie instrumentem płatniczym w rozumieniu ustawy.
Zgodnie z art. 2 pkt 22 ustawy przez płatnika należy rozumieć:
osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, składającą zlecenie płatnicze
Zgodnie z art. 2 pkt 18 ustawy przez odbiorcę należy rozumieć:
osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, będącą odbiorcą środków pieniężnych stanowiących przedmiot transakcji płatniczej
Zgodnie z art. 2 pkt 34 ustawy przez użytkownika należy rozumieć:
osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, korzystającą z usług płatniczych w charakterze płatnika lub odbiorcy
Osoba, która obsługuje swój rachunek bankowy za pośrednictwem aplikacji mobilnej, jest zatem użytkownikiem w rozumieniu ustawy oraz płatnikiem.
Zgodnie z art. 2 pkt 4c bank jest dostawcą usług płatniczych będącym dostawcą prowadzącym rachunek.
Wszyscy dostawcy usług płatniczych są określani prze ustawę mianem dostawcy, co wynika z art. 4 ust. 1 ustawy.
Posługując się zatem terminologią ustawową jeżeli osoba trzecia uzyskuje dostęp do naszej aplikacji mobilnej i poza naszą wiedzą i wolą wyprowadza środki z naszego rachunku baniowego, to oznacza to że:
osoba trzecia przejęła kontrolę nad naszym instrumentem płatniczym, a następnie dokonała zleceń płatniczych, doprowadzając do wykonania przez dostawcę prowadzącego rachunek transakcji płatniczych na rzecz nieznanych odbiorców, których to transakcji płatniczych nigdy nie autoryzowaliśmy
Zdaję sobie sprawę, że wygląda to jak swoisty kod, ale tak właśnie należy opisać analizowaną sytuację posługując się językiem ustawowym.
Ustawa zawiera regulację dotyczącą zwrotu kwot nieautoryzowanych transakcji płatniczych stanowiącą implementację dyrektywy.
Niestety, jak zapowiedziałem wcześniej, regulacja ustawy, jak to często bywa w przypadku implementacji dyrektyw unijnych, jest nieprecyzyjna, stąd konieczne jest sięgnięcie również do interpretacji celowościowej i systemowej, a nie tylko literalnej.
Zgodnie z art. 40 oraz 42-46 ustawy:
Art. 40
- Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.
- Zgoda powinna być udzielona przez płatnika przed wykonaniem transakcji płatniczej albo kolejnych transakcji płatniczych, chyba że płatnik i jego dostawca uzgodnili, że zgoda może zostać udzielona także po ich wykonaniu. Zgody na wykonanie transakcji płatniczej można również udzielić za pośrednictwem odbiorcy, dostawcy odbiorcy albo dostawcy świadczącego usługę inicjowania transakcji płatniczej.
- Płatnik może w każdej chwili wycofać zgodę, nie później jednak niż do momentu, w którym zlecenie płatnicze zgodnie z art. 51 stało się nieodwołalne.
- Jeżeli zgoda dotyczy kolejnych transakcji płatniczych, wycofanie dotyczy wszystkich niewykonanych transakcji płatniczych, chyba że płatnik zastrzegł inaczej.
Art. 42
- Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany: 1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz 2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
- W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.
- Umowa ramowa, o której mowa w ust. 1 pkt 1, powinna zawierać obiektywne, niedyskryminujące i proporcjonalne postanowienia dotyczące wydawania i użytkowania instrumentu płatniczego.
Art. 43
- Dostawca wydający instrument płatniczy jest obowiązany do: 1) zapewnienia, że indywidualne dane uwierzytelniające nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu, 2) niewysyłania niezamówionego instrumentu płatniczego, z wyjątkiem sytuacji, w których instrument płatniczy otrzymany przez użytkownika podlega wymianie, 3) zapewnienia stałej dostępności odpowiednich środków pozwalających użytkownikowi na dokonanie zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 lub wystąpienie z wnioskiem o odblokowanie albo zastąpienie zablokowanego instrumentu płatniczego nowym na podstawie art. 41 ust. 4, 4) zapewnienia procedur pozwalających na udowodnienie dokonania zgłoszenia, o którym mowa w art. 42 ust. 1 pkt 2, na wniosek złożony przez użytkownika w terminie 18 miesięcy od dnia dokonania zgłoszenia, 4a) zapewnienia użytkownikowi możliwości bezpłatnego dokonania zgłoszenia, zgodnie z art. 42 ust. 1 pkt 2, oraz nienakładania opłat w wysokości przekraczającej koszty bezpośrednio związane z wydaniem nowego instrumentu płatniczego w miejsce instrumentu, którego zgłoszenie dotyczy, oraz 5) uniemożliwienia korzystania z instrumentu płatniczego po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2.
- Dostawca ponosi ryzyko związane z wysłaniem płatnikowi instrumentu płatniczego lub indywidualnych danych uwierzytelniających.
Art. 44
- Użytkownik niezwłocznie powiadamia dostawcę o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych.
- Jeżeli użytkownik nie dokona powiadomienia, o którym mowa w ust. 1, w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają.
- W przypadku gdy użytkownik nie korzysta z rachunku płatniczego, termin, o którym mowa w ust. 2, liczy się od dnia wykonania nieautoryzowanych lub nienależycie wykonanych transakcji płatniczych albo od dnia, w którym transakcja płatnicza miała być wykonana. 3a. W przypadku gdy transakcja płatnicza jest inicjowana przez dostawcę świadczącego usługę inicjowania transakcji płatniczej, dostawca prowadzący rachunek dokonuje przywrócenia stanu rachunku sprzed wystąpienia nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych.
- Przepisu ust. 2 nie stosuje się, w przypadku gdy dostawca nie udostępnił informacji o transakcji płatniczej zgodnie z przepisami działu II.
Art. 45
- Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. 1a. Jeżeli transakcja płatnicza jest inicjowana za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej, na dostawcy tym spoczywa ciężar udowodnienia, że w zakresie jego właściwości transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą, za którą ten dostawca odpowiada.
- Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.
Art. 46
- Z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą. 1a. W przypadku gdy transakcja płatnicza jest inicjowana za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej, dostawca prowadzący rachunek niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej oraz, w stosownych przypadkach, przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. 1b. Jeżeli dostawca świadczący usługę inicjowania transakcji płatniczej odpowiada za dokonanie nieautoryzowanej transakcji płatniczej, na wniosek dostawcy prowadzącego rachunek, niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia danej transakcji lub doręczenia wniosku, rekompensuje mu poniesione straty lub zwraca kwoty zapłacone w wyniku dokonania przez niego zwrotu na rzecz płatnika, w tym kwotę nieautoryzowanej transakcji płatniczej. Przepis art. 45 ust. 1a stosuje się odpowiednio. 1c. Roszczenia, o których mowa w ust. 1b, nie wyłączają roszczeń wynikających z umowy zawartej między płatnikiem a dostawcą prowadzącym rachunek lub umowy zawartej między płatnikiem a dostawcą świadczącym usługę inicjowania transakcji płatniczej oraz z przepisów prawa właściwego dla tych umów.
- Płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 50 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem: 1) posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub 2) przywłaszczenia instrumentu płatniczego. 2a. Przepisu ust. 2 nie stosuje się, w przypadku gdy: 1) płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej, z wyjątkiem przypadku gdy płatnik działał umyślnie, lub 2) utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy płatnika lub podmiotu świadczącego na jego rzecz usługi, o których mowa w art. 6 pkt 10.
- Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.
- Po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 płatnik nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że płatnik doprowadził umyślnie do nieautoryzowanej transakcji. 4a. W przypadku gdy dostawca płatnika nie wymaga silnego uwierzytelniania użytkownika, płatnik nie ponosi odpowiedzialności za nieautoryzowane transakcje płatnicze, chyba że działał umyślnie. W przypadku gdy odbiorca lub dostawca odbiorcy nie akceptują silnego uwierzytelniania użytkownika, odpowiadają oni za szkody poniesione przez dostawcę płatnika.
- Jeżeli dostawca, wbrew obowiązkowi, o którym mowa w art. 43 ust. 1 pkt 3, nie zapewnia odpowiednich środków umożliwiających dokonanie w każdym czasie zgłoszenia, o którym mowa w art. 42 ust. 1 pkt 2, płatnik nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że płatnik doprowadził umyślnie do nieautoryzowanej transakcji.
- Przepisów ust. 1-5 nie stosuje się do pieniądza elektronicznego, jeżeli dostawca płatnika nie ma możliwości zablokowania instrumentu płatniczego lub rachunku płatniczego.
Mając powyższe na uwadze należy wskazać, iż użytkownik ma obowiązek niezwłocznego powiadomienia dostawcy o stwierdzonych nieautoryzowanych transakcjach płatniczych, jednakże nie później niż w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana (art. 44 ust. 1 i 2 ustawy). Jest to zatem całkiem długi termin.
Po rozbudowanym, aczkolwiek koniecznym, wstępie teoretycznym dochodzimy do najważniejszej kwestii praktycznej. Otóż, zgodnie z art. 46 ust. 1 ustawy, w przypadku zgłoszenia wystąpienia nieautoryzowanej transakcji płatniczej dostawca ma obowiązek niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwrócenia płatnikowi kwoty nieautoryzowanej transakcji płatniczej.
mechanizm D+1
Analiza regulacji ustawy oraz dyrektywy prowadzi do wniosku, że w przypadku nieautoryzowanych transakcji obowiązuje mechanizm D+1, który ma na celu ochronę konsumentów. Mechanizm ten zakłada, że w każdym przypadku nieautoryzowanych transakcji dostawca (czyli w naszym przykładzie - bank) ma obowiązek zwrócić kwotę nieautoryzowanych transakcji płatnikowi (czyli w naszym przykładzie - nam) najpóźniej do końca następnego dnia roboczego licząc od dnia stwierdzania wystąpienia nieautoryzowanej transakcji płatniczej lub otrzymania zgłoszenia. Wyjątki od powyższego mechanizmu są tylko dwa – jeżeli bank ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw – art. 46 ust. 1 ustawy oraz jeżeli doszło do naruszenia terminu do zgłoszenia nieautoryzowanych transakcji przez płatnika, o którym mowa w art. 44 ust. 2 ustawy.
W zakresie dotyczącym oszustwa regulacja ustawy jest niejasna, albowiem może sugerować, że chodzi również o oszustwo dokonane na naszą szkodę, czyli na szkodę posiadacza rachunku bankowego – płatnika. Taką interpretację nierzadko stosują niestety banki.
Jednakże takie rozumienie omawianej regulacji jest oczywiście błędne, czego najlepszym dowodem jest to, że prowadzi ono do absurdalnych rezultatów. Ilekroć posiadacz rachunku bankowego padałby ofiarą oszustwa, a przede wszystkim w taki sposób dochodzi do wykonywania nieautoryzowanych transakcji płatniczych, to bank mógłby odmawiać zwrotu środków, jeżeli tylko złożyłby zawiadomienie o takim oszustwie. W związku z tym omawianą regulację należy rozumieć w taki sposób, że odmowa zwrotu środków może mieć miejsce w przypadku udokumentowanych podstaw do podejrzewania oszustwa popełnionego przez posiadacza rachunku bankowego, a nie osobę trzecią. Potwierdzenie powyższego znajduje się w motywie 71 dyrektywy, w którym wskazano:
W przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych powinien bezzwłocznie zwrócić płatnikowi kwotę tej transakcji. Jeżeli jednak zachodzi duże prawdopodobieństwo nieautoryzowanej transakcji wynikającej z działania użytkownika usług płatniczych w nieuczciwych zamiarach, a podejrzenie to opiera się na obiektywnych podstawach zgłoszonych odpowiedniemu organowi krajowemu, przed dokonaniem zwrotu na rzecz płatnika dostawca usług płatniczych powinien być w stanie przeprowadzić w rozsądnym terminie dochodzenie.
Zgodnie z mechanizmem D+1 jeżeli zachodzą inne przesłanki do odmowy zwrotu środków, to i tak bank powinien dokonać zwrotu środków, a następnie pozwać posiadacza rachunku o ich zwrot.
Wynika to z faktu, że omawiana regulacja ma ustanawiać daleko idącą ochronę konsumenta kosztem banków, jako podmiotów dużo silniejszych pod względem organizacyjno-finansowym. Powyższe stanowisko znajduje także uzasadnienie w regulacji ustawowej. Należy bowiem zwrócić uwagę, iż jedynie w przypadku omawianego wyżej oszustwa art. 46 ust. 1 ustawy przewiduje bezpośrednio możliwość odmowy zwrotu środków, natomiast w przypadku innych podstaw wyłączających zwrot środków ustawa przerzuca ciężar dowodu na bank w art. 45 ustawy.
W związku z powyższym nie do przyjęcia byłoby uznanie, że ów ciężar dowodu bank ma realizować sam przed sobą.
Dlatego właśnie należy przyjąć, iż w takich sytuacjach bank powinien dokonać zwrotu środków, a następnie pozywając posiadacza rachunku o ich zwrot, realizować ciężar dowodu obciążający bank.
przesłanki wyłączające obowiązek zwrotu kwot nieautoryzowanych transakcji
Zgodnie z regulacją ustawową występują następujące przesłanki wyłączające zwrot kwot nieautoryzowanych transakcji płatniczych:
- transakcja była autoryzowana, a zatem nie była nieautoryzowaną transakcją płatniczą (art. 46 ust. 1 ustawy a contrario),
- doszło do posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub przywłaszczenia instrumentu płatniczego – odmowa zwrotu może dotyczyć w takim przypadku równowartości kwoty 50 EURO (art. 46 ust. 2 i 2a ustawy), jednakże nie dotyczy to sytuacji, w których płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej, z wyjątkiem przypadku gdy płatnik działał umyślnie lub utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy płatnika lub podmiotu świadczącego na jego rzecz usługi, o których mowa w art. 6 pkt 10 ustawy,
- jeżeli płatnik doprowadził do nieautoryzowanych transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy.
Jak zatem widać przesłanki wyłączające zwrot kwot nieautoryzowanych transakcji płatniczych są wyjątkowe i wiążą się z uchybieniami po stronie płatnika lub wręcz jego umyślnego działania albo rażącego niedbalstwa.
praktyka działania banków
Przede wszystkim banki praktycznie w ogóle nie stosują mechanizmu D+1 i po prostu odmawiają posiadaczom rachunku zwrotu kwot nieautoryzowanych transakcji, zmuszając ich do występowania z powództwami przeciwko bankom.W ten sposób, banki realizują obowiązki wynikające z przerzucenia na nie ciężarku dowodu - art. 45 ustawy, same przed sobą. Oczywiście obowiązki te będą ciążyły na banku również w postępowaniu sądowym zainicjowanym przez posiadacza rachunku, co jednak nie zmienia faktu, że idea mechanizmu D+1 jest inna, a przerzucenie ciężaru dowodu z art. 45 ustawy miało na celu zapewnienie, że bank dopiero w zainicjowanym przez siebie postępowaniu będzie wykazywał, że nie było przesłanek do zwrotu kwot nieautoryzowanych transakcji, a sam zwrot został dokonany z zastrzeżeniem zwrotu. Dowodzenie przez bank w powyższym zakresie ma bowiem mieć miejsce tylko przed sądem, a nie w pierwszej kolejności przed bankiem, który sam sobie dowodzi spełnienia omawianych przesłanek i sam decyduje czy je udowodnił, powodując tym samym konieczność występowania z powództwami przez posiadaczy rachunków, którzy padli ofiarą ataków. Najlepszym zresztą potwierdzeniem wadliwości omawianej praktyki jest fakt, że banki niemal zawsze odmawiają zwrotu kwot nieautoryzowanych transakcji. Nie taki był z całą pewnością cel omawianej regulacji. Nie jest zatem zaskoczeniem, że banki praktycznie zawsze uznają, że same sobie udowodniły zaistnienie przesłanek wyłączających zwrot środków i to pomimo, że zwykle dowodów takich brak.
O ile przesłanki z punktu 2. z powyższego zestawienia są raczej ewidentne, o tyle przesłanki z punktu 3. są bardziej niedookreślone. Być może właśnie dlatego do niedawna stanowiły częste uzasadnienie odmowy przez banki zwrotu kwot nieautoryzowanych transakcji Jednakże przesłanki z punktu 3. wymagają wystąpienia ewidentnych i poważnych uchybień po stronie płatnika. Tymczasem rzadkością jest, że płatnik doprowadza do nieautoryzowanych transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków z art. 42 ustawy.
Przypomnieć należy przy tym, że powyższe obowiązki to:
- korzystanie z instrumentu płatniczego zgodnie z umową,
- zgłaszanie niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
- podjęcie niezbędnych środków służących zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności przechowywanie instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.
Aby zwrot kwoty z nieautoryzowanych transakcji został wyłączony, do naruszenia powyższych obowiązków musi dojść umyślnie lub na skutek rażącego niedbalstwa. Nie są to częste przypadki, lecz sytuacje wiążące się ze swoistą nonszalancją posiadaczy rachunków albo wręcz z ich złą wolą.
Obecnie częstą przesłanką odmowy zwrotu kwot nieautoryzowanych transakcji jest przesłanka z punktu 1. Banki twierdzą bowiem że transakcje zostały autoryzowane, albowiem podano poprawny login i hasło, a następnie zatwierdzono transakcje. Stanowisko takie jest jednak oczywiście błędne.
Wprawdzie ustawa nie zawiera definicji nieautoryzowanej transakcji płatniczej, jednakże z art. 40 ust. 1 i 2 ustawy wiadomo, że autoryzacja polega na wyrażeniu przez płatnika zgody na wykonanie danej transakcji płatniczej przed jej wykonaniem. Autoryzacja zwykle następuje poprzez wprowadzenie określonych danych w miejscu udostępnionym przez dostawcę w aplikacji mobilnej lub na stronie internetowej banku.
W praktyce dokonywania transakcji płatniczych za pośrednictwem aplikacji mobilnych autoryzacja polega najczęściej na wprowadzeniu hasła otrzymanego w wiadomości SMS od banku lub na wprowadzeniu numeru PIN (lub hasła) dedykowanego do dokonywania transakcji płatniczych za pośrednictwem aplikacji mobilnej.
Oczywiste jest zatem, że aby w ogóle mówić o autoryzacji, niezbędne jest, aby zatwierdzenie transakcji płatniczej nastąpiło przez osobę uprawnioną, a zatem posiadacza rachunku, czyli płatnika. Jeżeli zatem transakcję płatniczą zatwierdzi osoba trzecia, która bezprawnie uzyskała dostęp do danych umożliwiających takie zatwierdzenie, to rzecz jasna nie może być mowy o autoryzacji transakcji płatniczej. Tym bardziej w sytuacji, w której samo zlecenie płatnicze pochodzi od takiej osoby (przestępcy), a uprawniony posiadacz rachunku bankowego, czyli użytkownik lub płatnik, nie wie nic, ani o zleceniu płatniczym, ani o zatwierdzeniu transakcji płatniczej, nie ma mowy o autoryzacji. Powyższa sytuacja stanowi wręcz oczywiste zaprzeczenie autoryzacji transakcji płatniczej. Stąd omawiane stanowisko banków jest ewidentnie stanowiskiem contra legem.
Wadliwość powyższego stanowiska dobitnie potwierdza art. 45 ust. 1 i ust. 2 ustawy, z których wynika, że:
- to na banku (dostawcy) spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych,
- wykazanie przez bank (dostawcę) zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy, ciężar udowodnienia tych okoliczności spoczywa na dostawcy.
Innymi słowy samo wykazanie przez bank, że zarejestrowane zostało użycie telefonu i aplikacji mobilnej do dokonania transakcji nie jest wystarczające do udowodnienia, że transakcja płatnicza została prawidłowo autoryzowana.Należy ponadto zauważyć, że w art. 45 ust. 2 ustawy ustawodawca wprost wskazał, że autoryzacja musi zostać dokonana przez użytkownika, a nie przez inną osobę, co potwierdza zasadę wynikającą z art. 40 ust. 1 i 2 ustawy, iż zatwierdzenie transakcji przez osobę trzecią, tym bardziej taką, która dokonuje jej na skutek swojego bezprawnego, przestępczego działania, bez wątpienia nie stanowi autoryzacji w rozumieniu ustawy.
konkluzja
Wniosek płynący z analizy przedstawionej w niniejszym wpisie jest taki, że mając na uwadze powszechną wadliwą praktykę działania banków, jeżeli padniemy ofiarą ataku prowadzącego do wyprowadzenia środków z naszego rachunku baniowego, a bank odmówi nam zwrotu środków w terminie wynikającym z mechanizmu D+1 powinniśmy jak najszybciej szukać profesjonalnej pomocy.
Doświadczenie pokazuje bowiem, że jeżeli w sprawie podejmowane są zdecydowane kroki, banki potrafią zmienić swoje stanowisko o przysłowiowe 180 stopni.
Być może działanie banków w omawianym zakresie obliczone jest na to, że spośród ogółu osób, które padły ofiarą ataków, których dotyczy niniejszy wpis, tylko część z nich zarząda od banku zwrotu środków, a tylko część z tych osób, skieruje sprawę do sądu w przypadku odmowy zwrotu przez bank.
Jeżeli więcej osób będzie świadoma swoich praw, to istnieje realna szansa na zmianę stanowiska banków w kierunku odpowiadającym obowiązującym przepisom.
stanowisko Rzecznika Finansowego
Na zakończenie należy wskazać, że praktycznie ze wszystkimi konkluzjami do jakich doszedłem w niniejszym wpisie, zgadza się Rzecznik Finansowy prezentując swoje stanowisko w opracowaniu Rzecznika Finansowego z dnia 18 czerwca 2019 roku zatytułowanego: Analiza Rzecznika Finansowego. Nieautoryzowane Transakcje – Zasady i Główne problemy
Warto zapoznać się z powyższym opracowaniem, Rzecznik Finansowy przedstawia bowiem w nim nie tylko prawidłowe rozumienie i stosowanie przepisów prawa, ale również zwraca uwagę na wadliwą praktykę działania banków, podając dane statystyczne.
super
OdpowiedzUsuń