Zwiń

Nie masz konta? Zarejestruj się

„Uwierzytelnienie” po myśli banków. Oszuści ukradli pieniądze z konta, klient musi to udowodnić

Jakub Styczyński
Ten tekst przeczytasz w 3 minuty
Karta płatnicza
Rodzimy ustawodawca chce rozwiązać problem z tzw. transakcjami nieautoryzowanymi.
Shutterstock

Osoby, którym oszuści wyprowadzą pieniądze z konta, będą musiały udowodnić, że nie zatwierdziły tych operacji. Dzięki nowelizacji ustawa o usługach płatniczych będzie lepiej korespondować z unijnymi regulacjami.

Rodzimy ustawodawca chce rozwiązać problem z tzw. transakcjami nieautoryzowanymi. Banki od dawna zgłaszają niezgodność polskich regulacji z dyrektywą z 25 listopada 2015 r. w sprawie usług płatniczych (tzw. dyrektywą PSD2).

Obecnie z art. 46 ustawy o usługach płatniczych (t.j. Dz.U. z 2021 r. poz. 1907 ze zm.) wynika, że nawet jeżeli klient banku zostanie oszukany przez przestępców i poda im swoje hasła dostępowe do konta, to ma prawo zawnioskować do instytucji finansowej o zwrot utraconych środków. I banki mają obowiązek przychylić się do tego wniosku przed końcem następnego dnia roboczego. Wyjątkiem są sytuacje, gdy zgłoszenia dokonano po 13 miesiącach od niepożądanej transakcji albo gdy istnieje uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego, o czym bank zawiadomił policję lub prokuraturę.

Transakcje nieautoryzowane - kłopoty banków

Banki niechętnie przychylają się do wniosków klientów. Twierdzą, że jeżeli transakcja np. przelewu została poprawnie autoryzowana - chociażby przy użyciu kodu PIN czy hasła SMS - instytucja finansowa dysponująca pieniędzmi konsumenta nie powinna ponosić odpowiedzialności za jego niefrasobliwość. Argumentują, że zgodnie z postanowieniami dyrektywy PSD2 uwierzytelnienie operacji niekoniecznie wystarcza do stwierdzenia, że mamy do czynienia z autoryzowaną transakcją.

Przez takie podejście branża naraziła się jednak Urzędowi Ochrony Konkurencji i Konsumentów. 18 lipca br. prezes UOKiK Tomasz Chróstny postawił zarzuty naruszania zbiorowych interesów konsumentów pięciu bankom: Millennium, BNP Paribas Bank Polska, Credit Agricole Bank Polska, mBank oraz Santander Bank Polska. Wspomniane instytucje - zdaniem szefa urzędu - bezprawnie odmawiają zwrotu kwot nieautoryzowanych transakcji i przekazują nieprawdziwe informacje w odpowiedziach na reklamacje klientów.

Jedno słowo robi różnicę - projekt nowelizacji ustawy o usługach płatniczych

W ostatnich dniach na stronach Rządowego Centrum Legislacji ukazał się projekt nowelizacji ustawy o usługach płatniczych oraz ustawy - Prawo dewizowe (nr z wykazu UD52). To właśnie tam pojawia się propozycja korekty przepisów dotyczących transakcji nieautoryzowanych. To nowa wersja dokumentu, skierowana do ponownych konsultacji (poprzednią upubliczniono jeszcze w styczniu 2021 r.).

Po zmianie prawa transakcja płatnicza będzie uznawana za autoryzowaną, jeżeli płatnik osobiście wyraził zgodę na jej wykonanie. Takie wyrażenie zgody ma się odbywać w sposób uzgodniony pomiędzy klientem a dostawcą usług płatniczych (np. poprzez hasła dostępowe, kody SMS etc.). W art. 45 ust. 1 i 1a ustawy o usługach płatniczych ma zostać wprowadzona pozornie niewielka zmiana słowa „autoryzacja” na „uwierzytelnienie”.

Będzie miała jednak istotne konsekwencje dla klientów banków. Po przyjęciu przepisów bank lub usługodawca inicjujący transakcje (np. operatorzy typu PayU, Przelewy24) w przypadku wystąpienia transakcji nieautoryzowanej musiałby jedynie udowodnić, że niepożądane operacje były uwierzytelnione i prawidłowo zapisane w systemie, i że nie miały na nią wpływu żadne awarie techniczne.

Doktor Michał Nowakowski, radca prawny specjalizujący się w kwestiach z zakresu bankowości, mówi, że banki nie musiałyby więc wykazywać, że zgoda np. na przelew została wyrażona przez użytkownika. A tylko to, że bank dokonał sprawdzenia przykładowo pod kątem haseł dostępowych, które powinien znać tylko właściciel konta bankowego. - Oznaczałoby to, iż ciężar udowodnienia, że transakcja nie była autoryzowana, spoczywałby na kliencie - wskazuje dr Nowakowski.

To o tyle istotne, że bank nie musiałby w każdym przypadku zwracać klientowi pieniędzy do końca następnego dnia roboczego. Instytucja finansowa miałaby też więcej czasu na ocenę okoliczności, w jakich doszło do niechcianej transakcji.

- A jeżeli bank stwierdziłby, że klient dopuścił się rażącego niedbalstwa, rozumianego przykładowo chociażby jako nieupilnowanie swoich haseł dostępowych, wtedy nie miałby obowiązku zwrotu środków. Konsumenci będą więc w nieco gorszej sytuacji, ale takie brzmienie przepisów będzie bardziej zgodne z dyrektywą PSD2 - tłumaczy dr Nowakowski. Przy czym zaznacza, że brzmienie przepisów zawartych w projekcie wciąż budzi pewne wątpliwości, więc projektodawca musi się jeszcze nad nimi pochylić.

Zdania w sprawie nowych przepisów są podzielone

Związek Banków Polskich pozytywnie ocenia propozycję zmian. Katarzyna Urbańska, dyrektor zespołu prawno -legislacyjnego ZBP, wskazuje, że sektor bankowy konsekwentnie od kilku lat zabiegał o takie zapewnienie zgodności polskiej ustawy o usługach płatniczych z dyrektywą PSD2.

Urbańska wyjaśnia, że dziś na banki nakłada się obowiązek udowodnienia, czy transakcja była autoryzowana, czyli de facto instytucje muszą wykazać, czy klient miał wolę dokonania operacji. - Jest to obowiązek niemożliwy do spełnienia, gdyż banki nie mają narzędzi, aby analizować stan umysłu swoich klientów - podkreśla. Dodaje, że są jedynie w stanie wykazać, czy doszło do uwierzytelnienia transakcji.

Przedstawicielka ZBP uważa też, że projektowana nowelizacja przepisów powinna zostać wzięta pod uwagę przez prezesa UOKiK w ramach prowadzonych względem banków postępowań. - Już w obecnym stanie prawnym organy państwa nie powinny w sposób świadomy interpretować przepisów z pominięciem brzmienia dyrektywy - uważa Katarzyna Urbańska.

Przychylność wobec pomysłów poprawienia przepisów dotyczących transakcji nieautoryzowanych wyrażał w ubiegłym roku Urząd Komisji Nadzoru Finansowego. Z kolei swoje obawy formułował rzecznik finansowy.

Przerzucenie na użytkownika ciężaru dowodu braku autoryzacji transakcji w przypadku, gdy nie ma on narzędzi dowodowych posiadanych przez banki, mogłoby - zdaniem RF - uczynić praktycznie niemożliwym wykazanie braku autoryzacji transakcji. „W konsekwencji uniemożliwiłoby to użytkownikowi wyegzekwowanie wobec dostawcy wykonania określonych w dyrektywie PSD2 oraz w prawie krajowym obowiązków związanych ze zwrotem kwoty z tytułu transakcji nieautoryzowanej” - pisał rzecznik finansowy. Dodawał, że Komisja Europejska nie sformułowała wobec Polski żadnych zarzutów z nieprawidłową transpozycją art. 72 ust. 1 dyrektywy PSD2.

Katarzyna Urbańska twierdzi jednak, że proponowana zmiana przepisów nie zmieni w sposób radykalny sytuacji konsumentów. Będzie zaś prawidłowo oddawała obowiązki zarówno banków, jak i klientów. - Już teraz zgodnie z obowiązującą ustawą klienci są zobowiązani do bezpiecznego przechowywania danych uwierzytelniających, przy zapewnieniu braku dostępu do nich przez osoby nieuprawnione - podkreśla przedstawicielka ZBP.

UOKiK nie odpowiedział na naszą prośbę o ocenę projektu. ©℗

Etap legislacyjny

Projekt skierowany do ponownych konsultacji

Polacy lubią płacić plastikiem
Polacy lubią płacić plastikiem /
Dziennik Gazeta Prawna - wydanie cyfrowe