Jeżeli klient zgłosi nieautoryzowaną transakcję, bank powinien niezwłocznie zwrócić mu utracone pieniądze – uważa Aleksandra Wiktorow, rzecznik finansowy. Tak wynika między innymi z obowiązującej od roku unijnej dyrektywy w sprawie usług płatniczych PSD2 oraz ustawy o transakcjach płatniczych. Tymczasem z danych rzecznika wynika, że banki ignorują wytyczne płynące z unijnych i krajowych przepisów. Źle interpretują przepis o tym, czym jest nieautoryzowana transakcja, i wprowadzają klientów w błąd.

Czytaj również: Bank odda klientowi pieniądze wyprowadzone z konta przez hakerów  >>
 

 

Bank ma jeden dzień na zwrot środków

Jeśli konto bankowe, kartę bankomatową czy kredytową przejmie hacker czy oszust i wypłaci sobie pieniądze czy zaciągnie kredyt, to bank powinien zwrócić utracone środki nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji  lub otrzymania zgłoszenia od klienta (tzw. zasada D+1).
- Jedynym wyjątkiem od tej zasady jest uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta – mówi Izabela Dąbrowska-Antoniak, dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego. Z danych RF wynika jednak, że banki nie tylko opóźniają się ze zwrotem środków, ale też bezpodstawnie odmawiają ich zwrotu.

W I kwartale 2019 r. do rzecznika trafiły 83 wnioski o interwencje, czyli tyle samo co w całym 2016 r. W 2018 roku było już ich 246, czyli o 70 proc. więcej niż w 2017 r. Równie częste klienci dzwonią lub wysyłają maila jedynie z pytaniem, co mają zrobić, gdy odnotują utratę środków.  – Te dane nie są pełne. Nie wiemy tak naprawdę, ile klientów zwraca się do banków z prośbą o zwrot utraconych środków, a gdy ten odmówi, rezygnują z dochodzenia swoich praw – dodaje Aleksandra Wiktorow. Jej zdaniem zaś problem będzie większy, bo częściej korzystamy z konta na telefonie, bankowości internetowej, a przestępcy nie śpią. Już nie tylko podszywają się pod strony internetowe banków, aplikacje mobilne.

W jednej ze spraw, którą prowadzi RF Polak użyczył telefon obcemu mężczyźnie, który wykonał jedno połączenie – jego telefon miał ktoś ukraść. Z raportu CERT – Polska, zespołu reagowania na incydenty, wynika, że podszywania się pod pośredników płatności (tzw. phishing) , stały się w 2018 roku najpopularniejsze, stanowiły 44 proc. incydentów.

Banki obarczają winą klientów i wstrzymują wypłaty

Banki w takich sytuacjach jednak odmawiają zwrotu pieniędzy, twierdząc, że klient się do tego przyczynił, np. oddał telefon obcej osobie, nie sprawdził witryny, w której robili zakupy, itp. Tymczasem według Izabeli Dąbrowskiej-Antoniak  wstrzymanie zwrotu utraconych środków na skutek nieautoryzowanej transakcji powinno być wyjątkiem, a nie standardem, jak ma to miejsce w dzisiejszej praktyce. – Może tak się zdarzyć w przypadku wykazania autoryzacji, winy, umyślnego działania czy rażącego niedbalstwa klienta. Trudno jednak zebrać takie dowody w ciągu maksymalnie dwóch dni. Bank więc powinien najpierw niezwłocznie oddać klientowi pieniądze, a następnie – jeżeli ma podstawy, by sądzić, że klient powinien w całości lub części odpowiadać za nieautoryzowaną transakcję – dochodzić tej kwoty od klienta na przykład przed sądem. Bank nie może być sędzią w swojej sprawie ,a jego interesie jest nie zwracanie środków. Dlatego to, sąd musi ustalić, czy była autoryzacja, czy nie, i w jakim stopniu klient się przyczynił do utraty kontroli nad kontem czy kartą - tłumaczy Izabela Dąbrowskaj-Antoniak.

 


Iwo Gabrysiak, adwokat, wspólnik zarządzający Gabrysiak i Wspólnicy, zauważa, że banki często mówią to pana/pani wina, nie oddamy pieniędzy. – Klient zaczyna kombinować, że może, rzeczywiście był pijany, dał komuś telefon, i odpuszcza, bo czują, że postąpił lekkomyślnie i wstydzi się  – mówi Iwo Gabrysiak.  A to bank musi udowodnić, że wyraził zgodę na wypłatę środków bez udziału osób trzecich.

Klient musi chcieć oszukać

71 motyw dyrektywy PSD2 mówi, że płatnik nie powinien ponosić odpowiedzialności, jeżeli nie mógł zdawać sobie sprawy z utraty, kradzieży lub przywłaszczenia instrumentu płatniczego. - Ustawodawca unijny dopuszcza zatem zwolnienie się z obowiązku niezwłocznego zwrotu przez dostawcę kwoty nieautoryzowanej transakcji płatniczej,  gdy istnieje prawdopodobieństwo działania płatnika w nieuczciwych zamiarach. Przy tak określonej intencji ustawodawcy unijnego nie można zdaniem inaczej odszyfrować znaczenia, użytego w art. 16 dyrektywy oraz art. 46 ust. 1 ustawy o usługach płatniczych, słowa „oszustwo” niż oszustwo płatnika lub oszustwo z jego udziałem (np. friendly fraud) –  uważa Izabela Dąbrowska-Antoniak. I dodaje, że niektóre kraje unijne implementując dyrektywę użyły takiego sformułowania. – Być może polski ustawodawca też powinien doprecyzować, że klient musiałby chcieć oszukać bank lub współuczestniczyć w takim działaniu – podkreśla Izabela Dąbrowska-Antoniak

Sądy o autoryzacji

Polskie orzecznictwo respektują unijną dyrektywę. Sąd Apelacyjny w Warszawie wyroku z 19 lipca 2018 r. uznał, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo spoczywa na banku (sygn. V ACa 823/17). Z kolei Sąd Apelacyjny  w Warszawie w wyroku z 28 października 2018 r. (sygn. V ACa 823/17) stwierdził, że skoro transakcje nie były autoryzowane przez właściciela rachunku, bank musi oddać pieniądze i to wraz z odsetkami.  Dlatego zdaniem Rzecznika Finansowego banki powinny  rozważyć wprowadzenie rozwiązań poprawiających bezpieczeństwo - nawet kosztem szybkości przeprowadzania transakcji.  - Poważnym problemem jest możliwość zaciągnięcia kredytu »na klik« czy obciążenia karty kredytowej lub debetowej podpiętej do konta bankowego. Wydaje się, że tu również wskazane byłoby wprowadzenie dodatkowych procedur zabezpieczających, np. przy zwiększaniu limitów – apeluje Izabela Dąbrowska-Antoniak.