Czytaj: Nieautoryzowane transakcje - banki chcą więcej czasu na zwrot pieniędzy klientom>>
Jolanta Ojczyk: Jak Rzecznik Finansowy odnosi się do stanowiska Związku Banków Polskich w sprawie nieautoryzowanych transakcji?
Izabela Dąbrowska-Antoniak: Banki zwykle krytycznie odnoszą się do naszego stanowiska i forsują korzystną dla siebie interpretację przepisów, więc nie jesteśmy zaskoczeni. Nie wnosi ono nowych argumentów, które miałby wpłynąć na modyfikację naszej oceny przepisów. Wszystkie są znane, bo były prezentowane np. na etapie konsultacji rozwiązań ustawowych i nie zostały uwzględnione. Niestety w praktyce procedury bankowe opierają się o to, jak regulacje powinny według banków wyglądać, a nie jak one brzmią w przyjętej ustawie o usługach płatniczych. To się po prostu bankom bardziej opłaca.
Ale banki podnoszą, że ustawa niewłaściwie implementuje przepisy dyrektywy PSD2 na skutek błędnego tłumaczenia pojęć autoryzacji i uwierzytelnienia.
Każdy kto przeanalizuje proces legislacyjny nie będzie miał wątpliwości, że to nie żaden błąd. Polski ustawodawca świadomie i słusznie używa pojęcia autoryzacja, chroniąc słabszą stronę, którą jest płatnik. Jednym zaś z celów dyrektywy PSD2 jest silniejsza ochrona użytkownika i wymuszenie na dostawcach usług płatniczych zapewnienia wysokiego poziomu ochrony konsumenta. Moim zdaniem przyjęty ostatecznie kształt przepisów w pełni oddaje istotę i intencje regulacji. Przypomnę, że ta kwestia była przez ZBP ponoszona wielokrotnie na etapie legislacyjnym, w którym ostatecznie z wyżej wspomnianych powodów przyjęto rozwiązanie, które jest obecnie w ustawie o usługach płatniczych. Trudno więc mówić o przeoczeniu czy błędnym tłumaczeniu.
Jaka jest w praktyce różnica między autoryzacją i uwierzytelnieniem?
Pojęcie autoryzacji – przypomnę użyte w przepisach – jest szersze niż pojęcie uwierzytelnienia. W skrócie o autoryzacji mówimy, gdy klient po pierwsze miał wolę dokonania transakcji i wyraził ją w sposób przewidziany w umowie. A po drugie, dokonał jej uwierzytelnienia (np. wpisując login, hasło, kod z SMS-a). Bankom z oczywistych względów zależy na uwzględnianiu tylko kwestii uwierzytelnienia. Problem w tym, że to element czysto techniczny – jak pokazują skargi trafiające do nas i dane rynkowe – coraz częściej forsowany przez przestępców. Nie przypadkowo od połowy września banki mają wprowadzić rozwiązania oparte o tzw. silne uwierzytelnienie. To pokazuje, że unijny ustawodawca obserwując sytuację na różnych rynkach, doszedł do wniosku, że jest to słabe ogniwo i należy je wzmocnić.
Na czym ma polegać to silne uwierzytelnienie?
W dużym skrócie – na wprowadzeniu dodatkowych elementów, które będą pozwalały bezpieczniej przeprowadzić transakcję lub korzystać z rachunku on-line. Uznano, że stosowane dziś zabezpieczenia, np. podanie loginu i hasła czy kodu z SMS-a autoryzacyjnego to za mało. Możliwości tu jest wiele, nawet dodatkowe potwierdzenie odciskiem palca, czy skan oka lub twarzy. Zobaczymy co wymyślą tu banki. Liczę, że ten wymóg rozpocznie rywalizację na podniesienie poziomu bezpieczeństwa transakcji. Mam wrażenie, że dziś banki ścigają się na uproszczenie i przyspieszenie transakcji, nawet kosztem bezpieczeństwa. A ja bym wolała, żeby mój bank był bezpieczny, a nie szybki. Mam też nadzieję, że banki pracując nad nowymi procedurami wezmą też pod uwagę nasz apel o zwiększenie zabezpieczeń już wewnątrz konta.
Na czym polega problem?
Zauważyliśmy, że po sforsowaniu dostępu do konta w wielu przypadkach złodziej łatwo sięga po wszystkie środki, a nawet zaciąga pożyczki. Po zalogowaniu na ROR coraz częściej mamy łatwy dostęp do kredytu „na klik”, możemy transferować środki z konta oszczędnościowego czy lokat, wykonywać przelewy z konta karty kredytowej. I to wszystko bez żadnych dodatkowych zabezpieczeń. Chodzi więc o takie rozwiązania, które uniemożliwią a przynajmniej znacznie utrudnią życie oszustom.
Czy to silne uwierzytelnienie wystarczy, żeby zniknęło zjawisko nieautoryzowanych transakcji?
Nie wiem czy to realne. Na pewno sforsowanie tych lepszych zabezpieczeń będzie trudniejsze, ale myślę, że przestępcy ponownie staną do wyścigu. Dlatego tak ważne jest, żebyśmy – idąc zgodnie z trendem ochrony konsumentów – cały czas mówili o autoryzacji i woli klienta na dokonanie transakcji. Nie powinno też podlegać dyskusji, że bank musi zwrócić jak najszybciej środki wytransferowane z konta w ramach nieautoryzowanej transakcji. Skandalem są takie sprawy z jaką zwróciła się ostatnio jedna z poszkodowanych klientek, która od ponad roku czeka na zakończenie postępowania prokuratorskiego, bo od jego i swoich ustaleń bank uzależnia zwrot środków skradzionych z konta bankowego.
W jakim terminie ten zwrot powinien nastąpić?
To jest precyzyjnie określone w ustawie, wprowadzającej tzw. zasadę D+1. Zgodnie z nią banki w większości przypadków powinny zwracać środki następnego dnia roboczego po zgłoszeniu nieautoryzowanej transakcji. Wyjątkiem jest sytuacja w której bank będzie miał uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta i poinformuje o tym organy ścigania.
Co w sytuacji gdy bank zwróci środki, a potem okaże się, że klient celowo oszukał bank lub do transakcji doszło na skutek jego rażącego niedbalstwa?
Wtedy bank może zażądać od niego zwrotu tych środków. W praktyce zapewne będzie musiał ich dochodzić w sądzie i udowadniać swoje twierdzenia. Uważam, że to właściwa kolejność, bo dziś bank jest trochę sędzią we własnej sprawie.
Jeśli mimo wszystko bank nie oddaje pieniędzy, co może zrobić klient?
Po pierwsze, zgłosić się z reklamacją do banku. Jeśli nie zostanie ona uznana, można zwrócić się z wnioskiem o interwencję Rzecznika Finansowego. Obawiam się jednak, że póki co w większości spraw bank na skutek naszej interwencji nie zmieni zdania. Wtedy klientowi pozostanie wytoczenie powództwa wobec banku. Na tym etapie możemy wspomóc klienta tzw. istotnym poglądem. Warto dodać, że orzecznictwo sądów w tym zakresie jest dość jednolite, bo oparte o obowiązujące regulacje ustawowe. Rozumienie autoryzacji transakcji i jej skutków prezentowe przez sędziów, jest też zbieżne ze stanowiskiem Rzecznika.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.