Jeżeli klient zgłosi nieautoryzowaną transakcję, bank powinien niezwłocznie zwrócić mu utracone pieniądze – uważa Aleksandra Wiktorow, rzecznik finansowy. Pogląd ten wyraziła w czerwcu w analizie pt. "Nieautoryzowane transakcje - zasady i główne problemy". Jej zdaniem tak wynika z obowiązującej od roku unijnej dyrektywy w sprawie usług płatniczych PSD2 oraz ustawy o usługach płatniczych. 

Według Związku Banków Polskich rzecznik się myli. Po pierwsze w tak krótkim terminie trudno ustalić, czy klient przyczynił się do nieautoryzowanej transakcji, a w takiej sytuacji bank nie musi oddać mu pieniędzy. Po drugie zdaniem banków dyrektywa PSD2 została niewłaściwie zaimplementowana. Taki pogląd wyraził ZBP w polemice przekazanej rzecznikowi, do której dotarło Prawo.pl. Prawnicy przyznają, że w tej pierwszej kwestii, banki mają rację. 

 

Kto powinien ustalić winę klienta

Zdaniem RF z art. 73 dyrektywy i art. 43 ustawy o usługach płatniczych wynika wprost, że jeśli konto bankowe, kartę bankomatową czy kredytową przejmie hacker czy oszust i wypłaci sobie pieniądze czy zaciągnie kredyt, to bank powinien zwrócić utracone środki nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji  lub otrzymania zgłoszenia od klienta (tzw. zasada D+1). 

Czytaj: Banki lepiej zabezpieczą klientów przed oszustami>>
 

Banki w takich sytuacjach często odmawiają zwrotu pieniędzy, twierdząc, że klient się do tego przyczynił, np. oddał telefon obcej osobie, nie sprawdził witryny, w której robił zakupy, nie upewnił się, skąd jest sms i odpisał, dając dostęp do swoich danych, itp.  Według Izabeli Dąbrowskiej-Antoniak, dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego, trudno  zebrać takie dowody w ciągu takiego czasu. Dlatego właśnie bank powinien najpierw niezwłocznie oddać klientowi pieniądze, a następnie – jeżeli ma podstawy, by sądzić, że klient powinien w całości lub części odpowiadać za nieautoryzowaną transakcję – dochodzić tej kwoty, np. przed sądem.

Związek Banków Polskich nie zgadza się też z taką tezą rzecznika. Podkreśla, że wstrzymanie zwrotu utraconych środków na skutek nieautoryzowanej transakcji może się zdarzyć w przypadku wykazania winy, umyślnego działania czy rażącego niedbalstwa klienta. Na udowodnienie tego banki potrzebują jednak więcej czasu.

Zbyt krótki termin

Prawnicy, rozumieją, że Unii chodziło o wyeliminowanie sytuacji, gdy bank przeciąga proces wyjaśniania okoliczności transakcji. Podkreślają jednak, że termin ten jest zdecydowanie zbyt krótki. - Nie da się w ciągu kilkudziesięciu godzin przeprowadzić rzetelnego postępowania wyjaśniającego - ocenia Michał Ćwiakowski, szef praktyki regulacji bankowych i finansowych w kancelarii Gawroński & Partners.  A Bartosz Wyżykowski, radca prawny w DLK Legal, uważa, że dostawca nie może być zobowiązany do zwrotu środków, jeżeli w jego ocenie to płatnik ponosi odpowiedzialność za nieautoryzowaną transakcję.  - Przykładowo, gdy klient banku świadomie umieścił na Facebooku zdjęcia swojej karty płatniczej i umożliwił w ten sposób wykonanie nieautoryzowanych transakcji, a następnie przyznał się do tego bankowi, trudno oczekiwać, że ten obowiązany będzie do zwrotu środków, gdyż w takim wypadku odpowiedzialność za nieautoryzowane transakcje ponosiłby klient - tłumaczy Wyżykowski.

Od ustalenia winy jest sąd

Izabela Dąbrowska-Antoniak podkreśla, że bank nie może być sędzią w swojej sprawie, a w jego interesie jest niezwracanie środków. - To sąd musi ustalić, czy była autoryzacja, czy nie, i w jakim stopniu klient się przyczynił do utraty kontroli nad kontem czy kartą - tłumaczy Izabela Dąbrowska-Antoniak.  ZBP zwraca jeszcze uwagę, że dochodzenie zasadnych roszczeń o zwrot kwot nieautoryzowanych transakcji płatniczych, za które odpowiedzialność ponosiłby klient, narażałoby go na konieczność poniesienia kosztów przegranego procesu. Dlaczego? ZBP zakłada, że powództwo banku zostałoby uwzględnione w całości. - Trudno zatem zgodzić się, że przyjęcie prostej zasady automatycznego zwrotu środków, a następnie wytaczanie powództw przeciwko płatnikom jest rozwiązaniem korzystnym dla klientów - czytamy w polemice.

Co na to sądy?

Polskie orzecznictwo respektuje unijną dyrektywę. Sąd Apelacyjny w Warszawie wyroku z 19 lipca 2018 r. uznał, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie. Ciężar udowodnienia, że transakcja płatnicza nie autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na banku (sygn. V ACa 823/17). Z kolei Sąd Apelacyjny  w Warszawie w wyroku z 28 października 2018 r. (sygn. V ACa 823/17) stwierdził, że skoro transakcje nie były autoryzowane przez właściciela rachunku, bank musi oddać pieniądze i to wraz z odsetkami. 

Iwo Gabrysiak, adwokat, wspólnik zarządzający Gabrysiak i Wspólnicy, zauważa, że banki często mówią to pana/pani wina, nie oddamy pieniędzy. – Klient zaczyna kombinować, że może, rzeczywiście był pijany, dał komuś telefon, i odpuszcza, bo czuje, że postąpił lekkomyślnie i wstydzi się  – mówi Iwo Gabrysiak.  Jego zdaniem jednak to bank musi udowodnić, że wyraził zgodę na wypłatę środków bez udziału osób trzecich.

Uwierzytelnienie czy autoryzacja

Ponadto zgodnie z art. 45 ust. 1 ustawy o usługach płatniczych to na dostawcy, np. banku spoczywa ciężar udowodnienia, że transakcja została autoryzowana. Zdaniem ZBP przepis ten nie odzwierciedla art. 72 PSD2, który mówi o ciężarze udowodnienia przez dostawcę uwierzytelnienia, a nie jej autoryzacji. Na czym polega różnica? Uwierzytelnienie jest wykonywane wcześniej niż autoryzacja. Jest to potwierdzenie, że dana osoba mogła zalogować się do konta bankowego, bo podała właściwe hasło i login. Autoryzacja potwierdza zaś, że dana osoba mogła wykonać określoną czynność, korzystać z zasobów konta, np. zrobić przelew. Złodziej może się dostać do konta, gdy przechwyci login i hasło, ale transakcja, którą wykona nie musi być autoryzowana.  Zgodnie zaś z art. 72 PSD, gdy użytkownik twierdzi, że nie autoryzował transakcji, to bank musi udowodnić, że została uwierzytelniona. Według ZBP oznacza to, że przepis ustawy błędnie wymaga od dostawcy (banku) wykazania autoryzacji transakcji, zaś przepis PSD2 jedynie uwierzytelnienia.

Rzecznik broni swojego stanowiska

Izabela Dąbrowska-Antoniak uważa, że każdy, kto przeanalizuje proces legislacyjny nie będzie miał wątpliwości, że to nie żaden błąd. - ZBP swoje stanowisko prezentował już podczas procesu legislacyjnego. Polski ustawodawca świadomie i słusznie zdecydował się  na użycie pojęcia autoryzacja, chroniąc słabszą stronę, którą jest płatnik. Trudno więc mówić o przeoczeniu, czy błędnym tłumaczeniu - mówi Izabela Dąbrowska-Antoniak.  I dodaje, że niestety w praktyce procedury bankowe opierają się o to, jak regulacje powinny według banków wyglądać, a nie jak one brzmią w przyjętej ustawie o usługach płatniczych. - To się po prostu bankom bardziej opłaca - uważa Izabela Dąbrowska-Antoniak. Prawnicy patrzą jeszcze inaczej na problem. Przyznają rację, że autoryzacja i uwierzytelnienie to dwa różne pojęcia, ale sedno problemu widzą właśnie w trudnościach odnoszących się do zebrania dowodów.

Dowody trudne do zebrania

Bartosz Wyżykowski wskazuje że dla ustalenia odpowiedzialności stron już niedługo fundamentalne znaczenie będzie miało to, czy dostawca należycie uwierzytelnił płatnika. - Od 14 września 2019 r. dostawcy zobowiązani będą stosować tzw. silne uwierzytelnianie klienta. Ma to zwiększyć bezpieczeństwo elektronicznych, zwłaszcza zdalnie inicjowanych, transakcji. Gdy dostawca nie będzie wymagał silnego uwierzytelniania, płatnik zwolniony będzie z odpowiedzialności za nieautoryzowaną transakcję, z wyjątkiem, gdy działał umyślnie - podkreśla Bartosz Wyżykowski.

Michał Ćwiakowski dodaje, że problem stanowi samo obciążenie dostawcy usług płatniczych ciężarem dowodu. - Art. 45 ust. 2 ustawy o usługach płatniczych mówi, że wykazanie przez dostawcę zarejestrowania użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja została autoryzowana. Jest to zadanie bardzo trudne, niezależnie czy będziemy mówić o autoryzacji czy uwierzytelnieniu, zwłaszcza w kontekście narzuconego terminu na zwrot środków - wskazuje  Michał Ćwiakowski.

Izabela Dąbrowska-Antoniak,  zwraca jednak uwagę, że 71 motyw dyrektywy PSD2 mówi wprost, że płatnik nie powinien ponosić odpowiedzialności, jeżeli nie mógł zdawać sobie sprawy z utraty, kradzieży lub przywłaszczenia instrumentu płatniczego. I radzi, by banki wdrożyły dodatkowe zabezpieczenia.