W czasie pandemii oszuści są bardziej aktywni. Banki zaraportowały za okres od 15 marca do 14 czerwca 2020 r. niemal 25 tys. zgłoszeń nieautoryzowanych transakcji. Dla porównania w analogicznym okresie poprzedniego roku było ich niecałe 19,6 tys. 

Wirus manipuluje właścicielem konta

Typowy przykład phishingu wygląda tak: klient bankowości, który nie ma aktualnego oprogramowania antywirusowego, ściąga wirusa na komputer poprzez otwarcie pliku załączonego do wiadomości mailowej od nieznanego nadawcy. Gdy próbuje logować się do bankowości internetowej, wirus podstawia fałszywą stronę, na której klient podaje login i hasło. Wirus pokazuje fałszywy komunikat na stronie, że wystąpił błąd logowania i wskazuje, że do zalogowania niezbędne jest podanie kodu SMS. W tym momencie na numer klienta przychodzi SMS z kodem do zatwierdzenia przelewów, które w tym czasie zlecił haker. Klient nie zwraca uwagi na treść wiadomości i wpisuje kod na stronie do logowania. Przelew zostaje zatwierdzony.

Gdy klient się orientuje, ze stracił pieniądze, składa reklamację, wskazując, że nie autoryzował transakcji i żąda zwrotu utraconej kwoty. Bank odmawia, gdyż z jego poziomu wszystko przebiegło prawidłowo: nastąpiło prawidłowe zalogowanie do bankowości internetowej przy użyciu loginu i hasła, a następnie przelew został prawidłowo zatwierdzony kodem SMS, który został przesłany na numer wskazany bankowi przez klienta.

Czytaj również: Bank odda klientowi pieniądze wyprowadzone z konta przez hakerów >>
 

Zgoda na transakcję

W sporze sądowym na podstawie art. 45 ustawy o usługach płatniczych, to dostawca musi udowodnić, że transakcja była prawidłowo autoryzowana, przy czym autoryzacja rozumiana jest jako zgoda płatnika. Nie jest jasne jednak, w jaki sposób bank ma udowodnić zgodę płatnika na dokonanie transakcji.

Zgodnie z unijną dyrektywą w sprawie usług płatniczych PSD2 w przypadku gdy użytkownik zaprzecza, że autoryzował transakcję, wystarczy, żeby dostawca udowodnił, że transakcja ta została uwierzytelniona, dokładnie zapisana, ujęta w księgach i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez danego dostawcę usług płatniczych.

Tyle, że w rozumieniu PSD2 uwierzytelnianie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika. W efekcie bank nie może udowodnić zgody użytkownika na dokonanie transakcji, ponieważ zgoda, związana ze sferą świadomości użytkownika jest w tym sensie niemożliwa do udowodnienia. 

Zasady powinny być w umowie z bankiem

Forma wyrażenia zgody powinna być zatem uzgodniona przez strony w umowie, będąca potwierdzeniem złożenia przez klienta dyspozycji określonej treści i jako taka powinna być przedmiotem dowodzenia.
- To, co jest rozumiane przez zgodę oraz formy jej wyrażenia przez użytkownika powinno być szczegółowo uregulowane w zaakceptowanych przez niego warunkach umownych - tłumaczy dr Justyna Tokarzewska, adwokat, wspólnik kancelarii Rö Radwan-Röhrenschef Petruczenko Tokarzewska. Zgodnie bowiem z art. 27 pkt 2) lit. c ustawy o usługach płatniczych to dostawca przekazuje użytkownikowi informacje, które zawierają m.in. określenie formy i procedury udzielania zgody na złożenie zlecenia płatniczego lub dokonanie transakcji płatniczej oraz cofnięcia takiej zgody, a także odwołania zlecenia płatniczego na podstawie art. 40 i art. 51. 

Transakcja nieautoryzowana rozumiana jest jako transakcja płatnicza, na którą płatnik nie wyraził zgody w określony umową sposób, jak również, w której płatnik nie miał woli złożenia dyspozycji wykonania danej transakcji. - Aspekt woli w przypadku kwestionowania autoryzacji danej transakcji przez płatnika jest często powoływany w orzecznictwie, choć w praktyce zdarza się tak, że zachowanie płatnika, które zgodnie z umową powinno być odczytane przez dostawcę jako zgoda, wcale nie musi odpowiadać jego woli do dokonania danej transakcji – mówi  Wiktoria Ignaczak z kancelarii Rö Radwan-Röhrenschef Petruczenko Tokarzewska 

Różne tłumaczenia

Na obecnie brzmienie przepisów ustawy o usługach płatniczych dotyczących autoryzacji transakcji miały znaczący wpływ Dyrektywy PSDI i PSDII. Tłumacząc PSDI polski legislator przetłumaczył identycznie (jako autoryzację) dwa odmiennie rozumiane przez ustawodawcę unijnego pojęcia autoryzacji i uwierzytelnienia. Jak wskazuje adwokat Małgorzata Rojek z kancelarii Rö Radwan-Röhrenschef Petruczenko Tokarzewska Sp.k., częściowo wadliwe przełożenie PSDI na język polski wpłynęło bezpośrednio na treść ustawy o usługach płatniczych (w szczególności na art. 45 ust. 1 ustawy o usługach płatniczych) i nawet w wyniku prawidłowego przetłumaczenia PSDII, pozostawiono w art. 45 ust. 1 (oraz w dodanym w 2018 roku ust. 1a) ustawy o usługach płatniczych błędne zastosowanie pojęcia autoryzacji, podczas gdy należałoby stosować pojęcie „uwierzytelnienia”. 

W przekładzie PSDII na język polski rozróżniono już pojęcia autoryzacji i uwierzytelnienia. - Zatem należy stwierdzić, że jedną z podstawowych przesłanek udowodnienia, iż dana transakcja była autoryzowana, jest udowodnienie jej uwierzytelnienia – mówi Małgorzata Rojek.  Jednak treść art. 45 ust. 1 i ust. 1 a ustawy o usługach płatniczych do chwili obecnej nie została zmieniona pod wpływem prawidłowego tłumaczenia Dyrektywy PSDII i do obu pojęć stosowane jest słowo autoryzacja. Brak tego rozróżnienia na gruncie ustawy o usługach płatniczych ma istotne znaczenie zarówno w kontekście kształtowania odpowiedzialności i obowiązków dostawców usług płatniczych, jak i dochodzenia swoich praw przez użytkowników usług płatniczych.