Aplikacje bankowe ułatwiają płatności i dostęp do własnego rachunku, a przy tym wydają się bezpieczne, gdyż zalogować się można tylko biometrią albo PIN-em. Użytkownicy telefonów zwykle zresztą nikomu ich nie oddają, ale zdarza się, że trzeba zostawić telefon w serwisie. Używane telefony również się sprzedaje. W takich sytuacjach powinno się zachować szczególną ostrożność.
- Zabezpieczenia aplikacji mobilnej to nie wszystko, bo najsłabszym ogniwem w tej sytuacji pozostaje sprzęt, nad którym tracimy kontrolę. Oddając urządzenie z aktywną aplikacją w obce ręce, dajemy komuś fizyczny dostęp do środowiska, w którym ta aplikacja działa, co otwiera drogę do zaawansowanych manipulacji – tłumaczy Michał Czurabski, dyrektor Digital Banking Foundations Chapter Lead, Credit Agricole Bank Polska S.A.
Podstawą jest zabezpieczenie
Przed oddaniem komukolwiek telefonu warto dopilnować bezpieczeństwa.
- Standardem cyfrowej higieny przed oddaniem telefonu do serwisu lub jego sprzedażą powinny być zawsze trzy kroki: dezaktywacja aplikacji na tym telefonie i usunięcie samej aplikacji, a na koniec pełen reset urządzenia do ustawień fabrycznych. Tylko to gwarantuje pełne bezpieczeństwo – mówi Michał Czurabski.
Zignorowanie tych zasad ułatwia zadanie potencjalnym przestępcom.
- W świetle regulacji może zostać uznane za rażące niedbalstwo, co przerzuca odpowiedzialność za ewentualną utratę środków na użytkownika. Klient powinien zawsze kierować się zasadą ograniczonego zaufania, nawet jeśli oddaje telefon do sprawdzonego serwisu – uważa Michał Czurabski.
Bank odpowiada za dokonane nieautoryzowane transakcje płatnicze
Sprawa wydaje się jednak bardziej skomplikowana i mniej jednoznaczna, niż wynika to z perspektywy bankowej.
- Zasadniczo w judykaturze nie ma już większych wątpliwości co do tego, że w sytuacji, w której płatnik (klient banku) pada ofiarą dokładnie zaplanowanego oszustwa, w wyniku którego traci środki własne zgromadzone na rachunku bankowym, bądź w jego imieniu zaciągany jest kredyt konsumencki na tzw. “klik”, który następnie jest wyprowadzany z rachunku bankowego, to nie on, lecz bank odpowiada za dokonane nieautoryzowane transakcje płatnicze. W szczególności dotyczy to popularnych już oszustw phishingowych, vishingowych oraz spoofingu, polegających na podszywaniu się przez nieznane osoby pod pracowników banków lub innych zaufanych instytucji w celu wyłudzenia pieniędzy – mówi adwokat Katarzyna Holik, Kancelaria DSK w Poznaniu.
Czytaj też w LEX: Phishing – próba odtworzenia reguły odpowiedzialności na podstawie przykładów praktycznych >
Jak tłumaczy z kolei Katarzyna Korycka z biura prasowego rzecznika finansowego, bank najpierw powinien zwrócić kwotę nieautoryzowanej transakcji, a dopiero w drugim kroku może badać okoliczności sprawy i w przypadku podejrzenia oszustwa może żądać oddania wcześniej zwróconej kwoty. Ciężar wykazania takich okoliczności spoczywa jednak na banku.
Zgodnie z art. 40 ust. 1 zd. 1 ustawy o usługach płatniczych, transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą.
- W świetle tej definicji ustawowej, za nieautoryzowaną transakcję płatniczą przyjmuje się taką transakcję, na którą płatnik nie wyraził zgody. W okolicznościach powiązanych zatem z jakimkolwiek działaniem przestępczym brak jest podstaw do powoływania się na skuteczne wyrażenie zgody na dokonanie transakcji płatniczej – tłumaczy Katarzyna Holik.
Od samej autoryzacji należy także odróżnić pojęcie uwierzytelnienia. Uwierzytelnienie to odpowiednia procedura, która jest niezbędna w celu weryfikacji tożsamości płatnika i powstania domniemania wyrażenia przez płatnika zgody na transakcję (np. podanie poprawnego PIN, podpis na rachunku, paragonie, podanie prawidłowego hasła dostępu do serwisu dostawcy).
Proces uwierzytelnienia zawsze będzie poprzedzał samą autoryzację, ale nie oznacza to, że po poprawnym przejściu procesu uwierzytelnienia transakcja zawsze będzie autoryzowana – wyjaśnia Katarzyna Holik.
Tymczasem banki w większości spraw dotyczących nieautoryzowanych transakcji płatniczych powołują się właśnie na prawidłowe uwierzytelnienie transakcji, np. przy użyciu prawidłowego kodu PIN lub kodu SMS, zapominając o istocie autoryzacji, jaką jest zgoda pochodząca bezpośrednio od płatnika.
- Płatnik niewyrażający zgody na transakcję nie składa przecież żadnego oświadczenia woli, gdyż nie on wtedy dokonuje procesu uwierzytelnienia – podkreśla Katarzyna Holik.
Zobacz też w LEX: Nieautoryzowane transakcje płatnicze - rozkład odpowiedzialności, najnowsze orzecznictwo TSUE oraz sądów powszechnych >
Klient nie zawsze otrzyma zwrot pieniędzy
Zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank powinien niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej. Wyjątkiem jest sytuacja, gdy bank ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw.
Jak tłumaczy Katarzyna Holik, istnieją jednak przypadki, kiedy to płatnik odpowiada za nieautoryzowane transakcje płatnicze. Ma to miejsce, jeżeli doprowadził on do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy. Przepis ten wymienia następujące obowiązki: korzystania z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszania niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenia utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
Jak zatem traktować sytuację, w której do nieautoryzowanej transakcji dojdzie wskutek uzyskania dostępu do aplikacji mobilnej w telefonie, oddanym do serwisu?
Zdaniem Katarzyny Holik w świetle przepisów ustawy o usługach płatniczych nawet taki scenariusz nie ma jednego rozwiązania. Dostęp do aplikacji mobilnej najczęściej jest chroniony dodatkowym hasłem bądź weryfikacją twarzy/linii papilarnych. Jeżeli pomimo takich zabezpieczeń, sprawcy przestępstwa udałoby się uzyskać dostęp do aplikacji mobilnej banku, trudno byłoby wykazać, że płatnik działał umyślnie bądź dopuścił się rażącego niedbalstwa.
- Wykładnia pojęcia rażącego niedbalstwa powinna uwzględniać kwalifikowaną postać braku zwykłej staranności w przewidywaniu skutków. W orzecznictwie podkreśla się, że rażące niedbalstwo to coś więcej niż brak zachowania zwykłej staranności. Chodzi tu o takie zachowanie, które graniczy z umyślnością. Trudno zatem mówić o rażącym niedbalstwie w sytuacji oddania telefonu serwisantowi, świadczącemu profesjonalne usługi w zakresie naprawy urządzeń – mówi Katarzyna Holik.
Czytaj też w LEX: Odpowiedzialność wydawcy karty płatniczej za nieautoryzowane transakcje kartą płatniczą >
Podobnie w przypadku sprzedaży telefonu bez uprzedniego odinstalowania aplikacji.
- Sytuacja mogłaby się lekko skomplikować, gdyby okazało się, że dostęp do aplikacji bankowej nie jest w żaden sposób zabezpieczony - tj. nie wymaga wprowadzenia żadnego hasła ani dodatkowej identyfikacji, a każdy, kto ma dostęp do telefonu, może tę aplikację otworzyć i z niej korzystać. Wówczas zwiększa się ryzyko uznania, że zachowanie cechowało rażące niedbalstwo – tłumaczy Katarzyna Holik.
Każda z takich spraw powinna być rozpatrywana indywidualnie.
- Co szczególnie istotne, samo wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków ustawowych – podsumowuje mec. Holik.
Katarzyna Korycka zwraca uwagę na to, że jeżeli w toku postępowania sądowego ze zgromadzonego materiału dowodowego okaże się, że źródłem oszustwa był serwis, wówczas bank pozywa serwis lub dochodzi roszczeń regresowych.
- W przypadku nieautoryzowanej transakcji klient powinien zgłosić sprawę do dostawcy usług płatniczych i od niego dochodzić zwrotu środków. Możliwy jest scenariusz, w którym klient pozywa bezpośrednio serwis, jednak w tej sytuacji ciężar dowodowy będzie spoczywał na konsumencie – wskazuje Katarzyna Korycka.
Czytaj też w LEX: Przegląd wybranego orzecznictwa w sprawach nieautoryzowanych transakcji płatniczych w latach 2021–2024 >
