Warto przeanalizować instrumenty, jakimi dysponuje klient instytucji finansowej, w świetle przepisów tej dyrektywy, szczególnie w obliczu nasilających się ostatnio przypadków przestępczych ataków związanych z podszywaniem się pod pracowników banków.

Od ponad 9 lat, w polskim porządku prawnym, obowiązuje ustawa o usługach płatniczych (UUP). Akt ten implementował pierwszą dyrektywę w sprawie usług płatniczych w ramach rynku wewnętrznego. UUP wprowadziła odpowiedzialność instytucji finansowych (w tym m.in. banków) za nieautoryzowane przez klienta transakcje płatnicze. Nowa, dyrektywa PSD2 wzmacnia istniejący już model ochrony klienta instytucji finansowej.

Czytaj: Usługi płatnicze do deregulacji, bezpieczeństwo klientów ma nie ucierpieć>>
 

Odpowiedzialność po stronie instytucji

Podstawową zasadą, jaka przyświeca regulacjom dotyczącym nieautoryzowanych transakcji płatniczych, jest przeniesienie odpowiedzialności za taką transakcję z klienta na instytucję finansową. To zatem bank odpowiada, na zasadzie ryzyka, za nieautoryzowaną przez klienta transakcję. Jedynie w określonych przypadkach instytucja finansowa może być zwolniona z tego obowiązku.

Nieautoryzowana transakcja nie jest zdefiniowana ustawowo, ale znaczenie tego wyrażenia można próbować odczytać, posiłkując się definicją autoryzacji transakcji, która znajduje się w UUP. A zatem transakcja jest autoryzowana, jeśli płatnik tj. klient instytucji finansowej wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między nim a instytucją finansową, zgoda może dotyczyć także kolejnych transakcji płatniczych. Kluczowa, z punktu widzenia tej definicji, jest zgoda płatnika, ponieważ ustawodawca w sposób wyraźny wskazuje, że samo wykazanie przez bank zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez klienta autoryzowana. Innymi słowy, transakcja nieautoryzowana to taka transakcja, na którą klient nie wyraził zgody.

 


Obowiązek zwrotu nieautoryzowanej wypłaty

W przypadku wystąpienia nieautoryzowanej transakcji, na instytucji finansowej ciąży ustawowy obowiązek zwrotu klientowi kwoty nieautoryzowanej transakcji niezwłocznie, nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji (tzw. zasada D+1). Obowiązkiem klienta jest niezwłoczne poinformowanie banku o wystąpieniu takiej transakcji. Termin maksymalny na poinformowanie instytucji finansowej wynosi 13 miesięcy od daty wystąpienia niepożądanej transakcji.

Jeśli bank nie zwróci środków klientowi we wskazanym wyżej  terminie, popada w opóźnienie i już od tego momentu klient ma prawo domagać się od instytucji finansowej ustawowych odsetek za opóźnienie, z uwagi za nieterminowy zwrot środków. Istnieje tylko jeden wyjątek, który  pozwala bankowi uchylić się od obowiązku zwrotu środków, a mianowicie sytuacja gdy bank ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo i poinformuje o tym na piśmie organy ścigania. Ustawa o usługach płatniczych niestety nie precyzuje, czy chodzi o oszustwo dokonane przez klienta czy też osobę trzecią. Instytucje finansowe w praktyce potrafią to skrzętnie wykorzystać i powołując się na podejrzenie popełnienia przestępstwa, odmawiają zwrotu środków. W konsekwencji klienci oczekują na zwrot środków wiele miesięcy, a w skrajnych przypadkach jeszcze dłużej tj. do zakończenia postępowania karnego toczącego się w związku z przestępstwem.

Czytaj; Autoryzacja a uwierzytelnianie - spór o tłumaczenie nie ułatwia ochrony rachunków>>
 

Nieuprawnione odsuwanie wypłaty

Taką praktykę ze strony instytucji finansowych należy ocenić jednoznacznie krytycznie, a to z tego względu, że po sięgnięciu do przepisów dyrektywy PSD2, a ściślej motywu nr 71 jej preambuły, można w sposób jednoznaczny stwierdzić, że pod pojęciem oszustwa, o którym mowa w dyrektywie, kryje się jedynie oszustwo klienta.  W konsekwencji tylko w wypadku wiarygodnych podstaw do podejrzewania klienta o próbę oszustwa na szkodę banku i jednoczesnego zgłoszenia tego organom ścigania, bank ma prawo odmówić zwrotu środków klientowi. Taka interpretacja wydaje się ze wszech miar słuszna, bo jeśli by przyjąć, że chodzi o oszustwo jakiejkolwiek osoby, przepis ten stałby się w istocie normą pustą, ponieważ praktycznie w każdym przypadku nieautoryzowanej transakcji mamy do czynienia z popełnieniem czynu zabronionego.

Oszuści stale się doskonalą

Przestępcy działający „na rynku” nieautoryzowanych transakcji płatniczych stale udoskonalają swoje metody postępowania. Nie mamy już zatem do czynienia jedynie z klasycznym phishingiem tj. wyłudzaniem informacji z wykorzystaniem fałszywej strony internetowej banku czy też strony z tzw. szybkimi płatnościami. Modus operandi przestępców staje się coraz bardziej wyrafinowany. Mam tu na myśli popularny w ostatnim czasie tzw. spoofing, czyli podszywanie się przez przestępców pod pracowników bankowych call center. Sprawcy tego rodzaju czynów potrafią w znakomity sposób udawać pracownika banku i nie chodzi tu tylko o sposób wypowiedzi, który  łudząco przypomina ten charakterystyczny dla konsultanta bankowego. Przestępcy, chcąc być jeszcze bardziej przekonujący, wykorzystują zaawansowane narzędzia informatyczne i kontaktują się telefonicznie z klientem z numeru telefonu banku, co tylko utwierdza ofiarę w tym, że ma do czynienia z pracownikiem instytucji finansowej, a nie z naciągaczem.

Kradzież pieniędzy, zaciąganie zobowiązań

Oszuści, przejmując kontrolę nad kontem niczego nieświadomej ofiary, dokonują nie tylko wytransferowania posiadanych przez nią depozytów tj. środków zgromadzonych na rachunkach oszczędnościowych lub lokat terminowych. Potrafią również zaciągnąć, na jego dane, zobowiązania w banku, nierzadko sięgające nawet kilkudziesięciu tysięcy złotych. Oczywiście również i te środki, pochodzące z kredytu albo pożyczki, są natychmiast wycofywane z rachunku ofiary, która pozostaje bez środków oraz z długiem, który musi spłacić.

Niestety, banki pomimo ewidentnych przypadków przestępstw dokonanych na szkodę swoich klientów, w odpowiedzi na wnioski i reklamacje odmawiają zwrotu środków, tudzież anulowania zawartych przez oszustów umów. Powołują się przy tym na autoryzację dokonaną przez klienta, co jak wskazałem wyżej, w żaden sposób nie jest wystarczające do uznania, że kwestionowana przez klienta banku transakcja została przez niego autoryzowana. W istocie żaden rozsądny klient banku nie ma w zwyczaju wyrażać zgody na zabór zgromadzonych przez niego środków.

Można iść do sądu

Jeżeli bank, po rozpatrzeniu reklamacji, odmówi zwrotu środków lub anulowania zawartych przez oszustów umów, klientowi pozostaje sądowa droga dochodzenia roszczeń. Warto w tym miejscu wskazać, że od wejścia w życie ostatniej dużej nowelizacji Kodeksu postępowania cywilnego, pozew przeciwko bankowi można złożyć w sądzie właściwym ze względu na miejsce zamieszkania klienta. Kolejnym ułatwieniem dla pokrzywdzonego jest niższy wpis sądowy co ma znaczenie w przypadku większych strat, przekraczających sumę 20 tys. zł. W takim przypadku maksymalna opłata od pozwu wynosi 1.000,00 zł, a nie 5 proc. wartości środków skradzionych z rachunku lub uzyskanych z zaciągniętej pożyczki (kredytu). I wreszcie ostatnią kwestią, sprzyjającą klientowi decydującemu się na wejście na drogę sądową, jest przerzucenie w procesie ciężaru dowodu na bank. Innymi słowy, to bank musi wykazać, że to klient dokonał autoryzacji kwestionowanej transakcji i zachował się w rażąco niedbały sposób. Jedynie wykazanie rażącego niedbalstwa po stronie klienta pozwoli bankowi uwolnić się od odpowiedzialności za nieautoryzowaną transakcję płatniczą.

Pozostaje mieć nadzieję, że banki zmienią praktykę postępowania w ewidentnych przypadkach przestępstw dokonywanych na szkodę swoich klientów oraz wzmocnią stosowane przez siebie zabezpieczenia tak, aby zminimalizować ryzyko przestępczego zaboru środków z rachunków swoich klientów. Należy tutaj docenić pozytywną rolę Rzecznika Finansowego, który od dłuższego czasu w swoich wystąpieniach, na temat nieautoryzowanych transakcji płatniczych, podnosi nieprawidłową praktykę rozpoznawania reklamacji w tych sprawach przez instytucje finansowe. Rzecznik słusznie wskazuje, że podstawową zasadą winien być niezwłoczny zwrot środków, a jeśli bank twierdzi, że doszło do rażącego niedbalstwa po stronie klienta, powinien domagać się zwrotu tych środków na drodze postępowania sądowego. Inicjatywa w tym względzie winna zatem leżeć po stronie przedsiębiorcy, a nie klienta banku, który jest słabszą stroną stosunku prawnego.

Autor: Olaf Maciejowski, radca prawny w Kancelarii Radców Prawnych - KHM - Kozak-Hamala Maciejowski