Polska nieprawidłowo implementowała dyrektywę PSD2. Zgodnie z naszą ustawą bank musi udowodnić, że transakcja była autoryzowana. Tymczasem dyrektywa wymaga od banku mniej – wystarczy wykazanie, że transakcja była uwierzytelniona, zapisana i nie wpłynęła na nią żadna awaria systemu - mówi dr Michał Mostowik, adwokat i starszy prawnik w kancelarii DLK Legal,
18 lipca br. prezes Urzędu Ochrony Konkurencji i Konsumentów poinformował o postawieniu zarzutów pięciu bankom za naruszanie zbiorowych interesów konsumentów. Chodzi o tzw. transakcje nieautoryzowane i o reakcję instytucji finansowych na kradzież pieniędzy z kont klientów. Czy decyzja organu o postawieniu zarzutów jest zaskakująca?
Rynek od pewnego czasu wiedział, że do UOKiK trafiają skargi od konsumentów, którym banki nie zwróciły pieniędzy wyprowadzonych przez przestępców. Nie dziwi więc, że ostatecznie prezes urzędu zdecydował się postawić zarzuty. Organ prowadzi zresztą postępowania wyjaśniające wobec 13 innych banków.
UOKiK podkreśla, że transakcją nieautoryzowaną jest także transakcja uwierzytelniona bez zgody konsumenta. Wyjaśnijmy, czym się różni autoryzacja od uwierzytelnienia transakcji?
Autoryzacja to zgoda klienta na wykonanie płatności. Uwierzytelnienie to zaś proces potwierdzania, że zgody faktycznie udzieliła uprawniona osoba. Dokonuje się go przykładowo poprzez podanie hasła lub PIN, które powinien znać wyłącznie klient banku. Jeśli ktoś użyje karty i poda prawidłowy PIN, to bank domyślnie traktuje taką transakcję jako autoryzowaną.
Ale prezes UOKiK twierdzi coś zupełnie odwrotnego. Że poprawne uwierzytelnienie operacji w banku nie oznacza, iż transakcję należy uznać za autoryzowaną. Bo przecież oszust mógł pozyskać i wykorzystać hasła dostępowe.
Sprawa z perspektywy banku nie jest taka prosta. Polska nieprawidłowo implementowała dyrektywę PSD2. Zgodnie z naszą ustawą bank musi udowodnić, że transakcja była autoryzowana. Tymczasem dyrektywa wymaga od banku mniej - wystarczy wykazanie, że transakcja była uwierzytelniona, zapisana i nie wpłynęła na nią żadna awaria po stronie banku.
Co więcej, zgodnie z rodzimą ustawą uwierzytelnienie transakcji nie jest wystarczające do stwierdzenia, że była ona autoryzowana. Z kolei dyrektywa PSD2 wskazuje, iż uwierzytelnienie niekoniecznie jest wystarczające do stwierdzenia, że mamy do czynienia z autoryzowaną transakcją. Dyrektywa nie wyklucza więc, że czasem samo wykazanie uwierzytelnienia wystarczy. To niby niewielka, ale jednak znacząca różnica.
W jakich sytuacjach może to mieć znaczenie?
Przykładowo klient mógł zgubić kartę płatniczą z przylepionym do niej kodem PIN. Z punktu widzenia banku, jeżeli ktoś podaje kod PIN poprawnie już za pierwszym razem, to nie ma powodu przypuszczać, że robi to przestępca, a nie klient. Wówczas można się więc zastanawiać, czy użytkownik nie dopuścił się rażącego niedbalstwa.
Banki chętnie w postępowaniach sądowych zwalają winę właśnie na rażące niedbalstwo klientów. Jest znany przypadek, gdy konsument został uznany przez instytucję finansową za niedbałego, gdy wirus zainfekował jego komputer, mimo iż posiadał on aktualne oprogramowanie antywirusowe.
Jeżeli chodzi o postępowania, to akurat rodzime sądy bardzo restrykcyjnie podchodzą do banków i można na palcach jednej ręki policzyć sytuacje, gdy nie stanęły po stronie klientów w kontekście zagadnienia rażącego niedbalstwa.
Banki stale informują klientów o sposobach działania przestępców, np. tworzeniu bliźniaczo wyglądających stron internetowych do portali logowania, wysyłaniu fałszywych SMS-ów czy dzwonieniu w celu wyłudzenia danych. Ale zdaniem sądów użytkownicy nie mają obowiązku zapoznawać się z takimi komunikatami. W obecnych czasach na pewno możemy od konsumenta wymagać przynajmniej tego, aby był świadomy bieżących zagrożeń ze strony przestępców czyhających na jego ciężko zarobione pieniądze.
Artykuł 46 ustawy o usługach płatniczych (t.j. Dz.U. z 2021 r. poz. 1907 ze zm.) nakazuje bankom zwrócić klientowi środki, które zostały wyprowadzone w wyniku nieautoryzowanej transakcji nie później niż następnego dnia roboczego. Wyjątkiem są sytuacje, gdy zgłoszenia dokonano po 13 miesiącach od takiej transakcji albo istnieje uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego konsumenta, o czym bank zawiadomił policję lub prokuraturę.
Ale uprawnienie do żądania tak ekspresowego zwrotu przysługuje tylko, jeżeli transakcja jest nieautoryzowana. Ten obowiązek ma tylko motywować banki do nieprzedłużania postępowań, a nie umożliwiać klientowi odzyskanie środków z dowolnej transakcji niezależnie od jej okoliczności. Jeżeli w terminie na zwrot bank ustali, że nie zachodzą przesłanki jego odpowiedzialności za transakcję, to również nie należy wymagać od banku zwrotu środków.
Możemy sobie o tym dywagować, ale, zdaniem prezesa UOKiK, polskie przepisy są jasne - bank powinien zwrócić pieniądze klientowi, a co najwyżej później pozywać klienta, jeśli uzna, że doszło po jego stronie do zachowania noszącego znamiona rażącego niedbalstwa.
Tylko to byłoby działanie pozbawione sensu. W praktyce jest tak, że przy zgłoszeniu transakcji nieautoryzowanej klienci opisują okoliczności dotyczące sprawy. Informują, czy zgubili kartę płatniczą, czy dzwonił do nich człowiek podający się za konsultanta banku etc. Jeżeli w czasie na dokonanie zwrotu bank oceni, iż użytkownik w sposób rażący naruszył obowiązki związane z bezpieczeństwem instrumentu płatniczego, to nie widzę podstaw do żądania zwrotu środków. Trudno przecież wymagać, żeby bank z automatu zwracał pieniądze na wniosek klienta, nawet gdy już w tym momencie z okoliczności sprawy wynika, że to klient powinien ponosić ciężar danej transakcji. To wbrew logice i celom przyświecającym uchwaleniu dyrektywy PSD2.
Można się zatem spodziewać, że banki pójdą na wojnę z prezesem UOKiK? Czy wówczas mogą wskazywać na nieścisłości w implementacji dyrektywy PSD2 do polskich przepisów?
Jak najbardziej. W postępowaniach przed UOKiK bank jest - w rozumieniu prawa unijnego - jednostką, a UOKiK emanacją, czyli reprezentacją państwa. W takiej relacji wertykalnej banki będą mogły powoływać się na bezpośrednie stosowanie dyrektywy, z pominięciem polskich przepisów. Mogą więc wytykać błędy w jej implementacji.
Spodziewam się, że banki faktycznie nie odpuszczą tej sprawy. Zwłaszcza że wielokrotnie zwracały uwagę na błędy w implementacji obu dyrektyw PSD, ale rodzimy ustawodawca pozostawał niewzruszony. Prawdopodobnie te spory będą się jednak toczyć latami i decydujące okaże się zapewne stanowisko Trybunału Sprawiedliwości Unii Europejskiej.
Rozmawiał Jakub Styczyński