Rzecznik finansowy, NBP oraz UOKiK apelują o porzucenie pomysłu nowelizacji przepisów dotyczących transakcji nieautoryzowanych. Ich prokonsumenckie podejście może być jednak niezgodne z unijną dyrektywą

Konsument miałby mniejsze szanse na odzyskanie swoich środków, które zostały wyprowadzone z rachunku płatniczego w wyniku transakcji nieautoryzowanej. Musiałby udowodnić, że to nie on, ale oszust wprowadził jego dane uwierzytelniające - taki byłby efekt nowelizacji przepisów dotyczących transakcji nieautoryzowanych, zdaniem Marty Kightley, wiceprezes Narodowego Banku Polskiego.
Podobne wątpliwości ma Tomasz Chróstny, prezes Urzędu Ochrony Konkurencji i Konsumentów, oraz Paweł Zagaj, zastępca rzecznika finansowego. Chodzi o projekt nowelizacji ustawy o usługach płatniczych oraz ustawy - Prawo dewizowe (numer z wykazu UD52).

Kłopotliwa implementacja

Przypomnijmy: obecnie z art. 46 ustawy o usługach płatniczych (t.j. Dz.U. z 2021 r. poz. 1907 ze zm.) wynika, że nawet jeżeli klient banku zostanie oszukany przez przestępców i poda im swoje hasła dostępowe do konta, to ma on prawo zawnioskować do instytucji finansowej o zwrot utraconych środków (transakcja nieautoryzowana). I banki mają obowiązek przychylić się do tego wniosku przed końcem następnego dnia roboczego. Wyjątkiem są sytuacje, gdy zgłoszenia dokonano po 13 miesiącach od niepożądanej transakcji albo gdy istnieje uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego, o czym bank zawiadomił policję lub prokuraturę.
Banki niechętnie przychylają się do wniosków klientów. Twierdzą, że Polska nieprawidłowo implementowała dyrektywę PSD2 w tym zakresie. Na tę kwestię zwracał uwagę na łamach DGP adwokat dr Michał Mostowik, specjalizujący się w tematyce bankowości. Wskazywał on, że jeżeli transakcja np. przelewu została poprawnie uwierzytelniona - chociażby przy użyciu kodu PIN czy hasła SMS - instytucje finansowe nie powinny ponosić odpowiedzialności za niefrasobliwość klientów. To podejście banków skutkowało jednak tym, że prezes UOKiK w lipcu br. postawił zarzuty naruszania zbiorowych interesów pięciu z nich.
Dyrektywa PSD2 zmierzała ku zwiększeniu bezpieczeństwa klientów instytucji finansowych przy jednoczesnym otwarciu bankowości dla fintechów
Niedługo potem w nowej wersji projektu nowelizacji ustawy o usługach płatniczych zaproponowano poprawienie przepisów dotyczących transakcji nieautoryzowanych. Zgodnie z propozycją transakcja miałaby być uznawana za autoryzowaną, jeżeli płatnik osobiście wyraził zgodę na jej wykonanie. Przy czym banki musiałyby udowodnić, że np. niepożądany przelew był uwierzytelniony (tj. podano w systemie hasła, które powinien znać tylko klient) i nie doszło do awarii systemu. Instytucje finansowe nie musiałyby wykazywać - tak jak to obecnie wynika z polskich przepisów - że zgoda np. na przelew została wyrażona konkretnie przez klienta. Wówczas nie musiałyby mu zwracać pieniędzy.

Rozwiązanie z wyboru

W ramach konsultacji publicznych kilka instytucji wyraziło sprzeciw wobec takiemu uregulowaniu transakcji nieautoryzowanych, uznając je za antykonsumenckie.
Marta Kightley z NBP twierdzi, że klienci banków mieliby mniejsze szanse na odzyskanie środków wyprowadzonych przez oszustów. Musieliby bowiem udowodnić, że doszło do takiej sytuacji i że dochowali należytej staranności przy ochronie swoich środków. Banki musiałyby tylko udowodnić, że dane logowania do systemu zostały wprowadzone według procedury, którą same ustalają, a której klient nie może modyfikować.
Przedstawicielka NBP przypomina, że dyskusja dotycząca transakcji nieautoryzowanych miała już miejsce przy okazji implementacji dyrektywy PSD2. Na posiedzeniu Komisji Finansów Publicznych 20 marca 2018 r. Piotr Nowak (ówcześnie podsekretarz stanu w MF) powiedział, że proponowana zmiana jest niepożądana, ponieważ narażałaby konsumentów na straty i z tego powodu resort takiej zmiany nie poparł.
- To bardzo ważna informacja. Wynika z niej, że świadomie podjęto decyzję o sposobie implementowania niektórych przepisów PSD2 w sposób stawiający interes konsumentów znacząco ponad ewentualną, co najmniej częściową, niezgodnością z przepisami dyrektywy. A także z pominięciem interesów pozostałych interesariuszy - komentuje radca prawny dr Michał Nowakowski, counsel w kancelarii Maruta Wachta oraz prezes Polskiej Organizacji Niebankowych Instytucji Płatności.
Zdaniem wiceprezes NBP dokonywanie istotnych zmian w trakcie trwającej właśnie w Komisji Europejskiej rewizji dyrektywy PSD2 mogłoby okazać się „niecelowe i pochopne”. W związku z powyższym NBP proponuje rezygnację z nowelizacji przepisów dotyczących transakcji nieautoryzowanych.
- To nie do końca trafny argument. Zakłada, że powinniśmy trwać w stanie prawnym budzącym uzasadnione wątpliwości tylko dlatego, iż za kilka lat może dojść do zmian w unijnych przepisach - ocenia dr Michał Nowakowski.

Ciężar dowodu

Bardzo krytycznie do propozycji zmian podchodzi również rzecznik finansowy. Paweł Zagraj, zastępca RF, uważa, że niedopuszczalna byłaby sytuacja, w której klient miałby ponosić odpowiedzialność za transakcje, których nie zlecał i nie był świadomy, do kogo przesyłane są jego środki.
Według RF banki obowiązkowo muszą zwracać pieniądze klientom, którzy o to zawnioskują. A jeżeli po dokonaniu zwrotu mają wątpliwości, czy faktycznie doszło do transakcji nieautoryzowanej, mogą rozpocząć postępowanie wyjaśniające i - w razie potrzeby - wystąpić z roszczeniem zwrotu środków. Jeżeli to nie przynosi skutku - powinny wówczas go pozwać.
- Nie wyobrażam sobie skutecznego działania takiej konstrukcji w praktyce. Klienci najpewniej nie chcieliby oddać środków. Musiałoby więc prawdopodobnie dojść do zakończenia jakiegoś formalnego postępowania i to najpewniej prawomocnego. To niebezpieczne igranie z pieniędzmi pozostałych klientów banku - twierdzi dr Michał Nowakowski. I dodaje, że w świetle obowiązujących przepisów mogłoby to być ryzykowne z perspektywy dostawcy usług płatniczych.
Rzecznik finansowy proponuje również, aby klienci zyskali możliwość skutecznego złożenia wniosku o rozpatrzenie sporu w prowadzonym przez RF postępowaniu interwencyjnym.
Tomasz Chróstny, szef UOKiK, prezentuje nieco inne podejście. Mianowicie uważa, że przepisy projektu dotyczące transakcji nieautoryzowanych są tak nieprawidłowo skonstruowane, że wciąż nie byłyby zgodne z dyrektywą PSD2, pomimo intencji projektodawcy. A zatem organ nadzorczy nadal uznawałby, że banki muszą niezwłocznie zwracać pieniądze na wniosek klientów.
Doktor Michał Nowakowski przyznaje, że wokół kwestii transakcji nieautoryzowanych będzie najpewniej jeszcze wiele dyskusji. Kluczowe w niej powinno być jednak to, że dyrektywa PSD2 zmierzała ku zwiększeniu bezpieczeństwa klientów przy jednoczesnym otwarciu bankowości dla fintechów.
- Nie zaś do uznania, że klient jest zwolniony z obowiązku dochowania należytej staranności w celu ochrony własnego majątku. Mechanizmy ochrony konsumenta muszą funkcjonować, ale potrzebny jest umiar i zdrowy rozsądek - konkluduje prawnik. ©℗
Cyfrowi kieszonkowcy coraz bogatsi / Dziennik Gazeta Prawna - wydanie cyfrowe
Etap legislacyjny
Projekt w konsultacjach i opiniowaniu