30 lipca Urząd Ochrony Konkurencji i Konsumentów (UOKiK) wysłał do banków mejla z propozycją „jednolitego – modelowego” zobowiązania banków do stosowania zasad rozpatrywania reklamacji dotyczących nieautoryzowanych transakcji. Wyjaśnił, że ich wdrożenie pozwoli na usunięcie nieprawidłowości stwierdzonych we wszystkich bankach przez prezesa urzędu. Chodzi o postępowania wszczęte przez UOKiK wobec kilkunastu banków 2022 r. w związku z załatwianiem reklamacji dotyczących nieautoryzowanych transakcji. W ubiegłym roku objęło ono 15 banków.
Punkt widzenia banków i urzędu
Między sektorem bankowym a UOKiK od miesięcy trwa spór, jak traktować reklamacje, gdy klient zgłasza utratę pieniędzy z rachunku, podczas gdy dane z systemu wskazują, że transakcja została przez niego autoryzowana. Banki stoją na stanowisku, że jeśli klient zalogował się do serwisu transakcyjnego, aplikacji za pomocą loginu i hasła, a następnie zlecił przelew, wykorzystując narzędzia autoryzacyjne — SMS, jednorazowy kod — wówczas nie ma podstaw do kwestionowania później płatności. Bank nie ma wpływu na decyzje klienta, nie ma podstaw do wstrzymania transakcji.
Urząd z kolei uważa, że samo użycie narzędzi autoryzacyjnych nie oznacza, że transakcja została przez klienta autoryzowana albo że umyślnie lub wskutek jego rażącego niedbalstwa doszło do transakcji. Nadzór powołuje się na artykuł 45 ust. 2 ustawy o usługach płatniczych, który mówi, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził na nią zgodę w sposób przewidziany w umowie między płatnikiem a dostawcą. Innymi słowy sama poprawność techniczna — np. wprowadzenie PIN-u czy hasła — nie jest wystarczająca do uznania, że transakcja została autoryzowana. Kluczowe jest, czy klient rzeczywiście wyraził zgodę na daną transakcję.
UOKiK wskazuje, że w przypadku oszustw, kiedy wskutek manipulacji stosowanych przez przestępców klient przelewa pieniądze na wskazany rachunek, trudno mówić o jego zgodzie na taką transakcję. W takim przypadku zgodnie z przepisami bank musi zwrócić pieniądze, czyli przywrócić stan rachunku do stanu sprzed zgłoszenia reklamacji w terminie D+1.
Banki argumentują, że nie są w stanie stwierdzić, czy klient podejmuje działania pod wpływem cyberprzestępców, i nie mogą ponosić odpowiedzialności za ich skutki.
Wszystkie transakcje nieautoryzowane
Z mejla wysłanego przez UOKiK do banków wynika, że jednak tak. W mejlu czytamy: „Bank zobowiązuje się do wdrożenia i stosowania procedur dotyczących obsługi zgłoszeń dotyczących nieautoryzowanych transakcji, w ramach których jako zgłoszenie dotyczące transakcji nieautoryzowanych bank będzie traktował wszystkie zgłoszenia konsumentów, z których wynika, że konsumenci kwestionują dokonanie tej autoryzacji określonej transakcji”.
Urząd stwierdza dalej, że analizując zgłoszenie, nie wystarczy stwierdzić, że transakcja była autoryzowana tylko dlatego, że została uwierzytelniona w prawidłowy sposób. Zgodnie z duchem przepisu bank musi ustalić, czy klient działał samodzielnie „bez wykorzystania przez osoby trzecie jakichkolwiek środków technicznych lub informatycznych mających na celu ingerencję w czynności związane z autoryzacją transakcji. Na jakimkolwiek etapie następują od momentu zainicjowania transakcji do momentu jej sfinalizowania”.
UOKiK podaje przypadki, kiedy w szczególności nie można transakcji traktować jako autoryzowanej. Po pierwsze — gdy klient ujawnił osobom trzecim dane uwierzytelniające (ustnie, pisemnie, elektronicznie, na stronie WWW, w miejscu dostępnym dla innych). Chodzi o login i hasła do bankowości internetowej/mobilnej, pełne dane karty płatniczej lub narzędzia umożliwiające transakcje, kartę przechowywaną razem z PIN-em, dane do aktywacji aplikacji mobilnej.
Po drugie — przekazał ustnie, pisemnie lub elektronicznie w miejscu, które umożliwia łatwy do nich dostęp osobom trzecim, dane niezbędne do połączenia i aktywacji aplikacji mobilnej z kontem klienta lub dane karty płatniczej.
Po trzecie — klient udostępnił pulpit zdalny lub zgodził się na zdalne zarządzanie urządzeniem przez osoby trzecie.
Po czwarte — gdy do autoryzacji transakcji doszło pod wpływem zmanipulowania klienta przez oszusta podszywającego się pod pracownika banku.
Scenariusze rozpatrywania reklamacji
Punktem wyjścia do rozpatrywania reklamacji jest więc założenie, że transakcja została autoryzowana, co oznacza, że bank zobowiązany jest przywrócić rachunek do pierwotnego stanu, czyli oddać pieniądze. Dopiero potem następuje etap ustalenia ewentualnej odpowiedzialności — rażące niedbalstwo albo wina klienta — oszustwo.
UOKiK proponuje siedem ścieżek postępowania reklamacyjnego w zależności od rodzaju transakcji. W każdym przypadku bank zwraca kwotę transakcji w ustawowym terminie. Dopiero później może dochodzić roszczeń.
Ścieżka 1. Transakcja nie była autoryzowana, brak winy konsumenta
Warunki:
— brak autoryzacji
— konsument nie działał celowo
— konsument nie dopuścił się rażącego niedbalstwa
— zgłoszenie nie stanowi próby oszustwa
Działania banku:
— bank informuje klienta o pozytywnym rozpatrzeniu zgłoszenia
Ścieżka 2. Brak jednoznacznych ustaleń w sprawie transakcji
Bank nie zdołał ustalić, czy transakcja była autoryzowana albo była skutkiem niedbalstwa, celowego działania, lub oszustwa.
- Bank informuje konsumenta, że na moment zwrotu brak ustaleń, ale dalsze postępowanie może wykazać, że:
- transakcja była autoryzowana
- b. była skutkiem rażącego niedbalstwa lub celowego działania konsumenta
- c. była próba oszustwa
- transakcja była autoryzowana
- Bank może poprosić konsumenta o dodatkowe wyjaśnienia.
- Brak odpowiedzi konsumenta może uzasadniać wydłużenie terminu rozpatrywania.
Ścieżka 3. Bank finalnie uznaje, że klient autoryzował transakcję
- Bank informuje konsumenta:
- o negatywnym rozpatrzeniu zgłoszenia
- wskazuje, że transakcja była autoryzowana
- przedstawia opis ustaleń faktycznych
- wskazuje na pozasądowe sposoby rozstrzygania sporów
- Bank może ostrzec, że świadome zgłoszenie autoryzowanej transakcji jako nieautoryzowanej jest traktowane jako próba oszustwa.
Ścieżka 4. Bank uznaje, że doszło do rażącego niedbalstwa lub celowego działania konsumenta
1 Bank informuje konsumenta:
a. o negatywnym rozpatrzeniu zgłoszenia
b. wskazuje, że przyczyną była wina konsumenta (rażące niedbalstwo lub działanie celowe)
c. przedstawia szczegółowy opis ustaleń banku
d. wzywa do zwrotu wypłaconych pieniędzy
e. wskazuje na pozasądowe sposoby rozstrzygania sporów
2 Bank może złożyć zawiadomienie do organów ścigania, jeśli stwierdzi umyślność.
Ścieżka 5. Bank uznaje, że zgłoszenie było oszustwem konsumenta
- Bank informuje konsumenta:
- o negatywnym rozpatrzeniu zgłoszenia
- wzywa do zwrotu środków
- wskazuje na pozasądowe sposoby rozstrzygania sporów
- Bank składa zawiadomienie do organów ścigania o podejrzeniu popełnienia przestępstwa.
Ścieżka 6. Bank będzie w stanie ustalić okoliczności wskazujące na rażące niedbalstwo konsumenta lub celowe działanie
Bank poinformuje konsumenta
Ścieżka 7. Przypadki szczególnie skomplikowane
Gdy rozpatrzenie reklamacji uniemożliwia brak reakcji konsumenta na prośbę banku o przekazanie dodatkowych wyjaśnień i udzielenie konsumentowi odpowiedzi w ustawowym terminie, bank poinformuje go o finalnym sposobie rozpatrzenia zgłoszenia nie później niż w terminie określonym przepisami.
UOKiK w piśmie do banków zaproponował zorganizowanie grupy roboczej, która zajmie się wytycznymi. Z informacji PB wynika, że planowane jest spotkanie prezesów banków z prezesem urzędu.
