30 lipca Urząd Ochrony Konkurencji i Konsumentów (UOKiK) wysłał do banków mejla z propozycją „jednolitego – modelowego” zobowiązania banków do stosowania zasad rozpatrywania reklamacji dotyczących nieautoryzowanych transakcji. Wyjaśnił, że ich wdrożenie pozwoli na usunięcie nieprawidłowości stwierdzonych we wszystkich bankach przez prezesa urzędu. Chodzi o postępowania wszczęte przez UOKiK wobec kilkunastu banków 2022 r. w związku z załatwianiem reklamacji dotyczących nieautoryzowanych transakcji. W ubiegłym roku objęło ono 15 banków.
Punkt widzenia banków i urzędu
Między sektorem bankowym a UOKiK od miesięcy trwa spór, jak traktować reklamacje, gdy klient zgłasza utratę pieniędzy z rachunku, podczas gdy dane z systemu wskazują, że transakcja została przez niego autoryzowana. Banki stoją na stanowisku, że jeśli klient zalogował się do serwisu transakcyjnego, aplikacji za pomocą loginu i hasła, a następnie zlecił przelew, wykorzystując narzędzia autoryzacyjne — SMS, jednorazowy kod — wówczas nie ma podstaw do kwestionowania później płatności. Bank nie ma wpływu na decyzje klienta, nie ma podstaw do wstrzymania transakcji.
Urząd z kolei uważa, że samo użycie narzędzi autoryzacyjnych nie oznacza, że transakcja została przez klienta autoryzowana albo że umyślnie lub wskutek jego rażącego niedbalstwa doszło do transakcji. Nadzór powołuje się na artykuł 45 ust. 2 ustawy o usługach płatniczych, który mówi, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził na nią zgodę w sposób przewidziany w umowie między płatnikiem a dostawcą. Innymi słowy sama poprawność techniczna — np. wprowadzenie PIN-u czy hasła — nie jest wystarczająca do uznania, że transakcja została autoryzowana. Kluczowe jest, czy klient rzeczywiście wyraził zgodę na daną transakcję.
UOKiK wskazuje, że w przypadku oszustw, kiedy wskutek manipulacji stosowanych przez przestępców klient przelewa pieniądze na wskazany rachunek, trudno mówić o jego zgodzie na taką transakcję. W takim przypadku zgodnie z przepisami bank musi zwrócić pieniądze, czyli przywrócić stan rachunku do stanu sprzed zgłoszenia reklamacji w terminie D+1.
Banki argumentują, że nie są w stanie stwierdzić, czy klient podejmuje działania pod wpływem cyberprzestępców, i nie mogą ponosić odpowiedzialności za ich skutki.
Wszystkie transakcje nieautoryzowane
Z mejla wysłanego przez UOKiK do banków wynika, że jednak tak. W mejlu czytamy: „Bank zobowiązuje się do wdrożenia i stosowania procedur dotyczących obsługi zgłoszeń dotyczących nieautoryzowanych transakcji, w ramach których jako zgłoszenie dotyczące transakcji nieautoryzowanych bank będzie traktował wszystkie zgłoszenia konsumentów, z których wynika, że konsumenci kwestionują dokonanie tej autoryzacji określonej transakcji”.
Urząd stwierdza dalej, że analizując zgłoszenie, nie wystarczy stwierdzić, że transakcja była autoryzowana tylko dlatego, że została uwierzytelniona w prawidłowy sposób. Zgodnie z duchem przepisu bank musi ustalić, czy klient działał samodzielnie „bez wykorzystania przez osoby trzecie jakichkolwiek środków technicznych lub informatycznych mających na celu ingerencję w czynności związane z autoryzacją transakcji. Na jakimkolwiek etapie następują od momentu zainicjowania transakcji do momentu jej sfinalizowania”.
UOKiK podaje przypadki, kiedy w szczególności nie można transakcji traktować jako autoryzowanej. Po pierwsze — gdy klient ujawnił osobom trzecim dane uwierzytelniające (ustnie, pisemnie, elektronicznie, na stronie WWW, w miejscu dostępnym dla innych). Chodzi o login i hasła do bankowości internetowej/mobilnej, pełne dane karty płatniczej lub narzędzia umożliwiające transakcje, kartę przechowywaną razem z PIN-em, dane do aktywacji aplikacji mobilnej.
Po drugie — przekazał ustnie, pisemnie lub elektronicznie w miejscu, które umożliwia łatwy do nich dostęp osobom trzecim, dane niezbędne do połączenia i aktywacji aplikacji mobilnej z kontem klienta lub dane karty płatniczej.
Po trzecie — klient udostępnił pulpit zdalny lub zgodził się na zdalne zarządzanie urządzeniem przez osoby trzecie.
Po czwarte — gdy do autoryzacji transakcji doszło pod wpływem zmanipulowania klienta przez oszusta podszywającego się pod pracownika banku.
Scenariusze rozpatrywania reklamacji
Punktem wyjścia do rozpatrywania reklamacji jest więc założenie, że transakcja została autoryzowana, co oznacza, że bank zobowiązany jest przywrócić rachunek do pierwotnego stanu, czyli oddać pieniądze. Dopiero potem następuje etap ustalenia ewentualnej odpowiedzialności — rażące niedbalstwo albo wina klienta — oszustwo.
UOKiK proponuje siedem ścieżek postępowania reklamacyjnego w zależności od rodzaju transakcji. W każdym przypadku bank zwraca kwotę transakcji w ustawowym terminie. Dopiero później może dochodzić roszczeń.
Warunki:
I. brak autoryzacji
II. konsument nie działał celowo
III. konsument nie dopuścił się rażącego niedbalstwa
IV. zgłoszenie nie stanowi próby oszustwa
Działania banku:
Bank informuje klienta o pozytywnym rozpatrzeniu zgłoszenia
Bank nie zdołał ustalić, czy transakcja była autoryzowana albo była skutkiem niedbalstwa, celowego działania, lub oszustwa.
- Bank informuje konsumenta, że na moment zwrotu brak ustaleń, ale dalsze postępowanie może wykazać, że:
I. transakcja była autoryzowana
II. była skutkiem rażącego niedbalstwa lub celowego działania konsumenta
III. była próba oszustwa
2. Bank może poprosić konsumenta o dodatkowe wyjaśnienia
3. Brak odpowiedzi konsumenta może uzasadniać wydłużenie terminu rozpatrywania.
- Bank informuje konsumenta:
I. o negatywnym rozpatrzeniu zgłoszenia
II. wskazuje, że transakcja była autoryzowana
III. przedstawia opis ustaleń faktycznych
IV. wskazuje na pozasądowe sposoby rozstrzygania sporów
2. Bank może ostrzec, że świadome zgłoszenie autoryzowanej transakcji jako nieautoryzowanej jest traktowane jako próba oszustwa.
- Bank informuje konsumenta:
I. o negatywnym rozpatrzeniu zgłoszenia
II. wskazuje, że przyczyną była wina konsumenta (rażące niedbalstwo lub działanie celowe)
III. przedstawia szczegółowy opis ustaleń banku
IV. wzywa do zwrotu wypłaconych pieniędzy
V. wskazuje na pozasądowe sposoby rozstrzygania sporów
2. Bank może złożyć zawiadomienie do organów ścigania, jeśli stwierdzi umyślność działania konsumenta
- Bank informuje konsumenta:
I. o negatywnym rozpatrzeniu zgłoszenia
II. wzywa do zwrotu środków
III. wskazuje na pozasądowe sposoby rozstrzygania sporów
2. Bank składa zawiadomienie do organów ścigania o podejrzeniu popełnienia przestępstwa.
Bank poinformuje konsumenta:
I. że na moment dokonania wzrostu kwoty nie ustalił, że w jego ocenie transakcja była autoryzowana
II. że w ocenie banku wystąpiły okoliczności wskazującym na rażące niedbalstwo konsumenta albo celowe działanie
III. przedstawi szczegółowy opis okoliczności
IV. wyzwanie do ustosunkowania się do ustaleń banku
V. wskaże, że brak ustosunkowania się konsumenta może być podstawą wydłużenia terminu rozpatrzenia zgłoszenia.
Gdy rozpatrzenie reklamacji uniemożliwia brak reakcji konsumenta na prośbę banku o przekazanie dodatkowych wyjaśnień i udzielenie konsumentowi odpowiedzi w ustawowym terminie, bank poinformuje go o finalnym sposobie rozpatrzenia zgłoszenia nie później niż w terminie określonym przepisami.
UOKiK w piśmie do banków zaproponował zorganizowanie grupy roboczej, która zajmie się wytycznymi. Z informacji PB wynika, że planowane jest spotkanie prezesów banków z prezesem urzędu.
