Dbać o PIN klient w sumie nie musi

opublikowano: 22-09-2022, 20:00
Play icon
Posłuchaj
Speaker icon
Close icon
Zostań subskrybentem
i słuchaj tego oraz wielu innych artykułów w pb.pl

Najpierw oddaj klientowi pieniądze, potem sprawdź, czy cię nie okradł - tego oczekuje UOKiK. Banki zarzucają urzędowi manipulację i posługiwanie się ustawą z błędem.

Przeczytaj artykuł i dowiedz się:

  • dlaczego UOKiK chce, żeby banki oddawały pieniądze klientom, a dopiero potem sprawdzały, w jakim stopniu przyczynili się do tego, że gotówka zniknęła z konta
  • dlaczego banki uważają, że urząd nie ma racji
  • na czym polega błąd we wdrożeniu dyrektywy PSD2 i jaka jest różnica między autoryzacją a uwierzytelnieniem
  • ile reklamacji dotyczących nieautoryzowanych transakcji rozpatrują banki i ile z nich uwzględniają

5 lipca UOKiK wszczął postępowanie przeciwko pięciu bankom za nie dość szybkie rozpatrywanie reklamacji klientów w sprawie nieautoryzowanych transakcji, w wyniku których doszło do przepadku pieniędzy z konta. Przypomniał, że zgodnie z ustawą o usługach płatniczych, zwrot wytransferowanej kwoty powinien nastąpić najpóźniej następnego dnia od zgłoszenia. Żeby zobrazować niefrasobliwość banków, urząd podał przykład 72-letniej klientki, od której oszuści wyłudzili PIN i login do konta, które następnie wyczyścili z kilkuset tysięcy złotych oszczędności. Mało tego, zmienili w systemie transakcyjnym stan cywilny poszkodowanej na „wdowa”, żeby móc zaciągnąć kredyt na 70 tys. zł bez konieczności pozyskiwania zgody jej męża.

Duch zachowany:
Duch zachowany:
Tomasz Chróstny, prezes UOKiK nie zgadza się ze stwierdzeniem, że „implementacja dyrektywy PSD2 jest nieprawidłowa”. Jego zdaniem „mimo że nie jest ona literalna, to odpowiada celom dyrektywy PSD2 oraz odzwierciedla jej treść i ratio legis”.
Grzegorz Kawecki

„Uważamy podany przykład za nadużycie ze strony UOKiK, gdyż gdyby nie doszło do ujawnienia loginu i hasła, nie doszłoby do zaciągnięcia zobowiązania finansowego” - czytamy w liście Związku Banków Polskich wysłanym do UOKiK. Pismo, do którego udało nam się dotrzeć, zostało zredagowane wyjątkowo, biorąc pod uwagę standardy w komunikacji banków z regulatorami. „ZBP stanowczo sprzeciwia się przyjętej w komunikacie formie prezentacji stanów faktycznych, które zostały zaprezentowane w sposób tendencyjny, fragmentaryczny i wybiórczy” – napisali bankowcy. I dalej: „Tezy głoszone publicznie przez organ stojący na straży ochrony konsumentów, tworzące szkodliwy społecznie i nieuzasadniony prawnie przekaz wprowadzają odbiorców komunikatu w błąd”.

Sprawa jest poważna, stąd mocny ton. Chodzi nie tylko o to, jak daleko ma sięgać ochrona konsumenta i przenoszenie na banki odpowiedzialności za podejmowane przez niego działania - czy to nieświadome, czy z premedytacją. Bankowców irytuje, że UOKiK sięga po przepis, którego poprawność jest od lat kwestionowana przez sektor. Urząd wszczyna postępowanie na podstawie ustawy o usługach płatniczych z 2012 r., zwierającej - zdaniem ZBP - błąd w tłumaczeniu unijnej dyrektywy PSD. Błąd chyba faktycznie jest, skoro rządowa nowelizacja ustawy jest już zgodna z dyrektywą. Bankowcy odgrażają się, że jeśli nie zostanie on skorygowany, złożą w Komisji Europejskiej skargę na państwo polskie z tytułu błędnego wdrożenia dyrektywy.

Zwrot zawsze się należy

W sporze między bankami a UOKiK chodzi o reklamacje dotyczące tzw. nieautoryzowanych transakcji. Klient zgłasza się do banku z żądaniem zwrotu pieniędzy, które bez jego wiedzy zniknęły z konta. Sprawa na pozór wydaje się prosta. Wystarczy sprawdzić, czy ktoś się włamał na rachunek albo posłużył skradzioną lub podrobioną kartą. Zwrot pieniędzy jest oczywisty. Jeśli jednak ktoś dokonał wypłaty z bankomatu, wpisując poprawny PIN, albo zalogował się do serwisu transakcyjnego przy pomocy loginu i hasła, to logika wskazuje, że albo klient próbuje oszukać bank, albo nie dość dobrze dba o bezpieczeństwo i poufność danych. W takich okolicznościach zwrot raczej się nie należy. W regulaminach i ustawie o usługach płatniczych napisano wyraźnie, że PIN-ów i danych dostępowych trzeba pilnować.

UOKiK uważa, że jest inaczej. Jego zdaniem „bank ma obowiązek zwrotu kwoty (…) w każdym przypadku, w którym klient zgłosi wystąpienie nieautoryzowanej transakcji”. Wywodzi to wprost z ustawy o usługach płatniczych, która daje bankowi 24 godziny na przelanie żądanej sumy. Prawo przewiduje dwa odstępstwa: bank ma uzasadnione i udokumentowane podejrzenia, że jest to próba wyłudzenia, lub od zakwestionowanej transakcji minie 13 miesięcy.

Innymi słowy: bank najpierw musi zapłacić, a potem sprawdzić, czy nie został okradziony, bo odpowiedź na pytanie, czy doszło do oszustwa, czy nie, nie zawsze jest oczywista.

Niefrasobliwość klienta czy oszustwo

Bankowcom taki sposób postawienia sprawy burzy krew, bo niweczy skuteczność akcji edukacyjnych, uczulających klientów na podchody naciągaczy i konieczność zachowania poufności wrażliwych danych. Po co klient ma unikać linków wysyłanych z podejrzanych adresów, odpowiadania na telefony z prośbą o zablokowanie starego rachunku i otwarcie nowego pod wskazanym numerem, skoro na koniec dnia po złożeniu reklamacji w sprawie wyłudzenia pieniędzy dostanie je z powrotem z banku.

Taka interpretacja ustaw może wręcz zachęcać nieuczciwych klientów do oszustw. „W przeszłości i obecnie banki identyfikują przypadki, w których nieuczciwi klienci wyłudzają pieniądze, dokonując transakcji płatniczej, a następnie reklamując je zgodnie z logiką wskazaną przez UOKiK” – pisze ZBP w swoim piśmie.

Na poparcie tego twierdzenia banki mają dużo przykładów równie obrazowych jak w komunikacie UOKiK. Tyle, że poszkodowanym jest kto inny.

- Zdarzają się przypadki bezczelnych oszustów: ktoś kupuje przedmiot w internecie, odbiera go, a potem powiadamia bank, że to nie była autoryzowana transakcja – mówi jeden z bankowców.

Skrajny jest przypadek klienta - oszusta, który kupił bilety w jednej z tanich linii lotniczych, poleciał za granicę na weekend, a po powrocie złożył reklamację w banku

- Gros przypadków utraty pieniędzy wynika z rażącego niedbalstwa. Klienci nie pamiętają PIN-ów i zapisują je w widocznych miejscach lub przekazują osobom trzecim. Coraz częściej dochodzi do wyłudzeń przez wyspecjalizowanych oszustów, którzy posługując się chwytami socjotechnicznymi, uzyskują dane dostępowe do konta – mówi prawnik jednego z banków.

Autoryzacja a uwierzytelnienie

W przypadku reklamacji takiej transakcji unijna dyrektywa nakłada na bank obowiązek udowodnienia, że została ona prawidłowo uwierzytelniona hasłem, PIN-em itp. W świetle polskiej ustawy na banku spoczywa obowiązek wykazania, że transakcja została autoryzowana.

- Jest znacząca różnica między uwierzytelnieniem a autoryzacją. Uwierzytelnienie jest częścią autoryzacji, która jednak wymaga zgody klienta na dokonanie transakcji. UOKiK przyjmuje, że klient zawsze musi wyrazić zgodę. Jeśli powie, że nie przeprowadził transakcji, to bank musi znaleźć dowód, że było inaczej, skoro uważa, że doszło do oszustwa. Zgodnie ze stanowiskiem UOKiK najpierw jednak zwraca klientowi pieniądze, a potem może iść do sądu. Tymczasem europejski standard zwrotu zgodnie z Dyrektywą (tzw. D+1) odnosi sie do braku uwierzytelnienia transakcji, a nie braku autoryzacji – tłumaczy bankowy prawnik.

W piśmie przesłanym do redakcji UOKiK potwierdza, że takie jest jego rozumowanie: „Wykazanie zatem przez bank, że został podany prawidłowy kod PIN (dane uwierzytelniające) nie stanowi automatycznie wykazania, że został on podany przez płatnika – klienta banku, który wyraził zgodę na dokonanie transakcji”. Urząd wytyka ZBP dążenie do tego, by banki mogłyby arbitralnie odmawiać zwrotu skradzionych pieniędzy, powołując się na prawidłowe uwierzytelnienie. Zwraca też uwagę, że w świetle dyrektywy PSD2 w sytuacji, gdy klient zaprzecza, że autoryzował transakcję, to na banku spoczywa obowiązek udowodnienia, że było inaczej „przy czym wykazanie wyłącznie prawidłowości uwierzytelnienia nie jest (lub też niekoniecznie jest) wystarczające do wykazania prawidłowości autoryzacji”. Jeśli chodzi o rzekomy błąd w ustawie, to urząd stwierdza, że jest to efekt świadomego działania ustawodawcy, które jest zgodne z celem PSD2.

„Obecne przepisy (polskie i dyrektywa PSD2) nie obciążają banków odpowiedzialnością za niefrasobliwość konsumentów. Nakazują jedynie najpierw zwrócić kwotę nieautoryzowanej transakcji (...) [z wyjątkiem dwóch wskazanych przypadków – red.], a dopiero potem dochodzić ewentualnego zwrotu tej kwoty od konsumenta – w przypadku ustalenia, że zgodnie z przepisami to konsument ponosi odpowiedzialność za stratę” – stwierdza UOKiK.

Urząd wytyka bankom, że roszczą sobie prawo do autorytatywnego stwierdzania, czy klient przyczynił się do dokonania nieautoryzowanej transakcji.

„Tymczasem jest to rola sądów powszechnych” – przypomina UOKiK.

Copy and paste po polsku

Z danych zebranych przez ZBP w europejskich bankach wynika, że tylko w polskiej ustawie zamiast uwierzytelnienia jest autoryzacja. Irlandczycy napisali wprost, że ich bank centralny i resort finansów starają się wdrażać unijne przepisy „niemal na zasadzie copy and paste”. Nie inaczej było z dyrektywą PSD2.

- Dyrektywa jest prawidłowo przetłumaczona. Błąd nastąpił podczas transpozycji dyrektywy do ustawy. W projekcie zmian w ustawie o usługach płatniczych ustawodawca poprawia błąd po wielu latach obowiązywania nieprawidłowo wdrożonego przepisu, narażającego Polskę - wedle orzecznictwa TSUE - na odpowiedzialność odszkodowawczą. Rozważamy zresztą złożenie pozwu o odszkodowanie w związku z działaniami podejmowanymi przez UOKiK wobec banków w w oparciu o błędnie implementowaną Dyrektywę – mówi Tadeusz Białek, wiceprezes ZBP.

Ze statystyk związku dotyczących reklamacji nieautoryzowanych transakcji nie wynika, żeby były one z punktu odrzucane. Związek podaje przykład dużego banku, który w 2020 r. rozpatrzył 3,2 tys. takich spraw, w tym 30 proc. pozytywnie. W innym banku liczba reklamacji wyniosła 33 tys., a odsetek negatywnych odpowiedzi wyniósł 20 proc. W kolejnej instytucji z 3,5 tys. zgłoszeń odmownie zostało potraktowanych 55 proc. spraw.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane