Polscy bankowcy przyzwyczaili się już, że gdy sprawy sporów z klientami rozstrzyga Trybunał Sprawiedliwości Unii Europejskiej, to raczej są na przegranej pozycji. Inaczej było 1 sierpnia, kiedy TSUE ogłosił wyrok w sprawie zasad odpowiedzialności klienta, gdy z opóźnieniem poinformuje bank o wadliwej transakcji. Zgodnie z przepisami ma on 13 miesięcy na zgłoszenie nieautoryzowanej transakcji, przy czym musi to zrobić niezwłocznie. Trybunał orzekł, że jeśli klient nie dotrzyma tego obowiązku, traci prawo do zwrotu pieniędzy straconych w wyniku nieautoryzowanej transakcji.
Rozbieżne punkty widzenia
Wyrok pozornie nie ma dużego znaczenia, jednak w rzeczywistości stanowi ważny przyczynek do sporu między bankami a UOKiK-iem i Rzecznikiem Finansowym (RF). Nadzorcy stoją na stanowisku, że banki powinny zwracać pieniądze klientom w terminie nie późniejszym niż D+1 od momentu uzyskania informacji o zrealizowaniu kwestionowanej transakcji. Niezależnie czy była ona autoryzowana przez posiadacza rachunku (kart), czy też nie. W razie zastrzeżeń banku co do zachowania klienta w związku z operacją w zakresie dochowania elementarnych zasad bezpieczeństwa albo w przypadku uzasadnionego podejrzenia, że próbuje on wyłudzić zwrot pieniędzy, może swoich praw dochodzić na drodze sądowej.
Banki uważają, że zwrot środków na rachunek z automatu przerzuca na nich całą odpowiedzialność za działania klienta, jest przejawem zbyt daleko idącej ochrony klienta i zachęca do nadużyć.
Podczas ostatniego EKF w Sopocie odbyło się kilka bardzo ciekawych dyskusji na temat fraudów i wyłudzeń. Przedstawiciele nadzoru nie bez racji zwracali uwagę, że klienci coraz częściej padają ofiarami przestępców, którzy metodami socjotechnicznymi nakłaniają ich do zlecania transakcji – autoryzowanych. Pytanie, czy świadomie.
Bankowcy zwracają uwagę, że w Polsce już 70 proc. oszustw to ataki APP, czyli z użyciem technik manipulacyjnych. Tylko w I kwartale br. łączna wartość wyłudzeń to 160 mln zł. Z tego 130 mln zł to skutek ataków APP. Scamy stają się poważnym problemem społecznym, który wymaga zaangażowania państwa. Banki nie mogą płacić rachunków za skutki działania zorganizowanej przestępczości.
Argument w sporze z UOKiK-iem i RF
Sierpniowy wyrok TSUE sprawy odpowiedzialności za nieautoryzowane transakcje nie rozstrzyga. Trybunał powiedział jednak, że obowiązek bezzwłocznego zwrotu kwoty podlega jednak pewnym ograniczeniom, jeśli operacja została przeprowadzona w nieuczciwych zamiarach, czy z rażącym naruszeniem przepisów.
Wyrok daje bankom nowy argument w sporach z klientami w sądach. I w dyskusji z UOKiK-iem i RF. Kluczowe znaczenie dla sporu, ale też dla kształtu unijnych przepisów dotyczących rynku finansowego – dyrektywa PSD3 – może mieć stanowisko TSUE w sprawie pytania prejudycjalnego zadanego w marcu tego roku przez sąd w Rybniku. Rozpatruje on spór między bankiem i klientem o zwrot 2 tys. zł z tytułu nieautoryzowanej transakcji. Bank odmówił zwrotu pieniędzy, argumentując, że klient dopuścił się rażącego niedbalstwa. Klient stwierdził, że bank powinien pieniądze zwrócić, natomiast rozstrzygnięcie kwestii odpowiedzialności to już sprawa sądu.
Pytania do Trybunału z Rybnika
Rybnicki sąd nie był w stanie tego rozstrzygnąć i zwrócił się do TSUE z następującymi pytaniami. W sytuacji, gdy dostawca usług płatniczych wymagał silnego uwierzytelnienia, dokonano nieautoryzowanej transakcji wskutek rażącego zaniedbania klienta i w konsekwencji poniósł on stratę. Następnie klient bez zbędnej zwłoki, nie później niż w ciągu 13 miesięcy od daty obciążenia rachunku, zgłosił transakcję w banku. Dostawca usług płatniczych nie ma uzasadnionych podstaw, by podejrzewać oszustwo płatnika. Czy wówczas:
- dostawca usług płatniczych powinien być każdorazowo zobowiązany do zwrócenia kwoty nieautoryzowanej transakcji płatniczej (lub przywrócenia obciążonego rachunku płatniczego do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza), a następnie wystąpić wobec klienta z roszczeniem z tytułu straty spowodowanej przez nieautoryzowaną transakcję płatniczą na skutek rażącego zaniedbania obowiązków przez klienta,
- obowiązek dostawcy usług płatniczych dokonania zwrotu kwoty nieautoryzowanej transakcji płatniczej (lub przywrócenia obciążonego rachunku płatniczego do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza) zostaje wyłączony.
Rozstrzygnięcie w sprawie odpowiedzialności za nieautoryzowane transakcje będzie wyczekiwane przez instytucje finansowe, nadzorców, ale też inwestorów. Skala oszustw rośnie w tempie wykładniczym. Metody i narzędzia stosowane przez przestępców są coraz bardziej wysublimowane. Wykorzystanie dużych modeli językowych sprawi, że bariery językowe, które do pewnego stopnia hamują proces umiędzynarodowienia przestępczości finansowej, zostaną przełamane. Przerzucenie kosztów scamów na instytucje finansowe i wprowadzenie automatyzmu w procesie zwrotu pieniędzy z tytułu nieautoryzowanych transakcji będzie miało istotny wpływ na rachunek wyników banków.
