Dawid Rapkiewicz, Michał Rzeszutek: Ochrona pieniędzy klientów to fundament bankowości

W artykule „Kiedy bank nie zwróci środków przejętych przez oszustów” („Rzeczpospolita” z 14 listopada, str. A18) Michał Skrzypek zwraca uwagę na problem kradzieży środków z kont bankowych przez cyberprzestępców i coraz częstszych żądań zwrotu straconych kwot kierowanych przez poszkodowanych klientów do banków. Zdaniem autora, roszczenia takie są wspierane przez instytucje państwowe, które kierują się przy tym nieprawidłowym rozumieniem przepisów dotyczących tzw. nieautoryzowanych transakcji płatniczych, zwłaszcza w zakresie ustalenia tzw. rażącego niedbalstwa po stronie płatnika.

Jako pracownicy Biura Rzecznika Finansowego, którzy na co dzień wspierają poszkodowanych w wyniku nieautoryzowanych transakcji, chcielibyśmy odnieść się do powyższego tekstu, w którym autor wykazuje się nieprawidłowym rozumieniem lub interpretacją tych przepisów.

Uwierzytelnienie to nie autoryzacja

Autor słusznie zauważa, że uwierzytelnienie użytkownika systemu płatności nie równa się autoryzacji zlecenia transakcji płatniczej. Autoryzacja, czyli zgoda na wykonanie określonej transakcji płatniczej, jest niczym innym jak oświadczeniem wiedzy i woli użytkownika, obejmującym kwotę transakcji, jej adresata oraz wyrażającym zamiar jej dokonania. Brak takiego oświadczenia, co jest jasne dla każdego prawnika, nie może prowadzić do skutków prawnych, tutaj: w postaci określonego obciążenia na rachunku płatniczym.

Tak więc zlecenie płatności wprowadzone do systemu przez oszusta (który podstępnie uzyskał dane do logowania, np. podając się za policjanta lub pracownika banku) w sposób oczywisty nie może być uznane za autoryzowane. To samo dotyczyć będzie transakcji zleconej przez użytkownika na rachunek oszusta, który w przestępczy sposób podszył się pod innego odbiorcę (w tym wypadku wada dotyczy elementu wiedzy zlecającego).

Autor zdaje się jednak mieszać ze sobą dwie odrębne kwestie: obowiązku zwrotu przez bank środków będących przedmiotem nieautoryzowanej transakcji (tzw. zasada D+1) i odpowiedzialności banku za zawinione lub rażąco niedbałe działanie klienta.

Czytaj więcej

Konsumenci

Kiedy bank nie zwróci pieniądzy przejętych przez oszustów

Banki muszą zwracać środki, które zniknęły z konta na skutek nieautoryzowanej transakcji, chyba ż...

Co gwarantuje ustawa o usługach płatniczych?

Przepisy ustawy o usługach płatniczych jasno wskazują konsekwencje nastąpienia transakcji nieautoryzowanych, czyli wykonanych pomimo braku wymienionej zgody. Jak wynika z art. 46 ust. 1 tej ustawy, dostawca (czyli w tej sytuacji np. bank) ma wtedy obowiązek zwrotu kwoty nieautoryzowanej transakcji na rachunek płatnika nie później niż do końca następnego dnia roboczego po dniu stwierdzenia tej transakcji (tzw. zasada D+1). Ustawodawca wprowadza od tej zasady jeden wyjątek – dostawca ma prawo odmówić zwrotu, jeżeli podejrzewa oszustwo po stronie płatnika (czyli podejrzewa go o fałszywe zgłoszenie nieautoryzowanej transakcji), co potwierdza, dokonując pisemnego zawiadomienia do organów ścigania. Systemowa wykładnia tego przepisu daje podstawy do twierdzenia, że gdyby ustawodawca chciał umożliwić uchylenie się dostawcy od obowiązku zwrotu także w przypadku, gdy dopatruje się po stronie płatnika rażącego niedbalstwa, to wprowadziłby stosowny wyjątek w tym miejscu. Konstrukcja przepisu umożliwia z łatwością poszerzenie katalogu odstępstw (np. poprzez dodanie słów „oraz w przypadku, gdy płatnik doprowadził do nich umyślnie lub poprzez rażące niedbalstwo skutkujące naruszeniem obowiązków, o których mowa w art. 42” – czyli obowiązków korzystania z instrumentu płatniczego zgodnie z umową oraz niezwłocznego zgłaszania dostawcy utraty lub nieuprawnionego dostępu do instrumentu).

Tymczasem, odpowiedzialność płatnika za doprowadzenie do nieautoryzowanych transakcji umyślnie lub wskutek rażącego niedbalstwa wprowadzona jest dopiero w ustępie 3 omawianego artykułu. Tym samym ustawodawca jasno wymaga, aby zwrot utraconych środków w terminie D+1 odbywał się co do zasady bezwarunkowo, z wyjątkiem wskazanego zgłoszenia podejrzenia oszustwa płatnika do organów ścigania.

Prowadzi to do wniosku, że ewentualna kwestia odpowiedzialności płatnika za nieautoryzowane transakcje na skutek jego rażącego niedbalstwa może być badana dopiero po wcześniejszym zwrocie środków na rachunek klienta. W praktyce może to mieć miejsce przy próbie dochodzenia zwrotu tych środków przez płatnika na drodze sądowej. Podkreślenia wymaga w tym miejscu, że w przypadku takiego procesu ciężar dowodu, że transakcja była w istocie autoryzowana lub że płatnik doprowadził do niej swym rażącym niedbalstwem, spoczywa na dostawcy, czyli najczęściej banku.

Czytaj więcej

Banki

Nieuprawnione transakcje w całej Polsce. Santander uspokaja klientów i zwraca pieniądze

Klienci Banku Santander stracili pieniądze z kont. Bank zapewnia, że nie chodzi o atak hakerski a...

Rażące niedbalstwo – dużo więcej niż naiwność czy nieuwaga

Co do samego pojęcia rażącego niedbalstwa należy wspomnieć, że jest to dużo większe uchybienie, niż, jak chce Autor, znaczne odstąpienie od przeciętnego zachowania rozsądnego człowieka. Rażące niedbalstwo jest bowiem działaniem na samej granicy winy umyślnej – zignorowaniem oczywistego zagrożenia, które uświadamiał sobie sam sprawca.

Wydaje się jasne, że nie można tego stwierdzić w przypadku ogromnej większości osób, które stały się ofiarami podstępnej manipulacji ze strony oszustów. Pokrzywdzeni takimi dotkliwymi przestępstwami, nawet gdy nie wykazali dostatecznej czujności w prowadzeniu swoich spraw, nie dopuścili się tego jawnego zlekceważenia zagrożenia, będącego istotą kwalifikowanego naruszenia zasad staranności (przypisać im można co najwyżej lekkomyślność lub niedbalstwo typu zwykłego).

Bardzo często spotykamy się z takimi sprawami w praktyce działań rzecznika finansowego. Co więcej, w większości spraw sądowych, w których występuje rzecznik finansowy, sądy podzielają naszą argumentację.

Ochrona pieniędzy klientów to fundament bankowości

Rzecznik finansowy z zadowoleniem obserwuje, że coraz więcej banków zaczyna stosować zasadę D+1 jako żelazną regułę. Jednocześnie, jeśli widzą do tego podstawy, żądają zwrotu wypłaconych kwot. Obserwacja rynku finansowego prowadzi jednak do wniosku, że odbywa się swoisty wyścig zbrojeń pomiędzy oszustami opracowującymi coraz to nowe metody działania a bankami, które wciąż ulepszają stosowane zabezpieczenia.

Banki mają prawo, ale i obowiązek analizować transakcje w czasie rzeczywistym, aby wychwytywać np. nietypowo wysokie kwoty, osobę lub lokalizację odbiorcy, a nawet niestandardowe ciągi wydarzeń (jak chociażby polecenie przelewu obejmujące prawie wszystkie środki na rachunku, wykonane natychmiast po dodaniu nowego urządzenia). Co innego w przypadku klientów – można spodziewać się, że mogą padać ofiarą coraz bardziej zuchwałych, przemyślanych przez przestępców i przekonujących schematów.

Oszuści są wyjątkowo podstępni

Odnosząc się zaś do teraźniejszości, doświadczenie rzecznika finansowego w sprawach dotyczących transakcji oszukańczych przeczy twierdzeniom Autora o tym, że stosunkowo rzadko zdarza się, aby działania oszusta były wyjątkowo podstępne. Już teraz oszuści działający w ramach swoistych przestępczych call center potrafią zaaranżować rozmowy z szeregiem osób, podających się za pracowników banków na kilku poziomach hierarchii służbowej. Częste kradzieże bądź wycieki danych osobowych pozwalają na bardzo przekonujące „zweryfikowanie” rozmówców jako autentycznych pracowników.