Oszukańcze transakcje. Banki niechętnie zwracają klientom pieniądze

Jednym z przykładów transakcji nieautoryzowanej jest przypadek opisany przez naszą czytelniczkę, klientkę banku Millennium. Początkowo bank odrzucił jej reklamację dotyczącą transakcji kartą kredytową, którą przeprowadzili oszuści: w kilku transzach wyłudzili łącznie prawie 9 tys. zł. Bank ostatecznie zwrócił klientce pieniądze po tym, jak odwołała się od reklamacji, ale trwało to parę tygodni i kosztowało sporo nerwów.

Zobacz także: Czy smartfon nas podsłuchuje? Ekspert udziela poważnej odpowiedzi i radzi, jak się chronić

Czym jest nieautoryzowana transakcja i uwierzytelnienie

Klientka feralnego dnia otrzymała SMS od banku z informacją o "podejrzanych transakcjach". Bezzwłocznie skontaktowała się z bankiem przez infolinię, potwierdzając, że nie autoryzowała transakcji i złożyła wniosek o zablokowanie karty. Klientka twierdzi, że nie wykonywała spornych transakcji z karty, które zostały rozliczone w obcej walucie (tenge kazachski, KZT). Klientka podkreśla, że nie ujawniała nikomu danych, tzn. numeru czy daty ważności kraty oraz kodu CVV2.

Bank pierwotnie odrzucił reklamację, argumentując: "Ustaliliśmy, że do wykonania tych transakcji zostały użyte dane pani karty takie jak: numer karty, data ważności, kod CVV2. Dlatego zaksięgowaliśmy je na rachunku pani karty kredytowej". Stwierdził, że reklamowane transakcje były prawidłowo uwierzytelnione.

"W banku nie wystąpiła też awaria systemów ani innego rodzaju usterka, które mogłyby mieć wpływ na wykonane transakcje. Z perspektywy banku transakcje miały więc charakter autoryzowany. Nie uzyskaliśmy dowodów, które przemawiałyby za stwierdzeniem braku autoryzacji. Bank może być z kolei obowiązany do zwrotu kwoty transakcji płatniczej, jeżeli ma ona charakter nieautoryzowany" — czytamy w uzasadnieniu reklamacji.

Zobacz też: "Uważaj na swoje oszczędności!" UOKiK wskazuje podejrzane inwestycje i nakłada kary

Przypadki takie jak opisywany dotyczą de facto każdego banku w Polsce. W niedawnym komunikacie o wszczęciu kolejnych postępowań UOKiK wskazał, że banki odrzucają reklamacje klientów, dotyczące nieautoryzowanych transakcji, powołując się na to, że w systemie podane zostały dane niezbędne do zrealizowania przelewu, czyli transakcja została — w ich mniemaniu — prawidłowo uwierzytelniona.

"Natomiast nie biorą pod uwagę, że transakcję mógł wykonać ktoś inny bez zgody i wiedzy konsumenta. W rezultacie tego wiele osób może rezygnować z dochodzenia swoich praw". UOKiK zarzuca bankom, że wprowadzają klientów w błąd, jeśli odpowiadają w taki sposób na reklamację.

Czym jest nieautoryzowana transakcja i uwierzytelnienie?

Przedstawiciele biura prasowego UOKiK, choć zaznaczyli, że mają mało informacji do pełnej oceny tej konkretnej sytuacji, to podkreślili, że bank utożsamił uwierzytelnienie z autoryzacją. A to zdaniem UOKiK nie jest prawidłowe.

Urząd wyjaśnił, że zgodnie z przepisami ustawy o usługach płatniczych uwierzytelnienie stanowi czynność techniczną, procedurę potwierdzenia tożsamości klienta. Z kolei transakcja jest autoryzowana tylko wtedy, gdy uwierzytelnienie nastąpiło za wiedzą i zgodą konsumenta, o czym również stanowią przepisy wspomnianej ustawy – wskazał UOKiK.

Co więcej, zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych, banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji – do końca następnego dnia roboczego po zgłoszeniu (tzw. D+1). Wyjątkiem od tej reguły są dwie sytuacje: zgłoszenie konsumenta nastąpiło później niż 13 miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa ze strony konsumenta, o czym bank zawiadomił policję lub prokuraturę.

"Samo w sobie wykazanie przez bank prawidłowego uwierzytelnienia nie jest wystarczające do udowodnienia autoryzacji. Stanowi o tym art. 45 ust. 2 ustawy o usługach płatniczych. Istotne jest, aby instytucje finansowe zapewniały takie środki bezpieczeństwa, które ograniczą działania oszustów" — wskazali przedstawiciele UOKiK w odpowiedzi na nasze pytania.

Rzecznik Finansowy (RF) poproszony przez nas o komentarz przyznał, że są spory dotyczące interpretacji i terminologii. Także ta instytucja powołuje się na art. 46 ustawy i ocenia, że dostawcy usług płatniczych, czyli m.in. banki, powinny co do zasady zwracać klientowi utracone środki w sytuacji wystąpienia nieautoryzowanej transakcji płatniczej.

"W praktyce problem polega na tym, że banki w większości sytuacji uznają, że nie doszło w takich okolicznościach do wystąpienia nieautoryzowanej transakcji, gdyż w systemach wszystko się zgadzało (odnotowano prawidłowe użycie instrumentu płatniczego z wykorzystaniem danych autoryzujących i uwierzytelniających, a sam system banku działał prawidłowo)" — zaznaczył RF. W efekcie banki nie czują się zobowiązane do zwrotu środków".

RF zaznaczył, że zgodnie z polskim prawem, a więc w tym wypadku zgodnie z treścią art. 45 ust. 1 ustawy o usługach płatniczych, to na dostawcy (czyli np. banku) spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana. Banki uznają, że skoro została przeprowadzona z wykorzystaniem prawidłowych danych autoryzacyjnych i uwierzytelniających, to niemal automatycznie oznacza to autoryzację (zgodę) na wykonanie danej transakcji przez klienta.

Spór o to, czy była wola klienta do dokonania transakcji

Związek Banków Polskich twierdzi, że unijna dyrektywa PSD2 (która reguluje m.in. usługi płatnicze) nie została prawidłowo implementowana do polskiego porządku prawnego w zakresie art. 72. dyrektywy.

"Chodzi o błąd w tłumaczeniu dyrektywy na język polski, gdzie błędnie przetłumaczono słowo »uwierzytelnienie« jako »autoryzacja«. Dlatego w większości krajów dostawcy usług płatniczych muszą wykazać, że proces uwierzytelnienia przebiegł prawidłowo i żadne inne przeszkody techniczne czy nieprawidłowości nie zaistniały po stronie banku, podczas gdy w Polsce wymaga się od dostawcy usług płatniczych udowodnienia autoryzacji, czyli woli klienta do dokonania transakcji płatniczej, co jest niemożliwe. W tym miejscu warto dodać, że w wielu krajach UE autoryzację również rozumie się jako formalne potwierdzenie przebiegu uwierzytelnienia, bo przecież proces uwierzytelnienia jest niczym innym niż uzewnętrznieniem woli klienta" — wskazał ZBP w odpowiedzi na nasze pytania.

RF twierdzi jednak, że art. 45 ust. 2 ustawy o usługach płatniczych stanowi, iż wykazanie przez bank zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana (albo że umyślnie lub wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej). Ciężar udowodnienia tych okoliczności spoczywa na banku — argumentuje urząd.

W sytuacji, gdy nie ma wątpliwości, że do nieautoryzowanej transakcji płatniczej doszło, banki powołują się często na treść art. 46 ust. 3 ustawy o usługach płatniczych, zgodnie z którym klient odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego, lub będącego skutkiem, rażącego niedbalstwa (mówi o tym art. 42.). Banki z reguły powołują się na rażące niedbalstwo, czyli np. w podaniu danych do uwierzytelnienia czy autoryzacji oszustom. "Do tego dochodzi jeszcze szereg innych kwestii, które należy każdorazowo zbadać na tle sporów związanych z nieautoryzowanymi transakcjami płatniczymi — choćby fakt, czy dany bank przeprowadził prawidłowo procedurę silnego uwierzytelniania użytkownika" — wskazali eksperci RF.

Zobacz też: Ważny urząd rozkręcił się w karach. W dwa lata pękł miliard złotych

Badane przez Rzecznika Finansowego orzecznictwo sądów w ostatnich latach na tle sporów związanych z nieautoryzowanymi transakcjami płatniczymi jest co do zasady sprzyjające klientom. Sądy przyjmują bowiem w wielu przypadkach, że banki np. nie wykazały, że to klient faktycznie dokonał autoryzacji danej transakcji czy że jego zachowanie nie nosiło znamion rażącego niedbalstwa (a dopiero m.in. w takich okolicznościach można obarczyć klienta odpowiedzialnością za utratę środków w wyniku wystąpienia nieautoryzowanej transakcji płatniczej).

Choć oczywiście wiele zależy od konkretnych okoliczności danej sprawy. Zdarza się, że sądy przyznają bankom rację w kwestii np. rażącego niedbalstwa ze strony klientów i mogą mieć rację, jeśli klienci nie dbali o bezpieczeństwo.

Bankowcy twierdzą, że potrzeba więcej czasu na wyjaśnienia

Stanowisko UOKiK czy RF jest jasne: transakcja jest autoryzowana jedynie wtedy, gdy jej uwierzytelnienie nastąpiło za wiedzą i zgodą konsumenta. Jakie w takich sytuacjach dowody mają banki, że to klient, a nie oszust, autoryzował podważane transakcje? Sam fakt realizacji transakcji o niczym jeszcze nie świadczy. Czy praktyka przyjęta przez banki i arbitralne odrzucanie reklamacji może stawiać klientów na straconej pozycji?

"Nie ma wątpliwości, że każde zgłoszenie reklamacji dotyczące nieautoryzowanych transakcji powinno być rzetelnie zbadane, wyjaśnione, a klient powinien dostać pełną informację zwrotną o statusie czy wyniku reklamacji. Warto jednak podkreślić, co wskazujemy również w wielu rozmowach z organami nadzoru, że bank nie jest w stanie sprawdzić wszystkich okoliczności związanych z transakcją. Do wyjaśnienia całości okoliczności sprawy bardzo często nie wystarczają dwa dni robocze, często wyjaśnienie sprawy wymaga więcej dni, a na pewno wymaga współpracy klienta z bankiem, bo to klient ma wiele informacji, które mogą pomóc w wyjaśnieniu sprawy" — odpowiedział ZBP na nasze pytania.

Dodał, że często w wyjaśnienie sprawy są zaangażowane również podmioty trzecie: organizacje kartowe czy sklepy, w których rzekomo realizowane były zakupy itp. "Sprawdzenie przebiegu procesu uwierzytelnienia, a także tego, czy po stronie banku nie zaistniały inne problemy, które mogłyby mieć wpływ na przebieg transakcji, jest pierwszym krokiem, który podejmuje bank po zgłoszeniu reklamacji. Jeśli wszystko jest OK do czasu złożenia wyjaśnień przez klienta, które mogą rzucić nowe światło na sprawę, istnieje domniemanie po stronie banku, że autoryzacja jednak była" — wskazano.

Perspektywa banków jest poniekąd zrozumiała. Nie mogą dopuścić do sytuacji, gdy automatycznie i bez względu na winę klienta będą zwracać pieniądze za rzekomo oszukańcze transakcje (nieautoryzowane), bo to otworzyłoby drogę do przestępstw. Każdy mógłby wydać pieniądze i kupić towar, twierdząc później, że wcale nie zgadzał się na transakcję, a potem domagać się od banku zwrotu pieniędzy.

Zobacz też: UOKiK szykuje rewolucję w kredytach mieszkaniowych. Ma być bezpieczniej

Bank Millennium, ze względu na tajemnicę bankową nie mógł odnieść się do sprawy konkretnego klienta. — Każde zgłoszenie dotyczące nieautoryzowanej transakcji dokładnie analizujemy i rozpatrujemy indywidualnie. Bank nieustannie prowadzi działania w celu przeciwdziałania nadużyciom, biorąc pod uwagę m.in. rekomendacje sektora bankowego wypracowane z przedstawicielami UOKiK i KNF – odpowiada Iwona Jarzębska, rzeczniczka banku.

Zapewnia, że transakcje podlegają stałej analizie przy pomocy skutecznych mechanizmów, podlegających regularnemu przeglądowi, wykrywających podejrzane transakcje. Zwraca uwagę na stałą edukację i budowanie świadomości klientów w zakresie bezpieczeństwa.

Nieautoryzowane transakcje. Ile ich jest?

Jaka jest skala tego problemu w Polsce? Co rusz media donoszą o sytuacji, gdy doszło do nieautoryzowanej transakcji. Bazując na anegdotycznych dowodach, można wywnioskować, że takich spraw jest sporo. Same banki twierdzą, że ich systemy zabezpieczające są coraz lepsze i liczba nieautoryzowanych transakcji maleje.

RF dysponuje danymi dotyczącymi wniosków składanych przez klientów w celu podjęcia działań, odnoszących się do sporów na tle nieautoryzowanych transakcji płatniczych. Ich skala obecnie wynosi ok. 2-2,5 tys. wniosków rocznie (a więc stanowi ok. 30 proc. wszystkich wniosków rozpatrywanych przez Departament Klienta Rynku Bankowego i Kapitałowego). To jedynie część faktycznej liczby oszukiwanych klientów, bo nie wszyscy zwracają się o pomoc. Niektórzy odpuszczają, czując, że nie mają szans w walce z dużą instytucją, jaką jest bank.

UOKiK poinformował nas, że najwięcej sygnałów w takich sprawach otrzymał w 2022 r. – dokładnie 174. W 2023 r. było ich 99. "W tej chwili mamy w bazie 16 sygnałów, które wpłynęły w bieżącym roku. Warto zaznaczyć, że nie są to dane statystyczne od banków, mogą więc nie być miarodajne do pełnej oceny skali zjawiska" — wskazał UOKiK.

CERT Polska w 2022 r. otrzymał 82,8 tys. zgłoszeń powiązanych z incydentami phishingu, który jest podstawową metodą wykorzystywaną przez przestępców w związku z kradzieżami środków z rachunków płatniczych (nie oznacza to, że wszystkie dotyczą przypadków takich jak opisany na początku naszego tekstu).

Według NBP liczba oszukańczych transakcji kartami płatniczymi utrzymuje się od kilku lat mniej więcej na podobnym poziomie. RF zaznacza jednak, że są to dane przekazywane przez same banki, więc mogą powstawać wątpliwości, czy banki np. kwalifikują w ramach transakcji oszukańczych te operacje, co do których same przyjmują, że — wbrew twierdzeniom klientów — były one autoryzowane, a więc zgodne z prawem.

Autor: Maciej Rudke, dziennikarz Business Insider Polska