Transakcje nieautoryzowane. UOKiK postawił zarzuty 5 bankom

Przeczytaj także: Transakcje nieautoryzowane - 4 kolejne banki z zarzutami Prezesa UOKiK

Zarzut naruszenia zbiorowych interesów konsumentów UOKiK postawił 5 bankom. Są to Bank Millennium, BNP Paribas Bank Polska, Credit Agricole Bank Polska, mBank oraz Santander Bank Polska.

Jak podaje UOKiK, podstawą zarzutów jest analiza skarg konsumentów oraz reakcji i odpowiedzi banków na zgłoszenia kradzieży pieniędzy z kont konsumentów. Wśród badanych przypadków jest również ten opisany przez 72-letnią emerytkę, która przez 30 lat odkładała pieniądze na „czarną godzinę”. Oszust uzyskał dostęp do danych uwierzytelniających i wyprowadził z konta emerytki 170 tys. zł oszczędności oraz zaciągnął kredyt na 80 tys. zł. Bank bezrefleksyjnie zmienił walutę i przelał pieniądze za granicę, doliczając do każdego przelewu opłatę za szybkość realizacji oraz udzielił wysokiej pożyczki osobie, która ma niską emeryturę, a w całej dotychczasowej historii konta preferowała bezpieczne inwestycje. Instytucja finansowa nie zareagowała nawet w chwili, gdy oszust podszywając się pod emerytkę zmienił jej stan cywilny z mężatki na wdowę, żeby nie była potrzebna zgoda męża do zaciągnięcia kredytu. Bank, mimo prawa, obowiązującego w całej UE - nie zwrócił środków poszkodowanej. Autorytatywnie uznał, że winę za zaistniałą sytuację ponosi emerytka, która znalazła się w trudnej dla niej sytuacji finansowej.

Podobnych historii są w Polsce tysiące. Różnią się kwoty i metody działania oszustów. Co je łączy? Kradzież pieniędzy z kont nieświadomych konsumentów i zazwyczaj negatywna reakcja banków w odpowiedzi na zgłoszone reklamacje. Niestety, pomimo ustawowego obowiązku, banki nie zwracają środków lub w przypadku zaciągnięcia kredytu – zmuszają konsumentów, którzy padli ofiarami oszustów, do jego spłacania.

Na banku, jako na instytucji zaufania publicznego, spoczywa obowiązek podjęcia wszelkich kroków, aby zabezpieczyć środki swoich klientów. Do sytuacji, w których oszuści wyprowadzają z rachunków bankowych konsumentów środki lub zaciągają zobowiązania finansowe, dochodzi niestety bardzo często. Banki najczęściej ograniczają się do bezrefleksyjnego wykonywania operacji i nie poczuwają się do odpowiedzialności, mimo że czujność mogłaby wzbudzić już sama analiza transakcji na wczesnym etapie np. z uwagi na nietypowe kwoty, walutę, dokonane w krótkim czasie po zmianie danych lub kanałów dostępowych. Tymczasem banki powinny dużo sprawniej rozwijać mechanizmy, które pozwalałyby identyfikować i odpowiednio wcześniej reagować na podejrzane operacje, choćby wykorzystując dotychczasową historię zleceń klienta czy biometrię behawioralną do dalszego podnoszenia poziomu zabezpieczeń. Zamiast tego widzimy pewną arbitralność w odrzucaniu reklamacji konsumentów, a także nieprzestrzeganie przepisów prawa w zakresie zwrotu środków utraconych w wyniku nieautoryzowanych transakcji - mówi Tomasz Chróstny, Prezes Urzędu Ochrony Konkurencji i Konsumentów.

Obowiązujące prawo

Z art. 46 ustawy o usługach płatniczych, stanowiącej implementację przepisów unijnych PSD2* wynika, że banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji - do końca następnego dnia roboczego po zgłoszeniu. Wyjątkiem są dwie sytuacje: zgłoszenie konsumenta nastąpiło później niż 13 miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego konsumenta, o czym bank zawiadomił policję lub prokuraturę. W innych przypadkach bank ma obowiązek przywrócić rachunek do stanu sprzed dokonania przez oszustów nieautoryzowanej transakcji – np. w przypadku zaciągnięcia przez oszustów zobowiązania finansowego - lub zwrócić środki na konto klienta.

Zarzuty wobec pierwszych 5 banków dotyczą między innymi niezwracania konsumentom pieniędzy z nieautoryzowanych transakcji w ustawowym terminie, mimo że nie zaszły okoliczności, które by zwolniły bank z tego obowiązku – mówi Tomasz Chróstny, Prezes UOKiK.

Uwierzytelnianie i autoryzacja transakcji

W kontekście zagadnienia nieautoryzowanych transakcji bardzo ważne jest rozróżnienie pojęcia „uwierzytelnienia” od „autoryzacji”. Uwierzytelnienie to – zgodnie z ustawową definicją - „procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających” (np. podanie kodu PIN). Natomiast autoryzacja – poza uwierzytelnieniem, które jest czynnością techniczną - obejmuje zgodę użytkownika na daną transakcję. Transakcją nieautoryzowaną będzie zatem również transakcja uwierzytelniona (np. poprzez podanie kodu PIN), ale bez zgody konsumenta.

Należy jednak zaznaczyć, że w myśl art. 45 ust. 2 ustawy o usługach płatniczych samo wykazanie przez bank, że transakcja została prawidłowo uwierzytelniona nie jest wystarczające, żeby uznać, że była przez użytkownika autoryzowana, lub że klient dopuścił do jej wykonania umyślnie albo wskutek rażącego niedbalstwa. Ciężar udowodnienia takich okoliczności spoczywa na banku.

Bank może podnosić, że do nieautoryzowanej transakcji płatniczej doszło wskutek umyślnego działania konsumenta albo w wyniku naruszenia przez niego w sposób umyślny lub na skutek rażącego niedbalstwa co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych. Może on w takich sytuacjach dochodzić swoich roszczeń od konsumenta po dokonaniu zwrotu kwoty nieautoryzowanej transakcji płatniczej.

Dopiero po wypełnieniu obowiązku zwrotu bank może dochodzić roszczeń od klienta, jeśli okaże się, że klient doprowadził do transakcji umyślnie albo wykazał się rażącym niedbalstwem, umożliwiając oszustom wykorzystanie jego danych uwierzytelniających. Ciężar wykazania tych okoliczności, zgodnie z prawem, spoczywa na banku. Nie kwestionujemy prawa banku do dochodzenia roszczenia w sytuacjach winy konsumenta. Jednak w wielu przypadkach narzędzia uwierzytelniania oraz zabezpieczeń banku nie chronią konsumenta przed nieautoryzowanymi transakcjami. W takiej sytuacji, gdy oszustom udaje się rozpracować bankowe procedury i zabezpieczenia, bank nie może być sędzią we własnej sprawie, arbitralnie odrzucając reklamacje konsumentów oraz wbrew obowiązującemu prawu wstrzymując się od zwrotu środków. Oceną i uznaniem winy w sytuacjach budzących wątpliwości powinny się zajmować sądy – bezstronne zarówno dla banku, jak i konsumenta. Banki natomiast powinny podejmować więcej starań, aby poprzez narzędzia systemowe do tego typu sytuacji dochodziło jak najrzadziej – mówi Tomasz Chróstny, Prezes UOKiK.

Jednocześnie w toku prowadzonego postępowania wyjaśniającego Prezes UOKiK ustalił, że banki mogą wprowadzać konsumentów w błąd w odpowiedziach na reklamacje dotyczące nieautoryzowanych transakcji.

Analiza uzyskanych od banków odpowiedzi na reklamacje pozwoliła na postawienie również zarzutów wprowadzania konsumentów w błąd. W odpowiedziach tych banki twierdziły na przykład, że transakcja została autoryzowana i jednocześnie konsument mógł dopuścić się rażącego niedbalstwa, lub że samo wykazanie uwierzytelnienia przez bank zwalnia go z obowiązku zwrotu. Konsumenci, którzy otrzymali tego typu odpowiedzi na reklamacje w sprawie kradzieży pieniędzy z konta, mogli zostać wprowadzeni w błąd co do faktu autoryzowania takiej transakcji oraz zakresu obowiązków i odpowiedzialności banku. Może to zniechęcać konsumentów do dalszego dochodzenia swoich praw – mówi Tomasz Chróstny, Prezes UOKiK.

Prezes UOKiK nadal bada praktyki pozostałych 13 banków objętych postępowaniami wyjaśniającymi. W przypadku nieprawidłowości Prezes Urzędu może postawić zarzuty kolejnym instytucjom finansowym. Bankom za naruszenie zbiorowych interesów konsumentów grożą kary do 10 proc. obrotu.

Konsumencie, zachowaj ostrożność

• Pamiętaj: działania oszustów ewoluują, ale sprowadzają się do jednego – do próby wyłudzenia danych dostępowych do twojego konta, aby następnie - wykorzystując system bankowy - wykraść twoje pieniądze.
• Nie podawaj pod żadnym pozorem swojego loginu czy hasła dostępu do konta. Nie instaluj żadnych aplikacji. Rozłącz się, zadzwoń na oficjalną infolinię instytucji finansowej, aby to potwierdzić. Nie korzystaj z numeru podanego przez osobę dzwoniącą do ciebie i przedstawiającą się jako pracownik banku.
• Nie klikaj w linki czy załączniki przysłane w e-mailach, SMS-ach czy na komunikatorach, jeżeli nie jesteś pewien, że pochodzą od zweryfikowanego nadawcy. Możesz w ten sposób zainstalować niebezpieczne oprogramowanie.
• Zachowaj ostrożność, jeśli sprzedajesz na portalu aukcyjnym, a potencjalny klient chce się kontaktować poza nim – np. tylko mailowo lub poprzez komunikator. Nigdy nie podawaj mu danych do logowania w banku ani numeru karty płatniczej i kodu CVV/CVC – dzięki nim oszust może uwierzytelnić każdą transakcję.
• Zwracaj uwagę na treść SMS-kodów przysyłanych przez bank, żebyś wiedział, jaka transakcja jest wykonywana. Informują one jakiej transakcji dotyczą – sprawdzaj kwotę i konto przelewu. Uważaj też, aby nie zatwierdzić np. zmiany numeru telefonu, na który otrzymujesz dane służące do uwierzytelniania transakcji na inny - należący do oszustów, którzy wówczas będą mogli potwierdzić każdy przelew wykonywany z twojego konta.
• Zadbaj o to, aby na urządzeniach, które wykorzystujesz do logowania się do bankowości elektronicznej, zainstalowane było oprogramowanie antywirusowe i zaktualizowany system operacyjny. Zwiększy to szanse na wczesne wykrycie oprogramowania szpiegującego i może zapobiec wykradnięciu danych uwierzytelniających przez oszustów.

Co zrobić, gdy padłeś ofiarą oszustwa?

Jeżeli oszuści wykonywali nieautoryzowane transakcje z twojego konta, jak najszybciej skontaktuj się z bankiem za pośrednictwem oficjalnej infolinii, zgłoś taką transakcję, zmień dane do logowania do aplikacji bankowej i bankowości elektronicznej oraz zastrzeż kartę. Na powiadomienie instytucji finansowej masz 13 miesięcy, ale im wcześniej to zrobisz, tym lepiej. Następnie zawiadom policję. Jeśli bank odrzucił twoją reklamację, poproś o pomoc w rozwiązaniu indywidualnej sprawy Rzecznika Finansowego lub miejskiego albo powiatowego rzecznika konsumentów.

* PSD2 – to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego