Nieautoryzowane transakcje - obowiązki banków i prawa konsumenta

Przeczytaj także: Transakcje nieautoryzowane - 4 kolejne banki z zarzutami Prezesa UOKiK

Zarówno przepisy krajowe, jak i unijne nie pozostawiają wątpliwości, że dostawcy usług płatniczych muszą niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji. Prawo przewiduje od tej zasady tylko dwa wyjątki. Trzeba podkreślić, że obowiązek zwrotu środków nie jest równoznaczny z odpowiedzialnością banków za transakcje nieautoryzowane, np. w przypadku gdy dojdzie do nich z powodu rażącego niedbalstwa płatnika. W tej sytuacji dostawcy usług płatniczych mogą dochodzić od płatnika kwoty, którą uprzednio mu zwrócili. Ta kwestia została szczegółowo opisana w opublikowanym stanowisku – mówi Tomasz Chróstny, Prezes UOKiK.

Obowiązek banków

Zgodnie z art. 46 ustawy o usługach płatniczych dostawca usługi płatniczej (m.in. bank) musi zwrócić płatnikowi kwotę transakcji, której autoryzacji ten zaprzecza. Ma na to czas do końca następnego dnia roboczego po zgłoszeniu. Z tego obowiązku bank jest zwolniony tylko w dwóch sytuacjach:

• płatnik zgłosił nieautoryzowaną transakcję po upływie 13 miesięcy od jej dokonania – w tym przypadku jego roszczenie wygasa,
• dostawca usług płatniczych zawiadomił na piśmie policję lub prokuraturę, że ma uzasadnione i udokumentowane podejrzenie, że konsument poprzez nieprawdziwe zgłoszenie i żądanie zwrotu kwoty transakcji próbuje dokonać oszustwa – w tej sytuacji obowiązek zwrotu zostaje zawieszony do czasu ustalenia przez odpowiednie organy, jak było naprawdę.

Uwierzytelnienie to nie autoryzacja

Banki w odpowiedziach na zgłoszenia konsumentów często twierdzą, że uwierzytelnienie przebiegło prawidłowo, więc w ich ocenie nie muszą przywracać konta konsumenta do stanu sprzed nieautoryzowanej transakcji. To wprowadzanie konsumentów w błąd. Pojęcia uwierzytelnienie i autoryzacja nie są tożsame, a różnica między nimi jest kluczowa dla interpretacji przepisów.

Autoryzacja jest to osobiste wyrażenie przez klienta zgody na dokonanie transakcji, np. polecenia przelewu. Natomiast uwierzytelnienie to czynność techniczna, np. podanie PIN lub inny sposób wskazany w systemie bankowym wynikający z umowy. Konieczne jest więc wystąpienie łącznie dwóch elementów: uwierzytelnienia i woli konsumenta do dokonania transakcji. Przykładowo przelew zrobiony przez oszusta z wykorzystaniem pozyskanych nielegalnie danych logowania do bankowości elektronicznej konsumenta nie jest transakcją autoryzowaną, bo odbył się bez zgody właściciela konta.

Także Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2) w art. 64 kładzie nacisk na to, aby transakcję uznawano za autoryzowaną tylko pod warunkiem udzielenia przez płatnika zgody na jej wykonanie.

W sytuacji gdy konsument zaprzecza autoryzacji transakcji, obowiązek udowodnienia, że jest inaczej, spoczywa na banku. Przy czym art. 45 ust. 1 ustawy o usługach płatniczych precyzuje, że nie wystarczy do tego samo wykazanie prawidłowości uwierzytelnienia. Potwierdza to orzecznictwo sądów, np. wyrok Sądu Okręgowego w Warszawie z 11 sierpnia 2021 r. (sygn. akt XXVII Ca 1352/21).

Działania UOKiK

Prezes UOKiK od lipca 2021 r. prowadzi postępowania wyjaśniające, w których sprawdza, jak banki zachowują się w przypadku zgłoszenia przez konsumentów, że doszło do nieautoryzowanych transakcji. Pięć banków ma już postawione zarzuty naruszania zbiorowych interesów konsumentów w tej sytuacji.