O nieautoryzowanych transakcjach internetowych rzadko mówi się w przestrzeni publicznej. Najczęściej słyszymy o nich, dopiero kiedy my lub ktoś z grona bliskich nam osób pada ofiarą oszustwa finansowego w Internecie. Nieautoryzowane transakcje to sytuacje w których dochodzi do pobrania środków z naszego rachunku lub dokonania płatności za produkt lub usługę, bez naszej wiedzy. Odbywa się to za pośrednictwem bankomatów czy też bankowych aplikacji mobilnych oraz stron www banków przeznaczonych do obsługi kont.

Ustawa o usługach płatniczych zawiera informację o tym, kiedy transakcję można uznać za autoryzowaną. Jest to taka sytuacja, kiedy płatnik (właściciel rachunku bankowego) wyraził zgodę na realizację transakcji płatniczej w formie ustalonej w umowie między dostawcą,
a nim.

Do sposobów autoryzacji zaliczyć możemy:

  • Kod PIN, kod z tokena,
  • Kod SMS,
  • Mobilna autoryzacja (potwierdzenie, wyrażenie zgody w aplikacji bankowej
    na dokonanie przelewu).

W ustawie brak jest jednak definicji nieautoryzowanej transakcji płatniczej. Interpretując przepis o tych płatnościach na które wyraziliśmy zgodę, wysnuwa nam się rodzaj transakcji, którego osobiście nie autoryzowaliśmy. Za nieautoryzowaną transakcję uznaje się płatność wykonaną bez zgody posiadacza rachunku niezależnie od tego, czy dokonano jej bez użycia instrumentu płatniczego, czy z jej użyciem. Za taką transakcję uznaje się również płatności przeprowadzone z użyciem przymusu, na skutek kradzieży czy manipulacji, co uregulowane jest w wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA).

 

Kto odpowiada za nieautoryzowane transakcje – płatnik czy dostawcy usług (bank)?

  1. Odpowiedzialność banku w sytuacji nieautoryzowanych transakcji internetowych

Dyrektywa PSD2 w sprawie usług płatniczych wskazuje, że odpowiedzialność  za nieautoryzowane transakcje płatnicze ponosi dostawca usługi, czyli bank, a odpowiedzialność właściciela rachunku ma charakter wyjątkowy. To na banku spoczywa obowiązek niezwłocznego zwrotu płatnikowi kwoty nieautoryzowanej transakcji, nie później jednak niż do końca następnego dnia roboczego po otrzymaniu zgłoszenia[1]. Jest to reguła D+1. Po stronie instytucji dostarczającej usługi płatnicze jest odpowiedzialność za maksymalne zabezpieczenie systemów, dzięki którym dokonujemy transakcji płatniczych. Poza technicznymi zabezpieczeniami po stronie banku, powinny być zapewnione dodatkowe, indywidualne zabezpieczenia do których należą kody SMS, PIN, login, hasło, mobilne autoryzacje np. na czytnik linii papilarnych lub tokeny wydawane przez bank. Jest to niezbędna procedura uwierzytelniania, czyli potwierdzania każdorazowo tożsamości użytkownika. Jeżeli bank nie zapewni dostatecznego zabezpieczenia, właściciel rachunku nie ponosi odpowiedzialności finansowej.

  1. Odpowiedzialność płatnika w sytuacji nieautoryzowanych transakcji internetowych

Najważniejszym obowiązkiem spoczywającym na właścicielu rachunku bankowego jest niezwłoczne powiadomienie banku o nieautoryzowanej transakcji płatniczej. Za maksymalny termin zgłoszenia uznaje się 13 miesięcy następujących po chwili zdarzenia lub obciążenia rachunku.

Dyrektywa PSD2 ograniczyła kwotę odpowiedzialności płatnika (właściciela rachunku) za nieautoryzowaną transakcję do maksymalnej kwoty 50 euro (przeliczanej wg. średniego kursu w NBP, w dniu nieautoryzowanej transakcji internetowej). To płatnik ponosi odpowiedzialność za transakcję nieautoryzowaną, jeżeli działał w nieuczciwych zamiarach, w celu wyrządzenia szkody na dostawcy usługi płatniczej lub dopuścił się rażącego, celowego niedbalstwa i zostało mu to udowodnione przez dostawcę usługi (bank).

Nie ponosi on odpowiedzialności w wyjątkowych sytuacjach tj. utrata środków nastąpiła poprzez działanie lub brak działań leżących po stronie pracownika banku, dostawcy usług lub podmiotu świadczącego na jego rzecz w ramach outsourcingu, a także gdy właściciel rachunku, płatnik, nie miał możliwości stwierdzić, że doszło do kradzieży lub utraty jego instrumentu płatniczego przed dokonaną płatnością. O ostatniej z wymienionych sytuacji należy niezwłocznie powiadomić bank. Od momentu utraty instrumentu płatniczego, płatnik nie jest zobowiązany do pokrywania żadnych strat spowodowanych niedozwolonym użyciem instrumentu płatniczego przez oszusta.

Do dnia 31 stycznia każdego roku banki mają obowiązek raportować do Komisji Nadzoru Finansowego nieautoryzowane transakcje i wszelkie oszustwa wykonywane usługami płatniczymi.

 

Jakie kroki należy podjąć w sytuacji utraty środków z tytułu nieautoryzowanej transakcji:

  1. Niezwłocznie należy powiadomić bank (maksymalnie w terminie 13 miesięcy od chwili zdarzenia),
  2. Zawiadomić zespół CERT.PL (Cert Polska to zespół reagowania na incydenty w sieci komputerowej, do ich zadań należy m.in. rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo w sieci, testy rozwiązań z dziedziny bezpieczeństwa teleinformatycznego) – indycent.cert.pl,
  3. Złożyć zawiadomienie na policję (należy pobrać zaświadczenie o zgłoszeniu kradzieży).

 

Poza ogromną odpowiedzialnością, która spoczywa na dostawcy usług płatniczych w zakresie bezpieczeństwa transakcji, użytkownicy i posiadacze kont bankowych, aplikacji mobilnych, muszą koniecznie zachować należytą staranność w zachowaniu w tajemnicy swoich danych dostępowych oraz stosować środki ochrony na swoich urządzeniach mobilnych.

Każdy płatnik powinien stosować się do zasad takich jak:

  1. Korzystanie z legalnego oprogramowania komputerowego oraz jego stałe aktualizowanie.
  2. Stosowanie programów antywirusowych i firewall.
  3. Regularna zmiana hasła do konta bankowego.
  4. Weryfikacja danych zawartych w wiadomościach SMS – oszuści potrafią podrobić wiadomość praktycznie 1:1 – należy z ogromną ostrożnością podchodzić do wszelkich wiadomości z banku.
  5. Zakaz otwierania załączników z e-maili nieznanego pochodzenia.
  6. Zakaz kopiowania numerów rachunków „ze schowka”.
  7. Zakaz logowania się na konta bankowe z otwartych sieci Wi-Fi.

Unijna dyrektywa PSD2 respektowana jest również przez polski wymiar sprawiedliwości.
Sąd Apelacyjny w Warszawie[2] uznał, że transakcja płatnicza autoryzowana to taka płatność, w której właściciel rachunku wyraził zgodę na jej wykonanie. Ciężar udowodnienia autoryzacji transakcji spoczywa na dostawcy usług płatniczych, czyli na banku. O odwrotnej sytuacji, czyli nieautoryzowanej transakcji i odpowiedzialności banku, przeczytać możemy w wyroku SA w Warszawie[3], gdzie wprost uznano odpowiedzialność banku za nieautoryzowaną transakcję oraz wskazano, że bank musi oddać pieniądze wraz z odsetkami.

Zdaniem ekspertów, prawników, rzeczników konsumentów, jak i innych instytucji stojących na straży ochrony praw konsumentów, banki powinny wprowadzać rozwiązania poprawiające bezpieczeństwo transakcji, nawet kosztem ich szybkości. Obciążenia kart kredytowych, czy nakładki na bankomaty skanujące dane do logowania, to zjawiska coraz szybciej się rozprzestrzeniające. Aby uniknąć rozszerzania się tego oszustwa na ogromną skalę, płatnicy powinni dochowywać należytej staranności w ukrywaniu swoich danych do logowania,
a dostawcy usług zwiększać bezpieczeństwo środków użytkowników, stosując odpowiednie zabezpieczenia.

 

sygn. akt V ACa 348/17 z dnia 19 lipca 2018r., Sąd Apelacyjny w Warszawie

  • https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/i-aca-348-17-autoryzacja-uslugi-platniczej-wyrok-sadu-522640791?_ga=2.150683830.1085581406.1608298799-179572490.1608298799#xd_co_f=MThkYmJiZTktYmNlYy00MGZjLTgxNDItNWMzNDBlZTY1ZGQ2~

sygn. akt V ACa 823/17 z dnia 28 października 2018r., Sąd Apelacyjny w Warszawie

  • https://sip.lex.pl/orzeczenia-i-pisma-urzedowe/orzeczenia-sadow/v-aca-823-17-wyrok-sadu-apelacyjnego-w-warszawie-522694791?_ga=2.150683830.1085581406.1608298799-179572490.1608298799

 

Więcej o prawach konsumenckich znajdziesz na stronie www.prawakonsumenta.uokik.gov.pl

[1] Zachowanie banku określone jest w art. 46 ust. 1 ustawy o usługach płatniczych.

[2] Wyrok z dnia 19 lipca 2018 r. w sprawie V ACa 823/17

[3] Sygn. akt V ACa 823/17 z dnia 28 października 2018r.