Udowodnienie uwierzytelnienia transakcji nie wystarczy ani do przyjęcia, że została autoryzowana, ani do zwolnienia się przez bank z odpowiedzialności.
W raz z rozwojem technologii pojawia się coraz więcej możliwości do działań przestępców internetowych. Począwszy od roku 2020, drastycznie wzrosła liczba zgłaszanych przez klientów banków nieautoryzowanych transakcji płatniczych. Według informacji publikowanych przez rzecznika finansowego, rocznie do banków trafia 72–108 tys. zgłoszeń nieautoryzowanych transakcji. Banki blisko połowie klientów odmawiają zwrotu środków na rachunek po dokonaniu nieautoryzowanej transakcji, przerzucając odpowiedzialność na konsumentów. Ci zaś coraz częściej decydują się na dochodzenie swoich praw przed sądem, wytaczając pozwy przeciwko bankom. W tych postępowaniach wciąż pozostaje jednak wiele nierozstrzygniętych zagadnień, które mają znaczenie dla praktyki orzeczniczej.
Uwierzytelnienie i autoryzacja
Do umów zawieranych pomiędzy klientami a bankami zastosowanie mają przepisy ustawy o usługach płatniczych (u.u.p.). Wdraża ona dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (dyrektywa PSD 2).
Z definicji zawartej w art. 2 pkt 33b u.u.p. wynika, że jako uwierzytelnienie rozumie się procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających.
„Uwierzytelnienie” odnosi się do procedury – zespołu czynności, które pozwalają na weryfikację tożsamości. W przeciwieństwie do autoryzacji nie przewiduje konieczności weryfikacji woli płatnika.
Ustawa o usługach płatniczych nie zawiera definicji legalnej pojęcia autoryzacji. Zgodnie z art. 40 ust. 1 u.u.p.: „Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych”.
Tutaj pojawia się pierwsza kwestia sporna pomiędzy bankami a klientami. Co bowiem oznacza wyrażenie przez płatnika zgody na wykonanie transakcji? Czy jest to złożenie oświadczenia woli o zawarciu transakcji przez płatnika (klienta), czy jest to techniczne „przeklikanie” w systemie zlecenia transakcji przez kogokolwiek?
Banki wskazują, że znaczenie ma tylko to, co znajduje odzwierciedlenie w ich systemach teleinformatycznych. Jeżeli nie doszło do przełamania zabezpieczeń systemu, to transakcja jest poprawnie autoryzowana. Jest to podejście czysto formalne.
Zdaniem prezesa UOKiK oraz rzecznika finansowego liczy się nie tylko procedura, lecz także kluczowy element woli klienta. Zgoda na dokonanie transakcji stanowi oświadczenie woli w rozumieniu art. 60 kodeksu cywilnego. Dopiero gdy to klient wyrazi zgodę, można mówić o prawidłowo dokonanej (autoryzowanej) transakcji płatniczej (por. wyrok SA w Warszawie z 19 lipca 2018 r., sygn. akt I ACa 348/17). Jeżeli zgoda na wykonanie transakcji została udzielona przez inną niż klient osobę (np. przez hakera, który włamał się na jego konto), to nie jest to zgoda klienta. W konsekwencji transakcja zlecona przez hakera jest transakcją nieautoryzowaną.
To drugie, podejście zdecydowanie bardziej odpowiada celom zarówno dyrektywy PDS 2, jak i ustawy o usługach płatniczych. Ich nadrzędnym celem pozostaje bowiem zabezpieczenie pieniędzy zdeponowanych przez klientów w bankach.
Akceptacja stanowiska banków prowadziłaby do wniosku, że nie dochodzi do nieautoryzowanej transakcji płatniczej, jeżeli nie są przełamane zabezpieczenia bankowe. Tym samym znakomita większość przypadków kradzieży środków z rachunków bankowych przez hakerów byłaby wyłączona spod omawianych regulacji. Do nieautoryzowanych transakcji nie dochodzi bowiem z reguły w wyniku ataku hakerów na systemy bankowe, lecz w efekcie uzyskania przez przestępców dostępu do bankowości elektronicznej klientów (np. poprzez phishing lub uzyskanie duplikatu karty SIM). Takiej interpretacji nie sposób zaakceptować.
Obowiązek i termin zwrotu
Artykuł 46 ust. 1 u.u.p. jasno wskazuje, że w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, zwraca klientowi kwotę tejże (termin D+1). Taka wyładnia wynika wprost z literalnego brzmienia art. 46 ust. 1 u.u.p. (clara non sunt interpretanda).
Od tej zasady jest tylko jeden wyjątek. Bank może odmówić zwrotu środków w terminie D+1, gdy ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw.
Bank powinien zatem dokonać zwrotu środków w terminie D+1, jeżeli nie podejrzewa oszustwa i złożył zawiadomienia o możliwości popełnienia przestępstwa. Dopiero następczo, jeżeli zdaniem banku doszło do rażącego niedbalstwa płatnika, powinien dochodzić roszczenia od klienta. Ustalenie ewentualnej odpowiedzialności lub współodpowiedzialności klienta banku w dokonaniu nieautoryzowanej transakcji związane jest bowiem z faktyczną i prawną oceną zdarzeń, co powinno następować w toku postępowania sądowego. Obowiązek jego inicjacji powinien spoczywać na banku jako instytucji zaufania publicznego mającej za zadanie dbałość o bezpieczeństwo składanych przez klientów depozytów.
Tak się jednak w praktyce nie dzieje. Z tego względu prezes UOKiK postawił w lipcu oraz listopadzie 2022 r. zarzuty niemalże wszystkim wiodącym bankom działającym w Polsce.
Transpozycja dyrektywy
Kluczowym argumentem podnoszonym przez banki w sprawach o zwrot kwot z nieautoryzowanych transakcji płatniczych jest rzekome dokonanie przez Polskę nieprawidłowej implementacji dyrektywy PSD 2.
Banki twierdzą, że zapisy ustawy o usługach płatniczych, które wymagają udowodnienia przez bank autoryzacji transakcji, są niezgodne z regulacjami dyrektywy PSD 2. Ich zdaniem wymaga ona od banku mniej, tj. tylko wykazania, że transakcja była uwierzytelniona, zapisana i nie wpłynęła na nią żadna awaria systemu.
To błędne stanowisko. Argumentacja banków odnosi się tylko do art. 72 ust. 1 dyrektywy. Przepis ten w polskiej wersji językowej brzmi: „Państwa członkowskie nakładają wymóg, zgodnie z którym, w przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował wykonaną transakcję płatniczą (...), do dostawcy usług płatniczych należy udowodnienie, że transakcja ta została uwierzytelniona, dokładnie zapisana, ujęta w księgach i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez danego dostawcę usług płatniczych.
Stanowisko prezentowane przez banki pomija art. 72 ust. 2 dyrektywy PSD2, który stanowi, że „W przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował wykonaną transakcję płatniczą, użycie instrumentu płatniczego zarejestrowane przez dostawcę usług płatniczych, (...) stosownie do sytuacji, samo w sobie niekoniecznie jest wystarczające do udowodnienia, że dana transakcja płatnicza została przez płatnika autoryzowana albo że płatnik działał w nieuczciwych zamiarach lub dopuścił się celowego lub rażącego zaniedbania co najmniej jednego z obowiązków przewidzianych w art. 69. Dostawca usług płatniczych (…) przekazuje dokumentację w celu udowodnienia oszustwa lub rażącego zaniedbania ze strony użytkownika usług płatniczych”.
Tym samym prawodawca unijny wskazał, że udowodnienie uwierzytelnienia transakcji przez dostawcę usług płatniczych nie wystarczy ani do stwierdzenia, że transakcja jest autoryzowana, ani do zwolnienia się dostawcę (bank) z odpowiedzialności.
Ponadto, zgodnie z art. 62 ust. 1 dyrektywy PSD 2, państwa członkowskie zapewniają, aby transakcję płatniczą uznawano za autoryzowaną tylko pod warunkiem udzielenia przez płatnika zgody na wykonanie transakcji płatniczej. Zgodnie z art. 62 ust. 2 dyrektywy: „W przypadku braku zgody transakcję płatniczą uznaje się za nieautoryzowaną”.
Dyrektywa PSD 2 nałożyła na państwa członkowskie obowiązek przyjęcia w ustawodawstwie krajowym schematu odpowiedzialności i postępowania, prezentującego się w następujący sposób:
- transakcja jest uznawana za autoryzowaną, tylko gdy płatnik (nie zaś jakakolwiek inna osoba, w tym haker podszywający się pod płatnika) wyraził na nią zgodę;
- gdy płatnik nie wyraził zgody na transakcję, transakcja jest uznana za nieautoryzowaną;
- gdy płatnik zaprzecza, że autoryzował wykonaną transakcję płatniczą, dostawca (bank) musi udowodnić, że transakcja została uwierzytelniona, dokładnie zapisana, ujęta w księgach i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez dostawcę. Nawet jednak udowodnienie uwierzytelnienia nie jest wystarczające do wykazania, że dana transakcja płatnicza została przez płatnika autoryzowana albo że płatnik działał w nieuczciwych zamiarach lub dopuścił się celowego lub rażącego zaniedbania. Dostawca usług płatniczych zobowiązany jest do przekazania dokumentacji w celu udowodnienia oszustwa lub rażącego zaniedbania ze strony użytkownika usług płatniczych.
Z treści art. 72 ust. 1 i 2 dyrektywy PSD 2 wynika założenie prawodawcy unijnego, aby to na dostawcy (banku) spoczywał ciężar udowodnienia, że transakcja została autoryzowana przez płatnika (klienta). Gdyby intencja była odmienna, nie zostałby wprowadzony ust. 2 do art. 72 dyrektywy.
Krajowy ustawodawca prawidłowo zapisał w art. 45 ust. 1 u.u.p. obowiązek wykazania przez dostawcę autoryzacji transakcji. Skoro z treści art. 72 ust. 2 dyrektywy PSD 2 i tak wynika obowiązek wykazania autoryzacji transakcji przez dostawcę (bank), to sytuacji prawnej banku nie zmieniałoby w żaden sposób wskazanie, że ma on również obowiązek wykazania uwierzytelnienia transakcji płatniczej. Obowiązek wykazania autoryzacji idzie bowiem dalej niż obowiązek wykazania uwierzytelnienia transakcji.
Jak słusznie wskazuje prezes UOKiK Tomasz Chróstny, na banku jako na instytucji zaufania publicznego spoczywa obowiązek podjęcia wszelkich kroków, aby zabezpieczyć środki klientów.
Banki powinny dużo sprawniej rozwijać systemy antyfraudowe, które pozwalałyby identyfikować i odpowiednio wcześniej reagować na podejrzane operacje, choćby wykorzystując dotychczasową historię zleceń klienta czy biometrię behawioralną do dalszego podnoszenia poziomu zabezpieczeń. Zamiast tego widzimy arbitralność w odrzucaniu reklamacji konsumentów, a także nieprzestrzeganie przepisów prawa. Pozostaje mieć nadzieję, że ta praktyka się zmieni w związku z działaniami podejmowanymi zarówno przez prezesa UOKiK, jak i przez klientów dochodzących swoich roszczeń przed sądami powszechnymi. ©℗