Autoryzacja zamiast uwierzytelnienia – błąd w tłumaczeniu przepisów unijnych i jego negatywny wpływ na rynek usług płatniczych w Polsce
Karol Mórawski: Kwestia reklamacji transakcji płatniczych przez klientów budzi w polskich warunkach wiele zastrzeżeń, a ostatnie stanowisko organów ochrony konsumenta tylko pogłębia dotychczasowe wątpliwości. Skąd wzięły się te problemy, i czemu dotyczą właśnie polskiego rynku?
Katarzyna Urbańska: Problem pojawił się wraz z implementacją dyrektywy PSD1, kiedy to popełniono poważny błąd w tłumaczeniu, myląc pojęcia autoryzacji i uwierzytelnienia.
W unijnej dyrektywie występuje słowo authentication, które powinno być przetłumaczone na polski jako uwierzytelnienie, zamiast niego w polskiej ustawie o usługach płatniczych pojawiło się pojęcie autoryzacji. Słowa te tylko pozornie wydają się być bliskoznaczne, w rzeczywistości ich znaczenie jest całkiem odmienne.
To swoisty grzech pierworodny, który stoi u podstawy wszystkich kłopotów, z jakimi mamy do czynienia także obecnie, bowiem wspomniany błąd został powtórzony także podczas implementacji PSD2 w 2018 roku, kiedy to kształtowały się nowe przepisy związane z odpowiedzialnością banków i użytkowników odnośnie nieautoryzowanych transakcji.
W unijnej dyrektywie występuje słowo authentication, które powinno być przetłumaczone na polski jako uwierzytelnienie, zamiast niego (…) pojawiło się pojęcie autoryzacji
Myślę tu o art. 45 ustawy o usługach płatniczych, który swoim kształtem odbiega od treści art. 72 dyrektywy PSD2.
Czytaj także: Błędne tłumaczenie jednego terminu w unijnej dyrektywie powodem sporu banków z UOKiK
Na czym polega rozdźwięk między prawem unijnym a brzmieniem przepisów krajowych, i jakie konsekwencje rodzi to w kontekście rozpatrywania reklamacji klientów odnośnie operacji płatniczych?
‒ Pierwszym problemem jest wspomniana już omyłka w tłumaczeniu. Art. 45 ustawy o usługach płatniczych stanowi, iż na dostawcy spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana, podczas gdy na podstawie art. 72 PSD2 wystarczyłoby wykazać, że operacja była uwierzytelniona.
W praktyce oznacza to, że kiedy klient składa reklamację informując, że jego zdaniem transakcja jest nieautoryzowana, to bank musi udowodnić, że do autoryzacji jednak doszło. To z kolei jest niewykonalne. Instytucja finansowa nie dysponuje narzędziami, żeby potwierdzić przeprowadzenie autoryzacji, która nie jest niczym innym, jak zgodą klienta na dokonanie transakcji.
Tymczasem uwierzytelnienie jest procedurą wewnętrzną banku, polegającą na sprawdzeniu, czy transakcja została dokonana przez klienta, w tym celu dokonuje się identyfikacji instrumentu płatniczego, jakim dany podmiot się posługuje, a także na sprawdzeniu loginów i haseł, tzw. credentiali, czy zostały one użyte właściwie, wreszcie ‒ czy transakcja przebiegała w sposób prawidłowy w procesie zapisu w systemie do obsługi operacji płatniczych, czy nie było po drodze żadnej usterki technicznej.
Instytucja finansowa nie dysponuje narzędziami, żeby potwierdzić przeprowadzenie autoryzacji, która nie jest niczym innym, jak zgodą klienta na dokonanie transakcji
W sytuacji, kiedy w przepisach zamieniono pojęcie uwierzytelnienia na autoryzację dochodzimy do sytuacji, w której na bank przerzucono ciężar dowodu, a przecież bank nie jest w stanie udowodnić czy klient faktycznie wyraził zgodę na wykonanie operacji, ponieważ bank nie jest w stanie zweryfikować stanu umysłu klienta. Dostawca natomiast jest w stanie wykazać, że doszło (lub nie) do uwierzytelnienia, ponieważ jest to procedura stosowana przez samego dostawcę.
Kolejnym błędem, który popełniono przy implementacji jest pominięcie w polskim prawie sformułowania użytego w art. 72 PSD2, zgodnie z którym klient powinien jednoznacznie zaprzeczyć temu, że to on autoryzował transakcję lub stwierdzić, że została ona wykonana nieprawidłowo.
Dlaczego to jest takie ważne? Takie ukształtowanie przepisu pozwoli na odróżnienie od siebie transakcji jedynie „rzekomo nieautoryzowanej” od „transakcji nieautoryzowanej„, do której dopiero odnosi się obowiązek zwrotu środków w terminie D+1, określony w art. 46 ust. 1 UUP. Pominięcie tego fragmentu art. 72 ust. 1 PSD2 jest oczywistym błędem w implementacji dyrektywy.
Jeśli zatem bank wykaże, że transakcja została uwierzytelniona (authenticated) i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna, ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, przerzuca na płatnika ciężar dowodu, że transakcja miała charakter nieautoryzowany.
W takim stanie faktycznym nie znajdzie zastosowania art. 46 ust. 1 UUP, a więc dostawca usług płatniczych nie będzie zobowiązany do zwrotu kwoty transakcji w terminie D+1. Taka transakcja ma bowiem nadal charakter transakcji „rzekomo nieautoryzowanej”, a nie transakcji nieautoryzowanej, do której odnosi się hipoteza art. 46 ust. 1 UUP.
Czytaj także: Jak zabezpieczyć klienta przez hakerem i własną łatwowiernością? Forum Bezpieczeństwa Banków 2021
Czy w związku z powyższą sytuacją ZBP wystąpił z propozycjami zmian i dostosowania do właściwego brzmienia prawa unijnego, a jeśli tak, to na jakim etapie zaawansowania są prace w tym zakresie?
‒ ZBP podnosi kwestię nieprawidłowej implementacji unijnego prawa w zasadzie przy każdej nowelizacji ustawy o usługach płatniczych, niezmiennie prezentując postulat poprawnego odzwierciedlenia art. 72 dyrektywy PSD2. Chodzi o poprawne oddanie treści całego art. 72 PSD2 w polskich przepisach prawa.
W kwestii błędnego tłumaczenia słowa authentication jako autoryzacja zamiast uwierzytelnienie, to z naszej analizy prawno-porównawczej przepisów z innych krajów UE wynika, iż tylko my jesteśmy jedynym, w którym wystąpił tak poważny błąd w tłumaczeniu.
Jesteśmy w tej chwili w toku dwóch konsultacji publicznych. Procedowana jest nowelizacja ustawy o usługach płatniczych, obecnie znajduje się ona na etapie konsultacji społecznych, w czerwcu odbyła się konferencja uzgodnieniowa. Jesteśmy cały czas w toku rozmów z Ministerstwem Finansów i dostarczamy analizy, potwierdzające rozwiązania tłumaczeniowe w innych krajach, skutki błędnego tłumaczenia w warunkach polskich.
ZBP podnosi kwestię nieprawidłowej implementacji unijnego prawa w zasadzie przy każdej nowelizacji ustawy o usługach płatniczych
Równolegle toczy się konsultacja innego projektu, pod roboczym tytułem o rozwoju rynku finansowego, w którym wśród wielu zmienianych aktów prawnych jest ustawa o usługach płatniczych. Pozwoliliśmy sobie po raz kolejny zwrócić się z apelem do MF, z racji tego, że pojawia się coraz więcej błędnych interpretacji tych przepisów, będących efektem ich literalnego czytania. To z kolei wprowadza klientów w błąd co do ich praw i obowiązków. Dlatego ustawa o usługach płatniczych winna podlegać pilnej interwencji ustawodawcy w tym zakresie.
Przypomnę, iż PSD2 oznacza harmonizację maksymalną, tak więc nie ma tu przestrzeni na interpretację, należy trzymać się tak blisko rozwiązań zawartych w tej dyrektywie, jak to tylko możliwe.
Czytaj także: Open banking i dyrektywa PSD2: co dają dziś „zwykłemu Kowalskiemu”?
Katarzyna Urbańska
Dyrektor Zespołu Prawno-Legislacyjnego ZBP, radca prawny, absolwentka prawa na Uniwersytecie Łódzkim. Studium Lobbingu Collegium Civitas w Warszawie.
Z rynkiem finansowym związana od wielu lat. Obecnie członek Prezydium Rady Prawa Bankowego, a także członek Komitetu Prawnego Europejskiej Federacji Bankowej (EBF).
Uczestniczka prac parlamentarnych dotyczących wielu projektów aktów prawnych, m. in. w zakresie prawa bankowego i w zakresie regulacji dotyczących rynku finansowego. Koordynatorka licznych prac interpretacyjnych w sektorze bankowym w zakresie nowych i zmienianych regulacji oraz projektów wdrożeniowych rozwiązań sektorowych.
Uczestniczka wielu rządowych zespołów roboczych. Prelegentka na konferencjach, seminariach i szkoleniach. Autorka publikacji z obszaru rynku finansowego.