BANK 2020/06

Bankowość i Finanse | Nieautoryzowane Transakcje | Praktyka i zachowania dostawców usług płatniczych

Sławomir Kujawa | Uniwersytet Gdański
Bankowość i Finanse | Nieautoryzowane Transakcje | Praktyka i zachowania dostawców usług płatniczych
Fot. stock.adobe.com/Solomin Andrey
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
W dobie transformacji cyfrowej bardziej niż kiedykolwiek niezbędne jest dostosowanie praktyki i zachowań dostawców usług płatniczych do aktualnych uwarunkowań. Z jednej strony chodzi o zaangażowanie w innowacje, z drugiej zaś o położenie szczególnego nacisku na zadowolenie klienta.

Dr Sławomir Kujawa
adiunkt w Katedrze Bankowości i Finansów Wydziału Zarządzania Uniwersytetu Gdańskiego

Niespełna dwa lata temu w życie weszły przepisy Ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (dalej u.u.p.), stanowiące implementację dyrektywy PSD II.

Nieautoryzowana transakcja

Wprowadzone zmiany do u.u.p. dotyczyły głównie zasad odpowiedzialności płatnika oraz sposobu postępowania dostawcy w sytuacji wystąpienia nieautoryzowanej transakcji płatniczej. Niestety nie zdefiniowano, czym jest takowa transakcja. A contrario, art. 40 ust. 1 u.u.p. stanowi:,,transakcję płatniczą uważa się za zautoryzowaną, jeśli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych”.

Na tej podstawie można przyjąć założenie, że nieautoryzowana transakcja to taka, kiedy płatnik nie wyraził na nią zgody. Dodatkowo Sąd Apelacyjny w Warszawie w wyroku z 24 października 2018 r. (V ACa 823/17), uznał, że transakcję płatniczą uważa za zautoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie, natomiast – co kluczowe – ciężar udowodnienia, że była ona autoryzowana spoczywa na banku.

Świadomość ryzyka w cyberprzestrzeni

Aktywność w cyberprzestrzeni podyktowana wygodą i oszczędnością czasu prowadzi do rosnących wyzwań w obszarze zapewnienia bezpieczeństwa ze strony dostawców. Wymusza również odpowiednie zachowania ze strony klientów, dla których szybkość i wygoda dokonywanych transakcji jest często priorytetem.

Należy pamiętać, że bezpieczeństwo w hierarchii potrzeb Maslova to jedna z podstawowych potrzeb człowieka. Co roku banki w Polsce przeznaczają na cyberbezpieczeństwo znaczące środki, co więcej – wydatki na ten cel będą w najbliższych latach rosnąć. Dane zawarte w trzeciej edycji raportu,,Cyberbezpieczny portfel„, wydanego przez ZBP we współpracy z Warszawskim Instytutem Bankowości (patrz wykres 1.), wskazują że 90% Polaków nie odczuwa niepokoju przy logowaniu do bankowości internetowej, przy czym 40% respondentów jest słabo poinformowanych odnośnie ryzyka cyberprzestępstw w sieci. Warto tutaj wspomnieć, że w 2019 r. społeczne zaufanie do banków wzrosło do poziomu 72% (wynika tak z raportu,,Reputacja sektora bankowego 2019„, powstałego na zlecenie ZBP).

W raporcie,,Cyberbezpieczny portfel” 81% respondentów wskazało bank jako podmiot odpowiedzialny za bezpieczeństwo finansowych usług elektronicznych. Wyniki wskazują, że Polacy de facto mogą z góry przyjmować założenie, że dostarczona usługa jest bezpieczna, zdejmując tym samym z samych siebie brzemię odpowiedzialności za staranność i czujność przy wykonywaniu transakcji płatniczych. Potwierdzeniem tej tezy może być zamieszczona w raporcie informacja, iż 25% rodaków nie zwraca uwagi na symbol i https:// na początku strony internetowej banku, a 51% respondentów nie zmieniło hasła do bankowości internetowej w ostatnich 12 miesiącach.

91% Polaków słabo ocenia swoją wiedzę finansową i w większości nie zachowuje minimalnych poziomów bezpieczeństwa podczas transakcji płatniczych. Aż 83% użytkowników oczekuje od banku, że po wystąpieniu cyberataku instytucja niezwłocznie poinformuje klientów o jego zajściu oraz jego skutkach i natychmiast wprowadzi procedury rozwiązujące problem.

Opublikowana w 2019 r. analiza Rzecznika Finansowego pt.,,Nieautoryzowane transakcje – zasady i główne problemy” skłania – zarówno dostawców, jak i płatników – do refleksji nad trzema faktami:

  • rośnie liczba wniosków kierowanych do Rzecznika Finansowego dotyczących przeprowadzenia postępowania interwencyjnego w związku z nieautoryzowanymi transakcjami płatniczymi. W samym 2018 r. takich wniosków wpłynęło 246, zaś rok wcześniej – 145. Ze sprawozdania Rzecznika Finansowego za rok 2019 dowiadujemy się, że odnotowano 466 zapytań kierowanych podczas dyżurów telefonicznych związanych z nieautoryzowanymi transakcjami (dla porównania w 2018 r. było ich 214);
  • skargi trafiające do Rzecznika Finansowego dotyczą sytuacji, w której klient po zgłoszeniu nieautoryzowanej transakcji nie otrzymał niezwłocznie zwrotu utraconych środków od dostawcy, zgodnie z zasadą D+1. Analiza danych empirycznych zawartych w raporcie daje mocne podstawy do stwierdzenia, że część klientów mających negatywne doświadczenie z nieautoryzowaną transakcją może czekać długa batalia z dostawcą usług płatniczych;
  • implementacja dyrektywy PSD II do ustawy o usługach płatniczych stworzyła dewiację na płaszczyźnie odpowiedzialności, mogącą w przyszłości skutkować u płatników brakiem poczucia odpowiedzialności za nieautoryzowane transakcje. Niestety analiza Rzecznika Finansowego nie odnosi się do obowiązków ciążących na płatnikach, których obowiązkiem jest zapobieganie nieautoryzowanym transakcjom.

Należy oczekiwać, że – w związku z dynamicznym rozwojem technologicznym na rynku usług płatniczych w zakresie bankowości elektronicznej, mobilnej czy też płatności kartami – problem będzie narastał.

Uwiarygodnienie ≠ udowodnienie

Art. 46 ust. 1 u.u.p. stanowi, że dostawca usług płatniczych:,,nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw„.

Od powyższej zasady są dwa wyjątki, ale pomimo to taka forma zapisu stwarza ogromne ryzyko nadużyć ze strony płatników i tym samym testowania dostawców usług płatniczych pod kątem skłonności do informowania organów ścigania. Dostawca jest w stanie wykazać jedynie, czy doszło do uwierzytelnienia, zaś sama weryfikacja dokonanej autoryzacji jest bardzo ograniczona. W praktyce oznacza to, że jeśli bank nie poinformuje organów ścigania o próbie oszustwa ze strony klienta, to zgodnie z przepisami ustawy jest obowiązany zwrócić mu środki zgodnie z zasadą D+1. Niektóre nowe pułapki czekające na płatników dokonujących transakcji stanowią również wyzwanie dla dostawców, gdy chodzi o rozpoznanie, czy było to nadużycie płatnika, czy cyberatak ze strony osób trzecich.

Analiza Rzecznika Finansowego jasno wskazuje, że samo uprawdopodobnienie nie jest jednoznaczne z udowodnieniem, które często stanowi nie lada problem:,,…oszuści internetowi najprawdopodobniej przy użyciu specjalnego oprogramowania przejęli kontrolę nad jej telefonem. Oprogramowanie to wymusiło fikcyjną aktualizację systemu operacyjnego telefonu. Ponadto pozwalało sprawcom przechwytywać wiadomości SMS z kodami autoryzacyjnymi, umożliwiającymi zlecenie operacji bankowych. Na koniec aplikacja przywróciła ustawienia fabryczne telefonu, niszcząc w ten sposób ślady przestępstwa. Proces ten trwał około godziny. W tym czasie przestępcy zlecili przelew wszystkich środków, jakie były na koncie, a dodatkowo zaciągnęli kredyty na kwotę 13 600 zł, które to środki wytransferowali„.(Źródło: raport ZBP „Cyberbezpieczny portfel„, styczeń 2020 r.).

Rzeczywistość

W ocenie Rzecznika Finansowego podmioty rynku finansowego w większości przyjmują generalnie inną interpretację opisanych wyżej przepisów, głównie w kontekście zwrotu środków w terminie D+1. W przypadku zgłoszenia przez płatnika nieautoryzowanej transakcji płatniczej dostawcy zasadniczo odmawiają zwrotu środków, uzasadniając swą decyzję z reguły winą lub rażącym niedbalstwem użytkownika podczas transakcji, np. poprzez udostępnianie loginów lub kodów autoryzujących osobom postronnym. Z lakonicznych ich argumentacji można wyciągnąć wniosek, że praktycznie każdy klient zgłaszający niezautoryzowaną transakcję i niewskazujący innych okoliczności nadzwyczajnych wraz z dowodami mającymi na celu uprawdopodobnienie zdarzenia, jest traktowany jako osoba niedochowująca należytej staranności.

Prawo jasno wskazuje, że obowiązek przedstawienia dowodów leży po stronie dostawców, zaś ich ocena po stronie sądów. Rzecznik Finansowy trafnie zwraca uwagę, że dostawcy usług płatniczych będących stroną zainteresowaną pozytywnym rozwiązaniem sprawy w myśl zasady „nemo iudex in causa sua” kategorycznie nie mogą być sędziami we własnej sprawie. Wydawać się może, że ci, którzy nie są przygotowani technicznie ani merytorycznie do rozróżnienia transakcji będącej wynikiem rażącego niedbalstwa od różnorodnych, nowych form cyberataku – idą tym samym na skróty, zrzucając winę i odpowiedzialność na płatnika. Po implementacji dyrektywy PSD II do u.u.p. dostawcy usług płatniczych zostali rzuceni na głęboką wodę, gdyż to na nich spoczywa obowiązek udowodnienia np. nadużycia, zaś nad płatnikami ustawodawca otworzył parasol ochronny, z którego wielu z nich, i niestety zbyt często, może korzystać.

Artykuł wyraża wyłącznie poglądy autora i nie powinien być interpretowany jako stanowisko instytucji, w której jest zatrudniony.

Źródło: Miesięcznik Finansowy BANK