Błędne tłumaczenie jednego terminu w unijnej dyrektywie powodem sporu banków z UOKiK
Wprowadzenie otwartej bankowości, a także częste korzystanie z możliwości wykonywania płatności poprzez sieć powoduje, że rośnie liczba reklamacji związanych z wykonaniem takiej usługi.
Trudno jednak się zgodzić z interpretacją UOKiK oraz prezentowaną też przez Rzecznika Finansowego, że w każdej wątpliwej sytuacji bank musi zwrócić środki konsumentowi po zgłoszeniu transakcji nieautoryzowanej w praktyce od razu (w ciągu 24 godzin), a dopiero potem może ewentualnie dochodzić jej zwrotu od klienta.
Wszystko przez złe tłumaczenie!
Problem wynika między innymi z błędnej implementacji dyrektywy PSD1 do polskiego porządku prawnego. Przez oczywistą pomyłkę w tłumaczeniu na język polski angielskiego słowa „authentication” na autoryzację zamiast na uwierzytelnienie.
Powoduje to problemy w interpretacji tych przepisów i ze zrozumieniem celów dyrektywy o usługach płatniczych. Błąd ten nie został naprawiony przy okazji implementacji do prawa krajowego dyrektywy PSD2.
Dziś przekłada się to na próby przerzucenia pełnej odpowiedzialności na banki i innych dostawców usług płatniczych za wszelkie utraty środków przez klientów niezależnie od zachowania płatnika, czyli także w przypadkach oszustw dokonywanych przez nieuczciwych płatników.
Dlatego spotykamy się z tezą o szerokiej odpowiedzialności banków za nieautoryzowane transakcje.
Potwierdzenie woli przez płatnika
Dotychczas typowym potwierdzeniem oświadczenia woli przez stronę jest podpisanie umowy. Przy elektronizacji obrotu płatniczego, uzewnętrznienie woli przejawia się poprzez wykorzystywanie środków komunikacji elektronicznej w postaci instrumentu płatniczego, bankowości internetowej lub mobilnej.
Uzewnętrznienie woli na wykonanie transakcji płatniczej, odbywa się w ramach procedur określonych i uzgodnionych przez dostawcę w umowie z klientem. Dzięki tym procedurom i procesom bank może zweryfikować tożsamość użytkownika, instrument płatniczy i indywidualne dane uwierzytelniające.
Dostawcy spotykają się z oszustwami ze strony klientów, którzy sami dokonują transakcji, a następnie w drodze reklamacji próbują odzyskać środki finansowe z płatności
Te procedury to „uwierzytelnienie”, które powinno być użyte zamiast terminu „autoryzacji” w art. 45 ust. 1 ustawy o usługach płatniczych.
Uwierzytelnienie jest elementem trybu weryfikacji przez dostawcę faktu czy płatnik wyraził zgodę na dokonanie transakcji, czyli wyraził zgodę na autoryzację danej transakcji.
To podstawowa przesłanka na udowodnienie przez dostawcę usług płatniczych i czy transakcja była, czy też nie była autoryzowana.
Zasady odpowiedzialności za przeprowadzoną transakcję
Jak stwierdziła Katarzyna Urbańska, zasady odpowiedzialności zarówno płatników, jak i dostawców usług płatniczych są jasno określone w ustawie o usługach płatniczych.
Ustawa ta przewiduje tryb zwrotu środków w przypadku nieautoryzowanych transakcji, ale podkreśliła, iż tryb ten dotyczy transakcji nieautoryzowanych, a nie rzekomo nieautoryzowanych.
Zarówno PSD2, ani ustawa o usługach płatniczych, nie przewiduje trybu, w którym dostawcy usług płatniczych w sposób automatyczny i bezrefleksyjny jedynie po zgłoszeniu przez klienta rzekomo nieautoryzowanej transakcji w trybie jednodniowym oddają środki klientowi bez ustalania okoliczności sprawy i przesuwając okres dochodzenia zwrotu dopiero na etap postępowania sądowego.
Taki tok rozumowania podaje w wątpliwość cały proces reklamacji z ustawy o postępowaniu reklamacyjnym przed instytucjami finansowymi.
Zgodnie z tymi przepisami bank lub inny dostawca ma co najmniej 15 dni roboczych na dokonanie stosownych analiz od otrzymania reklamacji, lub dłużej w przypadkach bardziej skomplikowanych.
Otwieranie drogi do nadużyć
Interpretacja przepisów w ten sposób, że banki i inni dostawcy usług płatniczych są zobowiązani do zwrotu środków na rzecz płatnika niezależnie od tego, czy w świetle przepisów prawa zakwestionowane transakcje można uznać za nieautoryzowane, jak również nawet w przypadku zdarzenia typu „first party fraud”, czyli oszustwa dokonanego przez nieuczciwych płatników, tworzą szkodliwy społecznie i nieuzasadniony prawnie przekaz.
Promuje się w ten sposób również nieodpowiedzialne zachowania konsumentów.
Takie interpretacje uderzają także w rozwój obrotu bezgotówkowego i zachęcają do kierowania do banków niezasadnych roszczeń o zwrot kwot transakcji, które zostały wykonane w wyniku rażącego niedbalstwa lub z pełną świadomością klienta.
Dostawcy spotykają się bowiem z oszustwami ze strony klientów, którzy sami dokonują transakcji, a następnie w drodze reklamacji próbują odzyskać środki finansowe z płatności.
Dostawcy spotykają się również z nieodpowiedzialnym zachowaniem klientów, którzy przekazują dane do autoryzacji innym osobom, choćby członkom rodziny, czy wręcz rażącym niedbalstwem, gdzie klienci na swych urządzeniach instalują aplikację zdalnego pulpitu i w ten sposób przekazują swoje uprawnienia osobom trzecim.
Następnie zgłaszają te transakcje, jako nieautoryzowane domagając się od dostawców i banków zwrotu utraconych środków.
Co mogą zrobić dostawcy usług płatniczych?
Art. 45 ust. 1 ustawy o usługach płatniczych przewiduje, że na dostawcy spoczywa ciężar udowodnienia, że transakcja została autoryzowana (zgodnie z literalnym brzmieniem dyrektywy PSD2 we wszystkich wersjach językowych, w tym polskiej – uwierzytelniona (authenticated)) i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz, że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
To klient odpowiada za nieautoryzowane transakcje do pełnej wysokości, jeśli doprowadził do takiej transakcji umyślnie, albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia niektórych obowiązków wskazanych w ustawie
Wykazanie powyższych okoliczności przez dostawcę przerzuca na płatnika ciężar dowodu, że transakcja miała charakter nieautoryzowany.
Bank ma prawo odmówić zwrotu środków w terminie D+1, w sytuacji, kiedy dokona weryfikacji w systemach, że transakcja była autoryzowana, czyli uwierzytelniona zgodnie z brzmieniem literalnym dyrektywy PSD2, transakcja była nieautoryzowana, o czym dostawca wie, ale przed upływem terminu D+1 nie jest w stanie podjąć decyzji o uznaniu transakcji za autoryzowaną, uprawnienie klienta wygasło, albo bank ma podejrzenie, że nastąpiło oszustwo, to ma prawo odmówić w terminie D+1 zwrotu środków klientowi.
Samo twierdzenie klienta, że transakcja nie była autoryzowana, nie stanowi obowiązku uznania, że tak było w rzeczywistości, a co za tym idzie, nie ma obowiązku po stronie dostawcy przywrócenia rachunku do stanu, jaki istniałby, gdyby do transakcji nie doszło w terminie do dnia następnego, po zgłoszeniu nieautoryzowanej transakcji, o ile dostawca wykaże okoliczności dowodowe wymienione powyżej.
Katarzyna Urbańska zwróciła uwagę, że na gruncie ustawy o usługach płatniczych, to klient odpowiada za nieautoryzowane transakcje do pełnej wysokości, jeśli doprowadził do takiej transakcji umyślnie, albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia niektórych obowiązków wskazanych w ustawie.
ZBP ma wiele przykładów, że dostawcy odnotowują dużo zdarzeń typu „first party fraud”, czyli oszustw dokonanych przez nieuczciwych płatników, w których usiłują oni w drodze reklamacji odzyskać środki.
Komunikaty takie jak opublikowany 9 czerwca 2021 r. przez UOKiK niweczą skutki kampanii edukacyjnych prowadzonych przez banki, ponieważ zwalniają klientów ze wszelkiej odpowiedzialności za swoje zachowanie szczególnie w tak trudnym środowisku, jakim jest realizacja płatności w internecie.
Czytaj także: Stanowisko ZBP w sprawie komunikatu „Nie daj sobie ukraść pieniędzy z konta – UOKiK ostrzega”