Polemika do Analizy Rzecznika Finansowego „Nieautoryzowane transakcje – zasady i główne problemy”. Stanowisko Związku Banków Polskich
W przekazanej Rzecznikowi Finansowemu polemice wskazuje się w szczególności na problem niewłaściwej implementacji przepisów Dyrektywy PSD2 do polskiego porządku prawnego. Jedna z kluczowych zmian związanych z koniecznością dostosowania polskiej ustawy do prawodawstwa unijnego dotyczyła zasad postępowania w przypadku zgłoszenia przez płatnika nieautoryzowanej transakcji płatniczej. Zgodnie z art. 45 ust. 1 UUP na dostawcy spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Powyższy przepis nie odzwierciedla przepisów art. 72 PSD2, który mówi o ciężarze udowodnienia przez dostawce uwierzytelnienia transakcji płatniczej, a nie jej autoryzacji.
Czytaj także: PSD2 coraz bliżej. Jak banki zabiegają o lojalność klientów?
Oznacza to, że przepis ustawy błędnie wymaga od dostawcy (banku) wykazania autoryzacji transakcji, zaś przepis PSD2 – uwierzytelnienia. W świetle powyższego, konieczna jest wykładania ustawy zmierzająca do zapewnienia zgodności z PSD2. Co więcej, żądanie od dostawcy wykazania, że transakcja była autoryzowana jest żądaniem niemożliwym do spełnienia, gdyż dostawca nie ma ku temu narzędzi. Dostawca jest w stanie jedynie wykazać że doszło (lub nie) do uwierzytelnienia – ponieważ jest to procedura stosowana przez samego dostawcę.
Rzecznik Finansowy w swojej Analizie formułuje tezę, zgodnie z którą ustalenie zasad odpowiedzialności płatnika za nieautoryzowaną transakcję płatniczą powinno odbywać się w toku postępowania sądowego. Dostawca usług płatniczych, zazwyczaj bank, powinien zdaniem autorów Analizy najpierw zwrócić kwotę transakcji zgłoszonej przez klienta jako nieautoryzowaną, a następnie pozwać klienta o zwrot kwoty transakcji, jeżeli według oceny dostawcy powinien być nią obciążony płatnik.
Zdaniem ZBP powyższe stanowisko nie tylko nie wynika z powszechnie obowiązujących przepisów prawa, ale jest nie do pogodzenia z obowiązkiem dostawców do dokonania zwrotu środków w tzw. terminie D+1 z możliwością powołania się na określone w przepisach wyjątki od tej zasady.
Ponadto dochodzenie przez bank od klienta zasadnych roszczeń o zwrot kwot nieautoryzowanych transakcji płatniczych, za które odpowiedzialność ponosiłby zgodnie z ww. przepisami klient, narażałoby tego ostatniego na konieczność poniesienia kosztów przegranego procesu, ponieważ powództwo banku zapewne zostałoby uwzględnione w całości. Trudno zatem zgodzić się, że przyjęcie prostej zasady automatycznego zwrotu środków, a następnie wytaczanie powództw przeciwko płatnikom jest rozwiązaniem korzystnym dla klientów.
Działania edukacyjne dotyczące cyberprzestępczości
W części Polemiki dotyczącej cyberprzestępczości, ZBP wskazał m.in. na prowadzone przez sektor bankowy działania edukacyjne, mające na celu ostrzeganie konsumentów o aktualnych zagrożeniach mogących narazić ich na utratę środków, a także na zależność sektora bankowego od usług świadczonych przez inne podmioty (np. przedsiębiorców telekomunikacyjnych).
W Polemice podjęto temat, który nie został omówiony w Analizie Rzecznika Finansowego, tj. obowiązki ciążące na użytkowniku instrumentu płatniczego, a których celem jest zapobieganie nieautoryzowanym transakcjom. Analiza Rzecznika Finansowego nie zawiera w swojej treści żadnych pouczeń w stosunku do użytkowników instrumentów płatniczych, co może spowodować niezamierzony skutek polegający na obniżeniu staranności i czujności klientów przy wykonywaniu transakcji płatniczych w uwagi na wywołanie u nich poczucia, że odpowiedzialność za nieautoryzowane transakcje zawsze będzie obciążała dostawcę usług płatniczych.