ZBP o zmianie przepisów dotyczących autoryzacji transakcji

Związek Banków Polskich pozytywnie ocenia propozycję zmiany przepisów ustawy o usługach płatniczych w zakresie zamiany słów „autoryzacja” na „uwierzytelnienie”.

Sektor bankowy konsekwentnie od kilku lat zabiegał o tę zmianę i wskazywał na potrzebę zapewnienia zgodności polskiej ustawy z dyrektywą PSD2.

Wielokrotnie też wyjaśnialiśmy różnice pomiędzy „autoryzacją” a „uwierzytelnieniem”.

Czym jest autoryzacja, a czym uwierzytelnienie?

Przez „autoryzację” należy rozumieć zgodę klienta na wykonanie określonej transakcji płatniczej, która powinna być wyrażona (uzewnętrzniona) w sposób przewidziany w umowie z bankiem.

W świecie elektronizacji obrotu płatniczego, uzewnętrznienie ww. woli klienta wykonania transakcji płatniczej przejawia się najczęściej poprzez wykorzystanie środków komunikacji elektronicznej takich jak np. użycie instrumentu bankowości internetowej lub bankowości mobilnej.

Uzewnętrznienie ww. woli klienta odbywa się przy wykorzystywaniu „procedury uwierzytelnienia”.

„Uwierzytelnienie” jest to więc procedura umożliwiająca bankowi weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika.

Czytaj także: Autoryzacja zamiast uwierzytelnienia – błąd w tłumaczeniu przepisów unijnych i jego negatywny wpływ na rynek usług płatniczych w Polsce>>>

Potrzebne dalsze doprecyzowanie

Zatem dziś na banki nakłada się obowiązek udowodnienia czy transakcja była autoryzowana (lub nie), czyli de facto banki muszą udowodnić czy klient miał (lub nie) wolę dokonania transakcji.

Jak widać z powyższego, jest to obowiązek niemożliwy do spełnienia, gdyż banki, ani inni dostawcy nie mają narzędzi by badać czy analizować stan umysłu swoich klientów. Wszystkie środki dowodowe w zakresie procesu udowodnienia autoryzacji są bowiem w rękach płatników.

Banki są za to w stanie wykazać czy doszło (lub nie) do uwierzytelnienia transakcji – ponieważ jest to procedura stosowana przez banki i uzgodniona z klientem. Dlatego dobrze, że ta kwestia zostanie w końcu poprawiona.

Należy jednak podkreślić, że przepis art. 45 ustawy o usługach płatniczych wymaga jeszcze dalszych zmian, tak aby przepis ten w sposób prawidłowy odzwierciedlał brzmienie całości art. 72 PSD2 i rzetelnie odzwierciedlał obowiązki i prawa zarówno banków, jak i ich klientów.

Po pierwsze, przepis art. 45 ust. 1 UUP oprócz ww. kwestii zamiany słowa „autoryzacja” na „uwierzytelnienie”, powinien również wyraźnie wskazywać, że użytkownik usług płatniczych „zaprzecza, że autoryzował wykonaną transakcję płatniczą lub twierdzi, że transakcja została wykonana nieprawidłowo” (jak ma to miejsce na gruncie art. 72 ust.1 PSD2). Takie ukształtowanie przepisu pozwoli na odróżnienie od siebie transakcji jedynie „rzekomo nieautoryzowanej” od „transakcji nieautoryzowanej”, do której dopiero odnosi się obowiązek zwrotu określony w art. 46 ust. 1 UUP.

Przepis art. 45 ust. 2 UUP powinien z kolei stanowić, że wykazanie przez dostawcę zarejestrowanego użycia instrumentu „niekoniecznie jest” (a nie jak obecnie – „nie jest„) wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana, albo że płatnik umyślnie, albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 UUP (por. art. 72 ust. 2 PSD2).

Obecne sformułowanie w nieuzasadniony sposób odbiega od treści PSD2. 

ZBP będzie oczywiście aktywnie brał udział w procesie legislacyjnym w kwestii przedmiotowego projektu.

Czytaj także: Co zawiera projekt nowelizacji ustawy o usługach płatniczych?>>>