Artykuły | Cyberbezpieczeństwo | Z rynku finansowego

ZBP sprzeciwia się komunikacji UOKiK dotyczącej nieautoryzowanych transakcji płatniczych

| Związek Banków Polskich / ZBP
ZBP sprzeciwia się komunikacji UOKiK dotyczącej nieautoryzowanych transakcji płatniczych
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Związek Banków Polskich sprzeciwia się upublicznianiu informacji, które zmierzają do przerzucenia na banki wszelkiej odpowiedzialności za ryzyko wystąpienia nieautoryzowanej transakcji płatniczej - pomijając przy tym całkowicie naruszanie przez płatników ich podstawowego obowiązku, jakim jest podejmowania niezbędnych środków służących zapobieżeniu uzyskania dostępu do danych uwierzytelniających przez osoby nieuprawnione.

Związek Banków Polskich sprzeciwia się, przyjętej w Komunikacie UOKiK, formie prezentacji przykładów stanów faktycznych, które zostały zaprezentowane w sposób tendencyjny, wybiórczy i przedstawiający jedynie część faktów z przedstawionych zdarzeń, z pominięciem tych, które właśnie mają znaczenie dla odpowiedzialności banków.

Czytaj także: UOKiK: zarzuty dla pięciu banków ws. nieautoryzowanych transakcji >>>

Zwracamy uwagę, że tezy głoszone publicznie przez organ stojący na straży ochrony konsumentów, tworzą szkodliwy społecznie i nieuzasadniony prawnie przekaz, który wprowadza odbiorców komunikatu w błąd i może skutkować występowaniem zjawiska pokusy nadużycia. Takie działania bezpośrednio godzą w dobre imię banków, które są instytucjami zaufania publicznego, odpowiedzialnymi za stabilne funkcjonowanie sektora.

Promuje się w ten sposób nieodpowiedzialne zachowania konsumentów, przez co niweczy się wszelkie skutki wieloletnich kampanii edukacyjnych w zakresie konieczności zachowania odpowiednich środków ostrożności przez płatnika.

Błędna implementacja przepisów dyrektywy PSD2

Błędna implementacja dyrektywy PSD2, o czym po wielokroć ZBP sygnalizował w różnych wystąpieniach publicznych, skutkuje obecnie upublicznianiem nieuzasadnionych poglądów, co do rzeczywistych praw i obowiązków płatników i dostawców usług na gruncie art. 45 ust. 1 w zw. z art. 46 ust. 1 ustawy o usługach płatniczych (dalej jako: u.u.p) i tym samym pociągnęła za sobą błędne rozumienie pojęcia nieautoryzowanych transakcji.

Nie każda bowiem transakcja, która jest zgłaszana przez płatnika jako nieautoryzowana, w rzeczywistości nią jest.

Z redakcji art. 46 ust. 1 u.p.p. jednoznacznie wynika, że do zwrotu środków może dojść wyłącznie w sytuacji, gdy dostawca płatnika uzna, iż miała miejsce nieautoryzowana transakcja. W związku z czym samo zgłoszenie płatnika, iż doszło do nieautoryzowanej transakcji absolutnie nie może być rozumiane jako równoznaczne z uznaniem przez bank, że taka transakcja faktycznie miała miejsce.

Nieuprawnione jest zatem informowanie, że w każdym przypadku zgłoszenia przez płatnika nieautoryzowanej transakcji mamy do czynienia faktycznie z nieautoryzowaną transakcją i tym samym obowiązkiem zwrotu środków. Dodatkowo banki identyfikują przypadki, w których nieuczciwi klienci wyłudzają pieniądze, dokonując transakcji płatniczej, a następnie reklamują je zgodnie z logiką wskazaną przez UOKiK, pomimo pełnej świadomości oszustwa zagrożonego odpowiedzialnością karną.

Obowiązki płatnika oraz odpowiedzialność za nieautoryzowane transakcje

Jednym z obowiązków wskazanych w art. 42 u.u.p. jest podejmowanie przez płatnika niezbędnych środków służących zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, a w szczególności obowiązek przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (ust.2). Obowiązek zapewnienia bezpiecznego przechowywania danych uwierzytelniających, przy zapewnieniu braku dostępu do nich przez osoby nieuprawnione wynika wprost z przepisów ustawy.

Dostęp do danych uwierzytelniających

W Komunikacie zwrócono uwagę na problematykę dostępu do danych klienta. Urząd poinformował, że oszust uzyskał dostęp do danych uwierzytelniających. W ocenie Związku Banków Polskich osoba, która jest zobowiązana do nieujawniania indywidualnych danych uwierzytelniających osobom nieuprawnionym, gdy je ujawnia innej osobie, dopuszcza się rażącego niedbalstwa.

W Komunikacie wskazuje się, że emerytka utraciła oszczędności życia i że oszust uzyskał dostęp do danych uwierzytelniających, ale w żaden sposób nie wyjaśnia się w jaki sposób oszust uzyskał dostęp do tych informacji, co w większości takich przypadków ma miejsce na skutek zainstalowania przez klienta zdalnego pulpitu i pełnej autoryzacji przez klienta wszystkich czynności wedle wskazań przestępcy. W tym miejscu warto wyraźnie nadmienić, że nie tylko nie ma w takim przypadku nieautoryzowanej transakcji (klient w pełni sam autoryzował transakcję), ale nie ma tu mowy w ogóle o przełamywaniu zabezpieczeń banków, tylko o działaniu samego klienta dającego dostęp do danych uwierzytelniających bezpośrednio przestępcy.

Posłuchaj – Komentarz dr. Tadeusza Białka, wiceprezesa Związku Banków Polskich

Niezrozumiałe jest również twierdzenie Prezesa Urzędu, że dopiero po wypełnieniu obowiązku zwrotu środków płatnikowi, bank może dochodzić roszczeń od klienta. Należy zastanowić się jaki byłby sens takiego działania, w którym bank najpierw dokonuje zwrotu środków, a następnie dochodzi roszczeń od klienta, w sytuacji, gdy klient doprowadził do transakcji umyślnie lub zachował się rażąco niedbale. W naszej ocenie taki sposób postępowania należy ocenić jako bardzo szkodliwy dla konsumentów, którzy byliby zmuszeni do uczestnictwa w procesach, które z racji stanu faktycznego z góry stawiałyby ich na przegranej pozycji. Skutkiem takiego postępowania byłoby obciążenie klientów kosztami postępowania, obejmującymi koszty sądowe oraz koszty zastępstwa procesowego.

Nieautoryzowane transakcje, a zobowiązania zaciągane w bankowości elektronicznej

W Komunikacie poruszono również kwestię zaciągnięcia przez oszusta zobowiązania na konto klienta. Warto w tym miejscu wskazać, że zaciągnięcie zobowiązania w ramach bankowości elektronicznej nie stanowi transakcji płatniczej w rozumieniu ustawy o usługach płatniczych i przepisy tej ustawy nie znajdują tu zastosowania. Przestępca posiadający dane klienta – który niestety najczęściej sam je udostępnił przestępcy – zaciąga na dane klienta pożyczki głównie w sektorze pożyczkowym.

Obowiązek ochrony depozytów przez banki

W Komunikacie zwrócono uwagę, iż to na banku spoczywa odpowiedzialność dochowania szczególnej staranności w zakresie przechowywania i ochrony środków pieniężnych.

Związek Banków Polskich bezdyskusyjnie zgadza się z tą tezą. Banki są zobowiązane strzec depozytów, które zostały im powierzone. W związku z czym wypłacanie środków w każdym przypadku zgłoszenia (podejrzenia wystąpienia) nieautoryzowanej transakcji jest działaniem na szkodę osób, które zdeponowały środki w banku.Aby bank dokonał zwrotu kwoty nieautoryzowanej transakcji konieczne jest spełnienie ustawowych przesłanek, które zobowiązują go do takiego zachowania. W przypadku, gdyby bank dokonywałby wypłaty w każdej sytuacji działałby de facto w opozycji do obowiązku ochrony depozytów.

Związek Banków Polskich jeszcze raz pragnie wskazać, iż na bezpieczeństwo środków zgromadzonych na rachunkach bankowych mają wpływ zarówno bank, jak i ich klienci. Odpowiedzialność za kradzież środków z rachunku bankowego, nie może obciążać wyłącznie banków, szczególnie w przypadku, gdy do utraty tych środków przyczyniło się samo zachowanie płatnika.

Źródło: Związek Banków Polskich / ZBP