Rzecznik Finansowy z niepokojem obserwuje postępowanie banków w przypadku kradzieży pieniędzy z rachunku klienta bez jego wiedzy. Zgodnie z prawem, jeśli dojdzie do tzw. nieautoryzowanej transakcji, banki powinny zwrócić klientowi pieniądze najpóźniej do końca następnego dnia roboczego. A dopiero potem badać kto zawinił i czy klient przypadkiem nie był rażąco nieostrożny. Jak jest w praktyce?
Na początek trzy sprawy, które trafiły na biurka prawników Biura Rzecznika Finansowego. Historia nr 1. Na lotnisku do poszkodowanego podszedł obcy mężczyzna prosząc o pożyczenie na chwilę telefonu, żeby mógł zadzwonić do bliskich, bo właśnie został okradziony. Ofiara się zgodziła, bo przecież w sytuacjach awaryjnych trzeba sobie pomagać. Prawdopodobnie wtedy doszło do zainfekowania telefonu złośliwym oprogramowaniem.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Po jakimś czasie zainstalowane przez przestępców oprogramowanie wymusiło fikcyjną „aktualizację systemu operacyjnego” telefonu. Dzięki niej przestępcy uzyskali zdalny dostęp do smartfona ofiary, za pomocą którego m.in. autoryzowała ona przelewy bankowe. Zalogowali się na konto (musieli więc wcześniej wykraść też login i hasło) oraz zlecili przelew wszystkich pieniędzy, jakie były na koncie. Dodatkowo zaciągnęli kredyty na kwotę 13.600 zł. Wszystko autoryzowali SMS-ami, które przechwytywali z telefonu ofiary.
Cała historia trwała około godziny. Oszuści wykonali pięć przelewów na 39.000 zł. Na koniec aplikacja przywróciła ustawienia fabryczne telefonu, niszcząc w ten sposób ślady przestępstwa.
Warto przeczytać też: Pamiętacie kradzieże pieniędzy z naszych kont bankowych „na duplikat karty SIM”? Są dwie wiadomości: dobra i zła
Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?
Historia nr 2. Jedna z klientek banku nagle straciła z konta blisko 6000 zł, a jej kartę kredytową obciążono wypłatami na łączną kwotę 17.700 zł. Klientka przekonywała, że w czasie, kiedy doszło do włamania na jej konto, była w pracy i nie dokonywała żadnych transakcji. Nie otrzymywała na swój telefon żadnych SMS-ów z hasłami.
Model tej kradzieży musiał być bardzo podobny, jak poprzeniej. Ktoś uzyskał login i hasło do konta, przejął zdalnie dostęp do jej smartfona i przechwytywał SMS-y autoryzacyjne do przelewów, które wykonywał. Nie można też wykluczyć, że wystarczyło przejęcie dostępu do smartfona i bankowej aplikacji mobilnej (choć to mało prawdopodobne, bo banki mocno ograniczają limity wartości transakcji, które można zlecić i wykonać wyłącznie za pomocą smartfona).
Historia nr 3. Klient po zalogowaniu do serwisu transakcyjnego zauważył, że ktoś w jego imieniu zawarł umowę pożyczki i wykonał dyspozycję przelewu. Pożyczka opiewała na blisko 18.000 zł. Stwierdził też, że przy kolejnych logowaniach do konta zostały zmienione limity wypłat dziennych i miesięcznych. Ostatecznie wytransferowano z konta prawie 16.000 zł. Ofiara nie ma pojęcia co się stało, ale sprawa musiała wyglądać podobnie, jak w dwóch powyższych przypadkach.
Nieautoryzowana transakcja, czyli… kradzież?
Opisane wyłudzenia pieniędzy łączy to, że były nieautoryzowanymi transakcjami, a więc doszło do nich bez wiedzy i woli klienta. Nieautoryzowana transakcja może dotyczyć kradzieży pieniędzy z rachunku bankowego dostępnego przez internet czy obciążenia konta karty kredytowej lub debetowej.
W pierwszym kwartale 2019 r. do Rzecznika Finansowego trafiły aż 83 wnioski o pomoc w odzyskaniu pieniędzy. To dokładnie tyle samo, co w całym 2016 r. W 2018 r. wniosków o interwencję w podobnych sprawach było 246, czyli o 70% więcej niż w 2017 r. Te liczby nie obejmują pytań telefonicznych lub e-mailowych od konsumentów o to, jak radzić sobie z tym problemem.
Stali czytelnicy „Subiektywnie o finansach” zapewne dobrze wiedzą, że o problemie nieautoryzowanych transakcji płatniczych sporo można poczytać na naszych „łamach”. Złodzieje próbują nas okraść na najróżniejsze sposoby (zwykle wyłudzają loginy i hasła oraz SMS-y autoryzacyjne), a najbardziej skutecznym – choć dopiero wprowadzanym w polskich bankach – sposobem na ukrócenie ich starań jest mobilna autoryzacja transakcji. A więc potwierdzanie przelewów w aplikacji mobilnej banku, a nie poprzez SMS autoryzacyjny, który można zdalnie przejąć.
Przeczytaj też: W SkyCash jest już nowe ubezpieczenie: od kradzieży portfela, torebki lub smartfona z zaparkowanego samochodu. Ile kosztuje?
Przeczytaj też: Zastrzeżenie kredytowe, czyli wystarczy jedno kliknięcie i nikt nie wyłudzi kredytu na twoje nazwisko. Dlaczego banki nie lubią tej usługi?
Zasada D+1 i jeden wyjątek
Rzecznik Finansowy – na podstawie trafiających do niego spraw – stwierdza wprost: banki ignorują wytyczne wynikające z unijnych dyrektyw i polskiego prawa, przerzucając na klientów z automatu całą odpowiedzialność za działania złodziei, choć te są czasem bardzo wyrafinowane i przeciętnemu konsumentowi trudno się przed nimi ochronić. Nawet gdyby się okazało, że klient zachował się rażąco niedbale i beztrosko – powinien najpierw otrzymać natychmiastowy zwrot pieniędzy, a dopiero potem – po udowodnieniu winy klienta – bank mógłby domagać się ich z powrotem
Banki – według Rzecznika Finansowego – łamią zasadę niezwłocznego zwrotu utraconych przez klientów środków w terminie określonym tzw. zasadą D+1, którą wprowadziła nowelizacja ustawy o usługach płatniczych (weszła w życie 20 czerwca 2018 r.). Oznacza ona, że pieniądze powinny wrócić na konto klienta „nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania zgłoszenia od klienta”.
Przeczytaj też: Wyłudzony na konto klienta kredyt sprzed 17 lat podstawą negatywnego wpisu w BIK. Co bank na to? „Może za 30 dni odpiszemy. Ale może nie”
Przeczytaj też: Nawet dwa lata odsiadki za produkcję i sprzedaż tzw. dokumentów kolekcjonerskich. To cios w wyłudzających kredyty. Ale czy skuteczny?
Izabela Dąbrowska-Antoniak, dyrektor wydziału klienta rynku bankowo-kapitałowego w biurze Rzecznika Finansowego, podkreśla, że jest tylko jeden wyjątek od tej zasady, z której niestety banki uczyniły regułę.
Banki nie muszą zwracać pieniędzy zgodnie z zasadą „D+1” tylko wtedy, jeśli mają uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta. Czyli że to klient postanowił sam siebie okraść i dodatkowo żąda zwrotu pieniędzy. Co więcej, o takiej próbie „samokradzieży” bank powinien poinformować na piśmie organy ścigania. Izabela Dąbrowska-Antoniak:
„Intencją prawodawców było przerzucenie odpowiedzialności za nieautoryzowane transakcje płatnicze na dostawców usług płatniczych. Ma to służyć nie tylko zwiększeniu ochrony klienta, ale również większej presji wobec profesjonalnych uczestników rynku, by maksymalnie zadbali o procedury bezpieczeństwa i ochronę transakcji. Wdrożenie rozwiązań, które zapewniają szybki zwrot utraconych środków zgodnie z zasadą D+1, zabezpiecza klientów również przed ryzykiem pozostawania przez dłuższy czas bez środków do życia. Niewątpliwie wstrzymanie się przez bank ze zwrotem środków powinno być działaniem wyjątkowym, a nie standardowym, jak ma to miejsce w dzisiejszej praktyce”
Banki zrzucają winę na niedbalstwo klientów
Zdaniem Rzecznika Finansowego, w przypadku nieautoryzowanej transakcji, bank powinien niezwłocznie zwrócić klientowi pieniądze, a dopiero potem wykazać ewentualną jego umyślną winę i zażądać zwrotu pieniędzy. Jeśli klient nie odda pieniędzy po dobroci, może pozwać go do sądu. W praktyce – uważa Rzecznik Finansowy – jest odwrotnie. Banki nie zwracają pieniędzy i to klient musi o nie walczyć, pisząc wnioski o interwencje na sprawie sądowej kończąc.
„Odmowa zwrotu następuje najczęściej tylko w oparciu o uprawdopodobnienie pewnych faktów i okoliczności zmierzających do wykazania autoryzacji, winy, umyślnego działania czy rażącego niedbalstwa klienta. Tymczasem przepisy jasno mówią, że to na banku spoczywa ciężar udowodnienia tych okoliczności”
– dodaje Izabela Dąbrowska-Antoniak. Rzeczywiście: dopóki straty są przerzucona na klienta, to on musi udowadniać, że dochował należytej staranności. Gdyby bank automatycznie pokrył jego stratę, to jemu bardziej by zależało, by udowodnić winę klienta i uzyskać podstawę do ponownego obciążenia klienta.
Bezpieczeństwo kosztem szybkości?
Rzecznik Finansowy zwraca uwagę na to, że przestępcom coraz łatwiej jest przejąć kontrolę nad kontem ofiary i dokonywać na nim wszelkich zmian.
„Ustawione przez klienta limity, dotyczące na przykład liczby czy wartości przelewów dziennych, są łatwo zmieniane przez oszustów, jeśli tylko są one zbyt niskie, żeby opróżnić ze wszystkich środków konto klienta. W praktyce dają więc one złudne poczucie bezpieczeństwa”
– mówi Dąbrowska-Antoniak. Rzecznik Finansowy uważa wręcz, że banki powinny rozważyć wprowadzenie rozwiązań poprawiających bezpieczeństwo nawet kosztem szybkości przeprowadzania transakcji.
A jeśli bank – mimo zgłoszonej nieautoryzowanej transakcji – nie zwróci pieniędzy? Rzecznik Finansowy radzi, by składać do banków reklamacje. Warto pamiętać, że od grudnia 2018 r. banki mają na odpowiedź 15 dni (wcześniej 30), a w skomplikowanych sytuacjach mogą przeciągnąć odpowiedź do 35 dni, ale o tym, że sprawa jest skomplikowana, muszą powiadomić klienta wcześniej. Jeśli bank się nie wyrobi w wyznaczonym czasie, to zgodnie z prawem reklamację uznaje się jako rozpatrzoną po myśli klienta.
Źródło zdjęcia: Pixabay.com
