Robi się gorąco wokół finansowej odpowiedzialności za tzw. nieautoryzowane transakcje bankowe. Gdy cyberprzestępcy wyczyszczą konto z pieniędzy bez zgody klienta (autoryzacji), bank powinien niezwłocznie zwrócić pieniądze okradzionemu klientowi. Banki tego nie robią, wobec czego UOKiK postawił kilku z nich zarzut działania na szkodę konsumentów. Ale banki nie chcą złożyć broni. Ich zdaniem problem tkwi w złym tłumaczeniu unijnej dyrektywy i… absurdalności przepisów
Bankowość elektroniczna – dla młodszych klientów banków to normalność. Starsi zapewne pamiętają, że aby wykonać przelew, trzeba było iść do placówki banku albo na pocztę. Na „szybką” pożyczkę czekało się dwa tygodnie, dziś to często kwestia kilku minut lub kilku kliknięć. Jest wygodnie, oszczędzamy czas, ale często też pieniądze, bo – obsługując się de facto sami – płacimy za usługi bankowe mniej.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ale jest druga – ciemna – strona tego medalu, czyli ryzyko, że padniemy ofiarą cyberprzestępców. Sprawy oszukanych klientów banków to właściwie stały temat na „Subiektywnie o Finansach”. Złodzieje sięgają po coraz bardziej wyrafinowane metody kradzieży, ale nie jest tajemnicą, że statystycznie najczęściej sami się im podkładamy. Dajemy się nabrać na różnego rodzaju ataki socjotechniczne, często nieświadomie ujawniając przestępcom dane potrzebne do zalogowania się na konto i ogołocenia go z pieniędzy.
Nieautoryzowane transakcje pod lupą UOKiK
Ale czy jesteśmy wobec tych ataków całkowicie bezbronni? Teoretycznie nie. Klientów banków chroni art. 46 ustawy o usługach płatniczych. A brzmi on tak:
„W przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw”.
Jeżeli złodzieje ukradną pieniądze, bank powinien więc zwrócić klientowi skradzioną kwotę, chyba że podejrzewa, że to klient sfingował kradzież, żeby wyłudzić pieniądze. Ale – jak jest podkreślone w ustawie – bank musi mieć na to jakieś dowody. Po zwrocie pieniędzy bank może próbować udowodnić, że kradzież była możliwa dzięki zaniedbaniom i rażącemu niedbalstwu klienta i domagać się od niego zwrotu wcześniej jemu oddanych pieniędzy. Nie jest więc tak, że system zrzuca z klienta całkowitą odpowiedzialność.
Tą sprawą od wielu lat w imieniu ofiar cyberprzestępstw zajmuje się Rzecznik Finansowy, ale jego działania nie sprawiły, że banki zaczęły zwracać klientom pieniądze. Przyczyna jest prozaiczna – Rzecznik nie ma w ręku narzędzi, by wymusić egzekwowanie przepisów, np. możliwości nakładania kar finansowych. Ale ma je Urząd Ochrony Konkurencji i Konsumentów. I właśnie UOKiK postanowił wziąć pod lupę problem nieautoryzowanych transakcji.
Niedawno poinformował o postawieniu zarzutów pięciu bankom za naruszanie zbiorowych interesów konsumentów. Na liście znalazły się Bank Millennium, BNP Paribas, Credit Agricole, mBank oraz Santander Bank Polska, choć UOKiK dodał, że przygląda się procedurom stosowanym przez 13 innych banków.
„Do sytuacji, w których oszuści wyprowadzają z rachunków bankowych konsumentów środki lub zaciągają zobowiązania finansowe, dochodzi niestety bardzo często. Banki najczęściej ograniczają się do bezrefleksyjnego wykonywania operacji i nie poczuwają się do odpowiedzialności, mimo że czujność mogłaby wzbudzić już sama analiza transakcji na wczesnym etapie np. z uwagi na nietypowe kwoty, walutę, dokonane w krótkim czasie po zmianie danych lub kanałów dostępowych”
– mówi cytowany w komunikacie Tomasz Chróstny, prezes UOKiK. Uważa, że systemy antyfraudowe banków nadal pozostawiają wiele do życzenia:
„Banki powinny dużo sprawniej rozwijać mechanizmy, które pozwalałyby identyfikować i odpowiednio wcześniej reagować na podejrzane operacje, choćby wykorzystując dotychczasową historię zleceń klienta czy biometrię behawioralną do dalszego podnoszenia poziomu zabezpieczeń. Zamiast tego widzimy pewną arbitralność w odrzucaniu reklamacji konsumentów, a także nieprzestrzeganie przepisów prawa w zakresie zwrotu środków utraconych w wyniku nieautoryzowanych transakcji”.
Przeczytaj też: Złodzieje ogołocili twoje konto? Bank musi ci oddać pieniądze następnego dnia. Jest jeden wyjątek, który niestety stał się regułą
Błąd w tłumaczeniu źródłem wszelkich problemów
Nie jest tajemnicą, że bankowcy nie lubią zadzierać z urzędnikami UOKiK i potulnie wypełniają jego „zalecenia”. Wydawało mi się więc, że zaangażowanie się UOKiK w problem nieautoryzowanych transakcji, a tym bardziej postawienie zarzutów w tej sprawie (to już gruba sprawa!), sprawi, że banki wezmą w końcu na siebie część finansowej odpowiedzialności za finansowe fraudy. Zwłaszcza że to banki podstawiają nam nowoczesne usługi bankowe i systemy bankowości elektronicznej, które – jak pokazuje życie – nie są „nie do złamania”.
Ale w tej sprawie bankowcy postanowili się postawić, a ich argumentem jest błędne tłumaczenie unijnej dyrektywy na język polski oraz fakt, że nie można przyjąć za pewnik, że nieautoryzowana transakcja faktycznie taka była.
Zacznijmy jednak od wyjaśnienia dwóch istotnych pojęć: uwierzytelnienia i autoryzacji. Uwierzytelnienie to najogólniej pisząc weryfikacja, czy Jan Kowalski, który loguje się na swoje konto, faktycznie jest Janem Kowalskim. W oddziale banku narzędziem uwierzytelniającym będzie np. dowód osobisty, w bankowości elektronicznej – zestaw danych takich jak login i hasło, a czasem (przy uwierzytelnieniu wieloskładnikowym) dodatkowy PIN przesłany klientowi SMS-em albo metoda biometryczna. Natomiast autoryzacja to po prostu potwierdzenie przez Jana Kowalskiego różnego rodzaju operacji, np. przelewów. Obecnie popularną metodą autoryzacji jest potwierdzenie transakcji w aplikacji mobilnej.
Błąd w tłumaczeniu polegający na pomyleniu pojęć autoryzacji i uwierzytelnienia, dość klarownie wyjaśniła w tym wywiadzie Katarzyna Urbańska, szefowa Zespołu Prawno-Legislacyjnego Związku Banków Polskich.
Urbańska tłumaczy, że w unijnej dyrektywie (PSD) występuje słowo „authentication”, które powinno być przetłumaczone na polski jako „uwierzytelnienie”, natomiast w polskiej ustawie o usługach płatniczych pojawiło się pojęcie „autoryzacji”. Ponoć (tak twierdzi Urbańska) tylko Polska zrobiła taki błąd, a środowisko bankowe przy każdej okazji nowelizacji ustawy o usługach płatniczych lobbuje za dokonaniem stosownej korekty.
„To swoisty grzech pierworodny, który stoi u podstawy wszystkich kłopotów, z jakimi mamy do czynienia także obecnie, bowiem wspomniany błąd został powtórzony także podczas implementacji PSD2 w 2018 roku, kiedy to kształtowały się nowe przepisy związane z odpowiedzialnością banków i użytkowników odnośnie nieautoryzowanych transakcji”
– mówi Katarzyna Urbańska. Jakie znaczenie ma ten błąd?
„W sytuacji kiedy w przepisach zamieniono pojęcie uwierzytelnienia na autoryzację, dochodzimy do sytuacji, w której na bank przerzucono ciężar dowodu, a przecież bank nie jest w stanie udowodnić, czy klient faktycznie wyraził zgodę na wykonanie operacji, ponieważ bank nie jest w stanie zweryfikować stanu umysłu klienta. Dostawca natomiast jest w stanie wykazać, że doszło (lub nie) do uwierzytelnienia, ponieważ jest to procedura stosowana przez samego dostawcę”
– mówi prawniczka ZBP. Jeśli dobrze rozumiem, bankowcy chcieliby się dzielić finansową odpowiedzialnością tylko wtedy, gdyby złodzieje przełamali bankowe zabezpieczenia, a więc w jakiś sposób włamali się na konto klienta, nie znając jego loginu i hasła, czyli narzędzi uwierzytelniających.
To nie oszuści, a klienci wyłudzają pieniądze
W ostrym piśmie ZBP, które jest reakcją na komunikat UOKiK o postawieniu zarzutów pięciu bankom, bankowcy twierdzą, że nawet ustawa z błędem językowym nie daje podstaw do zwracania klientom pieniędzy.
„Z redakcji art. 46 ust. 1 [ustawy o usługach płatniczych] jednoznacznie wynika, że do zwrotu środków może dojść wyłącznie w sytuacji, gdy dostawca płatnika uzna, iż miała miejsce nieautoryzowana transakcja. W związku z czym samo zgłoszenie płatnika, iż doszło do nieautoryzowanej transakcji, absolutnie nie może być rozumiane jako równoznaczne z uznaniem przez bank, że taka transakcja faktycznie miała miejsce”.
ZBP uważa, że UOKiK nie ma prawa informować opinii publicznej, że w każdym przypadku zgłoszenia przez płatnika nieautoryzowanej transakcji mamy do czynienia faktycznie z nieautoryzowaną transakcją i tym samym obowiązkiem zwrotu środków.
„Dodatkowo banki identyfikują przypadki, w których nieuczciwi klienci wyłudzają pieniądze, dokonując transakcji płatniczej, a następnie reklamują je zgodnie z logiką wskazaną przez UOKiK, pomimo pełnej świadomości oszustwa zagrożonego odpowiedzialnością karną”
– czytamy w oświadczeniu ZBP.
Bank zwraca pieniądze klientowi, a następnie klient bankowi
Treść ustawy o usługach płatniczych jest, jaka jest. Nie można nie stosować prawa, posługując się argumentem błędnego tłumaczenia. Jeśli jest złe i niezgodne z wolą unijnego ustawodawcy, należy dążyć do korekty.
Ale zostawmy na bok kwestie językowe. Bankowcom wydaje się kuriozalne twierdzenie prezesa UOKiK, że dopiero po wypełnieniu obowiązku zwrotu środków płatnikowi bank może dochodzić roszczeń od klienta. Bankowcy pytają, jaki byłby sens działania, w którym bank najpierw dokonuje zwrotu środków, a następnie dochodzi roszczeń od klienta, w sytuacji gdy klient doprowadził do transakcji umyślnie lub zachował się rażąco niedbale.
„W naszej ocenie taki sposób postępowania należy ocenić jako bardzo szkodliwy dla konsumentów, którzy byliby zmuszeni do uczestnictwa w procesach, które z racji stanu faktycznego z góry stawiałyby ich na przegranej pozycji. Skutkiem takiego postępowania byłoby obciążenie klientów kosztami postępowania obejmującymi koszty sądowe oraz koszty zastępstwa procesowego”.
Z kolei UOKiK stoi na stanowisku, że nieautoryzowana transakcja to również taka, która została wcześniej uwierzytelniona, a następnie zatwierdzona np. poprzez podanie kodu PIN, ale bez zgody konsumenta. Mówimy więc o atakach socjotechnicznych, sytuacjach, kiedy zmanipulowani przez oszustów klienci podają im na tacy wszystkie dane potrzebne do przeprowadzenia transakcji wyprowadzenia pieniędzy z konta.
Myślę, że to jest sedno sprawy. Bankowcy za wszelką cenę nie chcą ponosić odpowiedzialności czy nawet współodpowiedzialności za wyłudzenia, do których klient przyczynił się choćby nieświadomie. Są przekonani, że nawet jeśli bank zwróci pieniądze, to klient i tak je będzie musiał zwrócić, bo w sądzie udowodni mu się rażące niedbalstwo.
Logika UOKiK – jeśli dobrze ją odczytuję – jest taka, że bank nawet w takiej sytuacji powinien wziąć na siebie odpowiedzialność, bo mógł zrobić więcej, np. wzmocnić swoje systemy antyfraudowe, skuteczniej wyłapywać podejrzane, nietypowe transakcje. Natomiast automatyczny zwrot skradzionych pieniędzy ma nie dopuścić do sytuacji, kiedy klient traci nagle środki do życia.
Jak skończy się ta batalia? Wiele wskazuje na to, że bankowcy łatwo nie odpuszczą. Choć zarzuty zostały postawione, mogą bronić swoich racji w sądach wyższej instancji. Na sytuację, kiedy okradzeni klienci niemal automatycznie odzyskiwać będą pieniądze, będziemy musieli jeszcze trochę zaczekać.
Źródło zdjęcia: Pixabay
