14 lutego 2024

Nieautoryzowane transakcje. UOKiK stawia zarzuty sześciu bankom za to, że nie zwracają klientom skradzionych pieniędzy. Ale czy to coś zmieni?

Nieautoryzowane transakcje. UOKiK stawia zarzuty sześciu bankom za to, że nie zwracają klientom skradzionych pieniędzy. Ale czy to coś zmieni?

Ta sprawa wraca jak bumerang. Chodzi o odpowiedzialność banków za nieautoryzowane transakcje. Urząd Ochrony Konkurencji i Konsumentów zarzuca bankom łamanie ustawy o usługach płatniczych. Z jego ustaleń wynika, że banki nie zwracają klientom ukradzionych przez cyberprzestępców pieniędzy, choć powinny. W tej sprawie postawiono właśnie zarzuty kolejnym bankom. Czy jesteśmy bliżej końca rozwiązania tego problemu?

W „Subiektywnie o Finansach” wiele razy poruszaliśmy problem odpowiedzialności za nieautoryzowane transakcje, ale do tej pory nie udało się go rozwiązać. Od lat banki przyzwyczajają nas do tego, byśmy obsługiwali się sami przez bankowość internetową lub mobilną. Wykorzystują do tego kij i marchewkę. Marchewką jest nasza wygoda (bank dostępny praktycznie z każdego miejsca i w każdej chwili), a kijem rosnące opłaty za bankowanie w tradycyjny sposób.

Zobacz również:

Samoobsługa niesie jednak ze sobą ryzyko cyberoszustw. Źli hakerzy mogą nam się włamać na konto albo stosują metody socjotechniczne: podszywają się pod bank (w mailach, telefonach SMS-ach). W efekcie zmanipulowani klienci na tacy podają dane, które pozwalają ogołocić konta, albo wręcz sami przelewają pieniądze na rachunki oszustów.

Kto powinien finansowo odpowiadać za fraudy? Bankowcy mówią, że nie oni. Twierdzą, że nieustannie edukują klientów z tego, jak bezpiecznie korzystać z bankowości elektronicznej. Inną antyzłodziejską zaporą mają być różnego rodzaju systemy antyfraudowe, które pozwalają wyłapać podejrzane transakcje i w porę je zablokować. Zdaniem bankowców, winni są nieuważni klienci.

Ale jest też druga strona medalu – prawo, a dokładnie przepisy o usługach płatniczych, które regulują kwestie tzw. nieautoryzowanych transakcji. I tu już od lat toczy się batalia między bankami i Urzędem Ochrony Konkurencji i Konsumentów o to, jak należy te przepisy interpretować. Z grubsza pisząc, banki wychodzą z założenia, że jeśli klient wysłał np. e-przelew, potwierdził go najpierw hasłem i loginem do bankowości elektronicznej, a dodatkowo autoryzował np. kodem z SMS-a lub poprzez bankowość mobilna, to transakcję należy uznać za autoryzowaną. W tym artykule pisałem więcej o bankowych argumentach.

Z kolei służby „prokonsumenckie” stoją na stanowisku, że autoryzowana transakcja to taka, na którą klient świadomie wyraził zgodę. Jeśli w wyniku np. działań socjotechnicznych klient przekazał oszustom „klucze” do konta, to trudno nazwać to świadomą decyzją.

UOKiK stwierdził, że banki odrzucają reklamacje klientów z tytułu nieautoryzowanej transakcji, powołując się na to, że w systemie podane zostały dane niezbędne np. do zrealizowania przelewu, czyli transakcja została – w ich mniemaniu – prawidłowo uwierzytelniona. Natomiast nie biorą pod uwagę, że transakcję mógł wykonać ktoś inny bez zgody i wiedzy konsumenta. W rezultacie tego wiele osób może rezygnować z dochodzenia swoich praw.

Nieautoryzowane transakcje i zasada „D+1”

Dwa różne podejścia do problemu, ale wydawać by się mogło, że kompromisem są przepisy ustawy o usługach płatniczych dotyczące nieautoryzowanych transakcji. Chodzi o zasadę „D+1”. Zgodnie z nią do końca kolejnego dnia roboczego po zgłoszeniu nieautoryzowanej transakcji bank powinien zwrócić konsumentowi skradzioną kwotę. Jeśli jednak stwierdzi, że konsument przez rażące zaniedbanie przyczynił się do wykonania nieautoryzowanej transakcji, może żądać, aby ten oddał wcześniej zwrócone przez bank pieniądze.

Można oczywiście dyskutować, czy to uczciwy kompromis, po równo rozkładający interesy banków i ich klientów. Choć nie można tego problemu generalizować. Znam przypadki, kiedy banki „bez łaski” stosowały zasadę „D+1”, a więc od razu zwracały skradzione pieniądze. Problem w tym, że do tej pory nadzorcy nie udało się rozwiązać tego problemu systemowo. Czy teraz to się zmieni?

UOKiK co jakiś czas interweniuje w tej sprawie. Właśnie postawił zarzuty sześciu bankom. Chodzi o Alior Bank, Citi Handlowy, BOŚ Bank, Bank Pekao, PKO BP i Plus Bank. W sumie działania UOKiK w tej sprawie obejmują już 15 banków.

„Zarzuty dotyczą reakcji banków w sytuacji zgłoszenia przez konsumentów nieautoryzowanych transakcji (…) Zgodnie z prawem banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji – do końca następnego dnia roboczego po zgłoszeniu”

– mówi Tomasz Chróstny, prezes UOKiK, który precyzuje, że wyjątkiem są dwie sytuacje: zgłoszenie konsumenta nastąpiło później niż 13 miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa ze strony konsumenta, o czym bank zawiadomił policję lub prokuraturę (tu link do pełnego komunikatu).

Z analizy UOKiK wynika, że cztery banki z zarzutami (Citi Handlowy, BOŚ, Pekao, Plus Bank) w ogóle nie oddają skradzionych pieniędzy lub nie robią tego w terminie, zaś dwa (Alior, PKO BP) wprowadziły tzw. „zwrot warunkowy”, czyli oddają pieniądze na czas rozpatrywania reklamacji, a jeśli po analizie sprawy stwierdzają, że odpowiedzialność ponosi konsument, w konsekwencji automatycznie pobierają zwróconą wcześniej kwotę z rachunku konsumenta.

PKO BP oberwał dodatkowo za to, że w odpowiedzi na reklamacje odpisuje w taki sposób, że klientom trudno się zorientować, z jakiego powodu odmownie zostały rozpatrzone ich reklamacje. Nie przedstawia również dowodów, które świadczyłyby o tym, że wina leży po stronie klienta.

UOKiK ma ciężkie działa. Ale czy je wytoczy?

Działaniom UOKiK każdy konsument – klient banku powinien przyklasnąć. Tylko dlaczego w ciągu kilku lat nie udało się tego problemu rozwiązać? Banki mają na pieńku z kilkoma urzędami. Nieustannie boksuje się z nimi Rzecznik Finansowy – w sprawach większej i mniejszej wagi. Urzędowi, który stoi na straży ochrony danych osobowych (UODO), nie udaje się wyegzekwować, by banki np. rzetelnie informowały klientów o przyczynach odmowy udzielenia kredytu.

Być może wynika to z „małokalibrowej artylerii”, jaką mają do dyspozycji te instytucje. UOKiK ma działa ciężkiego kalibru. Za łamanie zbiorowych interesów konsumentów Urząd może przywalić karę wysokości 10% rocznych obrotów. Dotychczasowe efekty pokazują, że tylko straszy. Może już czas wystrzelić naprawdę?

Zdjęcie tytułowe: Maciej Bednarek

Subscribe
Powiadom o
36 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Paweł
9 miesięcy temu

Akurat z aliorem się sam w sprawie zwrotu boksowałem. O ile nie bankowość elektroniczna, a karta, skradziona z sejfu, do konta USD w ich kantorze. Karta zablokowana jak tylko kradzież została zauważona, choć bank się upierał że niezwłocznie to tylko zgłoszenie pomiędzy kradzieżą, a nieautoryzowanym użyciem. Przy okazji blokowania karty przez infolinię, konsultant wprowadził błąd „że nie mają informacji gdzie i kiedy dokładnie nieautoryzowanej płatności dokonano” więc i lokalnym organom ścigania nie za bardzo było co przekazać, a nie tylko karta z sejfu zniknela. W dalszej korespondencji alior wykonał kilka fikolkow logicznych, między wierszami sugerując, że karta nie była podpisana… Czytaj więcej »

Stef
9 miesięcy temu
Reply to  Paweł

Tak systemy behawioralne kuleją we wszystkich bankach. Zarówno te od kart jak i przelewów.

Michał
9 miesięcy temu

A czy są jakieś banki, które zwracają ukradzione pieniądze bez utrudnień?

Ona
9 miesięcy temu
Reply to  Michał

Trzeba ustalić które banki zwracają i nie mieć tak konta, szkoda płacić na naiwniaków którzy za obietnicę kontenera złota dają pełny wjazd na swoje konto. Wolę banki które dbają o swoje pieniądze, a jeżeli jakiś Kowalski dał się nabrać to przecież może czekać aż policja rozpracuje złodziei i ściągnie z nich kasę żeby oddać poszkodowanemu, nie ma potrzeby angażowania banku w tej proces.

Radek
9 miesięcy temu
Reply to  Ona

A banki wolą klientów, którzy czytają co potwierdzają 🙂

Wojciech
9 miesięcy temu

Polecam wyjeżdżając na wakacje w domu zostawić otwarte na oścież drzwi i napisanie na kartce że w dużym pokoju za obrazem znajduje się sejf a w nim kilogram złota a kod do sejfu to 666. Po powrocie z wakacji polecam udać się do ubezpieczyciela i zarządać wypłaty odszkodowania. Być może to porównanie zobrazuje zachowanie klienta który mimo trwających od lat kampanii bankowych wskazujących jak nie postępować, taki klient łamie wszelkie zabezpieczenia kanałów zdalnych przykładowo nie poświęci chwili na to żeby przeczytać treść sms z haslem

Last edited 9 miesięcy temu by Wojciech
Admin
9 miesięcy temu
Reply to  Wojciech

Co do zasady się zgadzam. Aczkolwiek schematy fraudowe bywają bardziej złożone…

Radek
9 miesięcy temu
Reply to  Maciej Samcik

Ogólnie też się zgadzam, a proszę spojrzeć na domyślne limity przelewów i kart przy zakładaniu nowego konta – zdecydowanie nie są bezpieczne

Admin
9 miesięcy temu
Reply to  Radek

No, ale jak są za niskie to narzekamy, że bank ogranicza nam dostęp do własnych pieniędzy. Tak źle i tak niedobrze

Paweł
9 miesięcy temu
Reply to  Wojciech

„.. zachowanie klienta który mimo trwających od lat kampanii bankowych wskazujących jak nie postępować,…” tymczasem, te same banki:

– Dzień dobry dzwonię z banku ABC, by kontynuować rozmowę musi się Pan uwierzytelnic
– a skąd mam wiedzieć że faktycznie dzwoni pani z banku?
– jakiś wariant sprowadzający się do ” trust me bro”

Maurcy
9 miesięcy temu
Reply to  Paweł

tak właśnie miałem wczoraj z alior, chyba z 9 pytań, przy 2-3 wydało mi się podejrzane że same osobiste pytanie, pani chciała wysłać mi potwierdzenie push i nie zadziałała wysyłka. Ale w międzyczasie przypomniało mi się że faktyczne rano zablokowali mi przelew co prawda nie alior tylko kantor alior więc zapomniałem. Natomiast co fraudów ja. musze potwierdzać swoje dane, pisać gdzie pracuje itd itd a tym czasem kasa idzie na przypadkowe konto i właściwie nic nie wiadomo gdzie i do kogo poszła, nie ma mechanizmów żeby od razu blokować takie konta

Radek
9 miesięcy temu
Reply to  Paweł

Ignorować wszelkie nieznane telefony i odmawiać uwiarygodnienia Jeżeli bank będzie miał do nas jakąś pilną sprawę, wyśle do nas maila Ewentualnie zadzwoni do nas doradca I poprosi o przyjście do określonej placówki Może i ominą nas ewentualne pseudo Fantastyczne oferty Lokat kredytów i funduszy ale zabezpieczymy przez takie Postępowanie swój stan posiadania

Radek
9 miesięcy temu
Reply to  Radek

Maila raczej nie wyślę, robią to tylko marketingowo a nie w ważnych sprawach. Ale list już przyjść powinien

Ona
9 miesięcy temu
Reply to  Paweł

Od 20 lat nie miałam takiej rozmowy.

mw-marek
9 miesięcy temu
Reply to  Paweł

ano stąd, że część banków ma zaimplementowane po stronie swojej aplikacji mobilnej weryfikację takiej rozmowy, a jak nie da się zweryfikować to kończysz gadać.

Zosia
9 miesięcy temu

Autor jest w błędzie i UOKiK też… Z technicznego poziomu jak czynnik ludzki przekazał dane i autoryzował transakcję to bank nic nie musi oddać.
Ktoś nie rozumie w tym uokiku.
Do autora: zrzuty? Chyba zarzuty. I RF nie stoi na straży danych osobowych.

Admin
9 miesięcy temu
Reply to  Zosia

Nie, tu jest realny spór czy liczy się czynnik ludzki czy czynnik ludzki plus jego intencja.
A w tym zdaniu o danych osobowych to chodzi o UODO, a nie RF. Doprecyzowałem, bo to rzeczywiście nie było jasne

Maurcy
9 miesięcy temu
Reply to  Zosia

czyli jak ktoś ci sprzeda tombak zamiast złota to jest ok bo przecież z własnej woli dałeś kasę. Jest też jedna różnica pieniądze w banku wg prawa nie są twoje, są tylko do twojej dyspozycji na żądanie

Radek
9 miesięcy temu
Reply to  Zosia

Nawet jeśli złodziej przyłożył odcisk palca pijanego klienta?

Admin
9 miesięcy temu

To akurat racja, nie są w stanie. Banki nie będą pokrywały strat klientów bezwarunkowo

Admin
9 miesięcy temu
Reply to  Maciej Samcik

Zgadza się, to jest już nieświadomość level master. I na to żadne zabezpieczenia nie pomogą. Pytanie na ile to jest niedoedukowanie, a na ile już efekty konsumeryzmu i wmawiania ludziom, że nie muszą myśleć, nic czytać, nic rozumieć, bo państwo i tak ich obroni

Radek
9 miesięcy temu
Reply to  Maciej Samcik

Może niech banki się ubezpieczą?

Wiemy, że świadomość wielu osób w społeczeństwie jest niska (i będzie), to dlaczego banki wręczają cyfrowe klucze do szeroko otwartego skarbca? I podkładają włamywaczom kredyt na klik?
Może banki zdecydowałyby się wprowadzić poziomy i rozszerzać uprawnienia i limity tym, którzy wejdą na wyższy poziom?
np. w oparciu o długość hasła, klucze u2f, aktualny system operacyjny?

Admin
9 miesięcy temu
Reply to  Radek

Dobra idea, aczkolwiek dzielenie klientów na „frakcje” może być trudne do ogarnięcia

Pawceluto
9 miesięcy temu

Nieautoryzowany przelew to taki który został wykonany pomimo braku wymaganego potwierdzenia (np. kodu z SMSa/tokena/podpisu właściciela konta lub osoby przez niego upoważnionej w przypadku oddziału). I takie transakcje też się zdarzają, zresztą sami nawet o tym pisaliście. Czym innym jest natomiast wykonanie przez bank przelewu który został autoryzowany w prawidłowy sposób, ale bez świadomości osoby władającej rachunkiem np. w wyniku oszustwa polegającego na wyłudzeniu od niego SMSów służących do zatwierdzenia tej transakcji. W takim przypadku szukaniu kozła ofiarnego w postaci banku jest niczym innym jak dalszym staczaniem się naszej cywilizacji w stronę przepaści do której wiodą znaki „całkowita beztroska”, „brak… Czytaj więcej »

Admin
9 miesięcy temu
Reply to  Pawceluto

Fakt, to jest badanie granic konsumeryzmu

Ona
9 miesięcy temu
Reply to  Pawceluto

W pełni się zgadzam. Jeżeli ukradziono komuś kartę i bank bez autoryzacji pozwalał przelać 300 zł lub zrobił to po zgłoszeniu kradzieży, to niech bank buli albo obniży limit tej transakcji do takiego poziomu że takie kradzieże staną się nieopłacalne.

Natomiast zwracanie naiwnym kasy, bo jakiś nigeryjski książę napisał żeby pisać kod autoryzacji dodania karty do wirtualnego portfela, to plucie w twarz normalnym ludziom. Naiwni przestają na siebie uważać, bo przecież nie oni poniosą koszty, złodzieje mają stałe źródło dochodów, a cały ten cyrk opłacany jest z pieniędzy normalnych klientów.

mw-marek
9 miesięcy temu
Reply to  Pawceluto

jak czytam czasami jacy ludzie bywają naiwni korzystając z internetu to uważam, że każdy kto chce zarządzać czymś wartościowym przez internet powinien zdawać jakiś rodzaj egzaminu państwowego. ogromna większość nie rozumie czym w ogóle jest Internet, jak działa oraz jakie może nieść niebezpieczeństwo. najgorsze gdy dorośli sami tego nie ogarniając, dają pełny dostęp do sieci swoim dzieciom, nawet tym 2-3 letnim.

Kamil - prawnik bankowy
9 miesięcy temu

Warto zwrócić uwagę na orzecznictwo sądów, a to mam wrażenie idzie szczególnie w ostatnim czasie w odwrotnym kierunku niż interpretacje UOKiK/RF. Sam zajmuje się postępowaniami fraudowymi i w ostatnich 2 latach po prostu zdecydowaną większość spraw wygrywają banki. Po pierwsze w dużej części spraw wychodzi fakt, że oszukany klient sam autoryzował transakcje lub sam nadał dostęp do bankowości internetowej oszustowi – a wtedy tak na prawdę nie mamy do czynienia z nieautoryzowaną transakcja płatniczą i zaczęły sądy to dostrzegać. Po drugie, w zasadzie nie spotkałem się z jakimkolwiek orzeczeniem sądów, w którym sąd interpretowały by charakter terminu D+1 na zwrot… Czytaj więcej »

Admin
9 miesięcy temu

Panie Kamilu, prosiłbym o Pana namiary, chętnie porozmawiam o Pańskich doświadczeniach, mój e-mail: maciej.samcik@subiektywnieofinansach.pl

dzis
9 miesięcy temu

Przypomina mi to sytuację z telekomami. Karę dostają, Państwo zarabia, a klienci nie dostają nic prócz satysfakcji, że firma ukarana. Wygląda jak ustawka.

Anna
9 miesięcy temu

Do ukradzionych środków zaliczyłabym przymusowe składki PPK inwestowane przez kolesi w krótkich spodenkach. Żal patrzeć na takie marnowanie pieniędzy.

Admin
9 miesięcy temu
Reply to  Anna

To była akurat najlepsza możliwa inwestycja w ostatnim czasie, coś się Pani pomyliło 😉

fizolof
9 miesięcy temu

Jak do tej pory ani UOKiK ani inni eksperci nie wypowiedzieli się, w jaki sposób miałaby przebiegać pewna zdalna autoryzacja transakcji. Można tak naprawdę podważyć wszystko: weryfikację telefoniczną (osoba nie była świadoma do końca, co potwierdza), weryfikację SMS/aplikacją itp. itd. Podoba mi się również dwójmyślenie wyżej wymienionych podmiotów, bo jeżeli chodzi o np. podpis kwalifikowany to uznaje się podpisane przez niego dokumenty za równoznaczne z podpisem osobistym. A przecież nie ma pewności, że karty podpisu użyła osoba, do której on należy. Jest to domniemanie. Niestety tutaj chyba wiedza ekspertów i UOKiK się kończy a szkoda, bo chętnie (z czystej ciekawości,… Czytaj więcej »

Janusz
9 miesięcy temu

Szanownie Państwo jest Rozporządzenie Wykonawcze UE910/201 4 i art. 8.3 odnoszący się do Rozporządzenia Wykonawczego UE1502/2015 dotyczący minimalnych specyfikacji technicznych , mówiący wprost, że Banki świadczące usługi uwierzytelniania mają obowiązek publikowania na stronie jaki poziom bezpieczeństwa zgodnie z UE910/2014 ma zagwarantowany udostępniony przez Bank system uwierzytelniania powinien być to minimum średni, zatem wymagane jest aby „Uwolnienie danych identyfikacyjnych poprzedzone było wiarygodną weryfikacją środka identyfikacji elektronicznej za pomocą uwierzytelniani dynamicznego – czyli kryptografii z kluczami jednorazowymi gdzie dane uwierzytelniające są pod kontrolą strony zaufanej czyli klienta – żaden bank nie wykonuje tego obowiązku, zatem na podstawie Ustawy usługach zaufania (Dz.U. 2020… Czytaj więcej »

Admin
9 miesięcy temu
Reply to  Janusz

Dzięki za ciekawy komentarz, zgłębimy temat

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu