Ta sprawa wraca jak bumerang. Chodzi o odpowiedzialność banków za nieautoryzowane transakcje. Urząd Ochrony Konkurencji i Konsumentów zarzuca bankom łamanie ustawy o usługach płatniczych. Z jego ustaleń wynika, że banki nie zwracają klientom ukradzionych przez cyberprzestępców pieniędzy, choć powinny. W tej sprawie postawiono właśnie zarzuty kolejnym bankom. Czy jesteśmy bliżej końca rozwiązania tego problemu?
W „Subiektywnie o Finansach” wiele razy poruszaliśmy problem odpowiedzialności za nieautoryzowane transakcje, ale do tej pory nie udało się go rozwiązać. Od lat banki przyzwyczajają nas do tego, byśmy obsługiwali się sami przez bankowość internetową lub mobilną. Wykorzystują do tego kij i marchewkę. Marchewką jest nasza wygoda (bank dostępny praktycznie z każdego miejsca i w każdej chwili), a kijem rosnące opłaty za bankowanie w tradycyjny sposób.
- Czym różni się oszczędzający Niemiec lub Francuz od Polaka? Jakie rodzaje lokat bankowych chwytają nas za serce? Niemiecka aplikacja to sprawdziła [POWERED BY RAISIN]
- Co z dobrymi czasami, które miały nadejść dla funduszy inwestujących w obligacje? Które fundusze warto wybierać? Nieoczywiste rady eksperta [POWERED BY UNIQA TFI]
- Tak Szwajcarzy walczą o dostęp do gotówki. Co do sekundy mierzą czas dostępu każdego obywatela do najbliższego „wodopoju”. Banki, poczta, bankomaty… [POWERED BY EURONET]
Samoobsługa niesie jednak ze sobą ryzyko cyberoszustw. Źli hakerzy mogą nam się włamać na konto albo stosują metody socjotechniczne: podszywają się pod bank (w mailach, telefonach SMS-ach). W efekcie zmanipulowani klienci na tacy podają dane, które pozwalają ogołocić konta, albo wręcz sami przelewają pieniądze na rachunki oszustów.
Kto powinien finansowo odpowiadać za fraudy? Bankowcy mówią, że nie oni. Twierdzą, że nieustannie edukują klientów z tego, jak bezpiecznie korzystać z bankowości elektronicznej. Inną antyzłodziejską zaporą mają być różnego rodzaju systemy antyfraudowe, które pozwalają wyłapać podejrzane transakcje i w porę je zablokować. Zdaniem bankowców, winni są nieuważni klienci.
Ale jest też druga strona medalu – prawo, a dokładnie przepisy o usługach płatniczych, które regulują kwestie tzw. nieautoryzowanych transakcji. I tu już od lat toczy się batalia między bankami i Urzędem Ochrony Konkurencji i Konsumentów o to, jak należy te przepisy interpretować. Z grubsza pisząc, banki wychodzą z założenia, że jeśli klient wysłał np. e-przelew, potwierdził go najpierw hasłem i loginem do bankowości elektronicznej, a dodatkowo autoryzował np. kodem z SMS-a lub poprzez bankowość mobilna, to transakcję należy uznać za autoryzowaną. W tym artykule pisałem więcej o bankowych argumentach.
Z kolei służby „prokonsumenckie” stoją na stanowisku, że autoryzowana transakcja to taka, na którą klient świadomie wyraził zgodę. Jeśli w wyniku np. działań socjotechnicznych klient przekazał oszustom „klucze” do konta, to trudno nazwać to świadomą decyzją.
UOKiK stwierdził, że banki odrzucają reklamacje klientów z tytułu nieautoryzowanej transakcji, powołując się na to, że w systemie podane zostały dane niezbędne np. do zrealizowania przelewu, czyli transakcja została – w ich mniemaniu – prawidłowo uwierzytelniona. Natomiast nie biorą pod uwagę, że transakcję mógł wykonać ktoś inny bez zgody i wiedzy konsumenta. W rezultacie tego wiele osób może rezygnować z dochodzenia swoich praw.
Nieautoryzowane transakcje i zasada „D+1”
Dwa różne podejścia do problemu, ale wydawać by się mogło, że kompromisem są przepisy ustawy o usługach płatniczych dotyczące nieautoryzowanych transakcji. Chodzi o zasadę „D+1”. Zgodnie z nią do końca kolejnego dnia roboczego po zgłoszeniu nieautoryzowanej transakcji bank powinien zwrócić konsumentowi skradzioną kwotę. Jeśli jednak stwierdzi, że konsument przez rażące zaniedbanie przyczynił się do wykonania nieautoryzowanej transakcji, może żądać, aby ten oddał wcześniej zwrócone przez bank pieniądze.
Można oczywiście dyskutować, czy to uczciwy kompromis, po równo rozkładający interesy banków i ich klientów. Choć nie można tego problemu generalizować. Znam przypadki, kiedy banki „bez łaski” stosowały zasadę „D+1”, a więc od razu zwracały skradzione pieniądze. Problem w tym, że do tej pory nadzorcy nie udało się rozwiązać tego problemu systemowo. Czy teraz to się zmieni?
UOKiK co jakiś czas interweniuje w tej sprawie. Właśnie postawił zarzuty sześciu bankom. Chodzi o Alior Bank, Citi Handlowy, BOŚ Bank, Bank Pekao, PKO BP i Plus Bank. W sumie działania UOKiK w tej sprawie obejmują już 15 banków.
„Zarzuty dotyczą reakcji banków w sytuacji zgłoszenia przez konsumentów nieautoryzowanych transakcji (…) Zgodnie z prawem banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji – do końca następnego dnia roboczego po zgłoszeniu”
– mówi Tomasz Chróstny, prezes UOKiK, który precyzuje, że wyjątkiem są dwie sytuacje: zgłoszenie konsumenta nastąpiło później niż 13 miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa ze strony konsumenta, o czym bank zawiadomił policję lub prokuraturę (tu link do pełnego komunikatu).
Z analizy UOKiK wynika, że cztery banki z zarzutami (Citi Handlowy, BOŚ, Pekao, Plus Bank) w ogóle nie oddają skradzionych pieniędzy lub nie robią tego w terminie, zaś dwa (Alior, PKO BP) wprowadziły tzw. „zwrot warunkowy”, czyli oddają pieniądze na czas rozpatrywania reklamacji, a jeśli po analizie sprawy stwierdzają, że odpowiedzialność ponosi konsument, w konsekwencji automatycznie pobierają zwróconą wcześniej kwotę z rachunku konsumenta.
PKO BP oberwał dodatkowo za to, że w odpowiedzi na reklamacje odpisuje w taki sposób, że klientom trudno się zorientować, z jakiego powodu odmownie zostały rozpatrzone ich reklamacje. Nie przedstawia również dowodów, które świadczyłyby o tym, że wina leży po stronie klienta.
UOKiK ma ciężkie działa. Ale czy je wytoczy?
Działaniom UOKiK każdy konsument – klient banku powinien przyklasnąć. Tylko dlaczego w ciągu kilku lat nie udało się tego problemu rozwiązać? Banki mają na pieńku z kilkoma urzędami. Nieustannie boksuje się z nimi Rzecznik Finansowy – w sprawach większej i mniejszej wagi. Urzędowi, który stoi na straży ochrony danych osobowych (UODO), nie udaje się wyegzekwować, by banki np. rzetelnie informowały klientów o przyczynach odmowy udzielenia kredytu.
Być może wynika to z „małokalibrowej artylerii”, jaką mają do dyspozycji te instytucje. UOKiK ma działa ciężkiego kalibru. Za łamanie zbiorowych interesów konsumentów Urząd może przywalić karę wysokości 10% rocznych obrotów. Dotychczasowe efekty pokazują, że tylko straszy. Może już czas wystrzelić naprawdę?
Zdjęcie tytułowe: Maciej Bednarek