UOKiK karze banki. Jak bronić się przed oszustami w sieci?

by Leszek Sadkowski

Z konta bez twojej zgody zniknęły pieniądze, zgłosiłeś to do banku, a ten odmówił zwrotu kwoty nieautoryzowanej transakcji. Zgodnie z prawem na banku spoczywa odpowiedzialność dochowania szczególnej staranności w zakresie przechowywania i ochrony środków pieniężnych. Bank musi tym samym zwrócić konsumentowi pieniądze, chyba że podejrzewa oszustwo z jego strony i zawiadomił o tym organy ścigania.

Prezes UOKiK Tomasz Chróstny postawił zarzuty 5 bankom – dotyczą bezprawnej odmowy zwrotu kwoty nieautoryzowanych transakcji i wprowadzania konsumentów w błąd w odpowiedziach na reklamacje. UOKiK od roku prowadzi postępowania wyjaśniające w sprawie nieautoryzowanych transakcji. Zebrany do tej pory materiał dowodowy pozwolił obecnie postawić 5 bankom zarzuty naruszania zbiorowych interesów konsumentów. Są to: Bank Millennium, BNP Paribas Bank Polska, Credit Agricole Bank Polska, mBank oraz Santander Bank Polska.

Bezrefleksyjność instytucji

Podstawą zarzutów jest analiza skarg konsumentów oraz reakcji i odpowiedzi banków na zgłoszenia kradzieży pieniędzy z kont konsumentów. Wśród badanych przypadków jest również ten opisany przez 72-letnią emerytkę, która przez 30 lat odkładała pieniądze na „czarną godzinę”.

Oszust uzyskał dostęp do danych uwierzytelniających i wyprowadził z konta emerytki 170 tys. zł oszczędności oraz zaciągnął kredyt na 80 tys. zł. Bank bezrefleksyjnie zmienił walutę i przelał pieniądze za granicę, doliczając do każdego przelewu opłatę za szybkość realizacji oraz udzielił wysokiej pożyczki osobie, która ma niską emeryturę, a w całej dotychczasowej historii konta preferowała bezpieczne inwestycje. Instytucja finansowa nie zareagowała nawet w chwili, gdy oszust podszywając się pod emerytkę zmienił jej stan cywilny z mężatki na wdowę, żeby nie była potrzebna zgoda męża do zaciągnięcia kredytu. Bank, mimo prawa, obowiązującego w całej UE – nie zwrócił środków poszkodowanej. Autorytatywnie uznał, że winę za zaistniałą sytuację ponosi emerytka, która znalazła się w trudnej dla niej sytuacji finansowej – mówi Chróstny.

Podobnych historii są w Polsce tysiące – przypomina UOKiK. Różnią się kwoty i metody działania oszustów. Co je łączy? Kradzież pieniędzy z kont nieświadomych konsumentów i zazwyczaj negatywna reakcja banków w odpowiedzi na zgłoszone reklamacje. Niestety, pomimo ustawowego obowiązku, banki nie zwracają środków lub w przypadku zaciągnięcia kredytu – zmuszają konsumentów, którzy padli ofiarami oszustów, do jego spłacania.

Na banku, jako na instytucji zaufania publicznego, spoczywa obowiązek podjęcia wszelkich kroków, aby zabezpieczyć środki swoich klientów. Do sytuacji, w których oszuści wyprowadzają z rachunków bankowych konsumentów środki lub zaciągają zobowiązania finansowe, dochodzi niestety bardzo często. Banki najczęściej ograniczają się do bezrefleksyjnego wykonywania operacji i nie poczuwają się do odpowiedzialności, mimo że czujność mogłaby wzbudzić już sama analiza transakcji na wczesnym etapie np. z uwagi na nietypowe kwoty, walutę, dokonane w krótkim czasie po zmianie danych lub kanałów dostępowych. Tymczasem banki powinny dużo sprawniej rozwijać mechanizmy, które pozwalałyby identyfikować i odpowiednio wcześniej reagować na podejrzane operacje, choćby wykorzystując dotychczasową historię zleceń klienta czy biometrię behawioralną do dalszego podnoszenia poziomu zabezpieczeń. Zamiast tego widzimy pewną arbitralność w odrzucaniu reklamacji konsumentów, a także nieprzestrzeganie przepisów prawa w zakresie zwrotu środków utraconych w wyniku nieautoryzowanych transakcji – dodaje Tomasz Chróstny.

Obowiązujące prawo

Przypomnijmy, że z art. 46 ustawy o usługach płatniczych, stanowiącej implementację przepisów unijnych PSD2 wynika, że banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji – do końca następnego dnia roboczego po zgłoszeniu. Wyjątkiem są dwie sytuacje: zgłoszenie konsumenta nastąpiło później niż 13 miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego konsumenta, o czym bank zawiadomił policję lub prokuraturę. W innych przypadkach bank ma obowiązek przywrócić rachunek do stanu sprzed dokonania przez oszustów nieautoryzowanej transakcji – np. w przypadku zaciągnięcia przez oszustów zobowiązania finansowego – lub zwrócić środki na konto klienta.

Zarzuty wobec pierwszych 5 banków dotyczą między innymi niezwracania konsumentom pieniędzy z nieautoryzowanych transakcji w ustawowym terminie, mimo że nie zaszły okoliczności, które by zwolniły bank z tego obowiązku..

Uwierzytelnianie transakcji

W kontekście zagadnienia nieautoryzowanych transakcji ważne jest rozróżnienie pojęcia „uwierzytelnienia” od „autoryzacji”. Uwierzytelnienie to – zgodnie z ustawową definicją – „procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających” (np. podanie kodu PIN). Natomiast autoryzacja – poza uwierzytelnieniem, które jest czynnością techniczną – obejmuje zgodę użytkownika na daną transakcję. Transakcją nieautoryzowaną będzie zatem również transakcja uwierzytelniona (np. poprzez podanie kodu PIN), ale bez zgody konsumenta.

Należy jednak zaznaczyć, że w myśl art. 45 ust. 2 ustawy o usługach płatniczych samo wykazanie przez bank, że transakcja została prawidłowo uwierzytelniona nie jest wystarczające, żeby uznać, że była przez użytkownika autoryzowana, lub że klient dopuścił do jej wykonania umyślnie albo wskutek rażącego niedbalstwa. Ciężar udowodnienia takich okoliczności spoczywa na banku – przypomina Urząd.

Bank może więc podnosić, że do nieautoryzowanej transakcji płatniczej doszło wskutek umyślnego działania konsumenta albo w wyniku naruszenia przez niego w sposób umyślny lub na skutek rażącego niedbalstwa co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych. Może on w takich sytuacjach dochodzić swoich roszczeń od konsumenta po dokonaniu zwrotu kwoty nieautoryzowanej transakcji płatniczej.

Dopiero po wypełnieniu obowiązku zwrotu bank może dochodzić roszczeń od klienta, jeśli okaże się, że klient doprowadził do transakcji umyślnie albo wykazał się rażącym niedbalstwem, umożliwiając oszustom wykorzystanie jego danych uwierzytelniających. Ciężar wykazania tych okoliczności, zgodnie z prawem, spoczywa na banku. Nie kwestionujemy prawa banku do dochodzenia roszczenia w sytuacjach winy konsumenta. Jednak w wielu przypadkach narzędzia uwierzytelniania oraz zabezpieczeń banku nie chronią konsumenta przed nieautoryzowanymi transakcjami. W takiej sytuacji, gdy oszustom udaje się rozpracować bankowe procedury i zabezpieczenia, bank nie może być sędzią we własnej sprawie, arbitralnie odrzucając reklamacje konsumentów oraz wbrew obowiązującemu prawu wstrzymując się od zwrotu środków. Oceną i uznaniem winy w sytuacjach budzących wątpliwości powinny się zajmować sądy – bezstronne zarówno dla banku, jak i konsumenta. Banki natomiast powinny podejmować więcej starań, aby poprzez narzędzia systemowe do tego typu sytuacji dochodziło jak najrzadziej – ocenia Tomasz Chróstny.

Zarzuty dla kolejnych instytucji

Urząd podał też, że w toku prowadzonego postępowania wyjaśniającego Prezes UOKiK ustalił, że banki mogą wprowadzać konsumentów w błąd w odpowiedziach na reklamacje dotyczące nieautoryzowanych transakcji.

Analiza uzyskanych od banków odpowiedzi na reklamacje pozwoliła na postawienie również zarzutów wprowadzania konsumentów w błąd. W odpowiedziach tych banki twierdziły na przykład, że transakcja została autoryzowana i jednocześnie konsument mógł dopuścić się rażącego niedbalstwa, lub że samo wykazanie uwierzytelnienia przez bank zwalnia go z obowiązku zwrotu. Konsumenci, którzy otrzymali tego typu odpowiedzi na reklamacje w sprawie kradzieży pieniędzy z konta, mogli zostać wprowadzeni w błąd co do faktu autoryzowania takiej transakcji oraz zakresu obowiązków i odpowiedzialności banku. Może to zniechęcać konsumentów do dalszego dochodzenia swoich praw – brzmi oświadczenia prezesa UOKiK.

Urząd nadal bada też praktyki pozostałych 13 banków objętych postępowaniami wyjaśniającymi. W przypadku nieprawidłowości Prezes Urzędu może postawić zarzuty kolejnym instytucjom finansowym. Bankom za naruszenie zbiorowych interesów konsumentów grożą kary do 10 procent obrotu i jest to kwota znacząca.

Konsumencie, zachowaj ostrożność

UOKiK apeluje i przypomina, że działania oszustów ewoluują, ale sprowadzają się do jednego – do próby wyłudzenia danych dostępowych do konta, aby następnie – wykorzystując system bankowy – wykraść pieniądze.

Nie podawaj pod żadnym pozorem swojego loginu czy hasła dostępu do konta. Nie instaluj żadnych aplikacji. Rozłącz się, zadzwoń na oficjalną infolinię instytucji finansowej, aby to potwierdzić. Nie korzystaj z numeru podanego przez osobę dzwoniącą do ciebie i przedstawiającą się jako pracownik banku. Nie klikaj w linki czy załączniki przysłane w e-mailach, SMS-ach czy na komunikatorach, jeżeli nie jesteś pewien, że pochodzą od zweryfikowanego nadawcy. Możesz w ten sposób zainstalować niebezpieczne oprogramowanie. Zachowaj ostrożność, jeśli sprzedajesz na portalu aukcyjnym, a potencjalny klient chce się kontaktować poza nim – np. tylko mailowo lub poprzez komunikator. Nigdy nie podawaj mu danych do logowania w banku ani numeru karty płatniczej i kodu CVV/CVC – dzięki nim oszust może uwierzytelnić każdą transakcję – apeluje Urząd.

Warto zwracać też uwagę na treść SMS-kodów przysyłanych przez bank, by wiedzieć, jaka transakcja jest wykonywana. Informują one jakiej transakcji dotyczą – kwoty i konta przelewu. Uważać należy, aby nie zatwierdzić np. zmiany numeru telefonu, na który otrzymujesz dane służące do uwierzytelniania transakcji na inny – należący do oszustów, którzy wówczas będą mogli potwierdzić każdy przelew wykonywany z twojego konta.

Jeżeli oszuści wykonywali nieautoryzowane transakcje z twojego konta, jak najszybciej skontaktuj się z bankiem za pośrednictwem oficjalnej infolinii, zgłoś taką transakcję, zmień dane do logowania do aplikacji bankowej i bankowości elektronicznej oraz zastrzeż kartę. Na powiadomienie instytucji finansowej masz 13 miesięcy, ale im wcześniej to zrobisz, tym lepiej. Następnie zawiadom policję. Jeśli bank odrzucił twoją reklamację, poproś o pomoc w rozwiązaniu indywidualnej sprawy Rzecznika Finansowego lub miejskiego albo powiatowego rzecznika konsumentów – kończy swój apel UOKiK.

Możesz również lubić