Niemal każdy posiadacz telefonu komórkowego przynajmniej raz otrzymał, pochodzącą z nieznanego numeru, podejrzaną wiadomość SMS, informującą o niedopłacie za paczkę lub rachunek za gaz czy prąd. Często w treści takiego SMS-a znajduje się link, po kliknięciu w który, możliwym się staje uregulowanie „brakującej kwoty”. Niejednokrotnie zdarza się, że po uregulowaniu kwoty, o której mowa w SMS-ie, z rachunku bankowego w wyniku dokonania transakcji, których właściciel rachunku bankowego nie zlecał, ani nie wyrażał na nie zgody, znikają znaczne środki pieniężne, stanowiące często oszczędności całego życia. Co w takiej sytuacji zrobić? Czy banki, które prowadzą rachunek bankowy, z którego dokonano przelewu bez wiedzy i woli jego właściciela powinny zwrócić kwoty nieautoryzowanych transakcji? Chociaż przepisy prawa stanowią jasno o obowiązku banku do zwrócenia kwot nieautoryzowanych transakcji, rzeczywistość pokazuje, że banki wykazują się wysoce nieprokonsumencką postawą, bezpodstawnie nie uznając reklamacji klientów, a w konsekwencji nie zwracając klientom kwot transakcji, dokonanych bez ich wiedzy oraz woli, co zmusza posiadaczy rachunków bankowych do dochodzenia swoich praw na drodze postępowania sądowego.
Analizując skargi konsumentów, na postawę banków, nieuwzględniającą reklamacji nieautoryzowanych transakcji, Prezes Urzędu Ochrony Konkurencji i Konsumentów (dalej: UOKiK) postawił 5 bankom zarzuty naruszenia zbiorowych interesów konsumentów. Banki te to Bank Millennium, BNP Paribas Bank Polska, Credit Agricole Bank Polska, mBank i Santander Bank Polska.
W niniejszym artykule pochylę się nad argumentacją podnoszoną przez banki przy nieuwzględnianiu reklamacji klientów. Przeanalizuję także zasadność tych argumentów oraz wskażę możliwą drogę postępowania w przypadku nieuwzględnienia reklamacji przez bank.
Co to są nieautoryzowane transakcje?
Zgodnie z art. 40 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (dalej: u.u.p.) „Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych”. Z brzmienia powyższego przepisu jednoznacznie wynika, iż aby daną transakcje uznać za autoryzowaną, koniecznym jest, aby dokonał jej bezpośrednio płatnik w sposób, wskazany w umowie o prowadzenie rachunku bankowego. Często sposobem tym jest wpisanie przez posiadacza rachunku kodu pochodzącego z karty kodów lub otrzymanego od banku w wiadomości SMS. Nieautoryzowaną transakcją będzie więc każda transakcja, na którą posiadacz rachunku bankowego nie wyraził zgody. Co istotne, Prezes UOKiK podkreśla, iż aby doszło do skutecznej autoryzacji transakcji niezbędnym jest wystąpienie elementu wolicjonalnego, w postaci zgody płatnika na wykonanie takiej transakcji, a samo podanie kodu PIN, bez zgody posiadacza rachunku bankowego na dokonanie transakcji, stanowi wyłącznie uwierzytelnienie transakcji, a więc transakcje takie należy uznać na nieautoryzowane.
Do nieautoryzowanych transakcji najczęściej dochodzi w wyniku wykradzenia danych uwierzytelniających posiadacza rachunku bankowego. Do wykradzenia takich danych może dojść w różnych okolicznościach. Niejednokrotnie następuje to w procedurze tzw. phisingu, kiedy to, np. pod pozorem dopłaty za wysłaną paczkę, czy też rachunek, otrzymujemy link, który odsyła do strony wyglądającej identycznie, jak np. strona banku i po wpisaniu na fałszywej stronie swoich danych do logowania na konto bankowe, osoby trzecie uzyskują dostęp do danych niezbędnych do zalogowania się na rachunek bankowy i dokonania przelewu. Wykradzenie danych może również nastąpić w wyniku podszywania się przestępców pod infolinię bankową (tzw. vishing) lub też poprzez nakłonienie, przez osoby podszywające się pod różne instytucje, do instalacji aplikacji szpiegującej, która pozwala na podgląd pulpitu urządzenia, np. AnyDesk, przekonując, że aplikacja ta ma pomóc w różnych czynnościach, np. w odzyskaniu kwoty wpłaconej na dany fundusz inwestycyjny.
Regulacje zawarte w ustawie o usługach płatniczych
W sytuacji wystąpienia nieautoryzowanych transakcji, art. 46 ust. 1 u.u.p. nakłada na bank obowiązek niezwłocznego zwrotu nieautoryzowanych transakcji, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania stosownego zgłoszenia, z wyjątkiem przypadku gdy bank ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. Co do zasady, bank ma więc obowiązek zwrócenia posiadaczowi rachunku bankowego kwoty transakcji dokonanej bez jego zgody. Wyjątek przewiduje art. 44 ust 2 u.u.p., stanowiąc, że roszczenia względem banków z tytułu nieautoryzowanych transakcji wygasają z upływem 13 miesięcy od dnia obciążenia rachunku płatniczego, a więc jeśli posiadacz rachunku bankowego nie zgłosi faktu dokonania nieautoryzowanej transakcji, w ciągu 13 miesięcy od jej wystąpienia, bank nie będzie zobowiązany do zwrotu kwoty nieautoryzowanej transakcji.
Również, zgodnie z art. 46 ust. 3 u.u.p., bank może uwolnić się od obowiązku zwrotu kwot transakcji, dokonanych bez zgody posiadacza rachunku bankowego, jeśli wykaże, że klient doprowadził do nich umyślnie lub w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia swojego obowiązku korzystania z instrumentu płatniczego zgodnie z umową ramową lub niezwłocznie nie zgłosił bankowi stwierdzenia utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. Co istotne jednak, art. 45 ust. 1 u.u.p. nakłada na bank ciężar udowodnienia, że transakcja płatnicza została prawidłowo autoryzowana oraz, że ewentualnie wystąpiły okoliczności zwalniające bank z poniesienia odpowiedzialności. W konsekwencji, to bank musi udowodnić, że klient umyślnie lub przez rażące niedbalstwo doprowadził do wystąpienia nieautoryzowanych transakcji. Banki odpowiadają za wystąpienie nieautoryzowanych transakcji na zasadzie ryzyka, a więc wystarczy, że posiadacz rachunku zakwestionuje fakt autoryzacji danej transakcji, a bank będzie zobowiązany do zwrotu kwoty spornej transakcji, jeśli nie udowodni, że do transakcji tej umyślnie doprowadził posiadacz rachunku bankowego albo też umyślnie lub wskutek rażącego niedbalstwa złamał on postanowienia umowy ramowej w przedmiocie korzystania z instrumentu płatniczego, bądź nie zgłosił niezwłocznie bankowi utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
Należy jednak podkreślić, iż Prezes UOKiK wskazał, że nawet w sytuacji kiedy w ocenie banku, klient umyślnie doprowadził do spornej transakcji lub też w wyniku rażącego niedbalstwa naruszył postanowienia umowy ramowej w przedmiocie korzystania z instrumentu płatniczego, bądź nie zgłosił niezwłocznie bankowi utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu, bank i tak powinien zwrócić kwotę nieautoryzowanej transakcji, a dopiero następnie od klienta dochodzić roszczeń, wynikających z art. 46 ust. 3 u.u.p.
Postawa banków wobec faktu wystąpienia nieautoryzowanych transakcji
Pomimo prawnego obowiązku zwrotu nieautoryzowanych transakcji, w praktyce banki niechętnie uznają reklamację klientów, a w konsekwencji nie uwzględniają roszczeń klientów o zwrot kwoty nieautoryzowanych przez nich transakcji.
Analizując komunikat UOKiK oraz prowadzone sprawy o zwrot kwot nieautoryzowanych transakcji, można wyodrębnić zarzuty, najczęściej podnoszone są przez banki przy odmowie dokonania zwrotu kwoty nieautoryzowanych transakcji.
Autoryzacja transakcji przez klienta
Podstawowym argumentem banków, które odmawiają dokonania zwrotu kwoty nieautoryzowanej transakcji, jest zarzut, że transakcja został autoryzowana, bowiem wpisany został odpowiedni kod zatwierdzający transakcję, o którym mowa w umowie o prowadzenie rachunku bankowego i z punktu widzenia banku, autoryzacja przelewu została wykonana prawidłowo. Zarzut ten jest całkowicie nieuzasadniony. Przyjmując bowiem powyższą postawę, banki mylą pojęcia autoryzacji oraz uwierzytelnienia transakcji.
Autoryzacja polega na sprawdzeniu, czy dana transakcja dla danego użytkownika jest dozwolona, czy użytkownik wyraził na nią zgodę. Transakcję płatniczą można zatem uznać za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie w sposób przewidziany w umowie między nim a dostawcą. Z analizy orzecznictwa wynika, iż wykazanie, że prawidłowo wpisano dane pozwalające bankowi na weryfikację tożsamości płatnika, świadczy jedynie o uwierzytelnieniu transakcji, a nie o jej autoryzacji.
Zgodnie z Pismem Związków Banków Polskich z dnia 01.10.2019 r. w sprawie Wyjaśnień interpretacyjnych i rekomendacji sektora bankowego w zakresie przepisów: 1) ustawy z dnia 10 maja 2018 r. – o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (UZUP), 2) dyrektywy parlamentu europejskiego i rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającej dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającej dyrektywę 2007/64/WE (PSD2) oraz 3) ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (UUP):
Autoryzacja (authorisation) to zgoda na wykonanie transakcji płatniczej wyrażona przez płatnika w sposób przewidziany w umowie (por. wyjaśnienia służb Komisji Europejskiej, PSD1 Q&A, pytanie nr 77.).
Uwierzytelnienie (authentication) to procedura umożliwiająca dostawcy usług (bankowi) na weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika.
Transakcja autoryzowana to tylko taka, co do której płatnik (posiadacz rachunku) złożył, w sposób określony w umowie, oświadczenie woli o zatwierdzeniu (autoryzacji) płatności. Aby więc uznać transakcję za autoryzowaną, muszą był łącznie spełnione dwie przesłanki:
- osobowa (oświadczenie woli musi złożyć osoba uprawniona – posiadacz rachunku jako płatnik, a nie jakakolwiek inna osoba);
- przedmiotowa (oświadczenie woli musi zostać złożone we właściwej formie,
a także musi w sposób jednoznaczny określać wolę składającego oświadczenie).
W konsekwencji, nawet jeśli wpisany został kod zatwierdzający dany przelew, nie można zgodzić się z poglądem banków, że transakcja taka jest autoryzowana. Warto w tym miejscu przytoczyć wyrok Sądu Okręgowego w Warszawie z dnia 12 maja 2018 r., sygn. akt I C 566/17, w którym orzeczono: z okoliczności sprawy wynika, iż powód nie autoryzował przedmiotowych transakcji, zostały one dokonane przez osoby trzecie wbrew wiedzy i woli powoda. Udostępnienie przez powoda za pośrednictwem podstawionej witryny internetowej swoich danych identyfikacyjnych oraz hasła osobom nieuprawnionym umożliwiło tym osobom zalogowanie się do konta powoda i dokonanie przestępstwa polegającego na przelaniu znajdujących się na rachunku powoda środków pieniężnych na inne konto bez jego wiedzy i woli. Czynności te z punktu widzenia systemu informatycznego banku zostały wykonane poprawnie przy wykorzystaniu właściwych narzędzi autoryzacyjnych. Mimo tego transakcji tych w ocenie sądu nie można uznać za transakcje autoryzowane w rozumieniu art. 40 ust. 1 ww. ustawy. Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie w sposób przewidziany umową. Powód nie wyraził zgody na wykonanie tych transakcji, o czym świadczy jego natychmiastowa reakcja po stwierdzeniu kradzieży, osobiste powiadomienie pozwanego w oddziale banku oraz zawiadomienie Policji o popełnieniu przestępstwa, wypełniając tym samym obowiązek, o którym mowa w art. 44 ustawy.
Co więcej, nawet gdyby to klient osobiście wpisał kod zatwierdzający transakcję, ale był nieświadomy, że zatwierdza dokonanie transakcji, to również transakcja taka powinna zostać uznana za nieautoryzowaną. Sąd Okręgowy w Krakowie w wyroku z dnia 3 lipca 2018 r., sygn. akt II Ca 452/18, orzekł, iż nawet podanie, w celu potwierdzenia transakcji, kodów z karty kodów nie jest autoryzacją transakcji, jeśli nie nastąpiło z nastawieniem wyrażenia zgody na dokonanie przelewu, oraz że nie można powyższego traktować jako rażącego niedbalstwa, mając na uwadze profesjonalizm przestępcy, który podstępem, bez wiedzy ofiary, wykradł jej dane z konta bankowego.
Należy wiec uznać, iż najczęstszy argument banków, stanowiący, że transakcja został autoryzowana, bowiem wpisany został kod zatwierdzający transakcje, jest nieuzasadniony, jeśli bank nie udowodni, że posiadacz rachunku bankowego autoryzował, a więc świadomie wyraził zgodę na dokonanie transakcji, albo doprowadził do niej umyślnie lub przez rażące niedbalstwo. Zdaniem Prezesa UOKiK zachowanie banków, polegające na stwierdzeniu, że transakcja została autoryzowana, bowiem wpisany został kod uwierzytelniający, jest wprowadzaniem klientów w błąd, które ma na celu zniechęcenie klientów do dalszego dochodzenia swoich praw.
Brak winy po stronie banku
Drugim zarzutem, który banki podnoszą, najczęściej już w toku postępowania sądowego, jest brak winy po stronie banku. Banki wskazują, że to nie one są winne dokonania transakcji bez zgody właściciela rachunku, a więc nie mogą one odpowiadać za wystąpienie takiej transakcji, a winę ponoszą nieznane osoby trzecie, które transakcję tę zainicjowały. Jest to stanowisko błędne. Jak już wspomniane zostało powyżej, za nieautoryzowane transakcje banki odpowiadają na zasadzie ryzyka, a nie na zasadzie winy. W konsekwencji brak winy po stronie banku nie wyłącza ich obowiązku zwrotu kwoty nieautoryzowanej transakcji.
Zarzut dopuszczenia się przez klienta rażącego niedbalstwa
Niezwykle często banki, odmawiając wypłacenia kwoty nieautoryzowanej transakcji, podnoszą, że klient w wyniku rażącego niedbalstwa złamał postanowienia umowy o prowadzenie rachunku bankowego, poprzez podanie swoich danych uwierzytelniających lub też poprzez instalacje aplikacji szpiegujących, takich jak np. AnyDesk, co doprowadziło do wystąpienia nieautoryzowanej transakcji. Zarzut ten jest jednak nagminnie nadużywany przez banki i podnoszony niemal w każdej sprawie, podczas gdy w większości sytuacji będzie on zarzutem niezasadnym.
Zgodnie z wyrokiem Sądu Najwyższego z dnia 10 sierpnia 2007 r., sygn. akt II CSK 170/07: o stopniu niedbalstwa świadczy stopień staranności, jakiego w danych okolicznościach można wymagać od sprawcy; niezachowanie podstawowych, elementarnych zasad ostrożności, które są oczywiste dla większości rozsądnie myślących ludzi stanowi o niedbalstwie rażącym. Poziom ww. elementarności i oczywistości wyznaczają okoliczności konkretnego stanu faktycznego, związane m.in. z osobą sprawcy, ale przede wszystkim zdarzenia obiektywne, w wyniku, których powstała szkoda.
Aby więc mówić o rażącym niedbalstwie, banki powinny wykazać, że posiadacz rachunku bankowego złamał podstawowe dla większości rozsądnych ludzi zasady. W zakresie ustalenia jakie zachowanie stanowi rażące niedbalstwo, warto odnieść się do orzecznictwa. To, z kolei jest dosyć łaskawe dla posiadaczy rachunków bankowych. Sąd Okręgowy w Warszawie, wyrokiem z dnia 11 sierpnia 2021 r., sygn. akt XXVII Ca 1352/21 wskazał, iż nie można stwierdzić rażącego niedbalstwa w przypadku uzyskania danych płatnika w wyniku phisingu. Sąd orzekł, że trafne są zarzuty apelacji, że powód jako klient banku nie naruszył obowiązków, o których mowa w art. 46 ust. 3 o usługach płatniczych umyślnie lub wskutek rażącego niedbalstwa. (…) Powód nie udostępniał świadomie identyfikatora, hasła ani innych danych jakimkolwiek osobom trzecim. (…). Doszło wprawdzie do potwierdzenia transakcji za pomocą właściwego narzędzia, jednak wykonanie kolejnych przelewów nastąpiło bez wyrażenia zgody przez powoda na ich dokonanie. (…) Jest niewątpliwie uchybieniem po stronie powoda, że niezbyt precyzyjnie weryfikował komunikaty na ekranie komputera, w pewnym zakresie z pewnością działaniu powoda można postawić zarzut nienależytej staranności, jednakże nie w stopniu rażącym. Z drugiej jednak strony trzeba wziąć pod uwagę profesjonalizm przestępstwa – sprawca nie został wykryty. Jednocześnie wiedza odnośnie różnic w wyglądzie strony banku i strony fałszywej jest wiedzą, którą dysponuje profesjonalista, ale nie jest powszechnie dostępna zwykłemu użytkownikowi, który zazwyczaj nie zwraca uwagi na istotne detale. Uchybienia powoda, które zaistniały nie mogą być kwalifikowane jako rażące niedbalstwo.
Banki, poza podnoszeniem zarzutu dopuszczenia się rażącego niedbalstwa przez posiadacza rachunku, w większości spraw nie są w stanie wykazać, że faktyczne klient dopuścić się kwalifikowanej formy niedbalstwa, jaką jest niedbalstwo rażące. Należy pamiętać, iż niezwykle często osoby, które podejmują się przestępczego procederu wyłudzenia danych klientów banków, celem dokonania nieautoryzowanych transakcji, są profesjonalistami, a ich tożsamość nie zostaje wykryta przez organy ścigania. Stosują oni podstępne środki, takie jak:
- podszywanie się pod infolinie banku (numer, który wyświetla się na telefonie ofiary podczas rozmowy z oszustami, jest numerem infolinii banku),
- wysyłanie linka, który odsyła do strony podszywającej się pod stronę internetową banku, InPost, Poczty Polskiej S.A. czy też PGNiG, celem wyłudzenia danych posiadacza rachunku bankowego
- stosowanie różnych technik manipulacyjnych mających na celu wyłudzenie danych, czy też zainstalowanie złośliwej aplikacji szpiegującej.
Często więc podanie swoich danych przez posiadacza rachunku, w wyniku ww. czynności osób trzecich, wbrew stanowiskom banków, nie może zostać uznane za dopuszczenie się rażącego niedbalstwa, bowiem nie stanowi ono naruszenia zasad, które są oczywiste dla większości ludzi. Ponadto, skala zjawiska wykradania danych osób, w wyniku phisingu czy też vishingu, stanowi niezbity dowód na to, że podanie swoich danych uwierzytelniających w ww. przypadkach nie stanowi niezachowania podstawowych, elementarnych zasad ostrożności, które są oczywiste dla większości rozsądnie myślących ludzi.
Nawet jeśli banki uważają, że do nieautoryzowanej transakcji doszło w wyniku rażącego niedbalstwa, powinny one dokonać zwrotu kwoty nieautoryzowanej transakcji, w myśl art. 46 ust. 1 u.u.p., a dopiero następnie dochodzić od posiadacza rachunku bankowego zwrotu tej kwoty. Prezes UOKiK Tomasz Chróstny stwierdził, że „Dopiero po wypełnieniu obowiązku zwrotu bank może dochodzić roszczeń od klienta, jeśli okaże się, że klient doprowadził do transakcji umyślnie albo wykazał się rażącym niedbalstwem, umożliwiając oszustom wykorzystanie jego danych uwierzytelniających”.
Co zrobić w przypadku nieuwzględnienia reklamacji przez bank?
W przypadku wystąpienia nieautoryzowanych transakcji, należy niezwłocznie zawiadomić o sytuacji organy ścigania oraz zakwestionować autoryzację tych transakcji w banku. W przypadku, kiedy bank odmówi uznania transakcji za nieautoryzowaną, a w konsekwencji nie zwróci kwoty takiej transakcji, warto zastanowić się nad skierowaniem sprawy na drogę postępowania sądowego. Jak wykazano powyżej, wysoce nieprokonsumencka postawa banków, które nie uznają reklamacji klientów, jest często bezzasadna, a jej powodem jest wyłącznie próba uniknięcia przez banki odpowiedzialności, która wprost wynika z art. 46 ust.1 u.u.p., na co wskazuje Prezes UOKiK. Praktyka pokazuje jednak, iż Sądy, w przeciwieństwie do banków, przyjmują bardziej prokonsumencką postawę, uznając brak autoryzacji transakcji przez klientów i zasądzając od banków na rzecz posiadaczy rachunków bankowych, zwrot kwoty nieautoryzowanych transakcji. Należy jednak pamiętać, że rozstrzygnięcie sądu zależeć będzie od okoliczności danej sprawy.
Michał Stareczek