Nieautoryzowane transakcje bankowe - czy bank ma obowiązek zwrotu środków?
Z roku na rok możemy obserwować coraz nowsze metody wyłudzania środków pieniężnych przez cyberprzestępców, a co za tym idzie niepokojące statystyki w zakresie nieautoryzowanych transakcji płatniczych z rachunków bankowych.
Niestety wzrost świadomości społecznej oraz stałe poszerzanie katalogu zabezpieczeń nie są w stanie całkowicie ochronić nas przed atakami hakerskimi, wskutek których w kilka chwil możemy stracić oszczędności życia, latami gromadzone na kontach bankowych, gdzie wydawałoby się, że będą najbezpieczniejsze. Często również organy ścigania pozostają bezradne wobec cyberprzestępstw, których sprawcy długo pozostają nieuchwytni.
Kiedy transakcja jest nieautoryzowana?
W związku z powyższym, polski ustawodawca wcielając w życie regulacje unijne, w art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2020 r. poz. 794 z późn. zm., dalej w skrócie jako „u.u.p.”) przewidział, że w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank ma obowiązek zwrotu płatnikowi (tj. klientowi) kwotę nieautoryzowanej transakcji. Nasuwa się wówczas pytanie – kiedy transakcja będzie nieautoryzowana?
Odpowiedzi należy szukać w art. 40 ust. 1 u.u.p. zgodnie, z którego treścią transakcja płatnicza jest autoryzowana, jeżeli klient wyraził zgodę na jej wykonanie. Oznacza to, że brak zgody na konkretny transfer środków jest równoznaczny z brakiem jego autoryzacji. Również w sytuacji, gdy transakcja została zlecona przez podmiot inny niż właściciel rachunku (np. przez hakera) nie ma mowy o autoryzacji. W orzecznictwie wskazuje się, że transakcja musi być zainicjowana przez użytkownika rachunku, czyli taka jaką zamierzał on wykonać. Jednocześnie warto wskazać, że w razie ewentualnego sporu to na banku spoczywa ciężar udowodnienia, że transakcja była autoryzowana przez płatnika i prawidłowo zapisana w systemie, a także że na przelew środków nie miała wpływu jakakolwiek awaria techniczna czy usterka.
Co powinniśmy zrobić?
Co powinniśmy zrobić w razie odnotowania na naszym rachunku nieautoryzowanej transakcji płatniczej? Przede wszystkim mamy ustawowy obowiązek niezwłocznie poinformować o całym zdarzeniu bank. Jest to o tyle ważne, że jeżeli nie zgłosimy naszych żądań w terminie 13 miesięcy, roszczenia te wygasają. Konieczne będzie również złożenie zawiadomienia do organów ścigania o popełnionym przestępstwie.
Obowiązki banku
Warto podkreślić, że zgodnie z art. 46 ust. 1 u.u.p. bank ma obowiązek zwrotu środków utraconych wskutek nieautoryzowanej transakcji w ściśle określonym terminie – mianowicie nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia (tzw. zasada D+1).
Brzmienie przepisu oraz jego wykładnia jednoznacznie wskazują, że Bank ma bezwarunkowy nakaz natychmiastowego zwrotu środków.
Co więcej, stanowisko to wielokrotnie w swoich raportach prezentuje również Rzecznik Finansowy, a mimo to banki w przeważającej części spraw negatywnie rozpatrują sprawy swoich klientów, którzy zmuszeni są szukać pomocy przed sądem.
Stanowisko banków
Jednocześnie warto pamiętać, że od powyższej zasady zwrotu środków przewidziane zostały pewne wyjątki, które stanowczo są nadużywane przez banki.
Po pierwsze bank może odmówić wypłaty, gdy ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo ze strony klienta tzn. podejrzewa, że klient o nieuczciwych zamiarach chce wyłudzić środki z Banku.
Po drugie płatnik odpowiada za nieautoryzowane transakcje płatnicze do pełnej wysokości, jeżeli doprowadził do nich umyślnie, świadomie albo będącego skutkiem rażącego niedbalstwa naruszenia swoich obowiązków. Rażące niedbalstwo rozumiane jest jako wysoki stopień naganności, drastycznie odbiegający się od prawidłowego modelu zachowania (np. przechowywanie danych uwierzytelniających stosowanych do autoryzacji transakcji płatniczej w pobliżu instrumentu płatniczego, w formie jawnej i łatwo rozpoznawalnej dla obcych).
Tym samym podanie danych do logowania w e-bankowości na podrobionej stronie internetowej banku nie stanowi ani działania umyślnego ani rażącego niedbalstwa, a zatem w takiej sytuacji bank ma obowiązek zwrotu pieniędzy.