Transakcje nieautoryzowane – odpowiedzi na najczęściej zadawane pytania.

Materiał o nieautoryzowanych transakcjach przygotowany we współpracy z UOKiK.

1. W jaki sposób działają oszuści dokonujący nieautoryzowanych transakcji?

W zdecydowanej większości przypadków metody działania oszustów sprowadzają się do pozyskania od użytkownika usług płatniczych jego danych uwierzytelniających, takich jak dane karty płatniczej (numer karty, dane posiadacza karty, kod CVV/CVC) czy login i hasło, służące do logowania do bankowości elektronicznej lub aplikacji mobilnej (tzw. phishing), i ich wykorzystania w celu dokonania transakcji.

 
  • Jeśli sprzedajesz różne przedmioty za pośrednictwem internetu, w szczególności platform (portali) sprzedażowych – oszuści mogą udawać osobę zainteresowaną zakupem. UWAŻAJ, jeśli osoba zainteresowana wysyła Ci link do „odbioru środków” – najczęściej za pośrednictwem jednego z popularnych komunikatorów, instalowanych na smartfonach. Kliknięcie w link wysłany przez oszusta spowoduje przekierowanie na fałszywą stronę internetową, łudząco przypominającą strony pośredników płatności lub strony internetowe banków. W TEN SPOSÓB PODAJESZ SWOJE DANE UWIERZYTELNIAJĄCE (najczęściej chodzi o dane karty płatniczej) oszustowi.
  • Telefon od „pracownika banku” – oszust dzwoni do Ciebie, podając się za pracownika banku. Oszuści mogą podszywać się pod numer infolinii danego banku (tzw. spoofing) – jeśli nie spodziewasz się telefonu od banku, rozłącz się i zainicjuj kontakt z tym podmiotem samodzielnie. Oszust najczęściej próbuje wzbudzić Twój niepokój, mówiąc o próbie kradzieży środków z Twojego rachunku. Prosi Cię o zainstalowanie na urządzeniu (np. telefonie lub komputerze) oprogramowania, które ma je przeskanować w celu wykrycia złośliwego oprogramowania i zablokowania rzekomo zleconych już transakcji. W rzeczywistości programy te pozwalają oszustom na śledzenie aktywności użytkownika i uzyskanie w ten sposób Twojego loginu i hasła do bankowości internetowej lub aplikacji mobilnej.
  • Oszuści wysyłają również SMS-y podszywające się np. pod firmy dostarczające prąd, gaz, media czy przesyłki – informują w nich o rzekomej, najczęściej niewielkiej, zaległości w płatnościach czy konieczności dopłaty do przesyłki, wysyłając jedocześnie w tej samej wiadomości link do dokonania „brakującej” płatności. Kliknięcie w link wysłany przez oszusta za pośrednictwem SMS-a spowoduje przekierowanie na fałszywą stronę internetową łudząco przypominającą strony pośredników w płatności. W ten sposób oszuści zdobędą Twoje dane uwierzytelniające.
  • Wraz ze wzrostem świadomości użytkowników oszuści doskonalą swoje metody działania.
  • Wejście w posiadanie danych uwierzytelniających lub przejęcie kontroli nad urządzeniem użytkownika (poprzez nakłonienie do instalacji stosownego oprogramowania) finalnie umożliwia oszustom kradzież środków z rachunku.

2. Jakich zasad się trzymać, wykonując transakcje za pomocą bankowości internetowej lub aplikacji mobilnej?

  • NIGDY NIE PODAWAJ ANI NIE WYSYŁAJ LOGINU I HASŁA do bankowości internetowej ani aplikacji mobilnej – pracownik dostawcy usług płatniczych (np. banku) nigdy Cię o to nie powinien pytać.
  • NIGDY NIE KLIKAJ W LINKI PRZESŁANE SMS-em – potwierdź ewentualne istnienie zaległości samodzielnie, kontaktując się z np. dostawcą gazu czy firmą dostarczającą przesyłkę.
  • W przypadku telefonu od dostawcy usług płatniczych (np. banku) – ROZŁĄCZ SIĘ, SAMODZIELNIE ZNAJDŹ NUMER INFOLINII I POTWIERDŹ, CZY WYKONYWANO DO CIEBIE TELEFON.
  • NIGDY NIE INSTALUJ OPROGRAMOWANIA z przesłanych linków ani w trakcie rozmowy telefonicznej, dotyczącej Twojego rachunku lub środków na nim zgromadzonych.
  • ZAWSZE WERYFIKUJ ADRES STRONY INTERNETOWEJ, przez którą logujesz się do bankowości elektronicznej – zwróć szczególną uwagę na literówki lub znaki specjalne w adresie strony internetowej.

3. Co powinieneś zrobić, jeżeli z Twojego rachunku bez Twojej wiedzy lub zgody zniknęły pieniądze?

  • Przede wszystkim sprawdź, czy nie są to transakcje realizowane np. w oparciu o zlecenie stałe lub wynikające z zawartych umów (np. opłaty abonamentowe, subskrypcje, transakcje wykonywane w oparciu o polecenia zapłaty).
  • Jeżeli wykluczysz powyższe możliwości i w żaden sposób nie autoryzowałeś tych transakcji (tj. nie składałeś zlecenia płatniczego oraz nie wyrażałeś zgody na jego wykonanie) – zwróć się do swojego dostawcy usług płatniczych (np. banku) z reklamacją.
  • Zastrzeż kartę lub zablokuj rachunek płatniczy, ewentualnie rozważ zmianę danych do logowania – zapobiegniesz wykonywaniu bez Twojej zgody dalszych transakcji z Twojego rachunku.
  • Zgłoś sprawę policji.

4. Jakie są Twoje prawa?

Możesz zwrócić się do dostawcy usług płatniczych (np. banku) o zwrot kwoty transakcji, której nie zlecałeś do wykonania oraz na którą nie wyraziłeś zgody, poprzez wystąpienie ze stosowną reklamacją. Pamiętaj, aby zrobić to niezwłocznie po wykryciu kradzieży środków na swoim rachunku. W razie odmowy zwrotu środków, przysługuje ci prawo np. do wystąpienia o rozpatrzenie sprawy pod kątem naruszenia Twoich praw lub interesów do Rzecznika Finansowego.

Musisz jednak pamiętać, że jeżeli zgłosisz transakcję jako nieautoryzowaną w sytuacji, w której w rzeczywistości sam świadomie ją wykonałeś, dostawca usług płatniczych może potraktować Twoje działanie jako usiłowanie oszustwa i zgłosić swoje podejrzenie organom ścigania, a w razie potwierdzenia tych podejrzeń – grozi Ci odpowiedzialność karna! Podobnie w sytuacji, w której przekazałeś świadomie dane uwierzytelniające osobom trzecim (np. członkom rodziny) i dokonali oni z ich wykorzystaniem danej transakcji płatniczej za Twoją wiedzą i zgodą.

Pamiętaj również, aby zadbać o bezpieczeństwo swoich danych uwierzytelniających. W sytuacji gdy np. przechowujesz PIN do karty razem z tą kartą, takie zachowanie może nosić znamiona rażącego niedbalstwa w zakresie realizacji obowiązku poufnego przechowywania Twoich danych uwierzytelniających. Przechowywanie tzw. szczególnie chronionych danych dotyczących płatności (np. indywidualnych danych uwierzytelniających, które mogą być wykorzystywane do dokonywania oszustw, z wyłączeniem imienia i nazwiska lub nazwy właściciela rachunku i numeru rachunku) w bezpieczny sposób, tj. świadome niedzielenie się nimi z osobami trzecimi, jest Twoim obowiązkiem.

5. Czy dostawca usług płatniczych (np. bank) musi zwrócić środki skradzione z Twojego rachunku? Jakie są obowiązki dostawcy usług płatniczych?

Co do zasady w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca usług płatniczych ma obowiązek zwrócić użytkownikowi kwotę tej transakcji.

Musi to zrobić niezwłocznie, maksymalnie w terminie jednego dnia roboczego następującego po dniu stwierdzenia przez dostawcę usług płatniczych wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek, lub po dniu otrzymania stosownego zgłoszenia od użytkownika.

6. Kiedy dostawca usług płatniczych (np. bank) może odmówić zwrotu kwoty transakcji, której autoryzacji użytkownik zaprzecza?

Dostawca usług płatniczych może odmówić zwrotu kwoty, której autoryzacji zaprzeczasz, jedynie w dwóch sytuacjach:

  • podejrzenia usiłowania oszustwa z Twojej strony – wyłudzenia środków. W takiej sytuacji dostawca usług płatniczych może wstrzymać się ze zwrotem kwoty transakcji, co do której ma podejrzenia wobec Ciebie – ale pod warunkiem, że poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. Dostawca usług płatniczych wstrzymuje zwrot do czasu ustalenia przez właściwe organy, że jego podejrzenie nie było uzasadnione.
  • wystąpienia o zwrot środków po upływie 13 miesięcy od dnia nieautoryzowanej transakcji płatniczej.

7. Czym jest uwierzytelnianie?

Uwierzytelnianie to czynność techniczna mająca na celu weryfikację tożsamości klienta dokonującego transakcji płatniczej (np. polecenia przelewu) lub ważności stosowania konkretnego instrumentu płatniczego (np. daty ważności karty płatniczej). Metody uwierzytelniania powinny być określone w umowie pomiędzy dostawcą usług płatniczych (np. bankiem) a klientem.

8. Czym jest autoryzacja?

Autoryzacja to wyrażenie przez klienta zgody na dokonanie transakcji płatniczej (np. polecenia przelewu) w sposób przewidziany w umowie między tym klientem a dostawcą usług płatniczych (np. bankiem).

Transakcję płatniczą uważa się zgodnie z przepisami za autoryzowaną jedynie wówczas, gdy użytkownik świadomie wyraził zgodę na wykonanie transakcji płatniczej oraz po prawidłowym dokonaniu uwierzytelniania.

Aby zatem autoryzacja była prawidłowa, oba powyższe warunki muszą wystąpić łącznie, tj. zarówno wyrażenie przez klienta zgody na wykonanie transakcji, jak i dokonanie czynności technicznych związanych z uwierzytelnianiem tego klienta (tj. weryfikacją jego tożsamości).

9. Czym jest transakcja nieautoryzowana?

Transakcja nieautoryzowana to taka transakcja, na którą użytkownik nie wyraził zgody.

Przykład: osoba trzecia (oszust) uzyskuje dostęp do Twoich danych uwierzytelniających (np. danych do logowania do bankowości elektronicznej) i dokonuje transakcji, posługując się nimi. Uwierzytelnianie może przebiegać prawidłowo, ale z uwagi na brak elementu Twojej zgody, tj. podanie przez oszusta, a nie przez Ciebie stosownych danych niezbędnych do dokonania transakcji w uzgodniony z bankiem sposób – transakcję taką należy uznać za nieautoryzowaną.

10. Czy dostawca usług płatniczych (np. bank) może odmówić zwrotu kwoty transakcji, jeśli wykaże, że przed złożeniem zlecenia płatniczego nastąpiło prawidłowe uwierzytelnianie użytkownika?

Zgodnie z brzmieniem właściwych przepisów ustawy o usługach płatniczych, dostawca usług płatniczych nie może odmówić zwrotu kwoty transakcji w przypadku zgłoszenia przez Ciebie nieautoryzowanej transakcji płatniczej, powołując się jedynie na prawidłowe uwierzytelnianie.  

W świetle tych przepisów, samo wykazanie przez dostawcę usług płatniczych zarejestrowanego użycia instrumentu płatniczego* (w tym przeprowadzenie prawidłowej procedury uwierzytelniania) nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana (a więc, że wyraził on zgodę na jej wykonanie). Nie powoduje również po stronie dostawcy usług płatniczych zwolnienia się z obowiązku zwrotu kwoty transakcji, której autoryzacji użytkownik zaprzecza.

 

* instrument płatniczy – zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego (np. karta płatnicza, aplikacja bankowa, bankowość elektroniczna).

11. Czy dostawca usług płatniczych (np. bank) może odmówić zwrotu kwoty transakcji w sytuacji, w której twierdzisz, że jej nie autoryzowałeś, ale bank wykaże, że wyraziłeś na nią zgodę?

Tak, dostawca usług płatniczych nie musi zwracać kwoty transakcji, jeżeli była ona autoryzowana przez użytkownika. W takiej sytuacji, jeśli użytkownik wnioskuje o zwrot kwoty, powołując się na brak autoryzacji, dostawca usług płatniczych, jeżeli ma do tego uzasadnione i należycie udokumentowane podstawy, powinien dokonać zgłoszenia podejrzenia usiłowania oszustwa organom ścigania.

Zgodnie z przepisami ustawy o usługach płatniczych, samo tylko stwierdzenie przez dostawcę usług płatniczych, że transakcja była wykonana po prawidłowym uwierzytelnieniu (gdyż jak twierdzi dostawca, np. podano prawidłowe login, hasło oraz autoryzowano jej wykonanie właściwym kodem z SMS-a) nie jest podstawą do odmowy zwrotu kwoty transakcji w sytuacji wystąpienia nieautoryzowanej transakcji płatniczej, stwierdzonej przez użytkownika. W przypadku stwierdzenia jednak, że klient sam autoryzował daną transakcję, tj. że wyraził na nią zgodę, dostawca usług płatniczych może odmówić zwrotu kwoty transakcji po dokonaniu zgłoszenia usiłowania oszustwa ze strony użytkownika organom ścigania.

Dlatego też przed zgłoszeniem dostawcy usług płatniczych danej transakcji płatniczej jako nieautoryzowanej i żądaniem zwrotu kwoty tej transakcji musisz mieć pewność, że nie jest to transakcja, na którą wyrażona została przez Ciebie zgoda (np. subskrypcja, zlecenie stałe, opłata pobrana automatycznie za określoną usługę). W przeciwnym przypadku Twoje zgłoszenie i żądanie zwrotu kwoty może zostać potraktowane przez dostawcę usług płatniczych jako usiłowanie oszustwa, a Tobie może grozić odpowiedzialność karna.

12. Czy dostawca usług płatniczych (np. bank) może odmówić zwrotu kwoty transakcji, której nie autoryzowałeś, jeśli uzna, że oszuści zdobyli dane uwierzytelniające wskutek Twojego rażącego niedbalstwa?

W większości przypadków dostawca usług płatniczych nie będzie w stanie w ustawowym terminie na zwrot kwoty transakcji rzetelnie ocenić, czy Twoje działanie może być oceniane jako rażące niedbalstwo i czy doprowadziło ono do wystąpienia nieautoryzowanej transakcji płatniczej. W takiej sytuacji dostawca usług płatniczych najpierw powinien dokonać zwrotu kwoty nieautoryzowanej transakcji, a dopiero potem – w przypadku stwierdzenia Twojego rażącego niedbalstwa – wystąpić do Ciebie o zapłatę kwoty, którą Ci wcześniej zwrócił.

Mogą jednak wystąpić sytuacje, kiedy dostawca usług płatniczych w terminie dnia roboczego następującego po dniu dokonania przez Ciebie zgłoszenia będzie w stanie ustalić, że jego zdaniem dopuściłeś się rażącego niedbalstwa. Jeżeli jednak zaprzeczasz dopuszczenia się rażącego niedbalstwa – dostawca usług płatniczych powinien zwrócić Ci kwotę nieautoryzowanej transakcji płatniczej. Musisz jednak liczyć się z tym, że dostawca usług płatniczych wystąpi do Ciebie o zwrot tej kwoty. W przypadku braku zwrotu z Twojej strony dostawca usług płatniczych będzie mógł wystąpić do sądu, który następnie oceni, czy w okolicznościach dokonania danej transakcji można oceniać Twoje zachowanie jako rażące niedbalstwo, w wyniku czego doprowadziłeś do wystąpienia nieautoryzowanej transakcji płatniczej, a tym samym czy odpowiadasz za wystąpienie nieautoryzowanej transakcji płatniczej i musisz zwrócić dostawcy usług płatniczych kwotę transakcji.

13. Czy jeśli padłeś ofiarą oszustwa, w wyniku którego oszuści uzyskali dostęp do Twoich danych uwierzytelniających, dostawca usług płatniczych (np. bank) może powołać się na rażące niedbalstwo?

Dostawca usług płatniczych, po dokonaniu zwrotu kwoty nieautoryzowanej transakcji płatniczej, powinien każdorazowo zbadać, czy wskutek ewentualnego rażącego niedbalstwa z Twojej strony doprowadziłeś do utraty przez Ciebie danych uwierzytelniających i w efekcie utraty środków wskutek nieautoryzowanej transakcji.

Jednak nie każde Twoje działanie będzie nosić znamiona rażącego niedbalstwa – obecnie oszuści stosują coraz bardziej wyrafinowane techniki oszustw, coraz lepiej wzbudzają zaufanie użytkowników (konsumentów), strony internetowe są podrabiane w coraz bardziej wymyślny i trudniejszy do zidentyfikowania fałszerstwa sposób. Zatem dostawcy usług płatniczych nie mogą automatycznie w każdym przypadku twierdzić, że doprowadziłeś do wykonania nieautoryzowanej transakcji płatniczej wskutek rażącego niedbalstwa.

14. Czy kwestia rzekomej nieprawidłowej implementacji przepisów dyrektywy PSD2 ma wpływ na obowiązek zwrotu przez dostawców usług płatniczych (np. banki) kwot skradzionych z rachunków wskutek dokonania nieautoryzowanych transakcji?

Kwestionowany przez sektor dostawców usług płatniczych przepis (art. 45 ust. 1 i 2 ustawy o usługach płatniczych) nie wpływa bezpośrednio na obowiązek zwrotu przez dostawcę usług płatniczych kwoty nieautoryzowanej transakcji płatniczej w przypadku jej wystąpienia.

Istotne jest rozróżnienie ustawowego obowiązku zwrotu przez dostawcę usług płatniczych kwoty nieautoryzowanej transakcji w tzw. terminie D+1 (koniec następnego dnia roboczego po dniu powzięcia informacji o nieautoryzowanej transakcji płatniczej) od finalnie ustalonej  odpowiedzialności dostawcy usług płatniczych czy klienta. Kluczowe przy tym jest użycie sformułowania „odpowiada”, a nie np. „dostawca płatnika nie dokonuje zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza”. Czym innym jest bowiem odpowiedzialność dostawcy usług płatniczych lub klienta, a czym innym – obowiązek zwrotu kwoty transakcji.

W ocenie Prezesa UOKiK oraz Rzecznika Finansowego, sektor dostawców usług płatniczych dąży do sytuacji, w której dostawcy usług płatniczych mogliby arbitralnie odmawiać klientom zwrotu środków skradzionych z ich rachunków w sytuacji, gdy użytkownik (np. konsument) zgłasza, że nie autoryzował takiej transakcji, powołując się jedynie na weryfikację przez nich prawidłowego uwierzytelnienia w systemie bankowym (w praktyce np. prawidłowy login oraz kod PIN). Takie działanie służy do doprowadzenia do sytuacji, która będzie niezgodna z ratio legis dyrektywy PSD2.