Rzecznik Finansowy obserwuje zróżnicowane praktyki dostawców usług płatniczych, jakimi są banki w zakresie interpretacji przepisów ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz.U. z 2020 r. poz. 794, dalej u.u.p. lub ustawa o usługach płatniczych).
Bank pełni wyjątkową rolę gwaranta środków pieniężnych. Rola ta ma szczególny wymiar w zakresie realizowania przez bank obowiązków ustawowych jako dostawcy usług płatniczych. Na tle problematyki nieautoryzowanych transakcji, którą istotnie polski ustawodawca uregulował wprowadzając szereg obowiązków ustawowych w odniesieniu do dostawcy usług płatniczych dążąc do ochrony płatnika – klienta podmiotu rynku finansowego – wyłania się szereg istotnych problemów, które zbadał w niedawnym czasie Rzecznik Finansowy.
Do Biura Rzecznika Finansowego wpływa coraz więcej wniosków o interwencję dotyczących nieautoryzowanych transakcji płatniczych. Rosnąca liczba skarg może sugerować, że nie wszystkie funkcjonujące na polskim rynku banki rzetelnie dostosowały swoje procedury do stanu prawnego obowiązującego od dnia wejścia w życie zmian związanych z implementacją dyrektywy PSD II – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.U.UE.L.2015.337.35 z dnia 2015.12.23 ze zm.).
Analizując przyczyny rosnącej liczby skarg na banki działające jako dostawcy usług płatniczych Rzecznik Finansowy prowadził również rozważania, czy aktualna sytuacja epidemiologiczna w Polsce i związaną z nią kwestia przepływu informacji, a także ograniczenia w prowadzeniu działalności gospodarczej oraz wykonywaniu pracy zarobkowej i w wielu przypadkach przeniesienie ciężaru aktywności do przestrzeni teleinformatycznej – może stanowić sprzyjające środowisko dla przestępstw popełnianych w cyberprzestrzeni, takich jak właśnie przestępstwa związane z transakcjami płatniczymi nieautoryzowanymi przez płatników. W związku z powyższym, Rzecznik Finansowy zwrócił się do działających na polskim rynku banków w celu uzyskania wyjaśnień, które stały się kanwą dla niniejszej analizy aktualnej sytuacji rynkowej i bezpieczeństwa na rynku płatniczym zarówno uwzględniającej elementy typowe dla problematyki nieautoryzowanych transakcji, jak i szczególne, mogące się wiązać z sytuacją epidemiologiczną wywołaną COVID-19.
Zaznaczenia przy tym wymaga, że od początku działalności Rzecznika Finansowego liczba wniosków o interwencję w tego typu sprawach z roku na rok znacznie wzrasta. Prośby o interwencję dotyczą przede wszystkim kradzieży środków z rachunku bankowego dostępnego przez Internet czy obciążenia konta karty kredytowej lub debetowej bez wiedzy klienta, a także innych jeszcze zagadnień, które zostaną opisane w niniejszym opracowaniu. Przy tym wskazać należy, że klienci banków najczęściej skarżą się na odmowę niezwłocznego zwrotu utraconych w wyniku nieautoryzowanych transakcji środków pieniężnych. Tymczasem wspomniana już na wstępie dyrektywa PSD II oraz ustawa u.u.p. wprowadzają tzw. zasadę D+1. Zgodnie z nią zwrot środków pieniężnych utraconych w wyniku nieautoryzowanych transakcji powinien trafić na konto klienta niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji.
Poprzedni raport Rzecznika Finansowego (https://rf.gov.pl/pdf/RF_Analiza_Nieautoryzowane_trasnsakcje_czerwiec2019.pdf) był przygotowywany w okresie, w którym niemal każdego dnia roboczego trafiał przynajmniej jeden wniosek o wszczęcie postępowania interwencyjnego w sprawie nieautoryzowanej transakcji płatniczej. Obecnie wniosków takich napływa jeszcze więcej. Prośby o interwencję dotyczą kradzieży środków pieniężnych z rachunku bankowego dostępnego przez Internet czy obciążenia konta karty kredytowej lub debetowej bez wiedzy klienta. Liczba skarg dotyczących nieautoryzowanych transakcji, które wpływają do Biura Rzecznika rośnie systematycznie od 2016 r. W 2019 r. liczba wniosków wyniosła 612 , wobec 367 w 2018 r., co oznacza wzrost o prawie 60%. Dane za pierwsze półrocze tego roku wskazują na utrzymanie się tego trendu. W tym czasie trafiło do Rzecznika Finansowego 416 wniosków, czyli więcej niż w całym 2018 r.
Poniżej prezentujemy statystyki dotyczące wpływających do Rzecznika Finansowego skarg na wszystkie nieautoryzowane transakcje.
Nie tylko liczba wniosków dotycząca tego problemu świadczy o jego istotności. Wyodrębnienie tych spraw wedle kategorii naruszeń daje alarmujące statystyki. Tylko w pierwszym półroczu 2020 r. wnioski dotyczące nieautoryzowanych transakcji stanowiły aż 80% wszystkich wniosków związanych z naruszeniem ustawy o usługach płatniczych. W tym kontekście, zdaniem Rzecznika Finansowego, nie wszyscy dostawcy usług płatniczych postępują prawidłowo i nie wszystkie banki stosują się do treści przepisów powszechnie obowiązujących.
Dążąc do zidentyfikowania źródeł skarg klientów jak i weryfikacji zauważonych trendów w przedmiocie nieautoryzowanych transakcji Rzecznik Finansowy wystąpił do banków jako dostawców usług płatniczych celem uzyskania szczegółowych wyjaśnień oraz informacji statystycznych dotyczących skali tego problemu. Zakres pytań obejmował kwestie unormowane w ustawie o usługach płatniczych (głównie dotyczące realizacji obowiązku wynikającego z art. 46 ust.1 u.u.p.) oraz miał na celu zbadanie zagrożeń na rynku w związku z sytuacją wywołaną epidemią COVID-19.
Celem tego opracowania jest podsumowanie obserwacji Rzecznika Finansowego odnoszących się zarówno do praktyk dostawców usług płatniczych zidentyfikowanych na poziomie rozpatrywania skarg klientów jakie trafiają w wyniku odmowy uznania ich reklamacji, jak również odnoszących się do przyjętych przez bank założeń systemowych (polityki wewnętrznej) i stosowanych procedur. Jednocześnie Rzecznik Finansowy oczekuje, że sformułowane w niniejszej analizie wnioski przyczynią się do wyeliminowania nieprawidłowych – zdaniem Rzecznika Finansowego – praktyk niektórych dostawców usług płatniczych w zakresie nieautoryzowanych transakcji, a tym samym wpłyną na zwiększenie ochrony płatnika – klienta podmiotu rynku finansowego.
Stan prawny po implementacji dyrektywy PSD II
Od początku obowiązywania ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych, tj. od 24 października 2011 r. polski ustawodawca nałożył na dostawców usług płatniczych ustawowy obowiązek zwrotu kwoty nieautoryzowanej transakcji wyrażony w normie art. 46 ust. 1 u.u.p..
W wyniku wdrożenia dyrektywy PSD II zmianie uległ przepis art. 46 u.u.p.. Do dnia 20 czerwca 2018 r. w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika był obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Zgodnie z nowym brzmieniem art. 46 ust. 1 u.u.p.. w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej – z wyjątkiem przypadku, gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.
Z przepisu art. 46 ust. 1 u.u.p. po nowelizacji wynika przede wszystkim, że ustawodawca krajowy, w ślad za ustawodawcą unijnym, wprowadził obowiązek bezwarunkowego zwrotu kwoty nieautoryzowanej transakcji płatnikowi przez dostawcę, w przypadku zgłoszenia przez płatnika wystąpienia nieautoryzowanej transakcji lub stwierdzenia przez dostawcę tego faktu. Zdaniem Rzecznika Finansowego są tylko dwa wyjątki od zasady bezwarunkowego zwrotu środków klientowi. Po pierwsze, udokumentowane podejrzenie oszustwa i zawiadomienie organów ścigania. Po drugie, niedochowanie przez klienta terminu zgłoszenia nieautoryzowanej transakcji.
W tym kontekście wskazać należy, iż przesłanką wyłączającą obowiązek dostawcy niezwłocznego zwrotu kwoty nieautoryzowanej transakcji płatniczej jest przekroczenie przez płatnika ustawowego terminu na zgłoszenie nieautoryzowanej transakcji. Użytkownik powinien powiadomić niezwłocznie dostawcę o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych. Jeżeli z jakichś względów użytkownik nie dokona zgłoszenia w terminie maksymalnie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, to po upływie tego terminu roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają (art. 44 ust. 1 i 2 u.u.p.). Co oznacza, że dostawca może się wówczas uchylić od zwrotu użytkownikowi kwoty nieautoryzowanej transakcji.
Zgodnie z ustawą transakcja płatnicza to zainicjowana przez płatnika lub odbiorcę wpłata, transfer lub wypłata środków pieniężnych (art. 2 pkt 29 u.u.p.).
Pojęcie nieautoryzowanej transakcji płatniczej
Ustawa o usługach płatniczych nie zawiera definicji legalnej pojęcia nieautoryzowanej transakcji płatniczej. Zgodnie natomiast z art. 40 ust. 1 u.u.p. transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. A contrario, z nieautoryzowaną transakcją płatniczą mamy do czynienia w sytuacji, gdy płatnik nie wyraził na nią zgody.
W wyniku wdrożenia dyrektywy PSD II od dnia 20 czerwca 2018 r. doprecyzowano także, że niezwłoczny zwrot winien nastąpić w tzw. terminie D+1, czyli nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji.
Art. 46 ust. 1 u.u.p. stanowi źródło ochrony i praw płatnika w zakresie nieautoryzowanych transakcji, bowiem to ten przepis prawny określa, jak powinien zachować się dostawca usług płatniczych w przypadku wystąpienia nieautoryzowanej transakcji. Hipoteza i dyspozycja tej normy prawnej jest precyzyjna. Podkreślić także należy, że z brzmienia przepisu wynika, że obowiązek określonego zachowania się przez dostawcę wobec płatnika – zwrotu kwoty nieautoryzowanej transakcji – inicjuje chwila wystąpienia nieautoryzowanej transakcji. W hipotezie normy prawnej nie odwołano się do kwestii oceny transakcji przez dostawcę usług płatniczych. Początek biegu terminu dla realizacji obowiązku zwrotu kwoty (terminu D+1) nie powinien być zatem łączony z zachowaniem się banku jako dostawcy usług płatniczych.
Nie bez znaczenia dla przyjęcia takich właśnie zasad postępowania w przypadku nieautoryzowanej transakcji płatniczej jest przerzucenie ciężaru dowodu większości istotnych okoliczności dotyczących ustalenia zasad odpowiedzialności płatnika – na dostawcę. Zgodnie bowiem z art. 45 ust. 1 u.u.p. na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Analogicznie odpowiedzialność spoczywa na dostawcy inicjującym transakcję płatniczą.
Wskazane poniżej przepisy statuują następujące główne zasady w relacji płatnik – dostawca usług płatniczych i zakresu odpowiedzialności dostawców z tytułu wystąpienia nieautoryzowanych transakcji:
- obowiązek bezwarunkowego zwrotu środków klientowi w przypadku wystąpienia nieautoryzowanej transakcji (art. 46 ust. 1 u.u.p.),
- zwrot tych środków w terminie D+1 (art. 46 ust. 1 u.u.p.) oraz
- ustalenie zasad ewentualnej odpowiedzialności płatnika za nieautoryzowaną transakcję następuje dopiero po zwrocie środków (art. 46 u.u.p., art. 42 u.u.p.).
Ostatnia zasada oznacza, że w przypadku wystąpienia nieautoryzowanej transakcji płatniczej – z uwagi na obowiązek bezwarunkowego i niezwłocznego zwrotu przez dostawcę kwoty nieautoryzowanej transakcji płatniczej – w pierwszej kolejności powinien nastąpić zwrot środków płatnikowi, a następnie – w wyniku ustalenia zakresu odpowiedzialności płatnika za nieautoryzowaną transakcję płatniczą – dostawca może wystąpić do płatnika z roszczeniem o zwrot całości lub części kwoty nieautoryzowanej transakcji płatniczej (w zależności od stopnia odpowiedzialności). Jeśli zaistnieje spór może być on procedowany przed sądem, natomiast bank nie posiada prawa do arbitralnego ustalenia odpowiedzialności płatnika.
Postępowanie dostawców usług płatniczych
Analiza otrzymanych odpowiedzi banków będących dostawcami usług płatniczych, uzyskane dane statystyczne i wyjaśnienia w zakresie stosowanych wewnętrznych procedur pozwoliły na sformułowanie postulatów Rzecznika Finansowego mających na celu zwiększenie bezpieczeństwa i realizacji praw płatnika w kontekście problematyki nieautoryzowanych transakcji.
Skala problemu
Kluczowym rozwiązaniem w zakresie nieautoryzowanych transakcji płatniczych jest obowiązek bezwarunkowego zwrotu środków pieniężnych klientowi w terminie D+1. Porównanie ilości zgłoszeń dotyczących nieautoryzowanych transakcji ze sposobem ich rozpatrzenia przez poszczególne banki wskazuje na wysokie zróżnicowanie praktyk banków w zakresie procedowania w tej materii. Część banków implementowała do wewnętrznych procedur konieczność respektowania obowiązku zwrotu kwoty tytułem nieautoryzowanej transakcji. Niektóre banki obowiązek ten potraktowały jednak marginalnie, stosując praktyki, które zdaniem Rzecznika sprzeczne są z przepisami prawa polskiego i europejskiego.
Niektóre z uzyskanych odpowiedzi banków należy traktować jako niepokojący sygnał braku realizacji podstawowych obowiązków nałożonych mocą ustawy o usługach płatniczych (co zdaniem Rzecznika jest w sposób oczywisty niezgodne z dyrektywami unijnymi).
Przykładem jest jeden z banków, który wśród przedstawionych danych statystycznych wskazuje, iż na kilkaset zgłoszeń dotyczących nieautoryzowanych transakcji w danym okresie, zaledwie kilka zakończył zwrotem środków płatnikowi w terminie D+1. W tym przypadku, zdaniem Rzecznika, zgodnie z treścią cytowanych w niniejszej analizie przepisów – rozpatrzono zatem jedynie kilka procent wszystkich zgłoszonych nieautoryzowanych transakcji do tego podmiotu rynku finansowego. Znacznie lepiej sytuacja kształtuje się w kategorii spraw, w których bank zwrócił kwotę nieautoryzowanej transakcji, ale dokonał tego w terminie innym niż „D+1” tj. terminie późniejszym niż do końca następnego dnia roboczego po wystąpieniu/zgłoszeniu nieautoryzowanej transakcji, o którym mowa w treści cytowanych przepisów. Takie dane wyraźnie jednak świadczą o tym, że brak realizacji ustawowego obowiązku przez bank nie mógł wynikać z okoliczności przez niego niezależnych, lecz można go wiązać z naruszeniem ustawy i brakiem implementacji odpowiedzialności dostawcy usług płatniczych do wewnętrznych procedur tego banku.
Liczba zgłoszeń dotyczących nieautoryzowanych transakcji na podstawie ankiet przekazanych do Rzecznika Finansowego przez banki reprezentujące ponad 46% aktywów sektora bankowego:
Analiza danych przedstawionych przez banki daje także pozytywne obserwacje. Wydaje się, że na polskim rynku usług płatniczych można odróżnić banki, które obowiązek bezwarunkowego zwrotu środków pieniężnych z tytułu nieautoryzowanej transakcji płatniczej wpisały w stałą zasadę procedowania. Rzecznikowi Finansowemu przedstawiono bowiem także dane statystyczne banków, w których znacząca część spraw zainicjowanych wystąpieniem nieautoryzowanej transakcji płatniczej zakończyła się zwrotem środków pieniężnych – zazwyczaj w ustawowym terminie D+1 (nawet 90 %). Jedynie kilka procent zgłoszeń w tym zakresie nie zakończyło się dla płatnika zwrotem środków pieniężnych. W tych okolicznościach nie sposób przypisywać marginalizowania ustawowych obowiązków nałożonych na dostawców usług płatniczych wszystkim działającym w sektorze bankowym podmiotom jednakowo. Podkreślenia, jednakże wymaga, że dokonanie zwrotu w ustawowym terminie D+1 nie stanowi zasady wpisanej w standard działania wszystkich dostawców usług płatniczych.
Przekazane przez podmioty rynku finansowego dane pozwoliły także na zidentyfikowanie źródeł problemów, w których zwrot środków pieniężnych płatnikowi z tytułu wystąpienia nieautoryzowanych transakcji w terminie D+1 jednak nie następuje. Pierwsza kategoria takich spraw może być zależna od banku, który posiada pojedyncze opóźnienia wynikłe z obsługi operacyjnej danej sprawy. Drugą wskazaną kategorią spraw, w których zachodzi niemożność zachowania ustawowego terminu w ocenie banku to brak możliwości zablokowania transakcji (w związku z ich rozliczaniem przez zewnętrzne instytucje rozliczające). Wskazano także, że specyfika działania i rozliczania transakcji kartami kredytowymi w jednym z banków może być opóźniona z uwagi na okoliczność, iż bank nie posiada własnego centrum rozliczeniowego kart. Ostatnia, z najczęstszych przyczyn przekroczenia terminu D+1 związana jest z zachowaniem samego płatnika, który zgłaszając nieautoryzowaną transakcję płatniczą, czyni to nieprecyzyjnie lub mylnie, co rodzi konieczność zwrócenia się o dodatkowe dane.
Pozyskane przez Rzecznika Finansowego od podmiotów rynku finansowego dane, charakteryzują się wysokim zróżnicowaniem (niezależnie od wielkości aktywów banku, czy ilości transakcji płatniczych), co może świadczyć o tym, że źródłem niskiego bądź wysokiego udziału zgłoszeń zakończonych pozytywnie dla płatnika jest ustalona w tym zakresie polityka banku.
Co niezwykle istotne, procedura zwrotu kwot z tytułu wystąpienia nieautoryzowanych transakcji w terminie D+1 może dostatecznie funkcjonować, o ile dostawca usług płatniczych rzetelnie dostosuje procedury rozpoznawania takich zgłoszeń. Sprostanie dyspozycji art. 46 ust. 1 u.u.p. wymaga po pierwsze odrębnej procedury/ jednostki banku dla rozpoznawania spraw nieautoryzowanych transakcji, a po drugie odrzucenia założenia, że bank jest arbitrem we własnej sprawie i po jego stronie leży ocena czy transakcja była autoryzowana.
Nieautoryzowane transakcje płatnicze a podejrzenie popełnienia przestępstwa
Odpowiedzi banków wskazują, że rzadko występują one w roli zawiadamiającego o możliwości popełnienia przestępstwa w związku z wystąpieniem nieautoryzowanej transakcji. Porównując dane uzyskane od banków z informacjami uzyskanymi w toku spraw interwencyjnych procedowanych przed Rzecznikiem jasno można wskazać, że to płatnik zazwyczaj występuje w roli denuncjatora. Taka sytuacja nie jest niczym niezwyczajnym. To bowiem płatnik zazwyczaj pierwszy dowiaduje się o „zniknięciu pieniędzy z konta bankowego” i czując się osobą pokrzywdzoną kieruje zawiadomienie do organów ścigania. Fakt ten zgłasza także do banku.
Wśród uzyskanych odpowiedzi uwagę zwraca polityka jednego z banków opierająca się na założeniu, że wszelkie sprawy związane z nieautoryzowanymi transakcjami i będące przedmiotem postępowania karnego zostały rozstrzygnięte na korzyść klienta – w takich przypadkach zostały zwrócone pieniądze. Rzecznik aprobuje takie podejście i oczekuje, że również inni dostawcy zmodyfikują swoje praktyki w takim kierunku. Można bowiem uznać, że taka polityka opiera się na złożeniu, że w sytuacji, gdy transakcja dokonywana jest na podstawie działań podjętych przez inne niż płatnik osoby – np. gdy dane uwierzytelniające i autoryzujące udostępnione zostały osobom nieuprawnionym w wyniku podejmowanych przez nie działań o charakterze przestępczym, co prowadzi do inicjacji transakcji płatniczej przez osoby trzecie wbrew woli (lub bez wiedzy) płatnika przy użyciu instrumentu płatniczego, którego płatnik jest posiadaczem, nie można mówić o zgodzie płatnika na jej przeprowadzenie w rozumieniu art. 40 u.u.p.. Przyjmując pogląd, że w takim wypadku nie mamy do czynienia z wyrażeniem zgody w rozumieniu art. 40 ust. 1 u.u.p., konsekwentnie transakcje płatniczą należy uznać za nieautoryzowaną ze wszelkimi skutkami z tego wynikającymi (w tym w szczególności z art. 46 ust. 1 u.u.p.).
Jakkolwiek banki nie posiadają informacji odnośnie wszystkich postępowań karnych związanych ze zgłoszonymi nieautoryzowanymi transakcjami, kończą się one zazwyczaj umorzeniem postępowania. Wynika to najprawdopodobniej z charakteru tego rodzaju przestępstw, gdzie wykrycie sprawcy jest utrudnione.
Analiza
Analiza wpływających do Rzecznika Finansowego zgłoszeń dotyczących nieautoryzowanych transakcji i sposobu ich procedowania skłania do wniosku, że na polskim rynku usług płatniczych nie wszystkie banki dostosowały swoje praktyki do przepisów powszechnie obowiązujących. Niektóre banki lekceważą dyspozycję art. 46 ust. 1 u.u.p., inne zaś zaimplementowały ją z lepszym bądź gorszym skutkiem w wewnętrzne procedury. Takie zróżnicowanie jest wysoko niepokojące bowiem świadczy o tym, że sposób obsługi klienta banku jako płatnika i sposób procedowania jego roszczeń zależny jest nie od czynników obiektywnych, lecz od wewnętrznej polityki banku. Za alarmujące można uznać, przypadki banków działających na podstawie ustawy prawo bankowe, posiadających znaczącą ilość aktywów i klientów komercyjnych, które podają dane statystyczne, wedle których jedynie niewielki odsetek wszystkich spraw zainicjowanych zgłoszeniem nieautoryzowanych transakcji zakończyło się dla płatnika zwrotem środków pieniężnych w ustawowym terminie.
Niektóre przedstawione przez banki dane dają jednak dość satysfakcjonujący obraz implementacji zasad odpowiedzialności dostawców usług płatniczych w ich wewnętrzne procedury. Rzecznik dostrzega również, że terminowy sposób procedowana nieautoryzowanych transakcji, choć powinien być inicjowany w momencie wystąpienia nieautoryzowanej transakcji, to jego zakończenie następnego dnia roboczego może być niemożliwe z przyczyn leżących po stronie samego płatnika zgłaszającego nieautoryzowaną transakcję płatniczą. Procedura ta wymaga bowiem wskazania konkretnych danych i nie sposób zarzucać bankom, że oczekują precyzyjnych, spójnych informacji zanim dokonają zwrotu środków. Przyjęcie wpływu czynnika ludzkiego czy operacyjnego na sposób procedowania ma jednak wpływ marginalny. To od polityki wewnętrznej banku przede wszystkim zależy jaką rzeczywiście ochroną zostaną objęci płatnicy – klienci tego banku. Zdaniem Rzecznika praktyki takie nie są prawidłowe. Płatnikowi powinien przysługiwać bowiem jednolity poziom ochrony ukształtowany na podstawie kryteriów obiektywnych i przepisów prawa, a nie w oparciu o politykę podmiotu rynku finansowego.
Specyfika zgłoszeń nieautoryzowanych transakcji wymagająca zachowania przez dostawców terminu D+1 skłania do refleksji, że takie zgłoszenia powinny być przekazywane do odrębnej jednostki banku. Traktowanie bowiem takich zgłoszeń w obrębie np. ogólnego działu zajmującego się rozpatrywaniem reklamacji klientów, który zasadniczo ma 30 dni lub 15 dni roboczych na przygotowanie odpowiedzi na reklamację, może powodować, że takie zgłoszenia będą traktowane jak reklamacje podlegające reżimowi rozpatrzenia ich w terminie 30 dni podczas gdy takimi nie są. Ustawa o usługach płatniczych wprowadziła zasadę, że dostawca udziela odpowiedzi na reklamację w terminie 15 dni roboczych od dnia jej otrzymania. Sam fakt zgłoszenia/wystąpienia nieautoryzowanej transakcji inicjuje bieg krótkiego terminu D+1, co uzasadnia konieczność istnienia odrębnej jednostki identyfikującej takie zdarzenia i uruchamiającej realizację obowiązku zwrotu środków pieniężnych poprzez szybkie procedowanie.
Porównanie skali problemu ze sposobem monitoringu bezpieczeństwa transakcji wskazuje, że brak wyspecjalizowanej jednostki w ramach struktury banku zajmującej się rozpoznawaniem zgłoszeń związanych wyłącznie z nieautoryzowanymi transakcjami wpływa na odsetek spraw kończących się dla klienta negatywnie.
Rzecznik oczekuje, że ta kolejna już ocena problemów związanych z nieautoryzowanymi transakcjami płatniczymi przyczyni się do zmiany lub ulepszenia praktyki dostawców usług płatniczych i zwiększenia bezpieczeństwa transakcyjnego oraz, że takie właśnie działania zostaną podjęte przez dostawców usług płatniczych celem zapewnienia pełnej realizacji roli gwaranta depozytów i instytucji zaufania publicznego, jaką jest bank, a tym samym przyczyni się do pogłębienia zaufania klientów do podmiotów rynku finansowego i pełniejszej ochrony ich praw.
System monitorowania bezpieczeństwa
Informacje przedstawione przez banki w zakresie bezpieczeństwa transakcji świadczą o posiadaniu stosownych systemów monitorowania, a także niejednokrotnie chęci ich ulepszania i dążeniem do lepszego przekazu informacyjno-edukacyjnego skierowanego do płatników. Złożone wyjaśnienia w znacznej mierze dotyczyły wzmocnienia bezpieczeństwa transakcji, wynikłego z wprowadzenia tzw. silnego uwierzytelniania transakcji z uwagi na podleganie zasadom dyrektywy PSD II. Dotychczas stosowanie silnego uwierzytelniania klienta było przedmiotem rekomendacji wydawanych m.in. przez EBC (tzw. SecurePay), EBA czy KNF, aktualnie jest to obowiązek dostawcy usług płatniczych. Silne uwierzytelnianie to wzmocnienie bezpieczeństwa transakcji poprzez uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest użytkownik), niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnianie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających. Najczęściej banki stosują podwójne uwierzytelnianie w oparciu o czynnik wiedzy i posiadania, jednak stosowane są także elementy biometrii.
Wdrożenie nowych zasad związanych z silnym uwierzytelnianiem nie nastąpiło całkowicie wobec wszystkich transakcji płatniczych. Banki skorzystały z wyłączeń od ich stosowania, bądź z uwagi na indywidualną zgodę organu nadzorczego zostały wdrożone później. W tym zakresie, udzielone przez podmioty rynku finansowego na wystąpienie Rzecznika odpowiedzi nie budzą wątpliwości w zakresie minimum czynności jakie dostawca powinien opatrzyć wymogiem stosowania silnego uwierzytelniania przez klienta.
Większość udzielanych przez banki odpowiedzi wskazuje jednak, że wciąż motywem wprowadzonych bądź planowanych zmian w zakresie sposobu zlecania i przeprowadzania transakcji jest szybkość i łatwość dostępu do usług bankowości elektronicznej. Banki wskazują, że jako dostawcy usług płatniczych kierują się względem wygody swoich klientów, którzy coraz chętniej korzystają z udogodnień technologicznych. Może być to podyktowane komercyjną chęcią zatrzymania dotychczasowego klienta i pozyskania nowych klientów zachęcanych usługami świadczonymi w sposób nowoczesny i łatwy w obsłudze.
Wraz z trendem do zwiększenia łatwości i szybkości dostępu do kanału bankowości elektronicznej i transakcji płatniczych banki stale koncentrują się na zwiększeniu poziomu bezpieczeństwa transakcyjnego. Opis całego systemu monitoringu bezpieczeństwa wskazuje, że monitorowane są wszystkie transakcje płatnicze, a monitoring jest stosowany w czasie rzeczywistym w trybie detekcji i prewencji. Tak sformułowane oceny ryzyka transakcji pozwalają na uruchamianie automatycznych mechanizmów bezpieczeństwa. Wskazano także na działanie wyspecjalizowanej jednostki zajmującej się zarządzaniem ryzykiem nadużyć, które analizują zgłaszane nieautoryzowane transakcje celem stałego wzmacniania mechanizmów antyfraudowych działających w banku. Funkcjonowanie automatycznych rozwiązań jak i wyspecjalizowanych jednostek analitycznych świadczy o tym, że zasadniczo, banki rozumieją istotę problemu i konieczność respektowania zasady, wedle której bezpieczeństwo to chęć uzyskania wiedzy jak być o krok przed przestępcami.
Pozytywny aspekt łączący się z wdrożeniem silnego uwierzytelniania to wymóg jego stosowania wobec zmiany limitów transakcji. Zasadniczo banki umożliwiają zmiany limitów transakcyjnych przez samego płatnika. Zazwyczaj jednak stosują większe obostrzenia. Odnotowano przypadek braku umożliwienia zmiany limitu transakcji przez klienta, z wyłączeniem sytuacji przelewów pomiędzy rachunkami własnymi płatnika. Zaostrzenia w tym zakresie Rzecznik ocenia pozytywnie.
Podsumowanie
Przeprowadzone przez Rzecznika Finansowego badanie pozwala wyciągnąć następujące wnioski:
- dane ilościowe wskazują na istotność problemu nieautoryzowanych transakcji na rynku finansowym;
- znacząca część banków nie stosuje w swoich praktykach zasady zwrotu kwoty w przypadku nieautoryzowanej transakcji w ustawowym terminie (D+1);
- znacząca część nieautoryzowanych transakcji nie jest zwracana klientom pomimo istnienia takiego obowiązku ustawowego;
- dotychczasowe działania instytucji państwowych w tym zakresie okazały się niewystarczające, albowiem skala problemu pozostaje na nieakceptowalnie wysokim poziomie.