Niebezpiecznik opisuje ciekawą sytuację, która wskazuje, że osoby, które padły ofiarą phishingu, czego efektem była kradzież pieniędzy z konta, mogą domagać się ich zwrotu od banku. Jednak istotny jest jeden element – chodzi o dokładne czytanie wiadomości SMS. To może być podstawą, by zachowanie klienta nie zostało uznane za rażące niedbalstwo, bo w tym przypadku z pieniędzmi na zawsze można się pożegnać.
Spis treści
Kradzież pieniędzy z konta: obowiązki banku
Co dzieje się, gdy z naszego konta bankowego zostaną ukradzione pieniądze? Przepisy są jasne. W myśl art. 46 ustawy o usługach płatniczych to na banku spoczywa prawny obowiązek zwrotu pieniędzy, których utrata była następstwem nieautoryzowanej transakcji płatniczej (tj. takiej, na którą płatnik nie wyraził na nią zgody). Warto dodać, że na autoryzację składają się dwa elementy:
- Zgoda płatnika na dokonanie transakcji,
- Prawidłowe uwierzytelnienie, mające na celu potwierdzenie tożsamości płatnika.
Jeśli obydwie przesłanki nie zostały łącznie spełnione, transakcję taką należy uznać za nieautoryzowaną.
Co więcej, bank ma obowiązek zwrócić utracone środki maksymalnie do końca dnia roboczego następującego po dniu nieautoryzowanej transakcji. Dodatkowo to na banku spoczywa ciężar udowodnienia autoryzacji transakcji.
Bez wątpienia klient nie powinien być stroną, która w wypadku utraty środków jest niejako podwójnie pokrzywdzona: po pierwsze, gdy dokonana została na jego szkodę nieautoryzowana transakcja i stracił środki, a po drugie, gdy bank odmawia mu zwrotu środków w tzw. terminie D+1.
dr Bohdan Pretkiel, Rzecznik Finansowy
Środki powinny wrócić w ciągu jednego dnia
Stanowisko to popiera Prezes UOKiK, który stwierdza, że obowiązek zwrotu płatnikowi kwoty transakcji płatniczej powstaje po stronie dostawcy w momencie zgłoszenia dostawcy usług płatniczych przez płatnika, że nie autoryzował danej transakcji płatniczej. Dostawca usług płatniczych jest obowiązany niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po zgłoszeniu, do dokonania zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza.
Od tej zasady są następujące wyjątki:
- dostawca usług płatniczych posiada uzasadnione i udokumentowane podejrzenie, że zgłoszenie płatnika stanowi próbę oszustwa;
- od dnia dokonania kwestionowanej przez płatnika transakcji
upłynęło więcej niż 13 miesięcy.
Nawet jeśli bank podejrzewa, że płatnik doprowadził do nieautoryzowanej transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia, nie stanowi przesłanki do odmowy zwrotu płatnikowi kwoty nieautoryzowanej transakcji. W takim przypadku dostawca usług płatniczych
może wystąpić względem płatnika z roszczeniem o zapłatę. W tym przypadku, jeśli płatnik nie zgadza się z oceną banku co do jego winy (tj. dopuszczenia się rażącego niedbalstwa), ocena okoliczności powinna być dokonana przez sąd.
Najczęściej skuteczna jest tylko droga sądowa
W praktyce jest to trudne do wyegzekwowania. Banki ignorują wezwania do zwrotu pieniędzy, argumentując, że może być to próba wyłudzenia pieniędzy lub wynika z tzw. rażącego niedbalstwa. Chodzi tu właśnie o sytuacje związane z phishingiem. Banki będą argumentować, że nie doszło do złamania żadnego z technicznych zabezpieczeń banku i wprowadzono poprawne dane logowania, więc to klient musiał dokonać przelewów – czyli musiało dojść do niedbalstwa ze strony.
Banki mają obowiązek zapewnić maksymalne bezpieczeństwo zgromadzonych przez klientów środków oraz transakcji, ograniczone jedynie prawem do prywatności klienta. Przerzucanie na klientów konsekwencji złamania przez przestępców zabezpieczeń systemu bankowego przeczy założeniom leżącym u jego podstawy. Klient, dokonując transakcji, ma uzasadnione przekonanie o tym, że jego bank zapewni mu wysoki standard ochrony. Dyrektywa PSD2 wyraźnie wskazuje, że tym standardem jest, by bank w przypadku, gdy nie stwierdzi próby wyłudzania środków ze strony klienta, automatycznie zwracał na jego konto utracone środki.
dr Bohdan Pretkiel, Rzecznik Finansowy
Rażące niedbalstwo: brak definicji
Tymczasem musicie zdawać sobie sprawę, czym to rażące niedbalstwo jest. To na przykład dawanie hasła innej osobie przy pełnej świadomości, że stanowi to łamanie zasad. Tymczasem bycie oszukanym, nabranie się na phishing czy zainfekowanie komputera złośliwym oprogramowaniem, co mogło doprowadzić do wyprowadzenia pieniędzy z konta, nie jest w ten sposób interpretowane. Dlatego argumentacja banku zazwyczaj nie obroni się w sądzie, jeśli ofiara zdecyduje się walczyć z bankiem.
[…] transakcje nieautoryzowane są ogromnym problemem społecznym. Oszuści sięgają po coraz bardziej wyrafinowane metody manipulacji i wyłudzania danych dostępowych do rachunków. Niestety, banki nie wypełniają swoich ustawowych obowiązków i wprowadzają konsumentów w błąd. Konsumentom wciąż brakuje odpowiedniej wiedzy o tym, jak bronić się przed pułapkami oszustów, a także jakie prawa przysługują im w sytuacji, gdy dojdzie do nieautoryzowanej transakcji.
Tomasz Chróstny, Prezes UOKiK
SMS-y z banku a rażące zaniedbanie
I tu pojawia się argument związany z SMS-ami. Banki starają się zrzucić winę na klienta w przypadku, gdyby udostępnił on dane logowania oraz zlekceważył kody służące autoryzacji czynności, której nie zamierzał autoryzować (tj. nie zamierzał jej przeprowadzić). Dlatego nie wolno ignorować wiadomości od banku, bo to sygnał, że coś dzieje się na naszym koncie.
Oczywiście to bank musi udowodnić, że klient dostał SMS (np. ze zmianą limitów, zmianą numeru telefonu, dodaniem zaufanego odbiorcy czy przelewami) i zlekceważył go, co doprowadziło do wyprowadzenia pieniędzy z konta. Tymczasem klient banku wcale nie musiał zlekceważyć wiadomości – po prostu do niego nie dotarły. Bank musi udowodnić, że SMS z kodem autoryzacyjnym na numer telefonu klienta w istocie dotarł do adresata. A mógł przecież zostać w jakiś sposób przechwycony przez osoby trzecie.
Rzecznik Finansowy i UOKiK wspierają oszukanych klientów w walce z bankami – w lutym 2024 roku Urząd Ochrony Konkurencji i Konsumentów zakwestionował sposób rozliczania się z konsumentem oraz odpowiedzi na reklamacje w przypadku nieautoryzowanych transakcji w sześciu bankach: Alior Bank, Bank Handlowy, Bank Ochrony Środowiska, Pekao SA, PKO BP, Plus Bank. W 2022 roku zarzuty w tej samej sprawie postawiono 9 instytucjom finansowym.
Źródło: Niebezpiecznik, UOKiK, Rzecznik Finansowy, Zdjęcie otwierające: wk1003mike / Shutterstock
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.