Módl się, by nie zhakowali ci konta. Bank ci nie pomoże. Załatwi cię jak tę okradzioną emerytkę
UOKiK postawił pięciu bankom zarzuty, a kolejnych trzynaście może je usłyszeć lada tydzień. Chodzi miganie się od obowiązujących w całej UE przepisów dotyczących klientów, którym skradziono pieniądze z konta. Banki nie zwracają im pieniędzy, chociaż powinny. Na dodatek mogą wprowadzać klientów w błąd, gdy ci upominają się o swoje prawo.
Prowadzone od roku przez UOKiK postępowanie w sprawie nieautoryzowanych transakcji na kontach klientów doprowadziło do postawienia pięciu bankom zarzutów naruszania zbiorowych interesów konsumentów. Chodzi o Millennium, BNP Paribas, Credit Agricole, mBank oraz Santander.
Trzynaście innych UOKiK objął postępowaniem wyjaśniającym. W przypadku wykrycia nieprawidłowości Urząd zapowiedział, że może postawić zarzuty kolejnym instytucjom. Za naruszenie zbiorowych interesów konsumentów bankom grożą kary do 10 proc. obrotu, w grę wchodziłyby grzywny liczone w setkach milionów złotych.
Zarzuty wobec pierwszych pięciu banków dotyczą między innymi niezwracania konsumentom pieniędzy z nieautoryzowanych transakcji w ustawowym terminie, mimo że nie zaszły okoliczności, które by zwolniły bank z tego obowiązku – wyjaśnia Tomasz Chróstny, Prezes UOKiK.
Polskie banki mogą wprowadzać klientów w błąd
W czasie postępowania wyjaśniającego wyszło na jaw, że banki mogą wprowadzać konsumentów w błąd w odpowiedziach na reklamacje dotyczące nieautoryzowanych transakcji. Banki twierdziły na przykład, że transakcja została autoryzowana i jednocześnie konsument mógł dopuścić się rażącego niedbalstwa lub że samo wykazanie uwierzytelnienia przez bank zwalnia go z obowiązku zwrotu.
Konsumenci, którzy otrzymali tego typu odpowiedzi na reklamacje w sprawie kradzieży pieniędzy z konta, mogli zostać wprowadzeni w błąd co do faktu autoryzowania takiej transakcji oraz zakresu obowiązków i odpowiedzialności banku. Może to zniechęcać konsumentów do dalszego dochodzenia swoich praw – zauważa Tomasz Chróstny, Prezes UOKiK.
Cytowany w komunikacie Tomasz Chróstny, prezes Urzędu Ochrony Konkurencji i Konsumentów, podkreśla, że na banku jako instytucji zaufania publicznego spoczywa obowiązek podjęcia kroków, aby zabezpieczyć środki klientów.
Banki najczęściej ograniczają się do bezrefleksyjnego wykonywania operacji i nie poczuwają się do odpowiedzialności, mimo że czujność mogłaby wzbudzić już sama analiza transakcji na wczesnym etapie, na przykład z uwagi na nietypowe kwoty, walutę, dokonane w krótkim czasie po zmianie danych lub kanałów dostępowych – wskazuje Prezes UOKiK.
Jego zdaniem banki powinny rozwijać i stosować mechanizmy, które pozwalają identyfikować i wcześniej blokować podejrzane operacje, wykorzystując w tym celu historię zleceń klienta czy biometrię behawioralną.
Zamiast tego widzimy pewną arbitralność w odrzucaniu reklamacji konsumentów, a także nieprzestrzeganie przepisów prawa w zakresie zwrotu środków utraconych w wyniku nieautoryzowanych transakcji – ubolewa Tomasz Chróstny.
UOKiK przypomina, że z ustawy o usługach płatniczych, wprowadzającej do polskiego ustawodawstwa dyrektywę PSD2 wynika, że banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji do końca następnego dnia roboczego po zgłoszeniu.
Wyjątkiem są dwie sytuacje: zgłoszenie konsumenta nastąpiło później niż trzynaście miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego. W tym wypadku bank ma obowiązek zawiadomić policję lub prokuraturę. W innych przypadkach musi przywrócić saldo rachunku do stanu sprzed dokonania nieautoryzowanej transakcji.
UOKiK przypomina, że dopiero dokonaniu zwrotu środków na rachunek klienta bank może dochodzić swoich roszczeń od klienta, probując udowodnić, że klient doprowadził do transakcji umyślnie albo wykazał się rażącym niedbalstwem, umożliwiając oszustom wykorzystanie jego danych uwierzytelniających.
Prezes Tomasz Chróstny podkreśla, że nie kwestionuje prawa bank do dochodzenia roszczenia w sytuacjach winy konsumenta, ale jak zauważa, narzędzia uwierzytelniania oraz zabezpieczenia banku nie chronią konsumenta przed nieautoryzowanymi transakcjami.
Gdy oszustom udaje się rozpracować bankowe procedury i zabezpieczenia, bank nie może być sędzią we własnej sprawie, arbitralnie odrzucając reklamacje konsumentów oraz wbrew obowiązującemu prawu wstrzymując się od zwrotu środków. Oceną i uznaniem winy w sytuacjach budzących wątpliwości powinny się zajmować sądy – bezstronne zarówno dla banku, jak i konsumenta. Banki natomiast powinny podejmować więcej starań, aby poprzez narzędzia systemowe do tego typu sytuacji dochodziło jak najrzadziej – przekonuje Tomasz Chróstny, Prezes UOKiK.
Tysiące nieautoryzowanych transakcji rocznie
UOKiK ujawnił, że zarzuty zostały postawione na podstawie analizy skarg konsumentów oraz reakcji i odpowiedzi banków na zgłoszenia kradzieży pieniędzy z kont konsumentów. Jako przykład przytacza historię 72-letniej emerytki, której oszust nie dość, że ukradł z konta 170 tys., to na jej nazwisko zaciągnął kredy w wysokości 80 tys. zł.
Bank bezrefleksyjnie zmienił walutę i przelał pieniądze za granicę, doliczając do każdego przelewu opłatę za szybkość realizacji oraz udzielił wysokiej pożyczki osobie, która ma niską emeryturę, a w całej dotychczasowej historii konta preferowała bezpieczne inwestycje – opisuje UOKiK.
Z relacji Urzędu wynika, że bank nie zareagował też, kiedy oszust podszywając się pod emerytkę, zmienił jej stan cywilny z mężatki na wdowę, żeby nie była potrzebna zgoda męża do zaciągnięcia kredytu. Mimo prawa obowiązującego w Unii Europejskiej, nie zwrócił też ukradzionych pieniędzy, obarczając winą klientkę.
Jak przekonuje UOKiK, podobnych historii są w Polsce tysiące. Różnią się kwoty i metody działania oszustów, a łączy kradzież pieniędzy z kont i zwykle negatywna reakcja banków w odpowiedzi na zgłoszoną reklamację.
UOKiK podkreśla, że mimo obowiązujących w Polsce przepisów banki wciąż nie zwracają środków lub w przypadku zaciągnięcia kredytu, zmuszają konsumentów, którzy padli ofiarami oszustów, do jego spłacania.
Różnica między uwierzytelnieniem a autoryzacją
UOKiK zwraca uwagę w komunikacie różnicę między pojęciem „uwierzytelnienia” i „autoryzacji”. Zgodnie z ustawa uwierzytelnienie to procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających (np. przez podanie kodu PIN).
Natomiast autoryzacja poza uwierzytelnieniem, które jest czynnością techniczną, obejmuje zgodę użytkownika na daną transakcję. Transakcją nieautoryzowaną będzie zatem również transakcja uwierzytelniona (np. poprzez podanie kodu PIN), ale bez zgody konsumenta – wskazuje UOKiK.
I dodaje, że w myśl ustawy o usługach płatniczych samo wykazanie przez bank, że transakcja została prawidłowo uwierzytelniona nie jest wystarczające, żeby uznać, że była przez użytkownika autoryzowana, lub że klient dopuścił do jej wykonania umyślnie albo wskutek rażącego niedbalstwa. Ciężar udowodnienia takich okoliczności spoczywa na banku.
