W połowie lipca UOKiK postawił zarzuty pięciu bankom w Polsce, które bezprawnie odrzucały reklamacje swoich klientów, które dotyczyły nieautoryzowanych transakcji na ich kontach. Miesiąc później na stronach Rządowego Centrum Legislacji pojawił się projekt ustawy o zmianie ustawy o usługach płatniczych oraz ustawy – Prawo dewizowe, który może spowodować wyrzucenie tych zarzutów do kosza.
O zarzutach UOKiK możecie przeczytać w tym wpisie, a o reakcji Związku Banków Polskich na te zarzuty w tym artykule.
W dużym skrócie, obecnie obowiązująca ustawa o usługach płatniczych oraz ustawa – Prawo dewizowe, nakłada na banki obowiązek udowodnienia autoryzacji transakcji, a w przypadku ich zgłoszenia przez klientów jako nieautoryzowanych przez nich - zwrot skradzionych środków klientom w terminie D+1.
Z kolei banki utrzymują, iż w polskim prawie źle została zaimplementowana dyrektywa PSD2, bo w przeciwieństwie do innych krajów Unii Europejskiej, w których banki mają obowiązek zwrotu środków w terminie D+1 tylko w przypadku nieuwierzytelnionych przez klientów transakcji, a w Polsce wprowadzono w to miejsce termin nieautoryzowanych przez klientów transakcji.
Podejrzewam, że dla większości klientów banków brzmi to jak masło maślane, ale spróbujmy zerknąć w dokładne brzmienie obecnych zapisów w ustawie oraz nowych wraz z ich uzasadnieniem przez rządzących.
Znaczenie mają dla nas dwa artykuły z przedmiotowej ustawy - art. 40, mówiący o uznaniu danej transakcji jako autoryzowanej i art. 45, definiujący ciężar udowodnienia autoryzacji danej transakcji płatniczej.
W przypadku pierwszego artykułu obecnie ustęp 1 ma takie brzmienie:
Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.
W nowym projekcie wprowadzona zostanie drobna, choć istotna zmiana:
Transakcję płatniczą uważa się za autoryzowaną jeżeli płatnik osobiście wyraził zgodę na jej wykonanie.
Pojawił się więc tu dopisek „osobiście”. Co to zmienia dla nas, klientów? Tu już zerknijmy w uzasadnienie zamian w ustawie:
Proponuje się uwzględnienie elementu zgody i woli płatnika na wykonanie transakcji płatniczej jako podstawowej i samoistnej przesłanki autoryzacji transakcji. Obecne brzmienie przepisu uzależnia uznanie autoryzacji transakcji wyłącznie od sposobu przeprowadzenia takiej transakcji zgodnie z mechanizmem określonym we wzorcu umownym. Pozwala to dostawcom usług płatniczych na negowanie wystąpienia nieautoryzowanej transakcji płatniczej, bez uwzględniania rzeczywistej woli płatnika co do jej wykonania, także w transakcji dokonanych nie przez samego płatnika, ale przez sprawcę kradzieży jego tożsamości.
Pogrubiona część brzmi jak kolejny daleko idący krok w stronę klientów. Prawda? Otóż niekoniecznie - byłoby tak, gdyby jednocześnie nie zmieniono art. 45, który w obecnym brzmieniu wygląda tak:
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
Jak ma być po nowemu? Znowu mamy drobną, aczkolwiek niezwykle istotną zmianę:
w art. 45 w ust. 1 i 1a wyraz „autoryzowana” zastępuje się wyrazem „uwierzytelniona”
Tu już jest ewidentny ukłon w stronę sektora finansowego, bo zapisy dostosowane będą 1:1 do dyrektywy PSD2, o czym czytamy w uzasadnieniu tej zmiany:
Proponuje się wprowadzenie konieczności wykazania uwierzytelnienia transakcji płatniczej, a nie jej autoryzacji w przypadku gdy użytkownik zaprzecza, że transakcję autoryzował. Zgodnie z przyjęta terminologią dyrektywy PSD2 autoryzacja (authorisation) to zgoda na wykonanie transakcji płatniczej wyrażona przez płatnika w sposób przewidziany w umowie, natomiast uwierzytelnienie (authentication) to procedura umożliwiająca dostawcy usług (bankowi) weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika.
Przekładając to na polski oznacza to tyle, iż obecnie ciężar udowodnienia autoryzacji transakcji spoczywa na bankach, a po nowemu - banki będą miały obowiązek udowodnić jedynie uwierzytelnienie transakcji.
W praktyce z kolei oznacza to tyle, że o ile w przypadku, gdy ktoś ukradnie nam naszą tożsamość, na przykład dowód osobisty czy wyrobi na nasze dane fałszywy dowód i pójdzie z nim do banku, który udzieli mu na tej podstawie kredytu - będzie łatwo nam udowodnić, że to nie my, o tyle w przypadku phishingu czy spoofingu już nie.
W takiej sytuacji, gdy sami podamy na przykład przez telefon przestępcy podszywającemu się pod pracownika banku swoje dane dostępowe do bankowości lub za jego namową zainstalujemy na swoim urządzeniu szkodliwe oprogramowanie, na barkach banku będzie spoczywał jedynie obowiązek udowodnienia uwierzytelnienia transakcji, która w takim scenariuszu rzecz jasna będzie uwierzytelniona i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
Przeczytałem już w sieci różne opinie na ten temat, pojawiają się nawet głosy typu, że to ok, że te osoby nabierające się na phishing czy spoofing same są sobie winne i powinny płacić za swoje błędy. Wyobraźmy sobie jednak sytuację, gdy ktoś podejrzy nasz PIN do karty płatniczej - nie wiem, gdzieś przy płatności w sklepie w chwili naszej nieuwagi, restauracji czy innym sposobem zdobędzie ten kod. Po czym ukradnie nam kartę i wypłaci z bankomatu wszystkie nasze środki.
W obecnej sytuacji, w przypadku zgłoszenia do banku takiej nieautoryzowanej przez nas transakcji, banki mają czas do następnego dnia roboczego, by sprawdzić czy rzeczywiście tak było. Mają przy tym zasoby i środki ku temu, na przykład dostęp do monitoringu.
Po nowemu wystarczy, że w ich systemie bankowym odnotowana będzie prawidłowo uwierzytelniona transakcja, a obowiązek udowodnienia braku osobistej jej autoryzacji zostanie przerzucony z banków na klientów, którzy to takich zasobów i środków już nie mają. To będzie skutkowało rzecz jasna wydłużeniem czasu na odzyskanie swoich środków.
Łatwo też wyobrazić sobie szereg innych podobnych sytuacji, w których zetkniemy się wręcz z brakiem jakiejkolwiek możliwości udowodnienia braku naszej autoryzacji, bez narzędzi którymi dysponują tylko banki. Mam nadzieję, że projekt tych zmian nie przejdzie w aktualnie proponowanej postaci, bo to przysporzy więcej problemów tylko tej słabszej stronie relacji klient-bank.
Stock Image from Depositphotos.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
