Michał Barwicki
Zwrot nieautoryzowanych transakcji – kontrowersyjne zarzuty Prezesa UOKIK wobec sektora bankowego
18 lipca 2022 r. Urząd Ochrony Konkurencji i Konsumentów (UOKiK) poinformował o postawieniu zarzutów naruszenia zbiorowych interesów konsumentów 5 bankom. Analogiczne zarzuty może usłyszeć kolejne 13(!). Ich podstawą jest postępowanie banków wobec otrzymanych zgłoszeń o oszustwach dokonanych na szkodę konsumentów i nieprawidłowe wykonywanie obowiązków zwrotu nieautoryzowanych transakcji płatniczych. W ocenie Prezesa UOKIK banki, którym postawiono zarzuty, mimo ustawowego obowiązku nie zwracały środków konsumentom, którzy padli ofiarą oszustw. Co więcej, w odpowiedzi na składane reklamacje, banki wprowadzały następnie konsumentów w błąd co do zakresu obowiązków i odpowiedzialności banku.
Problematyka zwrotu nieautoryzowanych transakcji
Problem zwrotu nieautoryzowanych transakcji nie jest zagadnieniem nowym, i od dawna budzi uzasadnione wątpliwości. Wynika to z błędów legislacyjnych ustawodawcy we wdrożeniu dyrektywy PSD2 i przyjęciu nieprecyzyjnych przepisów w tym zakresie.
W konsekwencji dochodzi do przyjmowania odmiennej interpretacji tych przepisów przez Prezesa UOKIK (a także wcześniej też przez Rzecznika Finansowego), niż ta którą przyjmują banki, wspierane przez praktyków prawa.
Stanowisko Prezesa UOKIK
Zgodnie ze stanowiskiem Prezesa UOKIK art. 46 ustawy o usługach płatniczych nakłada na banki:
- obowiązek zwrotu kwoty nieautoryzowanej transakcji;
- lub ewentualnie obowiązek przywrócenia rachunku płatniczego do stanu jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.
Uwierzytelnienie a autoryzacja
Prezes UOKIK w opublikowanym komunikacie podkreśla przy tym, że uwierzytelnienie i autoryzacja transakcji są odmiennymi pojęciami na gruncie ustawy o usługach płatniczych.
Zgodnie z ustawą o usługach płatniczych, uwierzytelnienie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających.
Autoryzacja zaś jest pojęciem szerszym, i poza czynnością techniczną związaną z uwierzytelnieniem, obejmuje także swym zakresem zgodę użytkownika na dokonanie transakcji płatniczej.
W związku z powyższym jak wskazuje Prezes UOKIK: „ Transakcją nieautoryzowaną będzie zatem również transakcja uwierzytelniona (np. poprzez podanie kodu PIN), ale bez zgody konsumenta.”
Transakcja autoryzowana
Ponadto, jak podkreśla Prezes UOKIK, zgodnie z art. 45 ust. 2 ustawy o usługach płatniczych, aby uznać że transakcja została przez użytkownika autoryzowana (lub też, że klient dopuścił do jej wykonania transakcji umyślnie albo wskutek rażącego niedbalstwa), nie jest wystarczające samo wykazanie przez bank faktu prawidłowego uwierzytelnienia użytkownika. Ciężar wykazania powyższych okoliczności, w rozumieniu powyższego przepisu spoczywa na banku.
W konsekwencji powyższego, w ocenie Prezesa UOKIK bank ma prawo podnosić powyższe okoliczności i starać się wykazać, że użytkownik autoryzował transakcję lub też, że klient dopuścił do wykonania transakcji umyślnie albo wskutek rażącego niedbalstwa, dopiero po dokonaniu zwrotu nieautoryzowanej transakcji płatniczej.
Bank zatem powinien – zgodnie z treścią art. 46 ust. 1 ustawy o usługach płatniczych, dokonać bezwarunkowego zwrotu kwoty nieautoryzowanej transakcji (ewentualnie przywrócić rachunek płatniczy do stanu jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja), a dopiero w dalszej kolejności dochodzić swoich roszczeń od konsumenta, gdyby powyższy zwrot był nieuzasadniony.
Stanowisko sektora bankowego
Stanowisko przedstawione przez Prezesa UOKIK, nie uwzględnia jednak problemów, które od dawna podnoszone są przez sektor bankowy i praktyków prawa w kontekście prawidłowej wykładni przepisów z zakresu nieautoryzowanych transakcji. Problematyka zwrotu nieautoryzowanych transakcji nie jest zatem tak oczywista, jak to przedstawia w swoim komunikacie Prezes UOKIK.
Problematyczna implementacja PSD2
W pierwszej kolejności należy zauważyć, że przy implementacji dyrektywy PSD2 do porządku krajowego popełniono istotne błędy w tłumaczeniu i implementacji przepisów.
Ustawodawca błędnie bowiem przetłumaczył określony w treści art. 72 ust. 1 PSD2 termin „authentication” jako „autoryzacja”, mimo że prawidłowo termin ten powinien zostać przetłumaczony na język polski jako „uwierzytelnienie”. Terminy te mają odmienne znaczenie.
Na powyższy problem wielokrotnie zwracał uwagę m.in. Związek Banków Polskich. Tym samym art. 45 ust. 2 ustawy o usługach płatniczych nadano brzmienie, zgodnie z którym to na dostawcy usług płatniczych spoczywa ciężar wykazania, że transakcja płatnicza została autoryzowana.
Tymczasem zgodnie z treścią wspomnianego art. 72 ust. 1 PSD2, na dostawcy ciąży jedynie obowiązek udowodnienia, że transakcja została uwierzytelniona, dokładnie zapisana, ujęta w księgach i że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez tego dostawcę.
Na gruncie PSD2, jeśli dostawca wykaże że dana transakcja została uwierzytelniona, dokładnie zapisana, ujęta w księgach i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez tego dostawcę, to na klienta przechodzi ciężar wykazania, że dana transakcja nie została prawidłowo autoryzowana.
W polskiej ustawie zaburzeniu uległ zatem rozkład ciężaru dowodu w tym zakresie. To zaś ma kluczowe znaczenie dla sposobu oceny czy dana transakcja faktycznie jest transakcją nieautoryzowaną, która powinna podlegać zwrotowi.
Wykładnia i interpretacja
Ponadto niezależnie od powyższych wątpliwości co do prawidłowej implementacji przepisów unijnych, należy skłonić się do stanowiska, zgodnie z którym przy interpretacji treści art. 46 ustawy o usługach płatniczych niewystarczające jest oparcie wykładni tego przepisu jedynie na jego literalnym brzmieniu.
Nie jest zatem zasadna interpretacja, zgodnie z którą dostawca powinien bezwarunkowo dokonać zwrotu nieautoryzowanej transakcji po otrzymaniu stosownego zgłoszenia od klienta, a dopiero w następnej kolejności – w stosownych przypadkach, dostawca jest uprawniony do dochodzenia roszczeń z tytułu nienależnie spełnionego świadczenia.
Jeśli bowiem dostawca usług płatniczych dysponuje wiarygodnymi dowodami np. co do winy płatnika w dokonaniu transakcji, nieracjonalne byłoby wymaganie od dostawcy wykonania takiego zwrotu na rzecz klienta.
Ponadto dostawca usług płatniczych, powinien mieć możliwość w rozsądnym terminie przeprowadzić odpowiednie postępowanie wyjaśniające. Powyższe stanowisko znajduje swoje uzasadnienie w treści motywu 71 zd. 2 PSD2, zgodnie z którym: „Jeżeli jednak zachodzi duże prawdopodobieństwo nieautoryzowanej transakcji wynikającej z działania użytkownika usług płatniczych w nieuczciwych zamiarach, a podejrzenie to opiera się na obiektywnych podstawach zgłoszonych odpowiedniemu organowi krajowemu, przed dokonaniem zwrotu na rzecz płatnika dostawca usług płatniczych powinien być w stanie przeprowadzić w rozsądnym terminie dochodzenie.”
Problem należy wreszcie rozwiązać
Skala oszustw, skutkujących wykonaniem nieautoryzowanej transakcji będzie rosła, co jest naturalnym efektem postępującej cyfryzacji usług finansowych. Wobec tak narastających zagrożeń i coraz bardziej wyszukanych metod przestępców, nie ulega wątpliwości, że konieczne jest zagwarantowanie konsumentom odpowiedniego poziomu ochrony.
Z drugiej strony praktyczne wdrożenie interpretacji przepisów przyjętej przez Prezesa UOKIK może skłaniać klientów do wyłudzania środków z wykorzystaniem nadużycia mechanizmu zwrotu nieautoryzowanych transakcji.
Trudno jednocześnie wymagać, by dostawcy zobowiązani powinni być do ponoszenia kosztów związanych z nieautoryzowanymi transakcjami będącymi np. skutkiem rażącego niedbalstwa konsumenta.
Podsumowanie
Problem jest zatem złożony i z całą pewnością nie powinien być pozostawiony do rozwiązania w ramach postępowań, które wszczął wobec sektora bankowego Prezes UOKIK. Pozostaje mieć nadzieję, że ustawodawca zwróci uwagę na powyższe zagadnienie i podejmie odpowiednie kroki mające na celu zakończenie powyższego stanu niepewności co do prawa.
Prezes UOKIK powyższymi działaniami mimowolnie wkracza w obszar działalności nadzoru finansowego. Być może zasadne byłoby zatem podjęcie również i szerszej aktywności przez UKNF, który ma lepszy ogląd zasad funkcjonowania rynku usług płatniczych, których Prezes UOKIK zdaje się do końca nie rozumieć.