Odpowiedzialność za nieautoryzowane płatności. Nowa rola dowodowa instytucji finansowych

W dobie dynamicznego rozwoju elektronicznych usług płatniczych oraz głośnych przypadków działalności przestępczej z tym związanych kwestia odpowiedzialności instytucji finansowej za nieautoryzowane transakcje płatnicze jawi się jako jeden z kluczowych elementów funkcjonowania podmiotów działających w branży rozliczeń.

Na instytucje finansowe, przede wszystkim banki, organy kontroli nakładają kolejne kary i kwestionują ich sposób rozliczania się z klientami oraz odpowiedzi na składane przez nich reklamacje w związku z nieautoryzowanymi transakcjami płatniczymi.

Na rynku pojawiły się ponadto kancelarie odszkodowawcze, które specjalizują się w odzyskiwaniu na rzecz poszkodowanych od banków środków utraconych w związku z niezamierzonymi przez nich transakcjami.

Transakcja płatnicza

Transakcja płatnicza to zgodnie z ustawą o usługach płatniczych, transakcja płatnicza to zainicjowana przez płatnika lub odbiorcę wpłatę, transfer lub wypłata środków pieniężnych. Definicja jest zatem bardzo szeroka i w praktyce będzie obejmować większość przesunięć środków pieniężnych na zgromadzonym rachunku (np. w drodze zapłaty kartą, Blikiem, przelewem natychmiastowym, wypłaty gotówki w bankomacie). W polskim porządku prawym brak jest legalnej definicji transakcji nieautoryzowanej. Zgodnie z art. 40 ust. 1 ustawy o usługach płatniczych transakcja płatnicza pozostaje autoryzowaną jedynie wówczas, gdy użytkownik (klient np. banku) wyraził na nią zgodę – w sposób przewidziany w umowie pomiędzy nim a dostawcą usług płatniczych, np. bankiem. W innym wypadku, na zasadzie przeciwieństwa, transakcja jest nieautoryzowana, co skutkuje obowiązkiem niezwłocznego zwrotu środków użytkownikowi (art. 46 ust. 1 ustawy).

Zasady zwrotu środków

Wyżej wskazana regulacja ustawowa, tj. art. 46 ust. 1 ustawy, stanowi, że instytucja finansowana w przypadku wystąpienia nieautoryzowanej transakcji płatniczej jest zobowiązana do niezwłocznego zwrotu środków użytkownikowi. Obowiązek ten powstaje w momencie zgłoszenia przez użytkownika wystąpienia takiej transakcji lub też w momencie zauważenia jej samodzielnie przez instytucję finansową. Termin „niezwłocznie” został bardzo rygorystycznie określony w przepisach ww. ustawy i oznacza on, że instytucja finansowa powinna dokonać takiego zwrotu środków „(…) do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej (…)”.

 Ustawodawca nałożył zatem na instytucje finansowe rygorystyczne obowiązki w przypadku wystąpienia zdarzenia nieautoryzowanej transakcji płatniczej. Powyższe stanowi implementacje przepisów unijnych wynikających z dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. (dalej: dyrektywy PSD2).

Od wyżej wskazanego obowiązku zwrotu środków ustawodawca przewidział wyjątki. Instytucja finansowa może uwolnić się od takiego obowiązku niezwłocznego zwrotu środków, w przypadku gdy „(…) ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw” (art. 46 ust. 1 ustawy). Ustawa wprowadza ponadto obowiązek zgłaszania niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. Brak dopełnienia tego obowiązku skutkować będzie uwolnieniem od odpowiedzialności. Drugą sytuacją, w której instytucja finansowa zwolniona jest z obowiązku zwrotu środków, które już zostały utracone, następuje wówczas, gdy użytkownik zgodnie z art. 44 ust. 2 ustawy nie poinformuje instytucji płatniczej o jej wystąpieniu w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana.

Polski ustawodawca zdecydował się na wprowadzenie surowego modelu odpowiedzialności, w którym to instytucja finansowa musi podjąć inicjatywę dowodową, żeby uniknąć odpowiedzialności. Użytkownik musi zasadniczo wyłącznie wykazać, że doszło do transakcji, oraz ocenić ją jako nieautoryzowaną, nie przedstawiając na to żadnych dowodów. Zgodnie z art. 45 ust. 1 ustawy to na dostawcy usług (instytucji finansowej) „(…) spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej”.

Zakres odpowiedzialności

Zlecający płatność odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 50 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem: 1) posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub 2) przywłaszczenia instrumentu płatniczego. Ograniczenie nie ma zastosowania, w przypadku gdy: 1) poszkodowany nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej, z wyjątkiem przypadku, gdy działał umyślnie, lub 2) utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy poszkodowanego lub podmiotu świadczącego na jego rzecz usługi. Płatnik (poszkodowany) odpowiada w miejsce instytucji finansowej za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 (zgodnie z art. 42. 1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany: 1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz 2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. 2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. 3. Umowa ramowa, o której mowa w ust. 1 pkt 1, powinna zawierać obiektywne, niedyskryminujące i proporcjonalne postanowienia dotyczące wydawania i użytkowania instrumentu płatniczego). Warto podkreślić, że po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 poszkodowany nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że sam doprowadził umyślnie do nieautoryzowanej transakcji.

Konkluzje

Podsumowując, należy wskazać, że w czasach postępującej cyfryzacji i coraz to nowszych rozwiązań technologicznych, w tym narzędzi wykorzystujących sztuczną inteligencję, nieautoryzowane transakcje płatnicze stają się bardzo złożonym zagadnieniem stanowiącym wyzwanie zarówno dla prawników, jak i instytucji działających na rynku usług płatniczych.

Konieczna jest zatem ścisła współpraca wyżej wskazanych, niejednokrotnie przy wsparciu informatyków, aby móc szczegółowo przeanalizować każdy przypadek wystąpienia nieautoryzowanej transakcji płatniczej celem podjęcia odpowiednich działań prawnych, ale także technicznych, aby zapobiec występowania podobnym zdarzeniom w przyszłości.