Dynamiczny rozwój technologii płatniczych w Polsce, w tym systemu Blik, zrewolucjonizował sposób dokonywania transakcji płatniczych. Wpłaty gotówki dokonywane za pomocą kodu Blik w bankomacie stają się coraz popularniejszą formą zasilania rachunków bankowych. W dobie rosnącego znaczenia obrotu bezgotówkowego i cyfryzacji usług bankowych pojawiają się jednak pytania o status prawny takich operacji, zwłaszcza w sytuacjach, w których środki znalazły się na koncie osoby trzeciej w okolicznościach budzących wątpliwości co do ich zgodności z wolą płatnika. Przedmiotem rozważań staje się pytanie, czy wypłata i połączona z nią wpłata gotówki w bankomacie mogą zostać uznane za nieautoryzowaną transakcję płatniczą w rozumieniu obowiązujących przepisów prawa.
Wpłata Blik
Operacja wpłaty gotówki z użyciem kodu Blik w bankomacie różni się od tradycyjnej wpłaty gotówkowej. Wymaga jedynie wpisania sześciocyfrowego kodu oraz – w niektórych przypadkach – potwierdzenia transakcji przez aplikację mobilną. Jednakże, w zależności od konfiguracji danego banku, transakcja może zostać przeprowadzona bez dodatkowego potwierdzenia.
Schemat wykorzystywania możliwości wpłaty Blik w bankomacie przez przestępców jest w zasadzie bardzo prosty i oparty na tzw. spoofingu, czyli technice polegającej na podszywaniu się pod zaufany podmiot w celu wprowadzenia ofiary w błąd i wyłudzenia od niej na przykład pieniędzy bądź poufnych danych. W przypadku spoofingu telefonicznego oszust dzwoni do ofiary (dane uzyskał najczęściej z wycieku danych ze sklepów internetowych), a na ekranie jej telefonu wyświetla się numer zaufanej instytucji, np. banku lub policji, który został wcześniej sfałszowany przez oszusta. Przestępca przedstawia się jako pracownik tej instytucji i przekonuje ofiarę do wykonania określonych czynności, często pod pretekstem „ochrony środków przed rzekomym włamaniem na konto”. W atmosferze strachu i presji czasowej klient zostaje nakłoniony do wypłaty gotówki z bankomatu, a następnie wpłaty jej na wskazane konto lub za pomocą kodu Blik. Niczego nieświadomy konsument myśli, że udało mu się uratować środki, a tymczasem padł ofiarą socjotechnik oszusta, który wykorzystał manipulację psychologiczną i wyłudził wpłatę na zarządzany przez siebie rachunek.
Uwierzytelnienie
Kiedy klient zorientuje się, że padł ofiarą przestępstwa, bardzo często zwraca się do banku z żądaniem zwrotu kwoty transakcji, którą uważa w takiej sytuacji za nieautoryzowaną. Rozważania, czy jego stanowisko jest prawidłowe, rozpoczniemy od odpowiedzi na pytanie, czy w takich sytuacjach dochodzi do złamania zabezpieczeń banku i czy obie transakcje zostały przez bank prawidłowo zweryfikowane, tj. uwierzytelnione. Uwierzytelnienie transakcji płatniczej to proces mający na celu potwierdzenie tożsamości użytkownika (płatnika) i upewnienie się, że to właśnie on inicjuje transakcję. Innymi słowy, uwierzytelnienie służy sprawdzeniu, czy osoba zlecająca transakcję jest uprawnionym użytkownikiem danego instrumentu płatniczego (np. rachunku bankowego, aplikacji mobilnej). Przykładami sposobów uwierzytelnienia są: wprowadzenie PIN-u do karty lub aplikacji, podanie hasła do bankowości internetowej, potwierdzenie transakcji kodem SMS lub push w aplikacji mobilnej, wykorzystanie biometrii (odcisk palca, rozpoznawanie twarzy) czy właśnie wpisanie kodu Blik.
W omawianym przypadku nie ma wątpliwości, że klient uprzednio posłużył się własną kartą płatniczą i wpisał poprawny kod PIN lub użył aplikacji bankowej celem wygenerowania kodu Blik, a następnie wpisał go w bankomacie i finalnie potwierdził transakcję w aplikacji, aby wypłacić gotówkę z konta. Takiej transakcji dokonał samodzielnie, posługując się przypisanymi mu instrumentami płatniczymi. Bank zweryfikował więc transakcję jako prawidłową. Bliźniaczo wygląda także sytuacja w przypadku wpłaty środków – klient użył w bankomacie podanego kodu Blik, wygenerowanego na rachunku bankowym nienależącym do niego, i przekazał wpłatę w gotówce. Osoba trzecia, aby uzyskać jego środki, mogła uwierzytelnić transakcję lub niekiedy nie musiała nawet nic robić. Taka wpłata zwykle księgowana jest natychmiast.
Dyrektywa PSD 2
Jeżeli rozpatrywalibyśmy tę sytuację wyłącznie na gruncie wykładni celowościowej art. 72 dyrektywy PSD 2, której zarzuca się błędną transpozycję do polskiego porządku prawnego, moglibyśmy już zakończyć nasze rozważania i uznać, że transakcja została autoryzowana. Wspomniany art. 72 dyrektywy PSD2 nie wymaga wykazania autoryzacji, przez którą rozumiane jest wyrażenie zgody na wykonanie transakcji płatniczej, ale jej uwierzytelnienia, czyli wypełnienia przez dostawcę procedury umożliwiającej dostawcy weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika. Polskie ustawodawstwo poszło jednak o krok dalej i zgodnie z art. 45 ust. 1 ustawy o usługach płatniczych stanowi, że na dostawcy spoczywa ciężar udowodnienia, iż transakcja płatnicza została autoryzowana. Z kolei w ślad za art. 40 ust. 1 tejże ustawy transakcja jest autoryzowana, jeżeli płatnik wyraził na nią zgodę w sposób uzgodniony z dostawcą usług płatniczych. Brak takiej zgody oznacza, że transakcja jest nieautoryzowana. W przypadku wpłaty Blik w bankomacie należy więc rozważyć, czy klient świadomie wyraził zgodę w sposób przewidziany w umowie między płatnikiem a jego dostawcą i czy powinien ponieść za tę transakcję pełną odpowiedzialność.
Odmowa transakcji
Główną okolicznością, która przemawia za uznaniem autoryzacji transakcji przez klienta, jest fakt, że klient dokonał wpłaty samodzielnie w chwili, w której posiadł swoje środki w dłoni i mógł nimi swobodnie dysponować. Gdyby klient nie chciał dokonać takiej transakcji, mógł uznać, że lepszym sposobem na ochronę jego środków przed kradzieżą będzie zdeponowanie ich we własnym mieszkaniu lub w najbliższym oddziale banku. Takiej transakcji za klienta nie wykonała osoba trzecia, a pobudka, dla której klient wyraził zgodę, jest irrelewantna dla materii autoryzacji. Ani przepisy ustawy o usługach płatniczych, ani dyrektywa PSD2 nie przewiduje uznania za nieautoryzowaną transakcji dokonanej osobiście przez płatnika, nawet jeśli był on zmanipulowany czy oszukany. Bank wykonał dyspozycję zgodnie z wolą klienta, a to, że wola ta była wynikiem oszustwa, nie zmienia prawnej kwalifikacji transakcji.
Orzecznictwo
Podobne stanowisko znajduje odzwierciedlenie w orzecznictwie. Przykładowo Sąd Rejonowy w Gdyni w wyroku z dnia 11 czerwca 2024 r., sygn. akt I C 33/22, wskazał: „Bez wszystkich zachowań zawinionych tylko i wyłącznie przez powódkę, nie było możliwe dokonanie transakcji które były autoryzowane fizycznie, drogą internetową. Brak autoryzacji w rozumieniu jedynie »faktów psychicznych« w sferze motywacji posiadacza rachunku nie jest tożsamy z brakiem autoryzacji przewidzianym w przepisach prawa”.
Tożsame wnioski płyną z treści uzasadnienia wyroku Sądu Okręgowego w Katowicach z dnia 26 czerwca 2024 r. w sprawie o sygn. akt III Ca 1242/22: „Tymczasem w przedmiotowym stanie faktycznym przestępstwo oszustwa (art. 286 § 1 k.k.) zostało popełnione przez osoby trzecie, a więc nie biorące bezpośredniego udziału w nawiązaniu stosunku prawnego w postaci zaskarżonych umów pożyczki. W związku z tym należy przyjąć, że czynności przestępne miały wpływ jedynie na sferę motywacyjną powódki, a nie na samą prawidłowość i skuteczność zawartych umów pożyczki”.
Klient w takiej sytuacji jest oczywiście ofiarą przestępstwa, ale nie ulega wątpliwości, że złożył w pełni świadome oświadczenie woli i wiedzy oraz chciał, aby bank wykonał przedmiotowe transakcje (mimo że inaczej wyobrażał sobie ich przeznaczenie). Klient samodzielnie złożył zlecenie płatnicze i następnie wykonał szereg czynności niezbędnych do autoryzacji, a jego dane uwierzytelniające nie zostały nikomu przekazane ani przez nikogo skradzione. Zgodnie z umową bank był więc zobowiązany, aby przekazać środki na konto, które zostało wskazane osobiście przez klienta.
W praktyce klienci często zarzucają bankom, że powinny były rozpoznać nietypowy charakter transakcji (wysoka kwota, wpłata Blik na nieznany rachunek) i wstrzymać operację. Przepisy nie nakładają jednak na bank obowiązku badania ekonomicznego sensu każdej autoryzowanej operacji. Dopóki transakcja jest zgodna z procedurami i autoryzowana przez klienta, bank nie ma podstaw do jej blokowania.
Skuteczna obrona
Instytucje finansowe, w tym banki, nie są w stanie całkowicie wyeliminować ryzyka oszustw, mogą jednak skutecznie im przeciwdziałać. Kluczowe znaczenie mają działania edukacyjne, w tym prowadzenie kampanii informacyjnych uświadamiających klientów o technikach stosowanych przez oszustów, a zwłaszcza metodach socjotechnicznych. Istotna jest również współpraca z organami ścigania, wdrażanie procedur szybkiego reagowania na zgłoszenia przestępstw oraz zapewnienie klientom natychmiastowego dostępu do kanałów kontaktu w razie zagrożenia. Równolegle konieczny jest rozwój nowoczesnych technologii służących ochronie transakcji i wykrywaniu działań odbiegających od typowych schematów.
Podsumowując rozważania, można stwierdzić, że wpłata Blik w bankomacie dokonana przez klienta pod wpływem oszusta nie stanowi nieautoryzowanej transakcji płatniczej w rozumieniu ustawy o usługach płatniczych. Choć działanie klienta było skutkiem oszustwa, transakcja została przez niego autoryzowana w sposób przewidziany procedurami bankowymi, a co za tym idzie – ochrona przewidziana dla nieautoryzowanych transakcji nie znajduje tu zastosowania. Ataki socjotechniczne to dzisiaj jedno z największych wyzwań dla bezpieczeństwa środków zgromadzonych na rachunkach bankowych. Kluczowe znaczenie ma więc edukacja i profilaktyka – zarówno ze strony banków, jak i samych klientów.
Marlena Konstanty
adwokat w KKLW Legal Kurzyński Wierzbicki Sp.k.
Magdalena Jędrzejczak
radca prawny w KKLW Legal Kurzyński Wierzbicki Sp.k.
