Odpowiedzialność za nieautoryzowane transakcje

Analizy

Dyrektywa PSD2 - Odpowiedzialność za nieautoryzowane transakcje

Alert prawny 4/2018 | 21 marca 2018 r.

Dyrektywa PSD2 jest kolejnym krokiem w kierunku integracji płatności detalicznych na terenie Unii Europejskiej. Stanowi również odpowiedź na dynamicznie rozwijający się rynek usług płatniczych. Obok objęcia regulacją prawną instytucji, określanych jako: third party providers (TPP) oraz dotychczas praktykowanych w obrocie usług, tj. dostępu do informacji o rachunku (AIS) oraz inicjowania płatności (PIS), jedną z kluczowych zmian wprowadzonych przez PSD II jest modyfikacja odpowiedzialności dostawcy usług płatniczych oraz płatnika za nieautoryzowane transakcje płatnicze.

Niemniej jednak, podobnie jak w poprzedniej regulacji, wszelkie zasady dotyczące odpowiedzialności za nieautoryzowane transakcje znajdują zastosowanie do umów konsumenckich. W obrocie profesjonalnym natomiast kwestia odpowiedzialności może zostać uregulowana zgodnie z wolą stron, przy zachowaniu zasad ogólnych dotyczących praktyki kontraktowej.

Pojęcie autoryzacji jest rozumiane w ten sam sposób, zarówno na gruncie poprzednio obowiązującej regulacji, jak i w dyrektywie PSD2. Zgodnie z art. 40 ust. 1 ustawy o usługach płatniczych „transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych”. Nieautoryzowane transakcje oznaczają zatem transakcje wykonane bez zgody płatnika, przy czym przyjmuje się, że taka kwalifikacja nie jest zależna od tego, czy transakcja była dokonana z użyciem, czy bez użycia instrumentu płatniczego.

Komentarz Katarzyny Sawickiej na temat implementacji PSD2 do polskiego porządku prawnego

00:00 / 00:00

Subskrybuj "Podcasty Deloitte"

Odpowiedzialność dostawcy za nieautoryzowane transakcje
 

PSD2 utrzymuje zasadę, zgodnie z którą to dostawca ponosi odpowiedzialność za nieautoryzowane transakcje, a odpowiedzialność płatnika ma charakter wyjątkowy. W przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych powinien bezzwłocznie zwrócić płatnikowi kwotę tej transakcji, dopiero w następnej kolejności będzie oceniał czy dokonanie zwrotu było zasadne. Ustawodawca w motywie 72 dyrektywy ponadto zauważył, że aby zapobiec wszelkim sytuacjom niekorzystnym dla płatnika, data waluty w odniesieniu do uznania rachunku kwotą zwrotu nie powinna być późniejsza niż data obciążenia rachunku tą kwotą.

PSD2 precyzuje, że bezzwłoczny zwrot oznacza zwrot w terminie nie późniejszym niż do końca następnego dnia roboczego, po odnotowaniu danej transakcji lub po otrzymaniu stosownego zgłoszenia. Takie zdefiniowanie terminu zwrotu jest nowością w stosunku do uprzednio obowiązującego stanu prawnego, który nie precyzował pojęcia bezzwłoczności.

Ponadto, w kontekście zwrotu kwoty nieautoryzowanej transakcji dyrektywa PSD II wyznacza, co do zasady, 15-dniowy termin na rozpatrzenie reklamacji. W świetle wspomnianych regulacji, płatnik będzie miał zatem możliwość dysponowania kwotą nieautoryzowanej transakcji także przez czas rozpatrywania reklamacji.

W ramach uregulowania usługi inicjowania płatności, która polega na zainicjowaniu zlecenia płatniczego na wniosek użytkownika usług płatniczych w odniesieniu do rachunku płatniczego posiadanego u innego dostawcy usług płatniczych, ustawodawca unijny podejmuję również kwestię odpowiedzialności za takie transakcje, w przypadku braku ich autoryzacji. Art. 73. ust 2 PSD2 stanowi, że wówczas odpowiedzialnym za zwrot nieautoryzowanej transakcji jest dostawca usług płatniczych, prowadzący rachunek, przy czym powinien zrobić to bezzwłocznie, a w każdym razie nie później niż do końca następnego dnia roboczego (w stosownych przypadkach, przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza).

Odpowiedzialność płatnika za nieautoryzowane transakcje
 

Płatnik jest zobowiązany do zgłoszenia dostawcy usług płatniczych nieautoryzowanej transakcji w terminie 13 miesięcy od dnia obciążenia rachunku lub gdy płatnik nie korzysta z rachunku, od dnia wykonania transakcji. W przypadku niedokonania takiego zgłoszenia to on ponosi odpowiedzialność za nieautoryzowane transakcje.

PSD2 ogranicza kwotę odpowiedzialności płatnika za nieautoryzowane transakcje do równowartości 50 EUR (z dotychczasowych 150 EUR). Jest to bardzo ważna zmiana w stosunku do poprzedniego stanu prawnego. Reguła ta jednak doznaje wyjątków: płatnik nie będzie ponosił odpowiedzialności, gdy:

  1. utrata została spowodowana działaniami lub brakiem działań ze strony pracownika, agenta lub oddziału dostawcy usług płatniczych lub podmiotu świadczącego na jego rzecz w ramach outsourcingu,
  2. płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed płatnością, z wyjątkiem sytuacji, gdy płatnik działał w nieuczciwych zamiarach.

Ponadto, od momentu zgłoszenia dostawcy usług płatniczych przez płatnika tego, że mogło dojść do nieuprawnionego użycia jego instrumentu płatniczego, użytkownik usług płatniczych nie powinien być zobowiązany do pokrycia żadnych dalszych strat wynikających z nieuprawnionego użycia tego instrumentu. Ponosi on natomiast odpowiedzialność za wszelkie straty związane z nieautoryzowanymi transakcjami płatniczymi, jeżeli działał w nieuczciwych zamiarach lub dopuścił się celowego lub rażącego zaniedbania, co najmniej jednego z nałożonych na niego ustawowo obowiązków.

Dyrektywa utrzymuje również dotychczas obowiązującą regulację zgodnie, z którą jeżeli dostawca usług płatniczych nie zapewnia odpowiednich środków umożliwiających w dowolnym momencie dokonanie zgłoszenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego płatnik nie ponosi odpowiedzialności za konsekwencje finansowe będące skutkiem posłużenia się takim instrumentem płatniczym, chyba że działał on w nieuczciwych zamiarach.

Odpowiedzialność w przypadku niezastosowania silnego uwierzytelnienia
 

PDS2 reguluje również odpowiedzialność dostawcy usług płatniczych w sytuacji niezastosowania przez niego procedury silnego uwierzytelnienia, wówczas płatnik nie ponosi żadnej odpowiedzialności finansowej za nieautoryzowane transakcje, chyba że działał on w złej wierze. W przypadku, gdy odbiorca lub dostawca usług płatniczych odbiorcy nie akceptują silnego uwierzytelnienia klienta, zwracają kwotę szkód finansowych wyrządzonych dostawcy usług płatniczych płatnika.

Zmiany w zakresie odpowiedzialności za nieautoryzowane transakcje wprowadzone przez dyrektywę PSD2 mogą wydawać się nieznaczne, jednak będą miały one doniosłe znaczenie dla funkcjonowania rynku usług płatniczych. Wdrożenie dyrektywy wiąże się bowiem ze zmianami we wzorcach umownych i procedurach wewnętrznych dostawców usług płatniczych. Ponadto, nowe przepisu będą determinować wiele decyzji prawnych, jak i biznesowych dotyczących funkcjonowania przedsiębiorstwa.

Subskrybuj "Alerty prawne"

Otrzymuj powiadomienia na e-mail o nowych Alertach prawnych Deloitte Legal

Wszystko o PSD2

(Payment Services Directive 2)

Nowa, unijna dyrektywa w sprawie usług płatniczych w całości zastąpi stosowane dotychczas przepisy PSD, a jej implementacja wymagać będzie istotnych zmian w treści obowiązującej ustawy.

Więcej informacji

Czy ta strona była pomocna?