Odpowiedzialność za nieautoryzowane transakcje płatnicze

Stanowiska organów nadzoru i praktyka rynkowa

18 lipca 2022 roku na stronie Urzędu Ochrony Konkurencji i Konsumenta („UOKiK”) pojawił się komunikat o postawieniu pięciu bankom zarzutów naruszania zbiorowych interesów konsumentów¹. Postawione zarzuty dotyczą między innymi niezwracania konsumentom pieniędzy z nieautoryzowanych transakcji w ustawowym terminie, mimo że zdaniem UOKiK nie zaszły okoliczności, które zwalniałyby bank z tego obowiązku. Nie jest to pierwszy raz, kiedy temat nieautoryzowanych transakcji został poruszony przez UOKiK. W dniu 9 czerwca 2021 r. na stronie UOKiK został opublikowany komunikat „Nie daj sobie ukraść pieniędzy z konta – UOKIK ostrzega”², w ramach którego ponownie podkreślono obowiązek banku do zwrócenia konsumentowi kwoty transakcji będącej przedmiotem oszustwa.

Odmienne stanowisko w tym zakresie zostało wyrażone przez Związek Banków Polskich („ZBP”), który podkreślał, że obowiązek zwrotu kwoty nieautoryzowanej transakcji nie jest obowiązkiem bezwzględnym. Zgodnie z uwagami przedstawionymi przez ZBP wobec komunikatu Prezesa UOKiK z czerwca 2021 roku, przepisy prawa nie przewidują bowiem trybu, zgodnie z którym bank najpierw oddaje płatnikowi kwotę transakcji, a dopiero później ustala okoliczności sprawy i dochodzi zwrotu oddanych środków³. ZBP podtrzymuje swoje stanowisko również w odniesieniu do postawienia przez Prezesa UOKiK zarzutów pięciu bankom w dniu 18 lipca 2022 roku.

Projektowane zmiany w zakresie art. 45 ust. 1 UUP

W obliczu powyższego warto zwrócić uwagę, że w dniu 11 sierpnia 2022 roku w Rządowym Centrum Legislacyjnym pojawiła się kolejna wersja projektu ustawy o zmianie ustawy o usługach płatniczych i ustawy prawo dewizowe. Pierwotnie projekt ten zakładał tzw. deregulacje biur usług płatniczych i wprowadzenie dodatkowych wymogów regulacyjnych wobec małych instytucji płatniczych. W toku konsultacji publicznych w 2021 roku zgłoszono jednak wiele propozycji zmian w ustawie o usługach płatniczych („UUP”), w tym w zakresie kwestii związanych z odpowiedzialnością za nieautoryzowane transakcje płatnicze.

Pierwszą istotną zmianą jest doprecyzowanie brzmienia art. 45 ust. 1 UUP. Obecnie przepis ten wskazuje m.in., że dostawca usług płatniczych użytkownika musi udowodnić, że transakcja płatnicza została przez użytkownika autoryzowana. Jest to wadliwa implementacja art. 72 ust. 1 PSD2⁴, który jednoznacznie odwołuje się do konieczności dowiedzenia uwierzytelnienia transakcji płatniczej, a nie jej autoryzacji. Autoryzacja to zasadniczo zgoda na wykonanie transakcji płatniczej, z kolei uwierzytelnienie to procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika (art. 2 pkt 33b UUP), czyli np. użycie karty i podanie prawidłowego numeru PIN.

Błędna implementacja PSD2 w tym zakresie zasadniczo doprowadziła do rozszerzenia obowiązków spoczywających na dostawcach usług płatniczych w przypadku nieautoryzowanej transakcji. Dało to też częściową podstawę organom nadzoru takim jak UOKiK do kwestionowania postępowania dostawców usług płatniczych, w tym banków, którzy w wielu przypadkach nie zwracają środków z transakcji zgłoszonej przez płatnika jako „nieautoryzowana”. Najczęściej motywowane jest to naruszeniem przez użytkownika usług płatniczych nałożonych na niego obowiązków w zakresie bezpieczeństwa (np. przekazanie osobie nieuprawnionej danych uwierzytelniających). Projektowana zmiana ma celu zaktualizowanie brzmienia art. 45 ust. 1 UUP i zastąpienia błędnego określenia „autoryzacji” prawidłowym terminem „uwierzytelnienia”, co w praktyce powinno przyczynić się do ustąpienia występujących obecnie rozbieżnych interpretacji w tym zakresie.

Projektowane zmiany w zakresie art. 40 ust. 1 UUP

W projekcie zmiany UUP zaproponowano również nowelizację brzmienia art. 40 ust. 1 UUP implementującego art. 64 ust. 1 PSD2. Zgodnie z obecnym brzmieniem tego przepisu transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie tej transakcji w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Autoryzacja transakcji oznacza zgodę płatnika na jej wykonanie. Umową pomiędzy płatnikiem, a jego dostawcą może być w szczególności umowa o charakterze ramowym lub umowa o pojedynczą transakcję płatniczą.
W ramach konsultacji publicznych do projektu zmiany UUP, Komisja Nadzoru Finansowego („KNF”) zgłosiła propozycję nowelizacji art. 40 ust. 1 UUP, wskazując przy tym, że przepis ten powinien uwzględniać wprost zgodę i wolę płatnika na wykonanie transakcji płatniczej jako główną i samoistną przesłankę autoryzacji transakcji. Zdaniem KNF odwołanie w przedmiotowym zakresie do postanowień umowy zawartej z dostawcą usług płatniczych może w sposób niekorzystny wpływać na ochronę interesów konsumenta. KNF zaproponowała, aby wprowadzić następujące brzmienie tego przepisu: transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie lub gdy zgoda na wykonanie transakcji płatniczej została wyrażona w sposób zgodny z przewidzianym w umowie między płatnikiem a jego dostawcą. Projektodawca przychylił się do tej propozycji, niemniej jednak zdecydował się na jeszcze dalej idącą modyfikację art. 40 ust.1 UUP. Zgodnie z przedstawionym projektem, żeby transakcję płatniczą uznać za autoryzowaną, płatnik będzie musiał osobiście wyrazić zgodę na jej wykonanie. Wyrażenie zgody ma się z kolei odbywać na zasadach określonych pomiędzy dostawcą usług płatniczych, a płatnikiem.

Zaproponowane brzmienie art. 40 ust. 1 UUP może rodzić jednak liczne wątpliwości i trudności interpretacyjne. Posłużenie się pojęciem „osobistego” wyrażenia zgody może być bowiem problematyczne w kontekście sytuacji, w których transakcja byłaby zlecana przez pełnomocnika lub inną uprawnioną osobę (np. użytkownika z dostępem do bankowości elektronicznej i prawem składania zleceń płatniczych).

Podsumowanie

W świetle powyższego wydaje się, że proponowana zmiana art. 45 ust. 1 UUP powinna skutkować usprawnieniem procesów, w szczególności reklamacyjnych, w zakresie transakcji nieautoryzowanych i zapewnić, że ciężar dowodowy spoczywający na dostawcy usług płatniczych ograniczać się będzie jedynie do wykazania uwierzytelnienia, a nie samej autoryzacji. Z kolei zmiana art. 40 ust. 1 UUP poprzez wprowadzenie obowiązku „osobistego” wyrażenia zgody może powodować liczne problemy interpretacyjne i praktyczne, nie tylko dla dostawców usług płatniczych, ale również samych klientów. Projekt jest jeszcze na wczesnym etapie, a 10 sierpnia 2022 roku zostało przekazane zaproszenie do ponownych konsultacji, wobec czego proponowana treść przepisów może ulec dalszym zmianom.