Jak informuje Business Insider, Urząd Ochrony Konkurencji i Konsumentów wszczął postępowania wobec kilkunastu banków, podważając dotychczasową interpretację pojęcia autoryzacji transakcji. Przez lata sektor bankowy przyjmował, że jeśli operacja została poprawnie uwierzytelniona – na przykład kodem SMS – oznacza to, że klient świadomie ją potwierdził.

Zwrot pieniędzy, a potem pozew. Nowa strategia banków?

UOKiK wskazuje jednak, że techniczne uwierzytelnienie transakcji nie jest równoznaczne z autoryzacją, a zatem nie można automatycznie odrzucać reklamacji. To oznacza, że bank nie może zakładać winy klienta wyłącznie na podstawie poprawnego logowania czy potwierdzenia kodem.

Regulator egzekwuje też przestrzeganie zasady „D+1” – obowiązku zwrotu pieniędzy klientowi najpóźniej dzień roboczy po zgłoszeniu nieautoryzowanej transakcji. Według ustaleń BI coraz więcej instytucji finansowych zaczęło stosować się do tej zasady, by uniknąć kar. Bank może odmówić natychmiastowego zwrotu tylko w dwóch przypadkach: jeśli od feralnej transakcji minęło ponad 13 miesięcy lub jeśli istnieje podejrzenie, że klient sam próbował dokonać oszustwa i sprawa została zgłoszona organom ścigania.

Zmiany w kwestii reklamacji doprowadzają jednak do paradoksalnej sytuacji. Jak opisuje Business Insider, banki coraz częściej stosują procedurę „zwrot i pozew”, czyli najpierw oddają środki, by wypełnić obowiązek narzucony przez UOKiK, ale następnie pozywają klienta o zwrot pieniędzy, jeśli uważają, że dopuścił się rażącego zaniedbania – np. sam przekazał oszustom dane logowania.

Banki są przeciwne pomysłowi UOKiK

Szczególne emocje budzą transakcje wykonane pod wpływem manipulacji – np. w wyniku popularnego oszustwa „na pracownika banku”. UOKiK chce, aby banki brały odpowiedzialność również za przelewy wykonane przez klienta świadomie, ale pod wpływem wywołanego przez przestępców błędnego przeświadczenia o zagrożeniu.

Sektor bankowy zdecydowanie sprzeciwia się takiemu rozwiązaniu. Twierdzi, że obowiązujące przepisy – w tym ustawa o usługach płatniczych – nie przewidują odpowiedzialności banków za działania klienta wykonywane poza systemami bankowymi, często w oparciu o infrastrukturę telekomunikacyjną. Banki podkreślają też, że nawet procedowane unijne rozporządzenie PSR rozszerza ich odpowiedzialność wyłącznie na przypadki spoofingu bankowego, czyli podszywania się pod numery infolinii banku.

W debatę włącza się także KNF. Urząd przestrzega, że pełne przerzucenie odpowiedzialności na banki mogłoby doprowadzić do nadużyć. Jeśli klienci zyskają przekonanie, że bank zawsze pokryje straty, część z nich może przestać zachowywać podstawowe zasady bezpieczeństwa i higieny cyfrowej.