Jakiś czas temu Polskę zelektryzowała wiadomość o masowej kradzieży środków pieniężnych z rachunków prowadzonych przez popularny bank komercyjny. Działo się to w weekend, natomiast już w poniedziałek bank poinformował, że wszystkie środki zostały poszkodowanym klientom zwrócone.
Nieautoryzowana transakcja płatnicza
Jak się później okazało, kradzieże zostały dokonane przy wykorzystaniu metody zwanej skimmingiem, tj. kopiowania danych z paska magnetycznego karty bankomatowej. Wachlarz metod, które cyberprzestępcy stosują, aby dobrać się do pieniędzy ulokowanych na rachunkach bankowych, jest jednak znacznie szerszy. Najpopularniejsze z nich to phishing, polegający na podszywaniu się pod zaufane instytucje celem wyłudzenia danych umożliwiających logowanie się do bankowości elektronicznej. Stosowane są też techniki mniej wyrafinowane, jak ciesząca się złą sławą metoda „na wnuczka” oraz bardziej wysublimowane, takie jak instalacja złośliwego oprogramowania przechwytującego zrzuty ekranu i komunikaty wprowadzane do pamięci komputera za pomocą klawiatury.
Efekt takich zabiegów jest zazwyczaj taki sam – pieniądze znikają z konta. Ustawa określa to jako nieautoryzowaną transakcję płatniczą. Kwotę, która zniknęła, bank powinien klientowi zwrócić. Pytanie jednak, czy zawsze?
Uwierzytelnienie nie oznacza zgody
Przed udzieleniem odpowiedzi na postawione pytanie trzeba przybliżyć kilka prawniczych technikaliów i kluczowych pojęć. Po pierwsze, należy odróżnić autoryzację transakcji płatniczej od uwierzytelnienia. Uwierzytelnienie to w bankowości elektronicznej proces weryfikacji tożsamości, który odbywa się najczęściej za pomocą wskazania loginu, hasła lub odcisku palca. Obrazowo można powiedzieć, że odpowiada na pytanie: kim jesteś? Autoryzacja transakcji oznacza zaś zgodę klienta banku na jej dokonanie.
W konsekwencji trzeba zauważyć, że samo pomyślne ukończenie procesu uwierzytelnienia nie prowadzi do uznania transakcji za autoryzowaną. Transakcja będzie nieautoryzowana wtedy, gdy została dokonana bez zgody użytkownika. Wówczas kwota, na którą takiej transakcji dokonano, powinna podlegać zwrotowi. Innymi słowy, nawet jeśli oszust uwierzytelni się i dokona wypłaty z naszego rachunku, to transakcja wciąż będzie miała charakter nieautoryzowanej.
Ustawa o usługach płatniczych wyłącza natomiast odpowiedzialność banków w przypadku, w którym do nieautoryzowanej transakcji dochodzi wskutek umyślnego lub rażąco niedbałego działania klienta. W szczególności chodzi tutaj o obowiązek chronienia danych umożliwiających autoryzację użytkownika.
Zdawać by się bowiem mogło, że jeżeli bank nie ponosi winy za zniknięcie środków z rachunku, to klientowi ich zwrot się nie należy. Zwłaszcza, jeśli klient sam swoim nierozważnym działaniem doprowadził do kradzieży pieniędzy z jego własnego konta.
Wyłączenie odpowiedzialności
Niestety, w mej opinii, przepisy ustawy o usługach płatniczych są wadliwie interpretowane i stosowane przez instytucje państwowe. To w rezultacie prowadzi do niezgodnej z przepisami, a wręcz patologicznej sytuacji, w której próbuje się obciążać bank obowiązkiem zwrotu w każdym przypadku nieautoryzowanej transakcji.
Kilka przykładów z naszej praktyki. Klientka banku zamieściła na portalu aukcyjnym ogłoszenie o sprzedaży. Za pośrednictwem portalu kontaktuje się z nią przestępca podszywający się pod zainteresowanego kupca. Namawia klientkę do sparowania z systemem bankowości internetowej nowego telefonu komórkowego. Klientka – z przyczyn trudnych do wyjaśnienia – decyduje się na ten krok. Na jej telefon przychodzą wiadomości z banku konieczne do umożliwienia obsługi rachunku z innego telefonu. Zawsze zawierają – napisane wielkimi literami i opatrzone wykrzyknikiem – ostrzeżenie: „Uwaga: nadajesz dostęp do bankowości elektronicznej nowemu urządzeniu, nie przekazuj nikomu tej wiadomości, jeśli nie dokonujesz takiej czynności, natychmiast skontaktuj się z bankiem”. Klientka ostrzeżenie ignoruje. Nadaje dostęp do jej rachunku telefonowi komórkowemu trzymanemu w ręce przez oszusta. W kilka minut później traci około 30 tys. zł oszczędności.
Inny, jeszcze bardziej jaskrawy, przypadek. Do klienta banku dzwoni oszust podający się za policyjnego detektywa prowadzącego śledztwo. Oświadcza, że dane logowania klienta do systemu bankowości elektronicznej są nieodzowne dla celów prowadzonego przez rzekomego policjanta dochodzenia w sprawie przestępstwa prania brudnych pieniędzy. Klient dane udostępnia. Z jego konta wyparowuje kilkadziesiąt tysięcy złotych.
Klienci natychmiast żądają od banku zwrotu, przesyłają reklamację. Bank – moim zdaniem słusznie – odmawia, wytykając klientom rażące niedbalstwo. Klienci skarżą się instytucji powołanej do ich wspierania w sporach z uczestnikami rynku finansowego. Instytucja ta oświadcza, że o odmowie zwrotu środków nie może być mowy, albowiem klienci „padli ofiarą zabiegów socjotechnicznych”. Bank, zdaniem tej instytucji, ma pieniądze natychmiast zwrócić, a potem ewentualnie procesować się o ich odzyskanie z nieostrożnym klientem.
Czym jest rażące niedbalstwo?
Opisane wyżej przypadki to zdarzenia z życia wzięte. Demonstrują, w jaki sposób przepisy słuszne i chroniące ludzi rozsądnych są stosowane w sposób szkodliwy dla obrotu gospodarczego i klientów banków. Ustawa o usługach płatniczych stanowi wprost – bank za transakcję, do której doszło wskutek rażącego niedbalstwa, nie odpowiada. Powstaje zatem pytanie – co jeszcze musiałoby się wydarzyć, aby klient mógł zostać uznany za rażąco niedbałego?
Tymczasem rażące niedbalstwo to pojęcie tradycyjne, w prawie cywilnym obecne od czasów rzymskich. Od setek lat oznacza to samo, tj. postępowanie, które w znaczący sposób odbiega od przeciętnego zachowania rozsądnego człowieka. Wracając do opisanych wyżej przypadków – czy przeciętnie rozsądny człowiek, ostrzeżony o skutkach swoich działań, na prośbę nieznajomej osoby powinien umożliwić jej korzystanie ze swojego rachunku bankowego za pomocą nowego urządzenia mobilnego? Czy przeciętnie rozsądny człowiek, przez telefon, powinien niespotkanemu wcześniej detektywowi wskazać dane logowania do bankowości elektronicznej? Odpowiedź jest jasna.
Sam fakt, że klient banku stał się ofiarą oszustwa nie powinien wyłączać obowiązku oceny – czy to przez bank, czy też instytucje państwowe, a finalnie sądy – tego, czy klient działał rozsądnie. Zabiegi socjotechniczne stosowane przez oszustów nie zwalniają z obowiązku ostrożności, myślenia i dbałości o własny majątek. Prościej – mamy obowiązek nie dać się oszukać, chyba że działania oszusta są wyjątkowo podstępne, co jednak zdarza się stosunkowo rzadko.
Ocena okoliczności oszustwa
Powiedzmy zatem wprost – bank nie zawsze odpowiada za nieautoryzowane transakcje płatnicze. Ma prawo oceny okoliczności, w jakich do takiej transakcji doszło. Jeśli dostrzeże rażące niedbalstwo po stronie klienta, nie ma obowiązku zwracać środków. Przepisy, które dają bankowi takie uprawnienie, obowiązują od lat. Niestety dotychczasowa praktyka instytucji państwowych nie była – i nadal nie jest – prawidłowa. Choć brakuje jeszcze orzeczenia Sądu Najwyższego, karta odwraca się jednak w orzecznictwie. Sądy powszechne coraz silniej akcentują obowiązek szczegółowego badania zachowania użytkownika bankowości elektronicznej i zwracają uwagę na zwykły brak rozsądku i podstawowej ostrożności. Gdyby każdy z nas pamiętał o zachowaniu chociaż minimalnej czujności, do znacznej części nieautoryzowanych transakcji po prostu by nie dochodziło.
Autor jest adwokatem w kancelarii White Owl.
