sobota, Marzec 23

Autoryzowana czy nieautoryzowana? Transakcje płatnicze w świetle przepisów ustawy o usługach płatniczych oraz wytycznych EBA

Google+ Pinterest LinkedIn Tumblr +

Dyrektywa PSD2 wprowadza szereg zmian w zakresie bezpieczeństwa płatności, w tym wymaga stosowania silnego uwierzytelniania klienta (SCA) (o czym pisałem tutaj i tutaj), a także zmienia nieco zasady dotyczące autoryzacji płatności. Te dwa pojęcia – uwierzytelnianie oraz autoryzacja są niekiedy postrzegane jako tożsame. Tak jednak nie jest. Uwierzytelnianie to potwierdzenie tożsamości użytkownika i proces poprzedzający autoryzację, natomiast autoryzacja to „akceptacja” konkretnej płatności (lub innej czynności). Samo uwierzytelnianie może mieć jednak wpływ na odpowiedzialność płatnika, odbiorcy i dostawcy. Jakimi „prawami” rządzi się więc autoryzacja płatności w świetle ustawy o usługach płatniczych (uUP) implementująca dyrektywę PSD2? W kolejnym artykule przyjrzę się również odpowiedzialności dostawców PIS oraz AIS.

Tematykę autoryzacji transakcji płatniczych regulują art. 40-48 uUP, ale również art. 27 (w kontekście umowy ramowej) i art. 33 oraz pomocniczo art. 64-77 PSD2. Nie bez znaczenia pozostają również wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) w zakresie raportowania nieautoryzowanych transakcji.

Autoryzowana czy nie?

Ustawa o usługach płatniczych nie wskazuje definicji nieautoryzowanej transakcji płatniczej, a jedynie podkreśla kiedy mamy do czynienia z autoryzowaną transakcją płatniczą. Taka transakcja będzie autoryzowana, jeżeli płatnik wyrazi zgodę na jej dokonanie (przed jej dokonaniem lub po) i de facto po uwierzytelnieniu. Sposób w jaki powinna zostać ona wyrażona powinien zostać określony w umowie z dostawcą. Istotne jest to, że zgoda na dokonanie transakcji może zostać przekazana za pośrednictwem odbiorcy, dostawcy odbiorcy albo dostawcy usługi Payment Initiation Service (PIS – więcej o samej usłudze – tutaj).

Wytyczne EBA są nieco bardziej precyzyjne, choć zastosowana definicja ma znacznie głównie w kontekście raportowania transakcji nieautoryzowanych (jest to więc nieco szerszy kontekst niż ten, o którym mowa w artykule). EBA wskazuje, że za nieautoryzowaną transakcję uznać można taką transakcję, która została dokonana w wyniku kradzieży, utraty, manipulacji czy użycia przymusu, a także błędu co do odbiorcy (tutaj ważna jest dobra wiara posiadacza/użytkownika). Dotyczy to zarówno nieuprawnionego wykorzystania indywidualnych danych uwierzytelniających (IDU), jak i samego instrumentu płatniczego, np. karty. Jest to oczywiście katalog otwarty i przykładów nieautoryzowanej transakcji może być więcej.

Jak prawidłowo korzystać z instrumentu płatniczego?

Ogólne obowiązki dostawcy instrumentu płatniczego (rozumianego nie tylko jako karta płatnicza, ale – w pewnym uproszczeniu – również aplikacji mobilnej i innego instrumentu/narzędzia umożliwiającego dokonywanie transakcji płatniczych) muszą być określone w umowie ramowej. Po stronie użytkownika leży zapewnienie, że wykorzystywanie takiego instrumentu, np. w formie wirtualnej portmonetki, przebiega w uzgodniony pomiędzy stronami sposób (ma to znaczenie w kontekście odpowiedzialności użytkownika).

Użytkownik musi również zgłaszać wszelkie incydenty, które wpływają na ryzyko dokonania nieautoryzowanej transakcji płatniczej, jak np. kradzież czy zagubienie. Takiego poinformowania dokonać musi on niezwłocznie i za pomocą uzgodnionego kanału komunikacji z dostawcą.

Użytkownik powinien zapewnić, że jego indywidualne dane uwierzytelniające, jak np. hasło czy PIN, są w odpowiedni sposób zabezpieczone i osoby nieuprawnione nie będą miały dostępu do instrumentu. Ma to kluczowe znaczenie z punktu widzenia odpowiedzialności za nieautoryzowaną transakcję i możliwości uzyskania rekompensaty.

A co z dostawcą?

Na dostawcy również, a może przede wszystkim, ciążą liczne obowiązki. Musi on chociażby zapewnić, że postanowienia umowy ramowej w zakresie użytkowania instrumentu płatniczego są obiektywne, niedyskryminujące i proporcjonalne. W samej umowy powinny znaleźć się postanowienia dotyczące odpowiedzialności płatnika za nieautoryzowane transakcje czy określenie sposobu informowania o przypadkach wystąpienia nieautoryzowanej transakcji.

Bardzo ważnym elementem jest nałożenie na takiego dostawcę obowiązku zapewnienia, że IDU na żadnym etapie interakcji nie znajdą się w posiadaniu osób innych niż użytkownik, co oczywiście niekiedy może i tak się zdarzyć, np. w przypadku przełamania zabezpieczeń tego dostawcy. Oznacza to w praktyce obowiązek dostarczenia odpowiedniego szyfrowania danych i stosowania innych zabezpieczeń informatycznych uniemożliwiających taki dostęp. Szczególny reżim znajduje zastosowanie względem dostawców usługi Payment Initiation Service oraz Account Information Service (poruszę to w jednym z kolejnych artykułów).

Dostawca musi również zapewnić odpowiednie rozwiązania faktyczne i prawne w zakresie zgłaszania nieautoryzowanych transakcji. W przypadku ustalenia pomiędzy dostawcą a użytkownikiem możliwości zablokowania instrumentu (co następuje z inicjatywy dostawcy jeżeli doszło do zgłoszenia nieautoryzowanej transakcji niezależnie od postanowień umowy) konieczne jest również wprowadzenie odpowiednich procesów odblokowywania tego instrumentu. Każdemu procesowi powinna towarzyszyć odpowiednia procedura.

Co w przypadku nieautoryzowanej transakcji?

Przede wszystkim zgłoszenie. Użytkownik instrumentu płatniczego jest obowiązany do niezwłocznego poinformowania dostawcy o stwierdzonych przez niego nieautoryzowanych transakcjach. Brak takiego zawiadomienia w terminie 13 miesięcy od wykonania takiej transakcji lub obciążenia rachunku powoduje, że roszczenia użytkownika wygasają.

Użytkownik nie musi udowadniać, że dana transakcja był nieautoryzowana, ponieważ co do zasady to na dostawcy ciąży ciężar udowodnienia, że była ona autoryzowana. Użytkownik zgłasza więc sam fakt zidentyfikowania nieautoryzowanej transakcji, a dostawca sprawdza, np. poprzez analizę transakcji, czy użytkownik mógł wykonać określone działanie. Sam kiedyś byłem „ofiarą” takiej nieautoryzowanej transakcji, gdzie będąc we Frankfurcie, w systemie bankowym zobaczyłem transakcję wykonaną we Włoszech moją kartą płatniczą (prawdopodobnie sklonowaną w bankomacie, samą kartę miałem przy sobie).

Po stronie dostawcy również pojawiają się liczne obowiązki związane z raportowaniem nieautoryzowanych transakcji. Przykładowo art. 32h ustawy o usługach płatniczych zobowiązuje dostawców do przekazywania corocznych (do 31 stycznia) raportów dotyczących oszustw związanych z wykonywanymi usługami płatniczymi, w tym zrealizowanymi transakcjami płatniczymi. Dodatkowo wytyczne EBA zobowiązują do opracowywania kwartalnych statystyk obejmujących m.in. transakcje fraudowe.

A co z odpowiedzialnością?

Kwestia odpowiedzialności za nieautoryzowane transakcje to bardzo ciekawy temat, szczególnie w odniesieniu do obowiązku stosowania silnego uwierzytelniania klienta. Wiele wątpliwości może pojawić się w przypadku sytuacji kiedy dostawca odbiorcy płatności, np. spoza Europejskiego Obszaru Gospodarczego, nie stosuje SCA. Kto w takiej sytuacji ponosi odpowiedzialność za ewentualny fraud? Może w ogóle należy odrzucić taką transakcję? Jakie są granice odpowiedzialności użytkownika (płatnika) i czy jest ona ograniczona? Na te i inne pytania odpowiem już w kolejnym artykule.

Udostępnij.

Zostaw komentarz