Kto odpowiada za nieautoryzowane transakcje, czyli odpowiedzialność dostawców w świetle ustawy o usługach płatniczych oraz opinii EBA

W ostatnim artykule zmierzyliśmy się z tematyką autoryzowanych transakcji oraz odpowiedzieliśmy sobie na pytanie o to jakie kroki należy podjąć, gdy doszło do transakcji nieautoryzowanej. Gorącym tematem jest kwestia przypisania odpowiedzialności poszczególnym podmiotom, tj. użytkownikowi, bankowi czy też dostawcy świadczącemu usługę inicjowania płatności (Payment Initiation Service – PIS), jak i związanymi z tym obowiązkami. Temat ten jest ściśle powiązany z zagadnieniem stosowania silnego uwierzytelnienia klienta (Strong Customer Authentication – SCA), szczególnie w przypadku transakcji w internecie z elementem transgranicznym. W tym artykule przybliżę oba zagadnienia.

Kwestię odpowiedzialności za nieautoryzowane transakcje regulują przede wszystkim przepisy ustawy o usługach płatniczych (art. 45-48 oraz art. 143 oraz 143a-c), jak również opinia EBA w sprawie implementacji Rozporządzenia 2018/389. Warto nadmienić, że ustawa przewiduje możliwość wyłączenia niektórych przepisów dotyczących odpowiedzialności (w tym w przypadku braku SCA) w relacji dostawca użytkownik niebędący konsumentem.

Kto udowadnia, że transakcja jest ok?

Co do zasady dostawca prowadzący rachunek klienta (w praktyce płatnika). Jego obowiązkiem jest udowodnienie, że transakcja została autoryzowana (z użyciem odpowiednich danych – indywidualnych danych uwierzytelniających oraz zabezpieczeń) i następnie prawidłowo zapisana w systemie obsługi transakcji. Taki dostawca, a więc w praktyce bank, musi ponadto udowodnić, że żadna usterka czy awaria (w tym po stronie dostawcy usługi PIS) nie miała wpływu na tą transakcję.

Jeżeli jednak transakcja została zainicjowana przez dostawcę PIS to analogiczne zasady zastosowanie będą miały do tego podmiotu (oczywiście odpowiednio do charakteru tej „etapowej” usługi). W praktyce będzie to jednak ten sam zakres jak w przypadku dostawcy prowadzącego rachunek.

Taka konstrukcja może budzić pewne trudności interpretacyjne. W praktyce jednak chodzi o to, że nawet jeżeli użytkownik ma roszczenie w związku z nieautoryzowaną transakcją, to na dostawcy ciąży udowodnienie, że była ona jednak autoryzowana zgodnie z zasadami opisanymi w umowie z użytkownikiem (i regulaminem usługi). Istotne jest przy tym to, że dostawca nie może powoływać się wyłącznie na fakt, że transakcja została w prawidłowy sposób zarejestrowana. Nadal mogła to być bowiem transakcja nieautoryzowana, np. w przypadku użycia „sklonowanej” karty.

Co w konsekwencji nieautoryzowanej transakcji?

Przede wszystkim zwrot kwoty „utraconej” wskutek nieautoryzowanej transakcji. Dokonuje się go niezwłocznie (nie później niż następnego dnia po stwierdzeniu fraud’u lub otrzymania zgłoszenia). Taki zwrot może zostać wstrzymany jeżeli dostawca stwierdzi, że mogło dojść do oszustwa ze strony płatnika (zgłaszającego). W takim wypadku dostawca musi mieć jednak solidne i udokumentowane podstawy do takiego stwierdzenia i  poinformować musi stosowne organy, np. policję. Analogiczne zasady obowiązują dostawców usługi PIS, choć na „pierwszej linii” zawsze znajduje się dostawca prowadzący rachunek, który następnie może mieć roszczenie regresowe względem innego dostawcy.

Pakiet PSD2 wprowadził pewne zmiany w zakresie odpowiedzialności płatnika za nieautoryzowaną transakcję. Mianowicie płatnik odpowiada teraz za takie transakcje do kwoty 50 euro z zastrzeżeniem, że transakcja była skutkiem utraty, przywłaszczenia lub kradzieży instrumentu płatniczego. Płatnik może jednak udowodnić, że nie miał on możliwości stwierdzenia takiej sytuacji lub też nieautoryzowana transakcja była wynikiem działania osób powiązanych z dostawcą. Nie podlega natomiast dyskusji, że płatnik odpowiada w pełnej wysokości, jeżeli działał umyślnie lub z rażącym niedbalstwem czego konsekwencją było naruszenie jednego z obowiązków płatnika. W dalszym ciągu problemem może być jednak udowodnienie takiego działania. Ma tutaj również znaczenie kryterium starannego działania.

Co z silnym uwierzytelnianiem?

Zapewnienie silnego uwierzytelnienia klienta będzie obowiązkiem dostawców od 14 września (po więcej informacji zapraszam tutaj). Niektóre transakcje moga jednak odbywać się bez udziału SCA. Przypomnijmy, że stosowanie SCA jest obowiązkiem dostawcy płatnika, jednakże istnieją pewne sytuacje, w których można zrezygnować z jego zastosowania (mowa tutaj o wyłączeniach, które opisałem m.in. tutaj).

Inną, istotną w kontekście omawianego zagadnienia, okolicznością w której może nie dojść do zastosowania SCA są transakcje międzynarodowe (cross-border), w których jeden z dostawców nie akceptuje lub nie stosuje silnego uwierzytelniania klienta. W takich właśnie sytuacjach pojawiają się największe wątpliwości co do zakresu i rodzaju odpowiedzialności, jak również konsekwencji niezastosowania tego środka bezpieczeństwa. Zaznaczyć przy tym należy, że mówimy tutaj o stronach transakcji (i ich dostawcach) objętych Rozporządzeniem 2018/389.

Co gdy nie wymagamy SCA? Regres?

Znowelizowana Ustawa o usługach płatniczych wprowadziła dodatkowe przepisy dotyczące odpowiedzialności dostawców w przypadku, gdy nie stosują oni lub nie przyjmują silnego uwierzytelnienia klienta. W przypadku, gdy dostawca płatnika nie stosuje silnego uwierzytelniania klienta, to płatnik nie odpowiada za nieautoryzowane transakcje, chyba że działał umyślnie. W takiej sytuacji trudno mówić o innym podejściu, gdyż przepisy wymagają stosowania SCA od 14 września 2019 r. Ta kwestia zasadniczo nie budzi wątpliwości.

Co jednak w przypadku, gdy dostawca odbiorcy lub sam odbiorca (np. sprzedawca w sklepie internetowym) nie przyjmują/akceptują silnego uwierzytelnienia? Przykładowo może to mieć miejsce jeżeli na stronie internetowej na której znajduje się bramka płatnicza nie ma obsługi instrumentu płatniczego z użyciem SCA i przez to dana transakcja może „przejść” bez dodatkowej autoryzacji. W takiej sytuacji jeżeli doszło do nieautoryzowanej transakcji, to dostawca płatnika musi zwrócić kwotę nieautoryzowanej transakcji. Ustawa przewiduje jednak, że sam odbiorca lub dostawca odbiorcy zobowiązani będą do naprawienia szkody poniesionej przez dostawcę płatnika. Mamy więc tutaj regres.

A jak to się ma do transakcji poza Europejskim Obszarem Gospodarczym?

Europejski Urząd Nadzoru Bankowego pochylił się również nad sytuacją wspomnianych powyżej transakcji cross-border. W swojej opinii Urząd wskazał, że w przypadku, gdy jedna ze stron transakcji (jej dostawca) znajdują się poza Europejskim Obszarem Gospodarczym, to przepisy dotyczące SCA mają zastosowanie jedynie na zasadzie działania z najwyższą starannością (best-effort basis), co oznacza, że konieczne jest zastosowanie innych mechanizmów zabezpieczenia przed nieautoryzowanymi transakcjami, np. poprzez odpowiedni monitoring transakcji i nietypowych zachowań.

Samo zastosowanie tych mechanizmów nie zwalnia jednak dostawców z odpowiedzialności względem płatnika, jak i dostawców drugiej strony transakcji – zgodnie z zasadami opisanymi powyżej. W praktyce oznacza to, że niezależnie od konstrukcji (kto stosuje lub nie akceptuje SCA) transakcji powinna zostać ona zrealizowana, chyba że zachodzą przesłanki do stwierdzenia, że transakcja może mieć charakter fraudowy. Dlatego tak istotne jest zapewnienie odpowiednich mechanizmów monitorowania transakcji.

Czy coś więcej?

Tematyka terytorialnego stosowania SCA jest bardzo ciekawym tematem, który wykracza jednak poza tematykę tego artykułu. W kontekście odpowiedzialności należy wspomnieć, że praktyka pokaże jak rynek przygotowany będzie na stosowanie SCA na dzień 14 września, tym bardziej, że pojawiają się coraz to nowe koncepcje w zakresie „stosowalności” niektórych rozwiązań, jak np. 3D Secure 2.0.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *