Oczywista nieoczywistość, czyli problematyka zwrotu środków przy nieautoryzowanej transakcji
Jednym z ciekawszych zagadnień związanych z płatnościami jest problematyka zwrotu środków przy nieautoryzowanej transakcji (nieco więcej na ten temat tutaj). Przepisy ustawy o usługach płatniczych (uUP) są tutaj dość „bezwzględne” (z pewnymi wyjątkami) i zgodnie z art. 46 ust. 1 w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca ma obowiązek dokonać zwrotu tej kwoty użytkownikowi najpóźniej do dnia następnego (tzw. D+1). Powoduje to, że taki dostawca, jeżeli stwierdzi nieautoryzowaną transakcję lub otrzyma stosowne zgłoszenie, to musi ten obowiązek zrealizować. W tym tonie wypowiada się też Rzecznik Finansowy, który w swoich analizach podkreśla wagę tego obowiązku. Jednocześnie można założyć, że liczba nieautoryzowanych transakcji wraz z postępującą cyfryzacją będzie rosła, bo nawet mimo najlepszych zabezpieczeń po stronie dostawców, najsłabszym ogniwem jest człowiek.
Nie chcę tutaj wchodzi w zagadnienie sporów doktrynalnych czy instytucjonalnych. Chcę jedynie spojrzeć na ten temat w miarę obiektywnie i odnosząc się – dla uproszczenia – do konsumentów oraz zastanowić się, gdzie leży problem. Jest to temat wywołujący dużo emocji, ale spójrzmy na niego z nieco innej perspektywy. Dzisiaj pierwsza część analizy.
Zacznijmy od nieautoryzowanej transakcji
Tyle, że takiej definicji nie mamy. Art. 40 uUP wskazuje jedynie, że transakcję uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie w sposób uzgodniony w umowie (art. 27 pkt 2 lit. c uUP dodatkowo wskazuje na wymóg przekazania informacji odnośnie tego sposobu użytkownikowi). Kwestie te więc znane są użytkownikowi od chwili zawarcia umowy.
Rzecznik Finansowy wskazuje z kolei, że „(…) z nieautoryzowaną transakcją płatniczą mamy do czynienia w sytuacji, gdy płatnik nie wyraził na nią zgody”. Jeżeli spojrzymy na wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie raportowania oszustw (fraudów), to tam znajdziemy znacznie bardziej rozbudowaną definicję zgodnie z którą za nieautoryzowaną transakcję (z zastrzeżeniem, że na potrzeby wspomnianego raportowania) uznamy taką która została zrealizowana w wyniku utraty, kradzieży lub przywłaszczenia danych dotyczących m.in. danych uwierzytelniających czy karty i to niezależnie od tego czy wykrycie nieautoryzowanej transakcji przez płatnika było możliwe czy też spowodowane jego rażącym niedbalstwem lub wykonane bez jego zgody. Innymi słowy, jest to podejście, które można w pewnym stopniu zrównać z tym na co wskazuje rzecznik.
Takie podejście sugerowałoby więc, że obowiązek z art. 46 ust. 1 jest niezależny od tego w jaki sposób doszło do nieautoryzowanej transakcji.
Wróćmy więc do art. 46 uUP
Co do zasady mamy obowiązek zwrotu. Co do zasady, bo mamy zasadniczo trzy przypadki, gdy taki obowiązek nie powstaje:
1. Dostawca podejrzewa oszustwo i zgłosi to odpowiednim organom;
2. Płatnik doprowadził do transakcji umyślnie lub
3. Doszło do niej w wyniku rażącego niedbalstwa.
Dwom ostatnimi zagadnieniami zajmę się w oddzielnym artykule.
Od razu należy się wyjaśnienie. Art. 46 ust. 1 wskazuje, że takiego zwrotu nie dokonuje się jedynie w sytuacji zgłoszenia podejrzenia oszustwa. Pozostałe dwa przypadki to już ust. 3. Który wskazuje na sytuację, kiedy płatnik ponosi odpowiedzialność za nieautoryzowaną transakcję. Czytając więc literalnie ten przepis możliwość niespełnienia obowiązku zwrotu będzie dopuszczalna jedynie w tym jednym przypadku.
Pojawia się jednak pytanie (a nawet kilka). Jeżeli spojrzymy do preambuły do PSD2 na bazie, której powstała nowelizacja uUP, to mamy tam następujące stwierdzenie: „W przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych powinien bezzwłocznie zwrócić płatnikowi kwotę tej transakcji. Jeżeli jednak zachodzi duże prawdopodobieństwo nieautoryzowanej transakcji wynikającej z działania użytkownika usług płatniczych w nieuczciwych zamiarach, a podejrzenie to opiera się na obiektywnych podstawach zgłoszonych odpowiedniemu organowi krajowemu, przed dokonaniem zwrotu na rzecz płatnika dostawca usług płatniczych powinien być w stanie przeprowadzić w rozsądnym terminie dochodzenie”.
Czy to oznacza, że obowiązek zwrotu jest w tym przypadku całkowicie wyłączony na czas przeprowadzenia „wewnętrznego dochodzenia”?
I czy należy rozumieć to w ten sposób, że w każdym przypadku, gdy zachodzi podejrzenie oszustwa, dostawca może odmówić zwrotu D+1, jeżeli są to uzasadnione podstawy? A jeżeli okaże się, że nie było do tego podstaw i nie dojdzie do zawiadomienia? Jak wtedy podejść do obowiązku?
Musimy przy tym pamiętać, że przepisy wskazują także na obowiązek wykazania, że po stronie dostawcy nie było usterki czy innych problemów, a także że sam fakt prawidłowego użycia instrumentu płatniczego nie jest wystarczający, aby uznać, że transakcja była autoryzowana etc. (art. 45 uUP).
I teraz kolejne pytanie. Jaki powinien być zakres badania przez dostawcę tych elementów po otrzymaniu zgłoszenia? Jeżeli traktujemy transakcję nieautoryzowaną jako taką, która jest pozbawiona elementu zgody użytkownika, to czy sam fakt stwierdzenia w zgłoszeniu, że użytkownik nie wyraził tej zgody powinien być wystarczającą przesłanką? Zakładając, że transakcja została dokonana z użyciem indywidualnych danych uwierzytelniających i zgodnie z umową, to czy dostawca ma podstawy, aby twierdzić, że transakcja byłaby rzeczywiście nieautoryzowana?
I co oznacza, że dostawca musi mieć uzasadnione i należycie udokumentowane podstawy, aby twierdzić, że to oszustwo, skoro samo zarejestrowanie transakcji w systemie jest niewystarczające. W takiej sytuacji próby wyłudzenia mogą pojawić się bardzo często. A co w przypadku, gdy użytkownik dokonał zgłoszenia do właściwych organów? Czy w takiej sytuacji dostawca powinien „na słowo” uwierzyć i dokonać zwrotu? Tu nie ma prostych odpowiedzi.
Jaka jest też relacja art. 45 ust. 3 uUP (odpowiedzialność użytkownika za nieautoryzowaną transakcję) do art. 46 ust. 1 uUP. Czy nie powinniśmy tej sytuacji również uwzględnić przy ocenie obowiązku zwrotu? Może to jest też jakiś kierunek?
Oczywiście nie jestem tutaj bezrefleksyjny, bo efektywne środki ochrony konsumentów muszą być ustanowione. Pytanie tylko czy nie powinno przyznać dostawcom większej elastyczności. Zwrot środków (np. wysokiej kwoty) i późniejsze dochodzenie ewentualnych roszczeń to lata i koszty, a wiele sytuacji jest nieoczywistych. No i może przepisy powinny bardziej uwzględniać cyfrowy charakter usług finansowych? Nie mam jeszcze wprawdziwe pomysłu jak, ale chyba warto się nad tym zastanowić.