UOKiK chce większej odpowiedzialności banków. Proponuje zmianę definicji autoryzacji
Przez lata banki stosowały prostą i wygodną dla siebie logikę - jeśli transakcja została poprawnie uwierzytelniona (np. kodem SMS czy logowaniem biometrycznym), to znaczy, że klient ją autoryzował, a reklamacja jest bezzasadna.
Z informacji "Business Insider" wynika, że UOKiK nie jest jednak do końca przekonany, czy właśnie tak to powinno wyglądać - i w rezultacie zakwestionował ten automatyzm, wszczynając postępowania przeciwko kilkunastu bankom. Regulator stoi na stanowisku, że czym innym jest techniczne uwierzytelnienie, a czym innym świadoma zgoda (czyli autoryzacja) na wykonanie przelewu.
Regulator wymusza też na bankach powrót do przestrzegania zasady „D+1”. Oznacza ona, że w przypadku zgłoszenia nieautoryzowanej transakcji, bank ma obowiązek zwrócić środki na konto klienta najpóźniej do końca następnego dnia roboczego. Instytucje finansowe, chcąc uniknąć kar finansowych w ramach decyzji zobowiązujących, coraz częściej dostosowują się do tego wymogu, rezygnując z arbitralnego odrzucania reklamacji.
Taktyka „zwrot i pozew”. Nowa rzeczywistość dla ofiar
Zmiana podejścia banków doprowadziła do powstania specyficznego paradoksu. Banki zwracają pieniądze, by spełnić wymogi administracyjne, ale jeśli ich działy bezpieczeństwa uznają, że klient dopuścił się rażącego niedbalstwa (np. podał dane logowania oszustom), natychmiast przechodzą do kontrataku.
W praktyce oznacza to, że poszkodowany najpierw odzyskuje środki na konto, a niedługo potem otrzymuje pozew cywilny o ich zwrot. Bankowcy przyznają anonimowo, że jest to działanie wymuszone obecną interpretacją przepisów przez UOKiK.
Warto przy tym dodać, że zgodnie z prawem, bank jest zwolniony z obowiązku natychmiastowego zwrotu tylko w dwóch przypadkach - gdy minęło 13 miesięcy od transakcji lub gdy ma uzasadnione podejrzenie oszustwa ze strony samego klienta i zgłosi to organom ścigania.
Oszustwo na "pracownika banku". Kto powinien ponieść odpowiedzialność?
Największy spór dotyczy obecnie transakcji dokonanych pod wpływem manipulacji socjotechnicznej (np. oszustwa „na pracownika banku”). Jak podaje "BI", z nieoficjalnych informacji, które pozyskał serwis, wynika, że UOKiK dąży do tego, aby banki brały na siebie odpowiedzialność również za te operacje, które klient wykonał technicznie samodzielnie, ale będąc zmanipulowanym przez przestępców.
Sektor bankowy sprzeciwia się jednak takiemu rozwiązaniu. Argumentuje, że obecne przepisy (ustawa o usługach płatniczych) nie dają podstaw do tak szerokiej odpowiedzialności. Banki wskazują, że nie mogą odpowiadać za działania podejmowane przez klientów poza ich systemami, często za pośrednictwem zewnętrznej infrastruktury telekomunikacyjnej. Nawet procedowane unijne rozporządzenie PSR przewiduje rozszerzenie odpowiedzialności jedynie na przypadki spoofingu bankowego (podszywania się pod numer banku), a nie każdego oszustwa socjotechnicznego.
W dyskusji tej ważny głos zabiera Urząd Komisji Nadzoru Finansowego. Rzecznik instytucji, Jacek Barszczewski, ostrzega przed przechyleniem szali zbyt mocno na korzyść konsumentów. Zbyt szeroka ochrona i gwarancja automatycznego zwrotu środków w każdym przypadku może doprowadzić do zjawiska moral hazard (pokusy nadużycia). Jeśli klienci uznają, że bank zawsze pokryje straty, mogą przestać dbać o podstawowe zasady cyberhigieny i ostrożności.
Wszystko wskazuje na to, że w najbliższych miesiącach czeka nas dalsze przeciąganie liny między UOKiK a sektorem bankowym - na razie trudno jednak stwierdzić, jakie rozwiązanie zostanie przyjęte ostatecznie.
