Módl się, by nie zhakowali ci konta. Bank ci nie pomoże. Załatwi cię jak tę okradzioną emerytkę

Prowadzone od roku przez UOKiK postępowanie w sprawie nieautoryzowanych transakcji na kontach klientów doprowadziło do postawienia pięciu bankom zarzutów naruszania zbiorowych interesów konsumentów. Chodzi o Millennium, BNP Paribas, Credit Agricole, mBank oraz Santander.

Trzynaście innych UOKiK objął postępowaniem wyjaśniającym. W przypadku wykrycia nieprawidłowości Urząd zapowiedział, że może postawić zarzuty kolejnym instytucjom. Za naruszenie zbiorowych interesów konsumentów bankom grożą kary do 10 proc. obrotu, w grę wchodziłyby grzywny liczone w setkach milionów złotych.

W czasie postępowania wyjaśniającego wyszło na jaw, że banki mogą wprowadzać konsumentów w błąd w odpowiedziach na reklamacje dotyczące nieautoryzowanych transakcji. Banki twierdziły na przykład, że transakcja została autoryzowana i jednocześnie konsument mógł dopuścić się rażącego niedbalstwa lub że samo wykazanie uwierzytelnienia przez bank zwalnia go z obowiązku zwrotu.

Cytowany w komunikacie Tomasz Chróstny, prezes Urzędu Ochrony Konkurencji i Konsumentów, podkreśla, że na banku jako instytucji zaufania publicznego spoczywa obowiązek podjęcia kroków, aby zabezpieczyć środki klientów.

Jego zdaniem banki powinny rozwijać i stosować mechanizmy, które pozwalają identyfikować i wcześniej blokować podejrzane operacje, wykorzystując w tym celu historię zleceń klienta czy biometrię behawioralną.

UOKiK przypomina, że z ustawy o usługach płatniczych, wprowadzającej do polskiego ustawodawstwa dyrektywę PSD2 wynika, że banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji do końca następnego dnia roboczego po zgłoszeniu.

Wyjątkiem są dwie sytuacje: zgłoszenie konsumenta nastąpiło później niż trzynaście miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego. W tym wypadku bank ma obowiązek zawiadomić policję lub prokuraturę. W innych przypadkach musi przywrócić saldo rachunku do stanu sprzed dokonania nieautoryzowanej transakcji.

UOKiK przypomina, że dopiero dokonaniu zwrotu środków na rachunek klienta bank może dochodzić swoich roszczeń od klienta, probując udowodnić, że klient doprowadził do transakcji umyślnie albo wykazał się rażącym niedbalstwem, umożliwiając oszustom wykorzystanie jego danych uwierzytelniających.

Prezes Tomasz Chróstny podkreśla, że nie kwestionuje prawa bank do dochodzenia roszczenia w sytuacjach winy konsumenta, ale jak zauważa, narzędzia uwierzytelniania oraz zabezpieczenia banku nie chronią konsumenta przed nieautoryzowanymi transakcjami.

UOKiK ujawnił, że zarzuty zostały postawione na podstawie analizy skarg konsumentów oraz reakcji i odpowiedzi banków na zgłoszenia kradzieży pieniędzy z kont konsumentów. Jako przykład przytacza historię 72-letniej emerytki, której oszust nie dość, że ukradł z konta 170 tys., to na jej nazwisko zaciągnął kredy w wysokości 80 tys. zł.

Z relacji Urzędu wynika, że bank nie zareagował też, kiedy oszust podszywając się pod emerytkę, zmienił jej stan cywilny z mężatki na wdowę, żeby nie była potrzebna zgoda męża do zaciągnięcia kredytu. Mimo prawa obowiązującego w Unii Europejskiej, nie zwrócił też ukradzionych pieniędzy, obarczając winą klientkę.

Jak przekonuje UOKiK, podobnych historii są w Polsce tysiące. Różnią się kwoty i metody działania oszustów, a łączy kradzież pieniędzy z kont i zwykle negatywna reakcja banków w odpowiedzi na zgłoszoną reklamację.

UOKiK podkreśla, że mimo obowiązujących w Polsce przepisów banki wciąż nie zwracają środków lub w przypadku zaciągnięcia kredytu, zmuszają konsumentów, którzy padli ofiarami oszustów, do jego spłacania.

UOKiK zwraca uwagę w komunikacie różnicę między pojęciem „uwierzytelnienia” i „autoryzacji”. Zgodnie z ustawa uwierzytelnienie to procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających (np. przez podanie kodu PIN).

I dodaje, że w myśl ustawy o usługach płatniczych samo wykazanie przez bank, że transakcja została prawidłowo uwierzytelniona nie jest wystarczające, żeby uznać, że była przez użytkownika autoryzowana, lub że klient dopuścił do jej wykonania umyślnie albo wskutek rażącego niedbalstwa. Ciężar udowodnienia takich okoliczności spoczywa na banku.