W dniu 14 lutego 2024 r. Urząd Ochrony Konkurencji i Konsumentów ogłosił o wszczęciu 6 postępowań wobec kolejnych banków dotyczących sposobu rozpatrywania zgłaszanych przez klientów przypadków nieautoryzowanych transakcji płatniczych oraz formułowanych odpowiedzi.
Zastrzeżenia koncentrują się na adekwatności reakcji banków na zgłoszenia klientów.
Zgodnie z art. 40 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (dalej: ustawa o usługach płatniczych): Transakcję płatniczą uważa się za autoryzowana, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą.
Do nieautoryzowanych transakcji płatniczych dochodzi zatem najczęściej, jak wskazuje UOKiK, wskutek cyberataków- wyłudzania haseł do mobilnej i internetowej bankowości, kodów autoryzacyjnych transakcje, czy danych dotyczących kart. Mechanizm działania sprawców jest różny, często podają się za pracowników banków, funkcjonariuszy policji, doradców inwestycyjnych, zainteresowanych zakupem oferowanego przez klienta banku przedmiotu na portalach sprzedażowych. Stosują przy tym niejednokrotnie techniki manipulacyjne kierując w czasie rzeczywistym działaniami klientów banków w celu skłonienia do zainstalowania obcego oprogramowania lub przekierowania na strony internetowe łudząco przypominające witryny banków.
W obecnym stanie prawnym zgodnie ustawą o usługach płatniczych i według wskazań UOKiK, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika (a więc banki) niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania zgłoszenia mają obowiązek zwrotu klientowi kwoty nieautoryzowanej transakcji, z wyjątkiem przypadku gdy bank ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo i poinformuje o tym pisemnie odpowiednie ograny lub zgłoszenie klienta nastąpiło później niż 13 miesięcy od transakcji.
Jak podaje UOKiK, analiza prowadzi do wniosku, że banki nie oddają utraconych przez klientów środków w ogóle lub robią to nieterminowo. Według UOKiK banki nie uwzględniając zgłoszeń klienckich wskazują, że do systemu wprowadzono dane prawidłowe, niezbędne do przeprowadzenia transakcji, tym samym transakcja została prawidłowo uwierzytelniona, nie biorąc pod uwagę okoliczności, iż daną operację mógł przeprowadzać podmiot trzeci poza zgodą, czy wiedzą konsumenta. Według organu może to skutkować odstąpieniem od dochodzenia swoich roszczeń przez klientów.
Prezes UOKiK stwierdza z kolei, że „Obowiązek banku nie kończy się na wykazaniu prawidłowości uwierzytelnienia przy wykonywaniu transakcji. Istotne jest zapewnienie przez instytucje finansowe takich środków bezpieczeństwa, które ograniczą działania oszustów. Transakcja jest autoryzowana jedynie wtedy, gdy jej uwierzytelnienia nastąpiło za wiedzą i zgodą konsumenta.”
Sankcją za naruszanie zbiorowych interesów konsumentów przez banki może być kara pieniężna nawet do 10% obrotu przedsiębiorcy.
