Autoryzacja i uwierzytelnienie transakcji to dwa różne pojęcia – podkreśla UOKiK, który opublikował stanowisko w sprawie tzw. transakcji nieuprawnionych (oszukańczych). Klient, który uważa, że doszło do transakcji bez autoryzacji, powinien odzyskać pieniądze od banku. Niemniej jednak, istnieją wyjątki od tej zasady.
Klienci zgłaszają Urzędowi Ochrony Konkurencji i Konsumentów przypadki, gdy banki odmawiają zwrotu pieniędzy po kradzieży środków z konta. Instytucje finansowe często argumentują, że uwierzytelnienie transakcji przebiegło prawidłowo, np. podanie prawidłowego PINu do karty lub zalogowanie się prawidłowymi danymi do e-banku. UOKiK zwraca uwagę, że jest to wprowadzanie konsumentów w błąd, gdyż pojęcia uwierzytelnienie i autoryzacja nie są tożsame, a różnica między nimi ma kluczowe znaczenie dla interpretacji przepisów.
Autoryzacja to osobiste wyrażenie zgody przez klienta na dokonanie transakcji, np. polecenie przelewu. Uwierzytelnienie to czynność techniczna, np. podanie PINu czy innego sposobu wskazanego w systemie bankowym wynikającego z umowy. Aby transakcja była autoryzowana, muszą wystąpić oba te elementy: uwierzytelnienie i wola konsumenta do dokonania transakcji. Przykładowo, przelew dokonany przez oszusta z wykorzystaniem nielegalnie pozyskanych danych logowania klienta nie jest transakcją autoryzowaną, ponieważ odbył się bez zgody właściciela konta – informuje UOKiK.
Zgodnie z art. 46 ustawy o usługach płatniczych, bank musi zwrócić klientowi kwotę transakcji, której autoryzacji ten zaprzecza. Ma na to czas do końca następnego dnia roboczego po zgłoszeniu. Bank jest zwolniony z tego obowiązku jedynie w dwóch sytuacjach:
- płatnik zgłosił nieautoryzowaną transakcję po upływie 13 miesięcy od jej dokonania – wówczas roszczenie wygasa,
- bank zawiadomił na piśmie policję lub prokuraturę, że ma uzasadnione i udokumentowane podejrzenie, że klient próbuje dokonać oszustwa poprzez nieprawdziwe zgłoszenie i żądanie zwrotu kwoty transakcji – w tej sytuacji obowiązek zwrotu zostaje zawieszony do czasu ustalenia przez odpowiednie organy, jak było naprawdę.
UOKiK podkreśla, że gdy konsument zaprzecza autoryzacji transakcji, obowiązek udowodnienia, że jest inaczej, spoczywa na banku. Przy czym art. 45 ust. 1 ustawy o usługach płatniczych precyzuje, że samo wykazanie prawidłowości uwierzytelnienia nie wystarczy. Potwierdza to orzecznictwo sądów, np. wyrok Sądu Okręgowego w Warszawie z 11 sierpnia 2021 r. (sygn. akt XXVII Ca 1352/21).
W związku z tym, prezes UOKiK postawił zarzuty pięciu bankom. Dotyczą one bezprawnej odmowy zwrotu kwoty nieautoryzowanych transakcji oraz wprowadzania konsumentów w błąd w odpowiedziach na reklamacje. Są to: Bank Millennium, BNP Paribas Bank Polska, Credit Agricole Bank Polska, mBank oraz Santander Bank Polska.
W praktyce, w przypadku kradzieży środków z konta, klienci powinni zgłosić nieautoryzowaną transakcję bankowi jak najszybciej. Jeśli bank odmawia zwrotu pieniędzy, konsument może złożyć skargę do UOKiK lub skierować sprawę na drogę sądową.
Podsumowując, banki mają obowiązek oddać skradzione pieniądze z konta, jeśli klient zaprzecza autoryzacji transakcji i zgłosi to we właściwym czasie. Jednak obowiązek ten nie obowiązuje w przypadku, gdy minął 13-miesięczny termin zgłoszenia nieautoryzowanej transakcji lub gdy bank ma uzasadnione podejrzenie próby oszustwa ze strony klienta. W takich sytuacjach, odpowiednie organy muszą ustalić, jak było naprawdę, przed ewentualnym zwrotem środków.