16 listopada 2022 roku Urząd Ochrony Konkurencji i Konsumentów (Prezes UOKiK) wydał stanowisko w sprawie interpretacji przepisów ustawy o usługach płatniczych w zakresie nieautoryzowanych transakcji płatniczych. W stanowisku wyjaśniono różnicę pomiędzy autoryzacją a uwierzytelnieniem transakcji płatniczej, a także określono bardzo restrykcyjną politykę zwrotu środków przez dostawców usług płatniczych (w tym: banki, krajowe instytucje płatnicze, małe instytucje płatnicze, instytucje pieniądza elektronicznego).
Jak rozumieć uwierzytelnienie transakcji płatniczej?
Zgodnie z ustawą o usługach płatniczych uwierzytelnienie oznacza procedurę, która pozwala dostawcy usług płatniczych zweryfikować tożsamość użytkownika usług płatniczych lub zasadność użycia określonego instrumentu płatniczego, w tym przy użyciu spersonalizowanych poświadczeń bezpieczeństwa użytkownika. W praktyce - zdaniem UOKiK - uwierzytelnianie oznacza wykonywanie określonych czynności technicznych w sposób przewidziany w umowie pomiędzy dostawcą usług płatniczych a płatnikiem.
Jak rozumieć autoryzację transakcji płatniczej?
Według UOKiK, autoryzacja składa się z dwóch elementów, które powinny występować łącznie:
(i) uwierzytelnienie (obecnie: silne uwierzytelnienie klienta - SCA),
(ii) zgoda płatnika.
Jako kluczowe, zdaniem UOKiK - należy wskazać, że płatnik, zgłaszając nieautoryzowaną transakcję płatniczą swojemu dostawcy usług płatniczych, oświadcza tym samym, że nie wyraził zgody na wykonanie transakcji. Innymi słowy, jeżeli płatnik oświadczy, że dana transakcja płatnicza jest nieautoryzowana, dostawca usług płatniczych jest z mocy prawa zobowiązany do traktowania takiej transakcji jako nieautoryzowanej.
Obowiązki dostawcy usług płatniczych w związku z nieautoryzowaną transakcją płatniczą
W przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych płatnika niezwłocznie, nie później niż do końca dnia roboczego następującego po dniu otrzymania reklamacji lub powiadomienia płatnika, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej. Jeżeli płatnik korzysta z rachunku płatniczego, dostawca usług płatniczych płatnika musi przywrócić obciążony rachunek płatniczy do stanu, w jakim znajdowałby się, gdyby nie doszło do nieautoryzowanej transakcji płatniczej.
Innymi słowy, jeśli płatnik stwierdzi, że dana transakcja płatnicza jest nieautoryzowana, dostawca usług płatniczych ma 24 godziny na zwrot na rachunek płatniczy płatnika pełnej wartości transakcji płatniczej, która została zakwestionowana przez płatnika jako nieautoryzowana.
Istnieją dwa wyjątki, w których dostawca usług płatniczych płatnika nie musi dokonywać zwrotu:
- dostawca usług płatniczych płatnika ma uzasadnioną i odpowiednio udokumentowaną podstawę do podejrzenia oszustwa i odpowiednio poinformował na piśmie organy powołane do ścigania przestępstw,
- od zakwestionowanej transakcji płatniczej upłynęło ponad 13 miesięcy.
Czy dostawcy usług płatniczych mogą odmówić zwrotu?
Zdaniem UOKiK fakt, że dany dostawca usług płatniczych kwestionuje lub podważa zgłoszenie płatnika, nie stanowi podstawy do odmowy zwrotu. To samo dotyczy ewentualnej odpowiedzialności płatnika za nieautoryzowane transakcje płatnicze - taka odpowiedzialność nie stanowi podstawy do odmowy zwrotu.
Zgodnie z art. 46 ust. 3 ustawy o usługach płatniczych płatnik odpowiada za pełną kwotę nieautoryzowanych transakcji, jeżeli doprowadził do nich umyślnie lub w wyniku naruszenia, które było celowe lub wynikało z rażącego niedbalstwa.
Innymi słowy, jeśli to płatnik powinien ponosić odpowiedzialność za nieautoryzowaną transakcję, dostawca usług płatniczych powinien najpierw zwrócić kwotę transakcji, a następnie zgłosić roszczenie wobec płatnika.
Jakie są podstawy roszczenia wobec płatnika?
Jeżeli (po dokonaniu zwrotu transakcji płatniczej) dostawca usług płatniczych płatnika zdecyduje się na zgłoszenie roszczenia wobec płatnika, może skorzystać z jednej z dwóch poniższych podstaw / możliwości:
- udowodnić, że dana transakcja była prawidłowo autoryzowana (ciężar dowodu spoczywa na dostawcy),
- udowodnić, że dana transakcja była nieautoryzowana, jednak z winy płatnika (umyślnie lub w wyniku rażącego niedbalstwa).
Takie roszczenia są rozpatrywane przez polskie sądy powszechne (cywilne).
