Czy można żądać zwrotu kwoty nieautoryzowanej transakcji płatniczej?

9 września 2019 - Bez kategorii

Dyrektywa PSD2 z dnia 25 listopada 2015 r. wprowadziła nowe zasady odpowiedzialności dostawców usług płatniczych za nieautoryzowane transakcje płatnicze. Począwszy od 20 czerwca 2018 r. dostawcy usług płatniczych zobowiązani są niezwłocznie zwracać płatnikom kwotę, którą obciążono ich rachunek w przypadku wystąpienia takiej transakcji. Bez znaczenia jest tu fakt, czy transakcja taka została wykonana przy pomocy instrumentu płatniczego (np. karty płatniczej), czy nie.

Czym jest płatność autoryzowana, a czym płatność nieautoryzowana?

Ustawa o usługach płatniczych przyjmuje, że transakcja autoryzowana, to taka, na której wykonanie płatnik (posiadacz rachunku płatniczego lub osoba składająca zlecenie płatnicze) wyraził zgodę w sposób uzgodniony wcześniej pomiędzy nim, a dostawcą usługi (przeważnie bankiem). Może to być np. zgoda wyrażona przy pomocy środków komunikacji elektronicznej lub w formie pisemnej – formę taką określa co do zasady zawarta między tymi stronami umowa.

Przyjmując, że transakcja autoryzowana stanowi transakcję zaakceptowaną przez płatnika, transakcję nieautoryzowaną będzie stanowić każda transakcja, na którą płatnik takiej zgody nie wyraził. Przykładem może tutaj służyć sytuacja, w której dane do logowania płatnika wyciekły do osób trzecich, które to osoby, za pośrednictwem rachunku płatnika zawierają umowę pożyczki lub realizują polecenie przelewu na swoje konto.

Z nieautoryzowaną transakcją płatniczą będziemy mieli do czynienia również wtedy, gdy na skutek usterki w systemie banku, bank odrzuci naszą płatność kartą jednocześnie pobierając pieniądze z naszego konta. W takich przypadkach dostawca usług płatniczych ma obowiązek niezwłocznego zwrotu utraconej przez nas kwoty.

Co istotne, jeżeli zaprzeczymy, abyśmy wyrazili zgodę na wykonanie danej transakcji, wówczas to dostawca usługi płatniczej musi udowodnić, że taka zgoda została przez nas wyrażona.

Kiedy powinien nastąpić zwrot?

Zwrot powinien nastąpić niezwłocznie, nie później jednak niż do końca dnia roboczego, który następuje po dniu, w którym stwierdzono wystąpienie nieautoryzowanej transakcji. Zawiłe? Posłużmy się więc następującym przykładem.

Nieautoryzowana transakcja wystąpiła 9 września 2019 r., ale została wykryta i zgłoszona dopiero 10 września 2019 r. Dopiero więc od dnia 10 września 2019 r. będzie biegł termin na zwrot kwoty przez dostawcę. Tym samym, dostawca będzie zobowiązany zwrócić kwotę, którą pobrano z konta płatnika, do północy w środę 11 września 2019 r.

Co ważne, nie musimy oczekiwać na to, że bank sam wykryje nieautoryzowaną transakcję. Sam płatnik powinien zgłosić swojemu dostawcy usług płatniczych (np. bankowi, który prowadzi nasz rachunek) każdą sytuację, w której ma wątpliwości co do prawidłowości przeprowadzenia określonej transakcji. Z reguły, zgłoszenie powinno być dokonane niezwłocznie, jednak w ustawie przewidziano maksymalny termin 13 miesięcy na jego wykonanie. Termin ten biegnie od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana. Po jego upływie, nasze roszczenie o zwrot kwoty, którą od nas pobrano, wygasa.

Wyjątki od obowiązku niezwłocznego zwrotu kwoty transakcji nieautoryzowanej

Pierwszym wyjątkiem jest sytuacja, o której wspomniano wyżej, gdzie nie zgłosiliśmy dostawcy transakcji nieautoryzowanej w terminie 13 miesięcy. W takim przypadku, nasze roszczenie o zwrot kwoty wygasa.

Drugim wyjątkiem jest sytuacja, w której dostawca ma uzasadnione i należycie udokumentowane podejrzenie, że nieautoryzowana transakcja pochodzi z próby oszustwa dokonanego przez płatnika lub z jego udziałem. Przepisy jednocześnie zobowiązują w takich sytuacjach bank do poinformowania organów ścigania o oszustwie.

W praktyce, dostawcy usług płatniczych często w ogóle odmawiają zwrotu pieniędzy twierdząc, że realizacja nieautoryzowanej transakcji pochodzi całkowicie z rażących zaniedbań płatnika, jeżeli ten np. udostępnił swój telefon nieznanej osobie, która zainfekowała go złośliwym oprogramowaniem, lub nie sprawdzając adresu skrzynki pocztowej (imitującej adres mailowy banku) podała swoje dane do logowania osobom trzecim.

Należy zauważyć, że stosowana przez banki interpretacja może być niewłaściwa. Zgodnie z dyrektywą PSD2 oraz implementującymi ją przepisami, wyłącznie należycie wykazane przez dostawcę oszustwo, w którym brał udział płatnik, uprawnia do odmowy niezwłocznego zwrotu pieniędzy. Tym samym, np. przypadki phishingu (wyłudzenia danych od płatnika przez osobę podszywającą się pod kogoś innego) nie powinny być uznawane za tak rozumiane oszustwo, ponieważ nie są wynikiem celowego działania płatnika. Również przypadki transakcji wynikających z rażącego niedbalstwa posiadacza konta nie uzasadniają odmowy zwrotu środków. W takich przypadkach, bank powinien najpierw zwrócić kwotę płatnikowi, a dopiero potem (np. sądownie) dochodzić stwierdzenia jego winy i odpowiedzialności. Z takim stanowiskiem zgadza się Rzecznik Finansowy, z którego analizą omawianych kwestii można zapoznać się tutaj.

Na korzyść płatników w tych sytuacjach przemawia dotychczasowe orzecznictwo polskie, które respektuje wytyczne ustawodawcy (np. wyrok SA w Warszawie z dnia 24 października 2018 r. V ACa 823/17).

Niemniej, osobom niesłusznie pozbawionym możliwości otrzymania zwrotu kwoty wynikającej z transakcji nieautoryzowanej rekomendujemy w pierwszej kolejności zgłoszenie się do banku z reklamacją. W razie braku rozpatrzenia reklamacji lub bezpodstawnej odmowy zwrotu środków, możliwe będzie dochodzenie kwoty sądownie.

W razie dodatkowych pytań, zapraszamy do bezpośredniego kontaktu z Kancelarią.