Ofiary phishingu mogą wygrać z bankiem

Phishing jest jedną z metod oszustwa internetowego, która polega na podszywaniu się pod instytucje lub osoby w celu wyłudzenia danych dostępowych np. do karty płatniczej lub bankowości elektronicznej. Metoda ta stała się w ostatnim czasie bardzo popularna, w szczególności na platformach sprzedażowych, gdzie oszuści wykorzystują fałszywe linki imitujące strony bankowości internetowej czy operatorów płatności. Łatwo stać się kolejną ofiarą phishingu, gdyż wciąż tworzone są nowe scenariusze takich oszustw. Niestety, reklamacje składane w bankach okazują się najczęściej bezskuteczne – banki odmawiają swoim klientom zwrotu środków utraconych z powodu oszustwa. Czy słusznie?

Aby móc dochodzić zwrotu utraconych środków, ofiara phishingu powinna niezwłocznie powiadomić bank o stwierdzonych nieautoryzowanych transakcjach płatniczych, zastrzec kartę, zgłosić organom ściągania podejrzenie popełnienia przestępstwa oszustwa oraz złożyć w banku reklamację w związku z dokonaniem nieautoryzowanych transakcji płatniczych.

Czy transakcja dokonana przez oszusta to transakcja nieautoryzowana?

Zgodnie z brzmieniem art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2021 r. poz. 1907 z późn. zm.) w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej.

Z nieautoryzowaną transakcją mamy do czynienia w przypadku, gdy klient nie wyrazi zgody na wykonanie transakcji płatniczej w sposób przewidziany w umowie. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez klienta spoczywa na banku. Banki często nie uznają reklamacji argumentując, że klient w sposób zgodny z umową wyraził zgodę na transakcję dokonaną przez oszusta. Nie jest to jednak równoznaczne z tym, że transakcja została autoryzowana przez klienta. Wyroki sądów potwierdzają, że nie jest autoryzowaną transakcja, której dokonano przy użyciu instrumentu płatniczego należącego do płatnika i dokonano uwierzytelnienia, ale proces ten został dokonany bez zgody płatnika, np. poprzez kradzież przez osobę trzecią niezbędnych danych ku tejże autoryzacji (wyrok Sądu Okręgowego w Olsztynie z 21.12.2018 r., sygn. akt I C 55/18).

Udostępnienie danych w wyniku oszustwa to jeszcze nie rażące niedbalstwo

Innym argumentem powoływanym przez banki w przypadku nieuwzględniania reklamacji jest art. 46 ust. 3 ustawy o usługach płatniczych, zgodnie z którym bank nie musi zwracać kwoty nieautoryzowanych transakcji, jeżeli klient doprowadził do nich w skutek rażącego zaniedbania swoich obowiązków. W przypadku phishingu najczęściej chodzi o obowiązek nieudostępniania instrumentu płatniczego osobom trzecim.

Także w tym przypadku bank powinien udowodnić, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z ciążących na nim obowiązków. Ofiara phishingu najczęściej zostaje skłoniona przez oszusta podstępem do udostępnienia danych, co nie nosi znamion rażącego niedbalstwa. Przez rażące niedbalstwo rozumie się bowiem niezachowanie elementarnych zasad prawidłowego zachowania się w danej sytuacji.

Najpierw zwrot transakcji, a potem dochodzenie odpowiedzialności

Wspomniany wcześniej art. 46 ustawy o usługach płatniczych stanowi, że bank niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej (tzw. zasada D+1). Obowiązek zwrotu jest wyłączony tylko w jednej sytuacji – gdy bank ma uzasadnione podstawy, aby podejrzewać oszustwo i poinformuje o tym organy powołane do ścigania przestępstw.

Jak podkreśla Rzecznik Finansowy w opublikowanej 18 września 2020 r. analizie nieautoryzowanych transakcji płatniczych, zwrot kwoty nieautoryzowanej transakcji powinien nastąpić bezwarunkowo i niezwłocznie. Oznacza to, że bank w pierwszej kolejności powinien zwrócić środków klientowi, a ewentualnie potem dochodzić od niego zwrotu kwoty nieautoryzowanej transakcji, jeżeli uważa, że klient ten dopuścić się rażącego niedopełnienie swoich obowiązków. Według Rzecznika Finansowego praktyka uchylania się przez banki od obowiązku zwrotu kwot nieautoryzowanych transakcji nie jest uzasadniona, gdyż bank nie posiada prawa do arbitralnego ustalenia odpowiedzialności swoich klientów.