W dniu 20 czerwca 2018 r. do obrotu prawnego weszła zmiana przepisów Ustawy o usługach płatniczych (Dz. U. 2018 poz. 1075), zwana dalej „Ustawą”. Celem nowelizacji jest wdrożenie do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego zmieniającej dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającej dyrektywę 2007/64/WE (Dyrektywa PSD2). Nowa regulacja ma w założeniu ułatwić rozwój obrotu bezgotówkowego, zwiększyć szybkość dokonywanych transakcji płatniczych, zwiększyć bezpieczeństwo użytkownika w obrocie bezgotówkowym i wprowadzić lepszą ochronę dla płatnika w sytuacji wystąpienia nieautoryzowanej transakcji płatniczej. Tym samym zaostrzony został reżim odpowiedzialności dostawcy usług płatniczych (zazwyczaj banków) za nieautoryzowane transakcje płatnicze.

Wśród wielu zmian za najważniejsze należy wskazać:

  • stworzenie podstaw prawnych dla funkcjonowania nowych podmiotów świadczących usługi na rynku usług płatniczych, czyli tzw. podmiotów trzecich, czyli TPP (Third Party Provider) świadczących usługę inicjowania transakcji płatniczej oraz usługę dostępu do informacji o rachunku;
  • wprowadzenie Małej Instytucji Płatniczej. Będzie nią osoba fizyczna, osoba prawna lub inna jednostka organizacyjna niebędąca osobą prawną, wpisana do rejestru małych instytucji płatniczych, prowadząca działalność polegającą na świadczeniu usług płatniczych prowadzonego przez KNF;
  • zwiększenie odpowiedzialności dostawcy usług płatniczych ( w tym banków) za nieautoryzowane transakcje płatnicze;
  • ograniczenie odpowiedzialności płatnika ( w tym klienta bankowości elektronicznej) za nieautoryzowane transakcje płatnicze;
  • wprowadzenie terminu, w którym dostawca powinien zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej;
  • wprowadzenie ustawowych definicji tzw. „indywidualnych danych uwierzytelniających” rozumianych jako indywidualnych danych zapewnianych użytkownikowi przez dostawcę usług płatniczych do celów uwierzytelnienia oraz definicji tzw. „silnego uwierzytelnienia użytkownika” – identyfikacji klienta za pomocą co najmniej dwóch niezależnych metod uwierzytelnienia, np. jednocześnie za pomocą kodu SMS i rozwiązań biometrycznych.

 

Zgodnie z Ustawą w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca usług płatniczych (zazwyczaj bank) musi niezwłocznie zwrócić użytkownikowi kwotę takiej transakcji. W przypadku, gdy użytkownik korzysta z rachunku płatniczego, dostawca zobowiązany jest przywrócić obciążony rachunek płatniczy do stanu poprzedniego – czyli takiego, jak gdyby nieautoryzowana transakcja płatnicza nigdy nie miała miejsca. Zgodnie z nowelizacją zwrot środków na powyższych zasadach powinien nastąpić do końca następnego dnia roboczego po dniu, kiedy stwierdzono, że nieautoryzowana transakcja wystąpiła, lub po dniu otrzymania stosownego zgłoszenia. W drodze wyjątku, dostawca może wstrzymać się ze zwrotem tej kwoty wtedy, gdy ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw.

Tym samym nowela wskazuje termin, w którym bank winien zwrócić swojemu klientowi kwotę nieautoryzowanej transakcji oraz precyzuje w jakiej sytuacji może od tego odstąpić. Do tej pory banki często stosowały praktykę polegającą na odmowie zwrotu kwoty transakcji nieautoryzowanej bez posiadania jakichkolwiek dowodów potwierdzających brak swojej odpowiedzialności, przerzucając w ten sposób ciężar dochodzenia zwrotu tej kwoty na użytkowników. Wprowadzone zmiany mają na celu zmianę tej praktyki i zwiększenie ochrony klientów banków.

Nowelizacja wprowadza definicję tzw. „indywidualnych danych uwierzytelniających”. Służą one wyłącznie do celów uwierzytelnienia transakcji, a udostępniane są użytkownikowi przez dostawcę usług ( zazwyczaj bank), np. hasła sms do przelewów. Uwierzytelnienie za pomocą tych danych ma zatem polegać na umożliwieniu dostawcy usług weryfikacji tożsamości użytkownika. Nowelizacja przewiduje ponadto tzw. „silne uwierzytelnianie użytkownika”, kiedy to powyższa weryfikacja odbywa się na bazie zastosowania dodatkowego czynnika. Jest to bowiem takie uwierzytelnianie, które zapewnia ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:

  1. a) wiedza o czymś, o czym wie wyłącznie użytkownik,
  2. b) posiadanie czegoś, co posiada wyłącznie użytkownik,
  3. c) cechy charakterystyczne użytkownika

– będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych;

 

Wprowadzone definicje, w szczególności definicja „silnego uwierzytelnienia użytkownika” ma istotne znaczenie dla rozkładu odpowiedzialności za nieautoryzowane transakcje, bowiem nowelizacja wprowadza pełną odpowiedzialność dostawy usług płatniczych ( w tym banków) za nieautoryzowane transakcje w przypadku, gdy dostawca nie wymaga silnego uwierzytelnienia użytkownika, chyba że użytkownik działał umyślnie. Przy czym ciężar udowodnienia umyślnego działania użytkownika spoczywa na dostawy usług płatniczych. Zatem nowelizacja wprowadza dodatkowy reżim odpowiedzialności banku za nieautoryzowane transakcje płatnicze. W przypadku, gdy bank nie zapewnia silnego uwierzytelnienia – ponosi pełną odpowiedzialność za nieautoryzowaną transakcję płatniczą, chyba że uwodni umyślne działanie użytkownika.

Płatnik ( w tym klient banku) ponosi pełną odpowiedzialność za nieautoryzowane transakcje płatnicze tylko jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z następujących obowiązków: obowiązku korzystania z instrumentu płatniczego zgodnie z umową ramową oraz obowiązku zgłoszenia  niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenia utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. W celu spełnienia ww. obowiązku, użytkownik z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. Przy czym podmiotem zobowiązanym do udowodnienia powyższych okoliczności jest dostawca ( w tym bank).

Płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 50 euro ( przed nowelizacją była to kwota 150 euro) ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem: posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub przywłaszczenia instrumentu płatniczego.

Płatnik nie poniesie jednak tej odpowiedzialności jeżeli nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej (z wyjątkiem przypadku gdy płatnik działał umyślnie) oraz gdy utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy płatnika lub podmiotu świadczącego na jego rzecz usługi płatnicze.

Zgodnie ze znowelizowaną treścią art. 45 Ustawy, to na dostawcy usług spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie dostawcy, służącym do obsługi transakcji bezgotówkowych. Nadto, dostawca  powinien wykazać, że na transakcje nie miała wpływu żadna  awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę. Oznacza to, że w razie ewentualnego procesu sądowego, to dostawca usług, będzie musiał wykazać odpowiednią inicjatywę dowodową, aby zwolnić się z obowiązku zwrotu środków.

Nowelizacja zwiększa zatem zakres ochrony użytkowników usług płatniczych, w szczególności klientów korzystających z bankowości elektronicznej i dokonujących transakcji online. Zaostrza tym samym odpowiedzialność dostawców takich usług i narzuca większą staranność przy zapewnianiu bezpieczeństwa transakcji.