Klienci okradani byli najczęściej w wyniku oszustwa, phishingu. Środki z ich kont zostały wytransferowane, a oni sami zgłaszali ten fakt do banku. Ten, zgodnie z prawem, powinien im te środki zwrócić, jednak nie zawsze było to praktykowane. UOKiK przyjrzał się polskim bankom i pięciu z nich postawił zarzuty bezprawnej odmowy zwrotu kwoty nieautoryzowanych transakcji i wprowadzania konsumentów w błąd w odpowiedziach na reklamacje.
Oszustwo znane od lat. Dostajesz maila lub wiadomość tekstową, rzekomo z banku lub od kuriera. Masz dopłacić czy zapłacić niewielką kwotę na poczet zmiany regulaminu, dopłaty do większej paczki czy cła, jeśli paczka idzie spoza Polski. Klikasz link, logujesz się, przekonany o tym, że na swoje konto. Podajesz hasła, kody zabezpieczające, a po chwili na twoim koncie nie ma już pieniędzy. Tak działają oszuści, a przerażona ofiara pierwsze kroki stawia w kierunku swojego banku. Ten, według obowiązującego prawa, jeśli nie przedstawi jakichkolwiek dowodów na poparcie twierdzeń, jakoby płatnik przyczynił się swoim zachowaniem do wystąpienia nieautoryzowanej transakcji płatniczej, powinien te środki zwrócić. W praktyce jednak banki odmawiały i temu przyjrzał się Urząd Ochrony Konkurencji i Konsumentów.
Zebrany do tej pory materiał dowodowy pozwolił obecnie postawić pięciu bankom zarzuty naruszania zbiorowych interesów konsumentów. Są to: Bank Millennium, BNP Paribas Bank Polska, Credit Agricole Bank Polska, mBank oraz Santander Bank Polska. Podstawą zarzutów jest analiza skarg konsumentów oraz reakcji i odpowiedzi banków na zgłoszenia kradzieży pieniędzy z kont konsumentów. Wśród badanych przypadków jest również ten opisany przez 72-letnią emerytkę, która przez 30 lat odkładała pieniądze na czarną godzinę. Oszust uzyskał dostęp do danych uwierzytelniających i wyprowadził z konta emerytki 170 tysięcy zł oszczędności oraz zaciągnął kredyt na kolejne 80 tysięcy złotych. Bank bezrefleksyjnie zmienił walutę i przelał pieniądze za granicę, doliczając do każdego przelewu opłatę za szybkość realizacji oraz udzielił wysokiej pożyczki osobie, która ma niską emeryturę, a w całej dotychczasowej historii konta preferowała bezpieczne inwestycje. Instytucja finansowa nie zareagowała nawet w chwili, gdy oszust podszywając się pod emerytkę zmienił jej stan cywilny z mężatki na wdowę, żeby nie była potrzebna zgoda męża do zaciągnięcia kredytu. Podobnych historii w naszym kraju jest cała masa.
Padłem oficarą phishingu. Co zrobić?
Zgodnie z prawem bank, według przepisów art. 46 Ustawy o usługach płatniczych musi w takim przypadku oddać pieniądze, które zostały wyprowadzone z konta klienta bez jego zgody. I ma to zrobić niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji. W praktyce jednak banki zasłaniały się przeróżnymi wymówkami. Najczęściej padał argument rażącego niedbalstwa. Jednak, w ocenie Rzecznika Finansowego, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej – z uwagi na obowiązek niezwłocznego zwrotu przez dostawcę kwoty nieautoryzowanej transakcji płatniczej – w pierwszej kolejności powinien nastąpić zwrot środków płatnikowi, a następnie – w wyniku ustalenia zakresu odpowiedzialności płatnika za nieautoryzowaną transakcję płatniczą – dostawca powinien wystąpić do płatnika z roszczeniem o zwrot całości lub części kwoty nieautoryzowanej transakcji płatniczej (w zależności od stopnia odpowiedzialności). Przepisy nie regulują tego, czym jest rażące niedbalstwo. Art. 42 cytowanej już ustawy mówi jednak, że klient ma korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. W celu spełnienia obowiązku, o którym mowa powyżej, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. To sąd musi zdecydować, czy podanie loginu, hasła oraz kodów SMS atakującemu na spreparowanej stronie wyczerpuje zapisy cytowanego artykułu.
Zarzuty wobec pierwszych 5 banków dotyczą między innymi niezwracania konsumentom pieniędzy z nieautoryzowanych transakcji w ustawowym terminie, mimo że nie zaszły okoliczności, które by zwolniły bank z tego obowiązku – mówi Tomasz Chróstny, Prezes UOKiK.
Analiza uzyskanych od banków odpowiedzi na reklamacje pozwoliła na postawienie również zarzutów wprowadzania konsumentów w błąd. W odpowiedziach tych banki twierdziły na przykład, że transakcja została autoryzowana i jednocześnie konsument mógł dopuścić się rażącego niedbalstwa, lub że samo wykazanie uwierzytelnienia przez bank zwalnia go z obowiązku zwrotu. Konsumenci, którzy otrzymali tego typu odpowiedzi na reklamacje w sprawie kradzieży pieniędzy z konta, mogli zostać wprowadzeni w błąd co do faktu autoryzowania takiej transakcji oraz zakresu obowiązków i odpowiedzialności banku. Może to zniechęcać konsumentów do dalszego dochodzenia swoich praw – dodaje Tomasz Chróstny.
Prezes UOKiK nadal bada praktyki pozostałych trzynastu banków objętych postępowaniami wyjaśniającymi. W przypadku nieprawidłowości Prezes UOKiK może postawić zarzuty kolejnym instytucjom finansowym. Bankom za naruszenie zbiorowych interesów konsumentów grożą kary do 10 procent obrotu.
