Klientka padła ofiarą phishingu. Bank oddał pieniądze i wezwał do ich zwrotu

Klientka mBanku stała się ofiarą oszustwa – dała się zmanipulować przestępcom i w wyniku phishingu straciła 10 000 zł. Bank oddał pieniądze, ale po pewnym czasie zażądał ich zwrotu. Uzasadnił, że doszło do „rażącego niedbalstwa” ze strony pani Moniki. Klientka jest oburzona, a bankowcy mówią, że to standardowa procedura.

fot. Ki young / / Shutterstock

Phishing, vishing czy smishing to terminy określające oszustwa wykorzystujące różne socjotechniki do zmanipulowania klienta i kradzieży jego środków. Z reguły chodzi o podstawienie fałszywej korespondencji, telefon czy sms od „pracownika banku” z prośbą o pilne zalogowanie się do konta lub inne podobne manipulacje. Groźną techniką jest też metoda na „zdalny pulpit”, czyli nakłonienie klienta do instalacji oprogramowania, które pozwala przejąć kontrolę nad komputerem.

„Oddali 10 000 zł i kazali zwrócić”

Pani Monika (imię zmienione) stała się ofiarą takiego oszustwa. W jego wyniku doszło do nieautoryzowanych transakcji na jej koncie. Zgłosiła sprawę do banku i po przeprowadzeniu reklamacji otrzymała decyzję negatywną. Odwołała się od niej i bank przelał jej pieniądze, ale jednocześnie poinformował ją, że przyczyniła się do utraty tych środków i dlatego będzie dochodził ich zwrotu.

Tak sprawę opisuje czytelniczka: - Ku mojemu zdziwieniu, po kilku miesiącach bank cofnął reklamację i wysłał mi przedsądowe wezwanie do zapłaty, twierdząc, że doszło z mojej strony do „rażącego niedbalstwa”. Wcześniejsze pisma z banku zawierały sprzeczne informacje – w jednym bank uznaje transakcje za autoryzowane, w innym za nieautoryzowane. Zwrot środków nastąpił dopiero po interwencji Rzecznika Finansowego. Dodatkowo, w aplikacji mBanku, w zakładce „Kredyty”, nagle pojawiła się kwota 10 000 zł – mimo że mój PESEL jest zastrzeżony od lipca 2024 roku.

UOKiK: Bank ma zwracać pieniądze natychmiast

Warto przypomnieć, że niedawno Urząd Ochrony Konkurencji i Konsumenta pogroził bankom palcem, nakazując rozpatrywanie reklamacji w szybszym tempie i na korzyść klientów. Urząd, powołując się na zapisy art. 46 ustawy o usługach płatniczych, stanowiącej implementację przepisów unijnych PSD2, stwierdził, że banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji - do końca następnego dnia roboczego po zgłoszeniu. Wyjątkiem są dwie sytuacje: zgłoszenie konsumenta nastąpiło później niż 13 miesięcy po transakcji lub istnieje uzasadnione podejrzenie oszustwa ze strony rzekomo poszkodowanego konsumenta, o czym bank zawiadomił policję lub prokuraturę.

Zwróciliśmy się do mBanku z prośbą o wyjaśnienie sytuacji. Bank z uwagi na obowiązującą tajemnicę bankową nie mógł odnieść się do tego konkretnego przypadku, ale wyjaśnił jak wygląda procedura w przypadku reklamacji dotyczących transakcji nieautoryzowanych i co mogło się stać w opisanej sytuacji.

Trzy scenariusze

Zgodnie z ustawą o usługach płatniczych, w przypadku zgłoszenia reklamacji transakcji nieautoryzowanej bank może rozwiązać zgłoszenie, wybierając jeden ze scenariuszy:

1) jeśli ustali, że transakcja nie była autoryzowana przez klienta, powinien oddać pieniądze,

2) jeśli ustali, że transakcja była autoryzowana przez klienta i ma uzasadnione oraz udokumentowane podejrzenie usiłowania popełnienia oszustwa, nie oddaje środków i informuje o tym w formie pisemnej organy powołane do ścigania przestępstw,

3) jeśli ustali, że transakcja była nieautoryzowana przez klienta i jednocześnie klient doprowadził do niej umyślnie lub w wyniku będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy, bank powinien oddać środki, zachowując prawo do ich zwrotu przez klienta.

Przedstawiciele mBanku przytaczają także stanowisko prezesa UOKiK z dnia 16 listopada 2022 r., z którego wynika, że procedura oddania środków klientowi, a następnie żądanie ich zwrotu może mieć miejsce, w sytuacji, gdy doszło do tzw. „rażącego niedbalstwa” ze strony klienta.

UOKiK: Bank może uznać, że zwrot był niezasadny i wystąpić z roszczeniem

„Podejrzenie dostawcy, że zachowanie płatnika mogło cechować się rażącym niedbalstwem, nie stanowi zatem podstawy do odmowy dokonania zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza. W przypadku gdy zwrot kwoty płatnikowi jeszcze nie nastąpił, dostawca usług płatniczych, jeżeli dokonał odpowiednich ustaleń, powołując się na treść art. 46 ust. 3, powinien poinformować płatnika o swoich ustaleniach i o tym, że w jego ocenie zwrot kwoty transakcji jest niezasadny. Nie może on jednak odmówić zwrotu kwoty, jeżeli płatnik w dalszym ciągu go żąda. W takim przypadku dostawca usług płatniczych po dokonaniu zwrotu może wystąpić z roszczeniem o zapłatę wobec płatnika. Podobna sytuacja ma miejsce w przypadku, gdy dostawca usług płatniczych dokona ww. ustaleń już po dokonaniu zwrotu kwoty transakcji płatnikowi.”

„Bank w połowie zeszłego roku zmienił proces obsługi reklamacji dotyczące transakcji nieautoryzowanych, by dostosować go do wskazanego wyżej stanowiska. Jeśli klient złożył reklamację przed zmianą procesu, a zdaniem banku doszło do transakcji w wyniku jego rażącego niedbalstwa, bank nie zwracał środków i jednocześnie informował klienta o okolicznościach, które wskazują na to niedbalstwo. W analogicznej sytuacji, po zmianie procesu, bank zwraca środki i jednocześnie informuje, że jego zdaniem doszło do rażącego niedbalstwa ze strony klienta oraz że będzie dochodził zwrotu środków.” – usłyszałem w biurze prasowym mBanku.

„To nie kredyt, tylko kwota do zwrotu”

Innymi słowy, sprawa wygląda następująco: bank ma obowiązek zwrócić klientowi pieniądze, jeśli klient zgłosi reklamację. Ma na to jeden dzień. Jeśli jednak w toku analizy stwierdzi, że wina leży po stronie klienta, ma dwie opcje: albo zażądać zwrotu środków, albo zgłosić do organów ścigania sprawę potencjalnego oszustwa. Taka procedura obowiązuje w całej branży.

Przedstawiciele mBanku tłumaczą też, że w takiej sytuacji pierwszym etapem przed skierowaniem sprawy do sądu jest wezwanie do zapłaty. Sprawa  zostaje przekazana do windykacji. W przypadku trudnej sytuacji klienta można pójść na ugodę i porozumieć się z bankiem co do zasad oraz terminu spłaty. Dodają też, że od lat prowadzą działania edukacyjne, w których na bieżąco informują o sposobach działania przestępców oraz jak się przed nimi ochronić. 

Co to jest „rażące niedbalstwo”?

Tu oczywiście kwestią dyskusyjną jest termin „rażące niedbalstwo”, który nie został zdefiniowany w żadnych przepisach. Bankowcy, z którymi rozmawiałem mówią, że chodzi w tym przypadku o ewidentne błędy w zachowaniu użytkownika bankowości elektronicznej, czyli np. instalowanie aplikacji na prośbę fałszywego pracownika banku, logowanie się do systemów transakcyjnych przez linki w mailach lub sms-ach i tego typu podobne sytuacje. Z orzecznictwa sądowego wynika, że do rażącego niedbalstwa dochodzi wtedy, gdy istnieją dowody na to, że bank informował o zasadach bezpieczeństwa i ostrzegał swoich klientów przed takim sposobem działania oszustów, a klient zignorował to.

W tym kontekście ważne są też dwa pojęcia: uwierzytelnienie i autoryzacja transakcji. Jak informuje UOKiK, uwierzytelnienie to „procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających” (np. podanie kodu PIN). Natomiast autoryzacja – poza uwierzytelnieniem, które jest czynnością techniczną - obejmuje zgodę użytkownika na daną transakcję. Transakcją nieautoryzowaną będzie zatem również transakcja uwierzytelniona (np. poprzez podanie kodu PIN), ale bez zgody konsumenta.

Natomiast zdaniem banków, zgoda klienta jest wtedy, kiedy użytkownik zatwierdza komunikat autoryzacyjny, w którym jest napisane, co się wydarzy z jego środkami po akceptacji.

Ciężar udowodnienia, że to klient zaakceptował komunikat autoryzacyjny, a nie przestępcy spoczywa na banku.

UOKiK: w przypadkach spornych winę rozstrzygają sądy

- W sytuacji, gdy oszustom udaje się rozpracować bankowe procedury i zabezpieczenia, bank nie może być sędzią we własnej sprawie, arbitralnie odrzucając reklamacje konsumentów oraz wbrew obowiązującemu prawu wstrzymując się od zwrotu środków. Oceną i uznaniem winy w sytuacjach budzących wątpliwości powinny się zajmować sądy – bezstronne zarówno dla banku, jak i konsumenta – mówił Tomasz Chróstny, prezes UOKiK.

Dodał też, że w przeszłości dochodziło do sytuacji, gdy banki twierdziły, że transakcja została autoryzowana i jednocześnie konsument mógł dopuścić się rażącego niedbalstwa lub że samo wykazanie uwierzytelnienia przez bank zwalnia go z obowiązku zwrotu. Konsumenci, którzy otrzymali tego typu odpowiedzi na reklamacje w sprawie kradzieży pieniędzy z konta, mogli zostać wprowadzeni w błąd co do faktu autoryzowania takiej transakcji oraz zakresu obowiązków i odpowiedzialności banku. W 2022 roku UOKiK postawił w tej sprawie zarzuty pięciu bankom.

Źródło: