Reklama

Banki ignorują unijne wytyczne ws. nieautoryzowanych transakcji. Analiza Rzecznika Finansowego

18 czerwca 2019, 15:02
FRAUD89
Fot. airpix/CC 2.0

Jeżeli klient zgłosi nieautoryzowaną transakcję, bank powinien niezwłocznie zwrócić mu utracone pieniądze – uważa Rzecznik Finansowy. Chodzi na przykład o przypadki kradzieży pieniędzy z internetowego rachunku bankowego. Wyjątkiem jest sytuacja, w której dostawca usług płatniczych (na przykład bank) ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać próbę oszustwa ze strony klienta. Niestety, banki ignorują wytyczne płynące z unijnych i krajowych przepisów.

Wkrótce minie rok od wejścia w życie przepisów wprowadzających między innymi nowe zasady odpowiedzialności dostawców usług płatniczych za nieautoryzowane transakcje płatnicze na rachunkach bankowych czy z użyciem kart. Postanowiliśmy więc przeanalizować składane do nas wnioski i sprawdzić, jak zasady te realizowane są w praktyce przez podmioty rynku finansowego

Aleksandra Wiktorow, Rzecznik Finansowy

Dodaje, że powodem do przygotowania analizy był też obserwowany wzrost liczby wniosków o przeprowadzenie tzw. postępowania interwencyjnego w związku z nieautoryzowanymi transakcjami. Chodzi tu o przypadki kradzieży środków z rachunku bankowego dostępnego przez Internet czy obciążenia konta karty kredytowej lub debetowej bez wiedzy klienta. Tylko w I kwartale 2019 r. do Rzecznika trafiły 83 wnioski, czyli dokładnie tyle samo co w całym 2016 r. W 2018 roku takich wniosków było 246, czyli o 70% więcej niż w 2017 r. Oznacza to, że w 2018 r. przeciętnie każdego dnia roboczego do Rzecznika Finansowego trafiał przynajmniej jeden oficjalny wniosek o wszczęcie postępowania interwencyjnego w sprawie nieautoryzowanej transakcji płatniczej. Niemal równie częste były zapytania (telefoniczne lub e-mailowe) o sposób radzenia sobie z tym problemem. Wnioski kierowane do Rzecznika dotyczą najczęściej nieautoryzowanych transakcji na rachunkach bankowych, stąd Analiza koncentruje się na tym obszarze.

Wymagany niezwłoczny zwrot

Niestety, po przeanalizowaniu trafiających do Rzecznika Finansowego spraw nasuwają się wnioski, że banki, na których postępowanie skarżą się klienci, ignorują wytyczne wynikające z unijnych dyrektyw i polskiego prawa.

„Chodzi w szczególności o brak niezwłocznego zwrotu utraconych przez klienta środków w terminie określonym tzw. zasadą D+1. Oznacza to, że pieniądze powinny wrócić na konto klienta nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania zgłoszenia od klienta” – wyjaśnia Izabela Dąbrowska-Antoniak, dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego.

Dodaje, że jedynym wyjątkiem od zasady zwrotu kwoty nieautoryzowanej transakcji w tym terminie jest uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta. Równocześnie bank powinien na piśmie poinformować o takim podejrzeniu organy ścigania.

„Intencją prawodawców było przerzucenie odpowiedzialności za nieautoryzowane transakcje płatnicze w zasadzie w całości na dostawców. Ma to służyć nie tylko zwiększeniu ochrony klienta, ale również większej presji wobec profesjonalnych uczestników rynku, by maksymalnie zadbali o procedury bezpieczeństwa i ochronę transakcji. Wdrożenie rozwiązań, które zapewniają szybki zwrot utraconych środków zgodnie z zasadą D+1, zabezpiecza klientów również przed ryzykiem pozostawania przez dłuższy czas bez środków do życia. Niewątpliwie wstrzymanie się przez bank ze zwrotem środków powinno być działaniem wyjątkowym, a nie standardowym , jak ma to miejsce w dzisiejszej praktyce” – uważa Izabela Dąbrowska-Antoniak.

Niestety, banki nie tylko opóźniają się ze zwrotem środków, ale też bezpodstawnie odmawiają ich zwrotu.

Odmowa zwrotu następuje najczęściej tylko w oparciu o uprawdopodobnienie pewnych faktów i okoliczności zmierzających do wykazania autoryzacji, winy, umyślnego działania czy rażącego niedbalstwa klienta. Tymczasem przepisy jasno mówią, że to na banku spoczywa ciężar udowodnienia tych okoliczności

Izabela Dąbrowska-Antoniak - dyrektor Wydziału Klienta Rynku Bankowo-Kapitałowego w biurze Rzecznika Finansowego

 Jej zdaniem bank powinien najpierw niezwłocznie oddać klientowi pieniądze, a następnie – jeżeli ma podstawy, by sądzić, że klient powinien w całości lub części odpowiadać za nieautoryzowaną transakcję – dochodzić tej kwoty od klienta na przykład przed sądem.

Niebezpieczne uproszczenia procedur

Analizowane przez Rzecznika Finansowego przypadki pokazują, że przestępcy przejmujący kontrolę nad kontem ofiary zwykle mają możliwość dokonywania na nim wszelkich zmian.

„Ustawione przez klienta limity, dotyczące na przykład liczby czy wartości przelewów dziennych, są łatwo zmieniane przez oszustów, jeśli tylko są one zbyt niskie, żeby opróżnić ze wszystkich środków konto klienta. W praktyce dają więc one złudne poczucie bezpieczeństwa” – mówi Izabela Dąbrowska-Antoniak.

Dlatego zdaniem Rzecznika Finansowego systemy bankowości internetowej i mobilnej powinny być wyposażone w bardziej skuteczne mechanizmy zabezpieczające przed takimi sytuacjami.

„Poważnym problemem jest też możliwość zaciągnięcia kredytu »na klik« czy obciążenia karty kredytowej lub debetowej podpiętej do konta bankowego. Wydaje się, że tu również wskazane byłoby wprowadzenie dodatkowych procedur zabezpieczających” – apeluje Izabela Dąbrowska-Antoniak.

Zdaniem Rzecznika Finansowego być może należałoby rozważyć wprowadzenie rozwiązań poprawiających bezpieczeństwo nawet kosztem szybkości przeprowadzania transakcji. Byłoby to zgodne z zasadą security first, o której stosowanie przy wdrażaniu nowoczesnych rozwiązań Rzecznik Finansowy nieustannie apeluje.

PRZYKŁADY NIEAUTORYZOWANYCH TRANSAKCJI

Podczas pobytu na lotnisku w Polsce poszkodowany użyczył telefonu obcemu mężczyźnie, który wykonał jedno połączenie. Najprawdopodobniej wtedy doszło do zainfekowania telefonu złośliwym oprogramowaniem. Oszuści wykonali pięć przelewów na łączną kwotę 39 019 zł.

Oszuści internetowi najprawdopodobniej przy użyciu specjalnego oprogramowania przejęli kontrolę nad telefonem. Oprogramowanie wymusiło fikcyjną aktualizację systemu operacyjnego telefonu. Na koniec aplikacja przywróciła ustawienia fabryczne telefonu, niszcząc w ten sposób ślady przestępstwa. Proces ten trwał około godziny. W tym czasie przestępcy zlecili przelew wszystkich środków, jakie były na koncie, a dodatkowo zaciągnęli kredyty na kwotę 13 600 zł, które to środki wytransferowali.

 Jedna z klientek wskazywała, że w czasie, kiedy doszło do włamania na jej konto, była w pracy i nie dokonywała żadnych transakcji. Nie otrzymywała na swój telefon żadnych SMS-ów z hasłami. Straciła 6070 zł funduszy zgromadzonych na koncie, kartę kredytową obciążono na łączną kwotę 17 700 zł, a debetową na 2 000 zł.

 Klient po zalogowaniu do serwisu transakcyjnego stwierdził, że ktoś w jego imieniu  zawarł umowę pożyczki i wykonał dyspozycję przelewu. Pożyczka opiewała ona na kwotę 17 900 zł. Następnie w kolejnych logowaniach zostały zmienione limity wypłat dziennych i miesięcznych. Ostatecznie wytransferowano z konta kwotę 15 930 zł.

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 2
Autor
środa, 19 czerwca 2019, 16:11

Polska to kraj przyjazny bankom, windykatorom, operatorom telefonii i deweloperom, ale na pewno nie obywatelom.

Kiks
wtorek, 18 czerwca 2019, 19:01

O czy mowa. W kraju, w którym to osoba poszkodowana, bo ktoś wykorzystał jej dane z dowodu osobistego, musi udowodnić, że to nie ona wzięła kredyt? Bo przecież bank nie miał żadnych instrumentów, żeby to sprawdzić.