Rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej wydał opinię w sprawie ochrony konsumentów przed oszustwami bankowymi. Zgodnie z jego stanowiskiem bank ma obowiązek zwrócić klientowi środki utracone w wyniku nieautoryzowanej transakcji płatniczej, nawet jeśli do jej wykonania doszło z winy samego klienta. Opinia dotyczy sprawy z Austrii, ale ma znaczenie dla całej Unii Europejskiej, w tym Polski. Stanowi ona istotny głos w dyskusji o odpowiedzialności banków za bezpieczeństwo transakcji.
Odpowiedzialność banku za zwrot
Rzecznik generalny TSUE uznał, że bank ma obowiązek zwrócić klientowi środki utracone w wyniku nieautoryzowanej transakcji płatniczej. Obowiązek ten wynika z unijnej dyrektywy o usługach płatniczych i ma zastosowanie nawet w sytuacji, gdy klient sam przyczynił się do wykonania transakcji, na przykład poprzez ujawnienie danych uwierzytelniających.
Kluczowe znaczenie opinii
Opinia rzecznika generalnego nie jest jeszcze wyrokiem, ale Trybunał Sprawiedliwości UE w Luksemburgu zazwyczaj podąża za jego stanowiskiem w ostatecznych orzeczeniach. Dlatego wydana opinia ma przełomowe znaczenie dla praktyki bankowej w całej Unii Europejskiej i może zakończyć wieloletnie spory między konsumentami a instytucjami finansowymi.
Kontekst sprawy z Austrii
Opinia została wydana w związku ze sprawą sądową z Austrii, w której klient banku padł ofiarą oszustwa „na BLIK”. Oszuści wyłudzili od niego kody potrzebne do autoryzacji przelewu. Bank odmówił zwrotu środków, powołując się na winę klienta. Sąd w Austrii zwrócił się z pytaniem prejudycjalnym do TSUE, a opinia rzecznika jest odpowiedzią na to pytanie.
Rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej wydał przełomową opinię w sprawie odpowiedzialności banków za zwrot środków utraconych przez klientów w wyniku oszustw. Zgodnie z jego stanowiskiem, instytucja finansowa ma obowiązek zwrócić pieniądze, nawet jeśli do wykonania nieautoryzowanej transakcji płatniczej doszło z winy samego klienta. Opinia dotyczy konkretnej sprawy z Austrii, ale jej konsekwencje obejmą całą Unię Europejską, w tym Polskę. Opinia rzecznika generalnego, choć nie jest wiążącym wyrokiem, ma kluczowe znaczenie dla praktyki orzeczniczej TSUE. Trybunał w Luksemburgu w przeważającej większości przypadków podąża za stanowiskiem rzecznika przy wydawaniu ostatecznych orzeczeń. Oznacza to, że interpretacja przedstawiona w opinii z dużym prawdopodobieństwem stanie się prawem unijnym. Sprawa, której dotyczy, rozpoczęła się od oszustwa „na BLIK”. Klient austriackiego banku padł ofiarą phishingu – oszuści, podszywając się pod bank, wyłudzili od niego kody potrzebne do autoryzacji przelewu. W efekcie z jego konta zniknęła znaczna suma pieniędzy. Bank odmówił zwrotu środków, argumentując, że klient sam ujawnił dane uwierzytelniające, a zatem transakcja została prawidłowo autoryzowana. Sąd krajowy w Austrii, rozpatrujący skargę klienta, zwrócił się do TSUE z pytaniem prejudycjalnym o interpretację unijnej dyrektywy o usługach płatniczych (PSD2). Dyrektywa PSD2, obowiązująca od 2018 roku, miała na celu zwiększenie bezpieczeństwa transakcji płatniczych w UE oraz ochronę konsumentów. Wprowadziła między innymi obowiązek silnego uwierzytelniania klienta (SCA). Jednak w przypadku oszustw, gdzie klient zostaje podstępem zmuszony do ujawnienia danych, odpowiedzialność często pozostawała niejasna, a banki często odmawiały zwrotu, powołując się na niedbalstwo lub winę klienta. Rzecznik generalny w swojej opinii jednoznacznie opowiedział się po stronie konsumenta. Jego zdaniem, transakcja wykonana w wyniku wyłudzenia danych uwierzytelniających nie może być uznana za autoryzowaną przez klienta w rozumieniu dyrektywy. Nawet jeśli klient został wprowadzony w błąd i sam podał kody, działanie oszustów sprawia, że transakcja pozostaje nieautoryzowana. W takiej sytuacji na banku ciąży obowiązek jej zwrotu. Opinia rzecznika podkreśla również, że przepisy unijne mają chronić konsumentów, którzy są słabszą stroną relacji z instytucjami finansowymi. Przenoszenie ryzyka oszustw na klientów mogłoby podważyć zaufanie do całego systemu płatności elektronicznych. „A transaction executed as a result of fraudulently obtaining the customer’s authentication credentials cannot be considered to have been authorised by the customer.” (Transakcja wykonana w wyniku wyłudzenia danych uwierzytelniających nie może być uznana za autoryzowaną przez klienta.) — Rzecznik generalny TSUE Ostateczny wyrok w tej sprawie zapadnie w ciągu najbliższych miesięcy. Jeśli Trybunał Sprawiedliwości UE podzieli stanowisko rzecznika, będzie to miało daleko idące konsekwencje dla banków w całej Unii. Będą one musiały zmienić praktykę i częściej zwracać środki ofiarom oszustw, co może przełożyć się na wyższe koszty ubezpieczeń i procedur bezpieczeństwa. Dla konsumentów oznacza to wzmocnienie ochrony prawnej i większe szanse na odzyskanie utraconych pieniędzy w przypadku padnięcia ofiarą cyberprzestępczości.