Rzecznik generalny Trybunału Sprawiedliwości UE opowiedział się za bezwzględnym obowiązkiem banków do zwrotu środków z nieautoryzowanych transakcji płatniczych, nawet w sytuacji, gdy klient przyczynił się do oszustwa, udostępniając oszustom dane dostępu. Opinia dotyczy konkretnej sprawy konsumentki z Austrii, która padła ofiarą phishingu, jednak ma przełomowe znaczenie dla interpretacji unijnej dyrektywy PSD2 w całej Wspólnocie. Stanowisko rzecznika nie jest wiążące, ale Trybunał zazwyczaj podąża za jego wskazówkami przy wydawaniu ostatecznych orzeczeń. Decyzja wzmocniłaby ochronę konsumentów w dobie rosnącej liczby cyberprzestępstw finansowych.

Bezwzględny obowiązek zwrotu

Rzecznik generalny Trybunału Sprawiedliwości UE stwierdził, że bank ma obowiązek zwrócić klientowi pełną kwotę nieautoryzowanej transakcji, jeśli tylko klient niezwłocznie ją zgłosi. Ta zasada ma obowiązywać nawet wtedy, gdy klient sam – choćby nieumyślnie – ujawnił oszustom poufne dane potrzebne do wykonania przelewu.

Kluczowa interpretacja PSD2

Opinia rzecznika dotyczy wykładni art. 74 dyrektywy PSD2, który reguluje odpowiedzialność za nieautoryzowane transakcje płatnicze. Rzecznik odrzucił restrykcyjną interpretację, zgodnie z którą rażące niedbalstwo klienta mogłoby zwolnić bank z obowiązku zwrotu. Podkreślił, że dyrektywa ma na celu zapewnienie wysokiego poziomu ochrony konsumentów.

Sprawa austriackiej konsumentki

Sprawa, która trafiła do TSUE, dotyczy Austriaczki, która w wyniku ataku phishingowego przekazała oszustom dane do logowania w bankowości internetowej, co pozwoliło im przeprowadzić nieautoryzowany przelew. Jej bank odmówił zwrotu pieniędzy, argumentując, że klientka swoim działaniem umożliwiła transakcję. Sąd krajowy zwrócił się z pytaniem prejudycjalnym do Trybunału.

Nadchodzące orzeczenie Trybunału

Stanowisko rzecznika generalnego nie jest wiążącym wyrokiem, lecz opinią merytoryczną dla składu orzekającego Trybunału. Jednak w zdecydowanej większości przypadków sędziowie TSUE podążają za linią argumentacyjną rzecznika. Ostateczne rozstrzygnięcie w tej sprawie zapadnie w ciągu najbliższych miesięcy i będzie wiążące dla wszystkich państw członkowskich UE.

Rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej zajął jednoznaczne stanowisko w głośnej sprawie dotyczącej odpowiedzialności banków za zwrot środków z nieautoryzowanych transakcji płatniczych. W opublikowanej opinii stwierdził, że instytucja finansowa ma bezwzględny obowiązek zwrócić klientowi pieniądze, nawet jeśli ten – padając ofiarą oszustwa – sam udostępnił przestępcom poufne dane, takie jak kody dostępu do bankowości internetowej. Opinia ta jest odpowiedzią na pytanie prejudycjalne sądu austriackiego, który rozpatruje sprawę klientki, będącej ofiarą phishingu. Kobieta otrzymała wiadomość e-mail, rzekomo od swojego banku, z prośbą o pilne zalogowanie się za pomocą załączonego linku w celu „odblokowania konta”. Po wprowadzeniu danych logowania na spreparowanej stronie, oszuści uzyskali do nich dostęp i dokonali nieautoryzowanego przelewu. Bank odmówił zwrotu środków, powołując się na rażące niedbalstwo klientki i jej domniemany udział w autoryzacji transakcji. Dyrektywa o usługach płatniczych (PSD2), która weszła w życie w styczniu 2018 roku, miała na celu zwiększenie bezpieczeństwa transakcji elektronicznych oraz wzmocnienie praw konsumentów. Jej przepisy ściśle regulują, między innymi, kwestię odpowiedzialności za operacje wykonane bez zgody użytkownika. Art. 74 dyrektywy stanowi ogólną zasadę, że za nieautoryzowaną transakcję płatniczą odpowiada dostawca usług płatniczych (np. bank) i musi on niezwłocznie zwrócić środki na rachunek płatniczy. Rzecznik generalny w swojej analizie podkreślił, że celem dyrektywy PSD2 jest zapewnienie wysokiego poziomu ochrony konsumenta, który jest słabszą stroną relacji z profesjonalnym dostawcą usług finansowych. Dlatego też wyjątki od zasady zwrotu muszą być interpretowane w sposób wąski. Uznał, że nawet rażące niedbalstwo klienta, polegające na ujawnieniu danych w wyniku wyłudzenia, nie może być utożsamiane z autoryzacją transakcji ani zwalniać banku z podstawowego obowiązku. „Even if the payment service user acted with gross negligence by disclosing confidential personalised security credentials, this does not mean that they authorised the payment transaction.” (Nawet jeśli użytkownik usług płatniczych zachował się z rażącym niedbalstwem, udostępniając poufne dane osobiste, nie oznacza to, że autoryzował on transakcję płatniczą.) — Rzecznik generalny TSUE (w skrócie) Kluczowa różnica, na którą zwrócił uwagę rzecznik, polega na rozdzieleniu udostępnienia danych od wyrażenia woli dokania konkretnej płatności. Phishing, choć wykorzystuje socjotechnikę, nie zmienia faktu, że finalna decyzja o wykonaniu przelewu została podjęta przez oszusta, a nie przez klienta. Tym samym transakcja pozostaje nieautoryzowana w rozumieniu prawa. To stanowisko może stanowić istotny przełom w orzecznictwie, ponieważ dotychczas banki często wykorzystywały argument o niedbalstwie klienta do odmowy zwrotu środków w podobnych przypadkach. Ostateczne rozstrzygnięcie należy teraz do pełnego składu sędziowskiego Trybunału Sprawiedliwości UE, który zazwyczaj, choć nie zawsze, podąża za opiniami swoich rzeczników. Wyrok będzie miał charakter wiążący dla wszystkich sądów krajów członkowskich, w tym Polski, i ustanowi jednolitą wykładnię unijnych przepisów. Dla milionów konsumentów w UE oznacza to potencjalnie silniejszą ochronę przed finansowymi konsekwencjami coraz bardziej wyrafinowanych cyberataków. Dla sektora bankowego może wiązać się z koniecznością rewizji procedur i potencjalnie większymi kosztami z tytułu zwrotów, co może skłonić instytucje do inwestycji w jeszcze skuteczniejsze systemy wykrywania i blokowania podejrzanych transakcji w czasie rzeczywistym.

Mentioned People

  • Rzecznik generalny TSUE — Autor przełomowej opinii prawnej w sprawie obowiązku zwrotu nieautoryzowanych transakcji przez banki.

Sources: 4 articles from 4 sources