Zjawisko phishingu. O tym, czym są nieautoryzowane transakcje i czy można odzyskać utracone pieniądze

Phishing to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej) oraz zainfekowania komputera lub innego urządzenia szkodliwym oprogramowaniem. Twórcy fałszywych informacji podszywają się pod realnie istniejące instytucje, nakłaniając użytkownika do udzielenia osobistych informacji. Obecnie najczęściej spotykaną formą  phishingu pozostaje podszywanie się przez cyberprzestępców pod pracowników banków. Osoby takie wyłudzają dane posiadaczy kont bankowych oraz wyprowadzają określone kwoty pieniężne z tych rachunków.

Czy właściciel rachunku bankowego, z którego wyprowadzono środki finansowe może podjąć próbę ich odzyskania? W jaki sposób można odzyskać nieświadomie utracone pieniądze z rachunku bankowego?

W przypadku zetknięcia się ze zjawiskiem phishingu, zastosowanie znajdą w szczególności przepisy Ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (dalej: Ustawa). Zgodnie z brzmieniem art. 40 powołanej Ustawy „Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych”. 

Wedle stanu faktycznego, w której dysponent lub właściciel rachunku bankowego nie spełnił warunku autoryzacji transakcji bankowej z własnej woli, tj. nie wyraził on zgody na wykonanie transakcji płatniczej, mamy do czynienia właśnie z transakcją nieautoryzowaną. W takich sytuacjach właściciele rachunków bankowych często nie mają świadomości, iż ktokolwiek wyprowadził środki z ich rachunku bankowego, a o zaistniałej sytuacji dowiadują się dopiero za kilka dni. Jak podkreślił Sąd Apelacyjny w Warszawie w wyroku z dnia 19 lipca 2018 r., sygn. I ACa 348/17, transakcję płatniczą uważa się za autoryzowaną tylko wówczas, jeżeli płatnik wyraził zgodę na jej wykonanie, przy czym zlecenie płatnicze nie może zostać odwołane od chwili jego otrzymania przez bank. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy, czyli na banku. Autoryzacja to zatem nic więcej jak wyrażenie zgody na wykonanie transakcji, przy czym sposoby autoryzacji określa umowa łącząca posiadacza rachunku i bank.

W świetle art. 44 Ustawy użytkownik rachunku bankowego powinien niezwłocznie powiadomić dostawcę (bank) o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych. Użytkownik rachunku powinien zatem niezwłocznie dokonać natychmiastowego zgłoszenia do banku namierzonej kradzieży z jego rachunku, i niezwłocznie po zauważeniu utraty środków na koncie dokonać zgłoszenia nieautoryzowanych transakcji, a zatem dochować terminu o jakim mowa w art. 44 ust. 2 Ustawy.

Co jednak najistotniejsze – art. 46 Ustawy w całym swym brzmieniu wskazuje na obowiązek zwrotu przez bank środków finansowych wyprowadzonych z rachunku właściciela za pośrednictwem transakcji nieautoryzowanych, i tak: „(…) w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw”.

Nie sposób także nie zaznaczyć, iż podobne brzmienie przybrał artykuł 73 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366, z dnia 25 listopada 2015 r., w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE, tj.: „Państwa członkowskie zapewniają, aby – bez uszczerbku dla art. 71 – w przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych płatnika dokonywał na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej, bezzwłocznie, a w każdym razie nie później niż do końca następnego dnia roboczego, po odnotowaniu danej transakcji lub po otrzymaniu stosownego zgłoszenia, z wyjątkiem sytuacji gdy dostawca usług płatniczych płatnika ma uzasadnione podstawy, by podejrzewać oszustwo, i poinformuje na piśmie o tych podstawach odpowiedni organ krajowy. W stosownych przypadkach dostawca usług płatniczych płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza”.

Warto jednak zaznaczyć, iż powoływana Ustawa określa przesłanki wyłączające odpowiedzialność dostawcy- banku w przypadku dokonania na rachunku płatnika nieautoryzowanych transakcji. Są nimi: umyślne doprowadzenia do wykonania tychże transakcji lub umyślne albo będące skutkiem rażącego niedbalstwa naruszenie swoich obowiązków (o których mowa w art. 42 Ustawy).

Wedle powyższego, w braku wystąpienia przesłanek negatywnych takich jak umyślne doprowadzenie do wykonania transakcji oraz rażące niedbalstwo, w dniu następującym po zgłoszeniu w banku zaistniałej sytuacji przez właściciela, bank jest obowiązany do zwrotu kwoty na rzecz właściciela rachunku, która to kwota winna stanowić równowartość wyprowadzonych sum z rachunku bankowego.

Jeśli zechcecie Państwo zgłębić wiedzę w zakresie nieautoryzowanych transakcji lub skorzystać z pomocy profesjonalnego pełnomocnika w tym zakresie, serdecznie zapraszam do kontaktu z Kancelarią.

adwokat Kinga Kępa