– Gdy klient padł ofiarą oszustwa, np. ujawnił informacje myśląc, że to jego bank, a nie przestępcy wysłał do niego e-mail czy SMS i doszło do kradzieży pieniędzy z jego rachunku bankowego, choć jest to działanie post factum, powinien jak najszybciej zmienić hasła dostępowe do bankowości elektronicznej. Następnie klient winien bezzwłocznie złożyć zawiadomienie o popełnieniu przestępstwa i poinformować o tym zdarzeniu swój bank. Może także złożyć reklamację w banku, choć sam ujawnił informacje poufne związane z instrumentem płatniczym, to bank, mając taką informację, podejmie próbę zablokowania tych pieniędzy poprzez skomunikowanie się z bankiem prowadzącym rachunek, na który skradzione środki zostały przelane – mówi Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w Związku Banków Polskich.
Kiedy klient może odzyskać pieniądze?
Zgodnie z ustawą o usługach płatniczych klient jest zobowiązany do przechowywania i zabezpieczania informacji o instrumencie płatniczym przed dostępem do osób nieuprawnionych (nie może tych informacji ujawniać). Jeśli klient przyczynił się do ujawnienia informacji, musi liczyć się z tym, że reklamacja może zostać rozpatrzona negatywnie. Klient musi niezwłocznie powiadomić dostawcę usług płatniczych o stwierdzeniu nieautoryzowanych transakcji. Jeśli nie dokona takiego powiadomienia, to w terminie 13 miesięcy od dnia nieuprawnionego obciążenia rachunku roszczenia użytkownika wygasają. To na użytkowniku ciąży obowiązek poinformowania banku o nieautoryzowanej i jego zdaniem nielegalnej transakcji.
Jeśli klient poinformował o podejrzanej sytuacji, są dwa warianty: jeśli rzeczywiście do niej doszło, to na dostawcy usług spoczywa ciężar udowodnienia, że była ona prawidłowo autoryzowana i nie miała na nią wpływu awaria techniczna leżąca po stronie dostawcy. – To bank musi zweryfikować, czy transakcja była wykonana z użyciem właściwego instrumentu płatniczego. Na przykład może być sytuacja, gdy klientowi w restauracji ukradziono portfel z kartą płatniczą. Niestety dla klienta, miał w portfelu kartkę z zapisanym kodem PIN do karty. W takiej sytuacji bank jest w stanie zweryfikować czy podejrzana transakcja została przeprowadzona z wykorzystaniem autentycznej karty płatniczej. Przypominam, że to na kliencie ciąży obowiązek odpowiedniego przechowywania instrumentu płatniczego, więc jeśli miał PIN tuż przy karcie, wówczas nie dokłada należytej staranności i złożona przez niego reklamacja prawdopodobnie zostałaby rozpatrzona negatywnie – mówi Balcerzak.
Inną sytuacją jest taka, gdy doszło na przykład do skimmingu, czyli sczytania zapisu karty z paska magnetycznego i podglądnięcia kamerą kodu PIN w bankomacie. Gdyby przestępcy dokonali wypłaty utworzonym na tej podstawie duplikatem karty klienta, czyli tzw. białym plastikiem, klient złożyłby reklamacje i nie poniósłby odpowiedzialności za transakcję. Zgodnie z przepisami ustawy o usługach płatniczych w ciągu najpóźniej dnia roboczego tak skradzione środki bank musi zwrócić na rachunek klienta. Płatnik odpowiada za nieautoryzowaną transakcje do kwoty 50 euro, jeśli nieautoryzowana transakcja jest skutkiem skradzionego instrumentu płatniczego (pod warunkiem że klient dołożył wszelkiej staranności i odpowiednio go przechowywał, np. karta nie miała zapisanego PIN na odwrocie). Pozostała kwota ponad równowartość 50 euro zostanie zwrócona klientowi.
– Pewnym ryzykiem są przypadki, gdy skradziona karta ma posłużyć do transakcji w internecie, tzw. transakcji not present. Wprawdzie, aby się przed nimi chronić, banki wdrożyły usługę 3D Secure, polegającą na tym, że podczas transakcji internetowej przychodzi dodatkowy kod autoryzacyjny na telefon klienta, jednak niektóre kraje nie wykorzystują tego narzędzia i wówczas może dojść do transakcji przestępczej, która będzie skuteczna i klientowi trudno będzie odzyskać pieniądze – dodaje ekspert ZBP. Jednak w krajach i bankach UE jest ona stosowana i klienci mogą odzyskać niemal całość środków (nadwyżkę ponad 50 euro).
Co gdy jeden z małżonków udzieli drugiemu dostępu do swojej bankowości internetowej? W takiej sytuacji klient łamie przepisy ustawy o usługach płatniczych, gdyż przekazuje dostęp do instrumentu płatniczego, czyli rachunku bankowego, osobom nieuprawnionym. Jeśli doszło przy takiej okazji do oszukańczej transakcji i bank będzie w stanie wykazać, że dostęp do rachunki miała osoba, która posłużyła się prawidłowymi danymi i wówczas klient może nie otrzymać zadośćuczynienia, bo ujawnił informację poufną o instrumencie płatniczym. Banki wykorzystują zaawansowaną technologię, która pozwala np. na identyfikację komputera, którym posłużono się do wykonania transakcji oszukańczej. Jedyną osobą uprawnioną do korzystania z bankowości elektronicznej czy karty płatniczej jest jej posiadacz. Chyba że klient jest współposiadaczem rachunku bankowego, wtedy każdy z użytkowników ma oddzielny login i hasło, aby można było ich zweryfikować i musi to być potwierdzone potwierdzone w umowie rachunku bankowego. Również w takich sytuacjach każdy ze współposiadaczy, jeśli wyraził taką wolę, ma własną kartę płatniczą.
