Banki mają natychmiast zwracać pieniądze ofiarom oszustw. Powraca sprawa z PKO BP

W sporach dotyczących internetowych oszustw finansowych może dojść do istotnej zmiany interpretacji prawa w całej Unii Europejskiej. Rzecznik generalny Athanasios Rantos przedstawił opinię prawną dotyczącą obowiązków banków wobec klientów, którzy padli ofiarą nieautoryzowanych transakcji.

Dokument opublikowany przez Trybunał Sprawiedliwości Unii Europejskiej wskazuje, że instytucje finansowe powinny niezwłocznie zwracać środki utracone w wyniku nieautoryzowanych operacji. Rekomendacja obejmuje również sytuacje, w których klient dopuścił się zaniedbania podczas korzystania z bankowości elektronicznej.

Orzeczenie trybunału może wpłynąć na sposób rozpatrywania reklamacji związanych z phishingiem i innymi formami cyberoszustw.

Spór między bankiem a klientem z Polski

Opinia rzecznika generalnego została wydana w odpowiedzi na pytanie prejudycjalne skierowane przez Sąd Okręgowy w Koszalinie. Spór dotyczy postępowania między bankiem PKO Bank Polski a jednym z jego klientów. Według dokumentów sądowych klient wystawił przedmiot na sprzedaż na internetowej platformie aukcyjnej. W trakcie rozmowy z potencjalnym kupującym otrzymał wiadomość zawierającą link prowadzący do strony przypominającej panel logowania banku.

Ofiara podała tam dane logowania do rachunku bankowego. Informacje zostały wykorzystane przez przestępcę do wykonania przelewu bez zgody właściciela konta.

Następnego dnia klient zgłosił sprawę zarówno bankowi, jak i policji. Osoby odpowiedzialnej za oszustwo nie udało się zidentyfikować, a bank odmówił zwrotu pieniędzy. Poszkodowany zdecydował się na skierowanie sprawy do sądu.

Kluczowa rola dyrektywy PSD2

Sednem sporu pozostaje interpretacja przepisów zawartych w europejskiej dyrektywie dotyczącej usług płatniczych. Regulacja znana jako Payment Services Directive 2 określa zasady odpowiedzialności banków i użytkowników systemów płatniczych.

Bank argumentował w postępowaniu, że utrata środków była wynikiem zaniedbania klienta. Instytucja finansowa uznała, że w takiej sytuacji nie jest zobowiązana do natychmiastowego zwrotu pieniędzy.

Rzecznik generalny przedstawił odmienną interpretację przepisów. W opinii Athanasiosa Rantosa prawo Unii Europejskiej nakłada na bank obowiązek niezwłocznego zwrotu kwoty nieautoryzowanej transakcji. Wyjątek dotyczy sytuacji, w której instytucja finansowa posiada uzasadnione podstawy do podejrzenia oszustwa ze strony klienta.

W takim przypadku bank powinien poinformować o swoich podejrzeniach właściwy organ krajowy w formie pisemnej.

Zwrot pieniędzy najpierw, spór później

Opinia rzecznika generalnego zakłada dwuetapowy mechanizm odpowiedzialności. W pierwszym kroku bank zwraca środki utracone w wyniku nieautoryzowanej operacji. W dalszej kolejności instytucja finansowa może podjąć działania prawne wobec klienta, jeśli uzna, że do utraty pieniędzy doszło wskutek umyślnego działania lub rażącego zaniedbania w zakresie ochrony danych uwierzytelniających.

Według przedstawionej interpretacji bank może dochodzić zwrotu wypłaconych środków przed sądem. W takiej sytuacji ciężar dowodu spoczywa na instytucji finansowej.

Opinia to jeszcze nie wyrok

Dokument opublikowany przez rzecznika generalnego nie stanowi jeszcze ostatecznego rozstrzygnięcia sprawy. Opinie tego typu pełnią funkcję rekomendacji dla sędziów trybunału. W wielu przypadkach TSUE podąża za przedstawioną argumentacją, jednak ostateczna decyzja zapada dopiero w wyroku wydanym przez skład sędziowski.

Jeżeli trybunał przyjmie podobną interpretację przepisów, nowe podejście może wpłynąć na praktykę banków w całej Unii Europejskiej. Sprawy związane z phishingiem oraz nieautoryzowanymi transakcjami należą do najczęstszych sporów między klientami a instytucjami finansowymi w erze bankowości internetowej.