Katarzyna Woroszylska, Rechtsanwältin / Adwokat, Partner enwc Kancelarii Prawnej
Obecnie obowiązuje ustawa o elektronicznych instrumentach płatniczych („Ustawa”) uchwalona jeszcze w roku 2002, kiedy bankowość internetowa w Polsce praktycznie jeszcze nie istniała. Ta Ustawa rozróżnia między odpowiedzialnością za transakcje dokonane za pomocą utraconej karty płatniczej oraz odpowiedzialnością za nieautoryzowane transakcje przy wykorzystaniu bankowości elektronicznej. Ustawa dość jasno ustanawia odpowiedzialność banków za nieautoryzowane transakcje za pomocą kart płatniczych, ograniczając odpowiedzialność użytkownika karty (karta zawsze pozostaje własnością banku, osoba, dla której karta zostaje wydana jest jedynie jej posiadaczem lub użytkownikiem!) do przypadków niedbalstwa ze strony użytkownika jak również pod względem kwotowym (do EUR 150). Niemniej Ustawa nie reguluje, kto musi udowodnić, że dana transakcja nie została autoryzowana, co w sposób naturalny przenosi ciężar dowodu na użytkownika. Ustawa również nie wypowiada się na temat coraz częstszych przypadków kradzieży danych, kiedy karta fizycznie nie zostaje utracona a transakcje są dokonywane przy użyciu skopiowanych danych z karty.
Jeszcze gorzej sytuacja wygląda w przypadku nieautoryzowanych transakcji dokonanych za pomocą programu bankowości elektronicznej. Regulacje Ustawy są niezwykle niejasne i pozwalają na całkowite przerzucenie ciężaru z banku na klienta. Jest to tym bardziej niesatysfakcjonujące, że to bank decyduje o poziomie bezpieczeństwa stosowanego przez siebie programu. Innymi słowami to bank decyduje o tym, jak łatwo jest się włamać na nasze konto. Obecnie przejęcie przez bank odpowiedzialności za nieautoryzowane transakcje na kontach internetowych należy do absolutnych wyjątków. Nie należy zapominać, że również w tym przypadku ciężar dowodu spoczywa na kliencie.
Opisana sytuacja ma się znacząco zmienić po wejściu w życie ustawy o usługach płatniczych („Projekt Ustawy”), za pomocą której ma być implementowana dyrektywa 2007/ 64/ WE. Niestety Projekt Ustawy nie dotarł jeszcze nawet do Sejmu, mimo tego, że termin implementacji dyrektywy minął już w listopadzie 2009r. Projekt Ustawy zakłada, zgodnie z założeniami dyrektywy, że to bank powinien przejmować odpowiedzialność za nieautoryzowane transakcje bankowe jak również, że to na banku powinien spoczywać ciężar dowodu, że dana transakcja została jednak autoryzowana. Bank bowiem nie tylko wie, jak bezpieczne będą stosowane przez niego instrumenty oraz dostęp do pełnej informacji na temat danej transakcji, ale może również dokładnie obliczyć ryzyko wystąpienia nieautoryzowanych transakcji i może się od tego ryzyka ubezpieczyć. Rozkładając koszt ubezpieczenia na wszystkich klientów – nie należy mieć wątpliwości, że bank dokładnie to zrobi – obciążenie dla pojedynczego klienta jest minimalne a jego ryzyko pod kontrolą. Oczywiście nie oznacza to, że klienci będą mogli beztrosko udostępniać swoje dane – odpowiedzialność banku będzie wykluczona w przypadku transakcji zawinionych przez klienta. Ważne jest również, że Projekt Ustawy uwzględnia nowoczesne formy dokonywania nieautoryzowanych transakcji za pomocą skradzionych danych. Otwartą kwestią pozostaje nadal, co właściwie należy określić jako działanie zawinione przez klienta. Czy klient pozostawiający swoje dane na niejednoznacznych stronach w Internecie działa z należytą starannością? Naszym klientom zawsze radzimy korzystać w Internecie z oddzielnej karty z bardzo niskim limitem, tak aby potencjalna szkoda była pod kontrolą.