Zgubiona lub skradziona karta. Jaka jest odpowiedzialność?

Generalna zasada korzystania z kart płatniczych brzmi: *posiadacza karty można obciążyć dokonanymi transakcjami wyłącznie w przypadku łącznego spełnienia następujących warunków: *

- fizycznego przedstawienia karty oraz
- dokonania przez posiadacza karty elektronicznej identyfikacji lub złożenia własnoręcznego podpisu (art. 28 ust. 5 w zw. z art. 5 ustawy z 2002 r. o elektronicznych instrumentach płatniczych, dalej EIP).

Natomiast korzystanie z karty _ na odległość _ przepisy traktują jako dodatkową usługę, której świadczenie jest uzależnione wyłącznie od postanowienia umownego, ustalonego między wystawcą karty i jej posiadaczem (bez takiej klauzuli w umowie nie będzie możliwe np. płacenie kartą w internecie).

Wniosek jest prosty: klienta można zobowiązać do spłaty kwoty zapłaconej kartą wyłącznie jeśli posłuży się oryginalnym plastikiem oraz będzie w stanie zidentyfikować się jako osoba uprawniona poprzez podanie prawidłowego numeru PIN bądź złożenie prawidłowego podpisu na potwierdzeniu transakcji. Samo dokonanie identyfikacji elektronicznej nie może być podstawą do obciążenia klienta, chyba że owa identyfikacja nastąpiła poprzez złożenie bezpiecznego e-podpisu

Najprościej wygląda kwestia odpowiedzialności za transakcje przeprowadzone utraconą kartą płatniczą (art. 28 ust. 2 EIP): klienta nie obciążają żadne operacje jeśli zostały wykonane przez osobę postronną po zgłoszeniu zgubienia czy kradzieży karty bankowi. Dlatego jest niezwykle istotne, aby po utracie karty z oczu bezzwłocznie powiadomić o tym bank i zażądać jej zastrzeżenia. Od tej chwili (warto zanotować dokładny czas przekazania bankowi tej informacji) karta powinna zostać całkowicie zablokowana - bank ponosi odpowiedzialność za niewykonanie tego polecenia.

Zastrzeżenie karty nie zwalnia jednak klienta z odpowiedzialności za transakcje dokonane przez klienta z jego winy umyślnej (art. 28 ust. 4 EIP). Mówiąc wprost: zastrzeżenie karty nie upoważnia nieuczciwego posiadacza do popełnienia oszustwa na niekorzyść banku.

W przypadku utraty karty, do czasu zgłoszenia utraty i zastrzeżenia karty posiadacz będzie odpowiadał za dokonane transakcje, jednakże wyłącznie do wysokości ustawowego limitu 150 euro (umowa zawarta między bankiem a klientem może wprowadzać korzystniejsze dla klientów warunki). Warunkiem zwolnienia z odpowiedzialności będzie jednak *przestrzeganie przez klienta podstawowych zasad bezpieczeństwa w korzystaniu z kart *(m.in. zakaz przechowywania karty wraz z numerem PIN, zakaz udostępniania karty i PIN osobie postronnej - art. 16 ust. 1 EIP) oraz bezzwłoczne zgłoszenie bankowi nieprawidłowości w otrzymanym zestawieniu transakcji (art. 27 ust. 1 EIP). W takim przypadku wystawca karty może żądać od niefrasobliwego posiadacza naprawienia szkody nawet jeśli jej wartość przekroczy równowartość 150 euro.

Na marginesie: podstawową zasadą (art. 28 ust. 1 EIP) jest obciążenie posiadacza karty operacjami dokonanymi przez osoby, którym posiadacz udostępnił kartę lub ujawnił PIN (definicję kodu identyfikacyjnego przynosi art. 2 pkt 8 ustawy EIP).
Przepis (jak też przytoczony powyżej art. 16 ust. 1) nie mogą być jednak rozumiane jako służące przerzuceniu ryzyka nieuprawnionego użycia karty - przy transakcjach potwierdzanych PIN-em (to ważne zastrzeżenie: ustawa w nieco lepszej pozycji stawia posiadaczy kart, do użycia których niezbędne jest złożenie podpisu) - na klienta. Nieuprawnione byłoby bowiem aprioryczne domniemanie, że do wycieku kodu doszło właśnie wskutek zapisania PIN na karcie, braku ochrony kodu przy wklepywaniu go na terminalu czy po prostu podania go innej osobie.Równocześnie warto pamiętać, iż zgodnie z art. 28 ust. 2 EIP posiadacz karty nie ponosi odpowiedzialności za transakcje dokonane utraconym plastikiem, jeśli doszło do nich wskutek nieprawidłowego wykonania obowiązków przez wystawcę karty (bank) bądź akceptanta (sklep).

Będzie to m.in. obowiązek stosowania rozwiązań uniemożliwiających skopiowanie karty w bankomatach *(art. 10 ust. 3 EIP), *bezwarunkowego przyjmowania zastrzeżeń karty (art. 22 EIP), wdrożenia bezpiecznej procedury przyznawania kodu PIN (art. 25 EIP) bądź obowiązek przestrzegania procedur bezpieczeństwa, które powinny określać umowa zawarta z agentem rozliczeniowym - jak np. ustawienia terminala w taki sposób, aby nie mogło dość do choćby nieumyślnego zarejestrowania kodu PIN przez moitoring (por. art. 8 ust. 1 pkt 2 EIP).

W katalogu tym mieści się także hipotetyczny przypadek _ przełamania _ ustawionej przez użytkownika w internetowym systemie obsługi karty blokady na pewne rodzaje transakcji (np. transakcje gotówkowe) bądź dziennego limitu kwotowego czy też ilościowego dokonanych operacji.

Transakcje dokonywane *_ *na odległość _

Nieco innymi regułami rządzą się transakcje dokonane bez fizycznego użycia karty płatniczej (czyli transakcje _ na odległość _, wykonane przy użyciu poczty, telefonicznie bądź poprzez internet, z angielska nazywane MO/TO/IO).

Podstawowa różnica wynika z ustawowej zasady, iż operacje takie są dopuszczalne wyłącznie wówczas, jeśli umowa zawarta między wystawcą karty a jej posiadaczem przewiduje taką możliwość (art. 28 ust. 6 EIT). Jest to konsekwencją relatywnie zwiększonego ryzyka użycia karty przez osobę nieuprawnioną (do obciążenia karty dochodzi zwykle poprzez podanie jej numeru, daty ważności oraz dodatkowego kodu CVV, nie jest przy tym niezbędne okazanie karty bądź potwierdzenie czynności numerem PIN; niektórzy wystawcy mogą dodatkowo wprowadzić mechanizm potwierdzania operacji poprzez kody wysyłane na telefony komórkowe bądź w inny sposób, jednak nie jest to wymóg ustawowy).

Nie oznacza to jednak, że klient, którego karta została użyta do wykonania w internecie transakcji przez osobę nieuprawnioną, będzie zmuszony do bezwarunkowej zapłaty.

Generalnie posiadacza karty mogą obciążać wyłącznie transakcje dokonane przez niego, bądź przez osobę, której udostępnił kartę *(w tym przypadku dane karty pozwalające na wykonanie zdalnej operacji), *jednak nie ponosi odpowiedzialności za szkodę wyrządzoną przez osobę trzecią, jeśli doszło do niedopełnienia obowiązków wystawcy karty lub akceptanta w zakresie bezpieczeństwa jej używania. Wynika to z prostej zasady, iż obowiązki banków, organizacji karcianych czy akceptantów w zakresie zabezpieczenia operacji nie ograniczają się wyłącznie do przypadków fizycznego użycia plastiku.

I tak, jeśli zostaniemy przez hotel czy linię lotniczą poproszeni o podanie numeru karty kredytowej przez telefon lub na formularzu (co samo w sobie może wydawać się dość ryzykowne, aczkolwiek jak najbardziej mieści się w pojęciu transakcji na odległość), akceptant bądź inna osoba będą ponosić odpowiedzialność za nieprawidłowe użycie danych i wynikającą z tego szkodę po stronie klienta. Mało tego: akceptant może także ponosić odpowiedzialność za szkodę powstałą wskutek ujawnienia danych pozwalających na wykonanie transakcji w ciężar karty płatniczej klienta.

Nie ma przy tym znaczenia - część banków próbuje przeforsować tego rodzaju praktykę - czy sprawca przestępstwa został ujawniony bądź nawet ukarany za oszustwo, ponieważ możliwość zwolnienia się z odpowiedzialności podmiotów zaangażowanych w obsługę kart płatniczych wynika z innych przesłanek.

Omawiając kwestię odpowiedzialności za oszustwa przy transakcjach dokonanych kartami płatniczymi w internecie nie można zapomnieć o art. 14 ustawy o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny, w myśl którego _ Konsument może żądać unieważnienia, na koszt przedsiębiorcy, zapłaty dokonanej kartą płatniczą w razie niewłaściwego wykorzystania tej karty w wykonaniu umowy zawartej na odległość. Nie uchyla to obowiązku naprawienia konsumentowi poniesionej przez niego szkody. _ Co istotne, uprawnienie to przysługuje wyłącznie konsumentom, nie zaś przedsiębiorcom.

Reasumując: ryzyko dla klientów wynikające z posiadania i używania kart wcale nie jest tak duże, jak może się wydawać na podstawie medialnych informacji o kolejnych gangach kopiujących karty i wypłacających pieniądze za granicami kraju. Nieprzekonanych może przekona przykład z życia wzięty: jeśli zgubię 100-złotowy banknot, prawdopodobieństwo jego znalezienia jest praktycznie zerowe, także dlatego, że ewentualny znalazca nie będzie się nawet zastanawiał nad ryzykiem wydania tych pieniędzy.

Jeśli jednak zgubię kartę płatniczą, żaden znalazca nie będzie miał chyba wątpliwości, że jej użycie jest przestępstwem, zarazem możliwości ustalenia tożsamości sprawcy jest znacznie więcej (sprzyja temu np. możliwość określenia dokładnego miejsca i czasu dokonania transakcji, co pozwala na porównanie tych danych choćby z zapisem z monitoringu).