Hlavní navigace

Neautorizovaná transakce: Za zneužitou kartu si podle zákona můžete sami

15. 11. 2010
Doba čtení: 10 minut

Sdílet

Dvojsmyslný výklad pojmu neautorizovaná transakce znamená, že poskytovatel karty se většinou zachová tak, jak se mu to hodí. Kde hledat pravdu, když ani oficiální instituce v tom nemají jasno?

Zmatky kolem pojmu neautorizovaná transakce existují už od doby, kdy vešel v minulém roce  v účinnost nový zákon o platebním styku. Nejednoznačnost zákona dávala bankám a záložnám prostor, aby si ho vykládaly tak, jak se jim hodí. V drtivé většině proto do svých podmínek ukotvovaly výklad, podle kterého plátce (tedy např. klient banky) měl nést ztrátu z neautorizovaných transakcí do výše 150 eur za transakci. Náklady by tak prakticky nesl jenom klient. Až po čase byla přijata zákonodárci změna, která v zákoně jednoznačně vymezila, že škodu 150 eur nese plátce za všechny transakce. Více o tématu čtěte v článku: Platební karty provází chaos. Víme, která banka se za vás postaví 

My o voze, vy o koze?

Server Měšec.cz jako první nyní zjistil, že ani ve výkladu samotného pojmu neautorizovaná transakce nepanuje jednota. V § 98 Zákona o platebním styku se píše o autorizaci transakce v tom smyslu, že platební transakce je autorizována, jestliže k ní plátce dal souhlas, nestanoví-li jiný právní předpis jinak.

Když se nad tím zamyslíte, dá se zákon vyložit dvojsmyslně. Je neautorizovaná transakce taková transakce, ke které nedal plátce vědomě souhlas? Nebo se jedná jen o to, že neautorizovaná transakce vznikne jen v případě, kdy zadáte špatně PIN nebo například při platbě přes internet zadáte špatně číslo své karty a operace proto neproběhne?

V prvním případě by totiž byla neautorizovaná transakce i taková, kterou např. přes internet zadá někdo, kdo nějakým způsobem získal potřebné údaje z vaší karty a nyní přes ni může vesele nakupovat. Vy byste s operací určitě nesouhlasili, přesto je však bankou provedena. Proč? Banka obdržela všechny platné podklady pro udělení souhlasu s transakcí (platné číslo karty, karta byla krytá apod.) Druhý výklad omezuje existenci neautorizované transakce pouze na mizivé procento situací, kdy zadáte špatně např. PIN nebo číslo své karty, ale operace je stejně (chybou v bance) provedena.

Další odstavec paragrafu smysl věty upravuje: platební transakce může být autorizována před provedením platební transakce, nebo dohodnou-li se tak plátce a jeho poskytovatel, po jejím provedení. Souhlas lze udělit k jednotlivé platební transakci nebo k několika platebním transakcím. Souhlas lze udělit i prostřednictvím platebního prostředku s tím, že forma a postup udělení souhlasu musí být dohodnuty mezi plátcem a poskytovatelem.

Všichni dotčení poskytovatelé finančních služeb tuto „dohodu o souhlasu“ provádějí jednostranně tím, že v obchodních podmínkách specifikují autorizaci zadáním PINu, podpisem nebo autorizačním kódem apod.

Sporné situace pak upravují §115 a §116, kde se konkrétně praví, že plátce (klient) nese ztrátu do výše 150 eur, pokud byla způsobena použitím ztraceného či odcizeného platebního prostředku nebo zneužitím platebního prostředku v případě, že plátce nezajistil ochranu jeho personalizovaných bezpečnostních prvků. Kdy už ale plátce zajistí ochranu údajů a kdy už je to jeho pochybení? Zanedbáváme ochranu údajů například tím, že při platbě v restauraci někdo přečte potřebná čísla z mé karty?

Máte ke kartě sjednané pojištění zneužití?

Pokud vám tedy ukradne zloděj platební kartu a stihne s ní například provést transakci přes internet (kde potřebuje zadat pouze čísla z karty), dříve než vy krádež nahlásíte, máte smůlu? Anebo co třeba takový skimming… V tomto případě neplatí, že plátce nezajistil ochranu jeho personalizovaných bezpečnostních prvků a neměl by tedy ztrátu nést. Přesto se vlastně jedná podle obchodních podmínek bank a záložen o autorizovanou transakci, protože potřebné údaje byly zadány. Bez ohledu na drobný fakt, že operaci nezadával klient a ani by k ní nikdy vědomě nesvolil, protože třeba prokazatelně ležel na jednotce intenzivní péče.

Oficiální výklady je nejednotný

Na problematiku jsme se zeptali přímo Finančního arbitra České republiky, akademika i zástupců z České národní banky.

Finanční arbitr: odpověď nejednoznačná

František Klufa situaci ohledně výkladu pojmu nijak nevyjasnil. Uvedl sice, že: Dle § 98 zákona o platebním styku je podmínkou autorizace platební transakce souhlas plátce. Tento souhlas může dát plátce buď před provedením platební transakce, nebo po něm. Pro způsob udělení souhlasu je rozhodující dohoda plátce a jeho poskytovatele. Nedostatek souhlasu má za následek, že platební transakce je neautorizovaná, z čehož mohou vzniknout případné další odpovědnostní vztahy mezi poskytovatelem a plátcem. Neautorizovanou platební transakcí se zásadně rozumí transakce, ke které nebyl dán souhlas. § 115 a 116 zákona o platebním styku obsahuje jednoznačné rozhraničení případů, kdy za neautorizovanou platební transakci odpovídá plátci jeho poskytovatel a kdy ztrátu z této transakce nese plátce sám. Rozsah odpovědnosti poskytovatele je v ustanovení § 116 odstupňován v závislosti na různých okolnostech. Víceméně jsme získali jen ocitovaný zákon. Dále ale František Klufa připojil definici neprovedené platby, která se podle Klufy liší od neautorizované platby.

Jestliže byl příkaz (příkazem se pro účely zákona rozumí pokyn účastníka platebního systému s neodvolatelností zúčtování, aby prostřednictvím tohoto systému byly převedeny peněžní prostředky ve prospěch jejich příjemce a aby byly zaúčtovány v souladu s pravidly systému) příkazcem zadán bez všech potřebných identifikačních údajů, banka tento neprovede a poskytne nebo zpřístupní klientovi o této skutečnosti informaci dohodnutým způsobem při nejbližší příležitosti (např. dopis, výpis, avízo aj.). Neprovede-li příkaz banka díky svému pochybení, nese v důsledku neprovedení příkazu vinu i se všemi spojenými souvislostmi ona.

Pokud je ale neprovedená platba něco jiného než neautorizovaná transakce, neměla by být neautorizovanou transakcí operace, kdy špatně zadáte platbu přes internet (např. špatné číslo karty) a operace se proto neprovede. Právě takto ale drtivá většina bank, záložen a poskytovatelů karet neautorizovanou transakci definuje ve svých podmínkách. Situace spíš odpovídá neprovedené platbě.

Názor akademika: odpověď nejednoznačná

Také Zbyněk Kalabis, tajemník katedry bankovnictví a pojišťovnictví Bankovního institutu vysoké školy (BIVŠ) jako výklad pojmu neautorizované transakce použil citaci zákona o platebním styku. Dále však vysvětlil, že autorizace platby je prováděna pomocí podpisového vzoru, PINu u platebních karet, analogických kódů u produktů přímého bankovnictví nebo i povolení inkasa, kdy majitel účtu souhlasí, aby si jeho obchodní partner inkasoval z účtu finanční prostředky do určité výše. Uvedl také, že banka nesmí provést platební příkaz, pokud neobsahuje povinné údaje (bankovní spojení plátce a příjemce, částka + autorizace).

Z toho vyplývá, že pokud klient transakci neautorizoval, jedná se o neautorizovanou transakci – vrácení částky neautorizované transakce je řešeno v § 103 zákona o platebním styku. Odpovědnost „banky“ za neautorizované platební transakce je popsána v § 115 a násl. zákona o platebním styku, řekl serveru Měšec.cz Kalabis. Zamlženou situaci ale svým vyjádřením nijak více neosvětlil. Autorizaci totiž také definuje jako zadání požadovaných údajů do platebního systému.

Česká národní banka: překvapivý výklad

Zcela jiná přišla odpověď od zástupců  České národní banky.  Obsahuje sice i část, která uvádí, že autorizovanou transakci definuje zákon o platebním styku (platební transakce je autorizována, jestliže k ní plátce dal souhlas, nestanoví-li jiný právní předpis jinak) a že neautorizovaná platební transakce tedy znamená opak.

Když jsme se ale zeptali na výše zmiňované zneužití údajů z platební karty (údaje z karty při platbě přes internet zadány správně, ale majitel karty o transakci neví a rozhodně by s ní nesouhlasil), vyložil Pavel Zúbek z odboru komunikace souhlas plátce z jiného pohledu.

Citace České národní banky:

Z  ustanovení § 98 zákona o platebním styku vyplývají tři základní předpoklady řádné autorizace platební transakce  v souladu se zákonem:

  • jedná se o projev vůle  osoby plátce, kterým plátce vyjadřuje souhlas s platební transakcí;
  • souhlas musí být udělen před provedením platební transakce, ledaže mezi plátcem a jeho poskytovatelem byla domluvena možnost následné autorizace;
  • při udělení souhlasu musí být dodržen postup a forma, na nichž se plátce a jeho poskytovatel dohodli.

Přičemž všechny uvedené předpoklady musí být splněny současně. Nedostatek některého z nich má za následek, že platební transakci je třeba považovat za neautorizovanou.

V případě, že k autorizaci platební transakce dochází pomocí platebního prostředku, je rozhodující, zda použití platebního prostředku skutečně vyjadřuje souhlas plátce. Smluvní strany si nemohou sjednat nevyvratitelnou domněnku nebo fikci, podle níž by se jakékoli použití dohodnutého platebního prostředku považovalo za souhlas plátce bez ohledu na to, zda plátce platební prostředek skutečně použil. Takové smluvní ujednání by bylo neplatné. Pokud platební prostředek ve skutečnosti použila osoba od plátce odlišná, jedná se o platební transakci neautorizovanou.

V takovém případě je třeba zkoumat, v jakém rozsahu za tuto transakci odpovídá poskytovatel, případně v jakém rozsahu nese ztrátu z této transakce plátce sám. Ze zákona o platebním styku vyplývá, že poskytovatel, resp. banka může odmítnout provést platební příkaz pouze tehdy, nejsou-li splněny smluvní podmínky pro jeho přijetí, nebo stanoví-li tak jiný právní předpis. Poskytovatel je povinen odmítnout provedení platebního příkazu, stanoví-li tak jiný právní předpis. K přijetí platebního příkazu v takovém případě nedojde.

Výklad poskytovatelů finančních služeb a postoj při reklamaci

Na to, jak lze vyložit pojem neautorizovaná transakce jsme se ptali i samotných bank, družstevních záložen a vydavatelů karet. Banky, záložny i vydavatelé platebních karet považují nejčastěji transakci za autorizovanou po zadání např. údajů z karty. Detail v podobě skutečného souhlasu majitele karty, který při podvodných transakcích samozřejmě chybí, většina nijak nezohledňuje. Jak by tedy dopadla reklamace transakce platby kartou, kde byly zadány potřebné údaje (CVC2/CVV2, číslo i expirace karty), ale vyšlo by najevo, že operaci nezadal majitel a ani s ní nesouhlasí? I když budete reklamovat, výsledek je více než nejistý.

Zneužití údajů se tedy bere jako vina klienta, který neochránil údaje na své kartě, sdělil serveru Měšec.cz Gabriel Tkáč za Banco Popolare, který zároveň uvedl, že peníze by banka klientovi nevracela. Stejný přístup při řešení reklamace  vyplývá také z odpovědi od společnosti Credium a Komerční banky.

Definici neautorizované transakce, kdy není zadán PIN či jiné správné údaje, jsme obdrželi také od společnosti Citibank, Credium, ČSOB, GE Money Bank, Komerční banka, Poštovní spořitelna, Raiffeisenbank, Raiffeisenbank im StiftlandUniCredit Bank a Volksbank.

Ve stejném smyslu odpověděli také zástupci společnosti Cetelem. Uvedli ale, že pokud by se jednalo o skimming, reklamace by byla uznána. Podobný přístup v případě skimmingu by se dal očekávat u většiny dotázaných.

Zástupci České spořitelny, ČSOB, GE Money Bank, Poštovní spořitelny, Raiffeisenbank i UniCredit Bank uvedli, že v úvahu připadá možnost uznané i neuznané reklamace s tím, že výsledek nelze paušalizovat a k takovýmto případům se banka staví vždy individuálně. Mezi většinou skutečně poškozených klientů se může vyskytnout i osoba dopouštějící se podvodu v podobě pokusu o získání kompenzace za transakci, kterou sama vědomě provedla, odůvodnila opatrný přístup Vendula ŽaloudíkováFio banky.

I ta popsala autorizaci transakce jako zadání požadovaných údajů:  Jestliže byl pokyn autorizován výše uvedeným způsobem (PIN, podpis či kombinace obojího a dále číslo a expirace karty spolu s CVV či CVC), má se za to, že klient souhlasil s platební transakcí, pokud není klientem prokázáno, že platební transakci neautorizoval. Zároveň ale tedy připustila, že případ, kdy klient dokáže, že platbu neautorizoval on, může situaci změnit.

Společnost Home Credit a J&T Banka i Česká spořitelna považuje za neautorizovanou transakci nesprávné zadání požadovaných údajů i fakt, že ji klient skutečně nezadal a nesouhlasí s ní.

To, že se informace dostaly k jiné osobě jde ale v případě společnosti Home Credit na odpovědnost klienta. Pokud byl během transakce zadán správný PIN, máme za to, že autorizace klienta proběhla korektně, protože klient je zodpovědný za to, že kód nezpřístupní jiné osobě. Vzhledem k tomu, že reklamací neautorizovaných transakcí není tolik, každý případ řešíme individuálně a detailně jej posuzujeme a prověřujeme, řekla serveru Měšec.cz mluvčí Eva Řimnáčová s tím, že i když klient s údaji pravděpodobně zacházel neopatrně, většinou je reklamace vyřešena ve prospěch klienta.

Pokud nelze prokázat participaci klienta na transakci, reklamaci uznáváme jako oprávněnou, uvedl také Petr Málek za J&T Banku.

skoleni_15_4

Oberbank a spořitelní družstvo Peněžní dům řadí zneužití údajů právě do skupiny  neautorizovaných transakcí. Oberbank však jako jediná tímto pojmem naopak nenazývá skutečnost, kdy operace není provedena kvůli špatně zadaným identifikačním údajům (PIN, atd..) Toto je autorizovaná transakce, kvůli chybě na straně klienta ale nemůže banka transakci provést, vysvětlila serveru Monika Heiserová. Oberbank i Peněžní dům pak bude reklamaci vyřizovat podle okolností případu.

Jak vidno, přístupy se liší, ačkoli individuální posouzení může být leckdy opravdu individuálním rozhodnutím toho kterého pracovníka banky či záložny. Jaké máte zkušenosti vy? Budeme rádi, pokud nám přispějete do diskuse.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).