Bezpieczeństwo prawne transakcji to zespół regulacji prawnych wyznaczających określone zachowania, które mają być podejmowane przez osoby i instytucje, których dotyczą te przepisy, jak również określające zasady rozkładu ciężaru odpowiedzialności tych podmiotów w sytuacji wystąpienia transakcji dokonanych przez osoby nieuprawnione.
Jako regulacje prawne należy rozumieć zarówno przepisy powszechnie obowiązującego prawa, jak również postanowienia umów i regulaminów stanowiących ich integralne części. Ograniczymy się do określenia zakresu i zasad bezpieczeństwa prawnego wynikającego z regulacji ustawowych.
Obowiązki posiadacza karty
Powszechnie obowiązujące przepisy prawa w przedmiotowym zakresie umieszczone zostały w ustawie o elektronicznych instrumentach płatniczych.
Obowiązki posiadacza (oraz użytkownika) karty płatniczej podzielić można na kilka grup. Do pierwszej zaliczyć należy obowiązki związane z ochroną karty i kodu identyfikacyjnego (kod PIN). Ustawa o elektronicznych instrumentach płatniczych wskazuje, iż posiadacz zobowiązany jest do przechowywania karty płatniczej i ochrony kodu z zachowaniem należytej staranności, nieprzechowywania karty płatniczej razem z kodem identyfikacyjnym, jak również nieudostępniania karty płatniczej i kodu identyfikacyjnego osobom nieuprawnionym. W przepisach tych wyjaśnienia wymagają dwie kwestie.
Należyta staranność
Pierwszą z nich jest pojęcie należytej staranności, jakiej powinien dokładać posiadacz w zakresie przechowywania karty i ochrony kodu PIN. Jest to pojęcie o pewnym stopniu nieostre. Nie wdając się w głębsze analizy prawne, należy jedynie zaznaczyć, iż stopień należytej staranności określany jest jako stopień staranności, którego powinien dochowywać uśredniony posiadacz karty płatniczej. Oznacza to, iż wzorzec należytej staranności posiadacza uzależniony jest od rozwoju rynku kart płatniczych zarówno pod względem terytorium, czasu, jak również od stopnia edukacji posiadaczy i prezentowanych przez nich zachowań.
Nieudostępnianie karty
Drugą kwestią jest ciążący na posiadaczu obowiązek nieudostępniania karty osobom nieuprawnionym. Osobą uprawnioną do korzystania z karty płatniczej może być jedynie posiadacz i użytkownik (np. posiadaczem jest przedsiębiorca - firma - a użytkownikiem pracownik tego przedsiębiorcy). Z brzmienia przepisów ustawy o elektronicznych instrumentach płatniczych można wysunąć wniosek, iż posiadacz ma obowiązek nieudostępniania karty osobom innym niż użytkownik. Jest tak przy zastrzeżeniu, iż w umowie znajdują się postanowienia wskazujące konkretną osobę jako użytkownika danej karty płatniczej.
Zgłoszenie utraty karty
Drugą kategorią obowiązków posiadacza karty płatniczej są powinności, które można określić mianem informacyjnych. Pierwszym z nich jest spoczywająca na posiadaczu konieczność niezwłocznego zgłoszenia wydawcy faktu utraty karty lub jej zniszczenia. W praktyce obowiązek ten realizowany jest poprzez kontakt posiadacza z wydawcą karty bądź podmiotem przez niego wskazanym i zgłoszenie zastrzeżenia karty płatniczej. Ponadto posiadacz zobowiązany jest do zgłaszania wydawcy karty stwierdzonych niezgodności w zestawieniu operacji dokonanych kartą płatniczą. Ustawodawca wskazał jako przykładowe sytuacje, w których posiadacz powinien realizować ten obowiązek. Ma to miejsce w szczególności w przypadku, gdy w zestawieniu występują operacje, których dokonanie kwestionuje posiadacz lub wystąpieniu błędu lub innych nieprawidłowości w przeprowadzeniu rozliczenia. W odróżnieniu od niedookreślonego terminu zgłoszenia zastrzeżenia karty, w tej konkretnej sytuacji ustawodawca wyznacza termin, w jakim posiadacz musi wypełnić swój obowiązek informacyjny. Termin ten powinien wynikać z umowy karty płatniczej, natomiast w sytuacji braku określenia go w umowie, stosowany jest termin ustawowy - 14 dni od daty otrzymania przez posiadacza karty zestawienia transakcji. Również w przypadku nieotrzymania przez posiadacza zestawienia operacji w terminie przewidzianym w umowie karty płatniczej, posiadacz karty ma obowiązek zgłoszenia tego faktu wydawcy karty. Również w tym przypadku, podobnie jak w sytuacji utraty lub zniszczenia karty posiadacz ma obowiązek przekazania informacji o nieotrzymaniu zestawienia bez zbędnej zwłoki, co w praktyce powinno następować następnego dnia po terminie wskazanym w umowie karty płatniczej.
Ważne!
Po dokonaniu zgłoszenia przez klienta zastrzeżenia karty płatniczej ryzyko wystąpienia operacji obciąża wydawcę. Jedyną okolicznością wyłączającą odpowiedzialność wydawcy jest sytuacja, gdy do transakcji po zgłoszeniu zastrzeżenia doszło z winy umyślnej posiadacza lub użytkownika karty
Zachowania wydawcy kart
Oprócz obowiązków spoczywających na posiadaczu karty płatniczej przepisy ustawy o elektronicznych instrumentach płatniczych formułują pewne wymagania w stosunku do zachowania wydawcy. W tym zakresie należy wskazać na ciążący na wydawcy obowiązek przyjmowania przez całą dobę zgłoszeń posiadaczy lub użytkowników kart płatniczych o utracie lub zniszczeniu karty płatniczej oraz prowadzenia rejestru zgłoszeń utraty lub zniszczenia karty, zawierającego dane o numerze karty, osobie zgłaszającej, okolicznościach, wraz ze wskazaniem daty, godziny i minuty przyjęcia zgłoszenia. Dokonywanie zgłoszeń powinno być zapewnione przez wydawcę za pośrednictwem dostępnych środków komunikowania.
Obecnie najczęściej stosowanym środkiem komunikacji jest połączenie telefoniczne. W sytuacji utraty karty płatniczej niejednokrotnie posiadacze stają przed problemem związanym z brakiem numeru telefonu służącego do zastrzegania kart. W takiej sytuacji wygodnym sposobem na znalezienie tego numeru jest wyszukiwarka na stronie internetowej Związku Banków Polskich - www.zbp.pl, która dostępna jest również za pośrednictwem protokołu wap pod adresem www.zbp.pl/zk.
Drugim z obowiązków wydawcy jest obowiązek wprowadzenia procedur tworzenia i udostępniania kodu identyfikacyjnego uniemożliwiających poznanie kodu przez osoby nieuprawnione. Warto w tym miejscu zwrócić uwagę na fakt, iż obowiązki te związane są z fazą personalizowania karty dla konkretnego posiadacza (użytkownika) i przesyłania do tych osób omawianych elektronicznych instrumentów płatniczych.
Drugim z podstawowych elementów systemów bezpieczeństwa prawnego kart płatniczych jest odpowiedzialność. Ogólna reguła stanowi, iż transakcje dokonane przez osoby, którym posiadacz udostępnił kartę płatniczą lub ujawnił kod identyfikacyjny, obciążają posiadacza. Jest to reguła, powiązana ze wskazanym powyżej obowiązkiem posiadacza do nieudostępniania karty osobom nieupoważnionym.
Wyjątki od reguły
Ustawa o elektronicznych instrumentach płatniczych zawiera jednak wyjątki od reguły ogólnej.
Pierwszym z wyjątków od ogólnej zasady odpowiedzialności posiadacza za transakcje dokonane przez osoby nieuprawnione jest podział odpowiedzialności pomiędzy posiadacza i wydawcę, za szkodę wynikającą z użycia karty przez osobę nieuprawnioną do chwili wydania karty posiadaczowi - w takim przypadku ryzyko powstania szkody ponosi wydawca karty.
Kolejny wyjątek to zasada regulująca sytuację wystąpienia transakcji dokonanej przez osoby nieuprawnione przy wykorzystaniu karty utraconej. Zgodnie z nią, jeśli umowa nie przewiduje inaczej, posiadacza obciążają operacje dokonane z użyciem utraconej karty płatniczej do czasu zgłoszenia wydawcy jej utraty.
Odpowiedzialność posiadacza
Odpowiedzialność posiadacza została jednak ograniczona do kwoty stanowiącej równowartość w złotych 150 euro. W przypadku transakcji przewyższających tę kwotę ryzyko leży po stronie wydawcy karty. Powyższy limit nie znajduje jednak zastosowania przy operacjach, do których doszło z winy posiadacza lub użytkownika. W szczególności okolicznością taką jest niezachowanie obowiązków informacyjnych posiadacza.
Ponadto posiadacza nie obciążają operacje dokonane z użyciem utraconej karty płatniczej, jeżeli ich dokonanie nastąpiło wskutek nienależytego wykonania zobowiązania przez wydawcę lub akceptanta.
Po dokonaniu zgłoszenia zastrzeżenia ryzyko wystąpienia operacji obciąża wydawcę. Jedyną okolicznością wyłączającą odpowiedzialność wydawcy jest sytuacja, gdy do transakcji po zgłoszeniu zastrzeżenia doszło z winy umyślnej posiadacza lub użytkownika karty.
Również w sytuacji gdy umowa o kartę płatniczą nie przewiduje możliwości dokonywania transakcji na odległość (bez fizycznego użycia karty), a transakcja tego rodzaju została dokonana i nie nastąpiła elektroniczna identyfikacja posiadacza lub złożenie przez niego własnoręcznego podpisu na dokumencie potwierdzającym transakcję, kwota tego rodzaju transakcji obciąża wydawcę karty. W tym przypadku użycie kodu identyfikacyjnego nie wystarcza do obciążenia posiadacza taką transakcją, chyba że została ona potwierdzona poprzez złożenie bezpiecznego podpisu elektronicznego.
Podstawowe zasady
Te ogólne zasady składające się na pojęcie bezpieczeństwa prawnego transakcji dokonywanych kartami płatniczymi stanowią zbiór podstawowych zasad, który jest rozbudowywany i uszczegóławiany przez przepisy umów i regulaminów dotyczących kart płatniczych.
Warto również zauważyć, iż wszystkie te reguły wraz z określonymi standardami zachowań, które powinny być podejmowane przez świadomych posiadaczy i użytkowników kart płatniczych, a które przedstawione zostały w poprzednich artykułach poświęconych problematyce dokonywania transakcji kartami płatniczymi, składają się na ogólne pojęcie bezpieczeństwa dokonywania transakcji tymi elektronicznymi instrumentami płatniczymi.
Należy ponadto pamiętać, iż najważniejszy wpływ na bezpieczeństwo tego systemu mają działania podejmowane przez posiadaczy kart. Jest to konsekwencją faktu, iż nawet stosowane obecnie coraz lepsze metody zabezpieczenia przekazywania danych transakcyjnych, technologie chroniące dane zapisane na karcie, jak również sposoby uwierzytelniania i weryfikacji tożsamości osoby dokonującej transakcji stają się niesłychanie podatne na działania przestępców w sytuacji, gdy posiadacze kart nie dokładają odpowiedniej staranności bezpiecznego postępowania podczas używania kart.
Należy pamiętać o tym, iż problematyka bezpieczeństwa transakcji kartami płatniczymi jest wypadkową działań podejmowanych zarówno przez wydawców, agentów rozliczeniowych, akceptantów i posiadaczy kart. Tylko w przypadku właściwego funkcjonowania tych wszystkich elementów składowych systemu możliwe będzie utrzymanie w Polsce dotychczasowego, ocenianego jako bardzo wysoki, w porównaniu do innych krajów, poziomu bezpieczeństwa rynku kart płatniczych.