Objašnjenje Hrvatske narodne banke u povodu zanimanja javnosti za pitanja vezana uz zloporabu usluge elektroničkog bankarstva

Objavljeno: 28.5.2014.

Imajući u vidu povećano zanimanje javnosti za (potencijalno) neovlašteno zadavanje transakcija putem internetskog bankarstva, u nastavku donosimo odgovore na pitanja vezana uz navedene transakcije i pojašnjenje odgovornosti banaka (pružatelja platnih usluga) i klijenata (korisnika platnih usluga) kod korištenja usluge elektroničkog bankarstva prema odredbama Zakona o platnom prometu.

Koje su obveze banke i korisnika platnih usluga vezano uz ugovaranje, korištenje i zaštitu platnog instrumenta elektroničkog bankarstva?

Banka je dužna dati korisniku usluge elektroničkog bankarstva, prije nego što se korisnik obveže ponudom ili okvirnim ugovorom, informacije propisane člankom 18. Zakona o platnom prometu (dalje: Zakon), između ostalog:

  • informacije iz stavka 1. točke 2. navedenog članka, o korištenju platne usluge, i to: a) opis glavnih karakteristika platne usluge koja će se pružiti, c) informacije o obliku i načinu davanja i opoziva suglasnosti za izvršenje platne transakcije u skladu sa člancima 29. i 41. ovog Zakona, te
  • informacije iz stavka 1. točke 5. istog članka koje uključuju i postupke koje korisnik platnih usluga treba poduzeti radi zaštite platnog instrumenta, te informacije o odgovornosti pružatelja platnih usluga za neautorizirane platne transakcije u skladu sa člankom 35. Zakona.

Dakle, banka je dužna na nedvosmislen način, i to prije nego je korisnik s bankom sklopio okvirni ugovor, upoznati ga kako da štiti svoj platni instrument (kao što su, primjerice, fizički ili softverski token, pametna kartica ili USB uređaj s kriptografskim ključevima, debitna ili kreditna platna kartica, itd.),

Banka, sukladno Zakonu, u odnosu s korisnikom koji nije potrošač, ima mogućnost drugačije urediti svoju obvezu na prethodno davanje informacija iz članka 18. Zakona. Međutim, budući da je člankom 31. Zakona propisano da je korisnik platnih usluga dužan koristiti platni instrument u skladu s odredbama okvirnog ugovora kojim je regulirano izdavanje i korištenje tog platnog instrumenta, te je dužan neposredno nakon primitka platnog instrumenta poduzeti sve razumne mjere za zaštitu personaliziranih sigurnosnih obilježja tog platnog instrumenta, banka u ugovoru s korisnikom (bez obzira na njegov status) mora ugovoriti sve postupke koje korisnik mora poduzeti radi zaštite svog instrumenta, da bi se u slučaju izvršenja neautorizirane platne transakcije mogla utvrditi odgovornost ugovornih strana (banke odnosno korisnika platnih usluga).

Pored toga, banka je sukladno članku 32. Zakona dužna osigurati da personalizirana sigurnosna obilježja platnog instrumenta ne budu dostupna drugima osim korisniku platnih usluga koji je ovlašten koristiti se tim instrumentom, a korisnik je dužan, sukladno članku 33. Zakona, banku obavijestiti o neautoriziranim platnim transakcijama bez odgađanja.

Dakle, korisnici koji posumnjaju u gubitak, krađu, zlouporabu ili neovlašteno korištenje platnog instrumenta o tome trebaju odmah obavijestiti banku i, ukoliko je moguće, sačuvati dokaz da su to i učinili.

Korisnik platnih usluga može podnijeti kaznenu prijavu nadležnom tijelu (Ministarstvo unutarnjih poslova Republike Hrvatske/ Državno odvjetništvo Republike Hrvatske) ukoliko smatra da je žrtva kaznenog djela. Ako korisnik platnih usluga tvrdi da je žrtva kaznenog djela, a korisnik je potrošač, banka bi o tome trebala odmah obavijestiti nadležno tijelo (MUP RH/ DORH). Ako korisnik nije potrošač, banka korisnika treba uputiti da o spornim transakcijama odmah obavijesti navedeno nadležno tijelo.

Što je autorizacija?

Članak 29. stavak 1. Zakona uređuje da se platna transakcija smatra autoriziranom samo ukoliko je platitelj dao suglasnost za izvršenje platne transakcije. Dakle, autorizacija platne transakcije neosporno podrazumijeva da ju je, koristeći elektroničko bankarstvo, dao sam platitelj (odnosno korisnik platnih usluga iz okvirnog ugovora). Na isti način pojam autorizacije treba tumačiti i u svim ostalim odredbama Zakona.

Kada je transakcija izvršena elektroničkim bankarstvom neautorizirana?

Sukladno spomenutim odredbama, svaka platna transakcija za koju se dokaže da je nije autorizirao sam korisnik platne usluge iz okvirnog ugovora, smatra se neautoriziranom. Dakle, ukoliko se dokaže da je računalu korisnika elektroničkog bankarstva neovlašteno pristupano (računalo je "hakirano" ) te da je suglasnost za izvršenje platne transakcije (tj. platni nalog) putem zloupotrijebljenog računala zadala neovlaštena osoba ("haker"), smatrat će se da je takva platna transakcija neautorizirana.

Pri tome je, sukladno članku 34. Zakona, banka dužna dokazati da je autentifikacija platne transakcije bila provedena, da je platna transakcija bila pravilno zabilježena i proknjižena te da na izvršenje platne transakcije nije utjecao tehnički kvar ili neki drugi nedostatak.

Međutim, isti članak uređuje da sama činjenica da je pružatelj platnih usluga zabilježio korištenje platnog instrumenta nije nužno dovoljna kako bi se dokazalo da je platitelj autorizirao tu platnu transakciju ili da je postupio prijevarno ili da namjerno ili zbog krajnje nepažnje nije ispunio jednu ili više svojih obveza.

Navedeni teret dokaza banka i korisnik platnih usluga koji nije potrošač mogu ugovoriti drugačije.

Tko odgovara za neautoriziranu platnu transakciju, odnosno tko je odgovoran za otuđena sredstva?

Prema članku 35. stavak 1. Zakona o platnom prometu platiteljeva banka je u slučaju izvršenja neautorizirane platne transakcije dužna odmah dovesti terećeni račun za plaćanje u stanje koje bi odgovaralo stanju tog računa da neautorizirana platna transakcija nije bila izvršena. Stavak 2. istog članka određuje da banka treba vratiti i sve naknade naplaćene u vezi s izvršenom neautoriziranom platnom transakcijom te platiti pripadajuće kamate, a stavak 3. daje pravo platitelju i na razliku do pune naknade štete prema općim pravilima o odgovornosti za štetu.

Iznimno, sukladno članku 36. Zakona, u slučaju da se radi o prijevarnom ponašanju korisnika elektroničkog bankarstva, ili ako namjerno ili zbog krajnje nepažnje nije ispunio jednu ili više svojih obveza iz okvirnog ugovora koje se odnose na korištenje platnog instrumenta (primjerice, opći uvjeti), korisnik sam odgovara za sva otuđena sredstva. Ukoliko se ne radi o namjeri/krajnjoj nepažnji/prijevarnom ponašanju, već o slučaju zlouporabe platnog instrumenta zbog činjenice da korisnik nije na ugovoreni način čuvao personalizirana obilježja platnog instrumenta, korisnik odgovara do ukupnog iznosa od 1.125,00 kuna, a za ostatak iznosa platne transakcije trošak snosi banka.

Banka i korisnik platnih usluga koji nije potrošač mogu navedenu odgovornost urediti drugačije.

Koje je tumačenje Europske komisije kod platnih transakcija čije je autoriziranje sporno?

Mišljenje Europske komisije je da u slučaju kada korisnik platnih usluga obavijesti banku o izvršenoj neautoriziranoj platnoj transakciji banka treba, sukladno odredbama Direktive o platnim uslugama, (navedena odredba ugrađena je u članak 35. Zakona o platnom prometu), odmah vratiti iznos neautorizirane platne transakcije. U svom tumačenju Europska komisija ipak daje pravo banci da istraži konkretnu platnu transakciju te istrazi posveti primjereno vrijeme. Međutim, Europska komisija jasno napominje da time banka riskira, u slučaju da se naknadno utvrdi da je transakcija bila neautorizirana te da je banka neprimjereno dugo vodila istragu, i dodatne sankcije zbog kršenja odredbi o obvezi povrata sredstava sadržanih u spomenutoj direktivi.

Zaključno možemo istaknuti sljedeće:

Prema Zakonu o platnom prometu, svaka transakcija koja nije autorizirana od strane samog korisnika platne usluge (platitelja) putem elektroničkog bankarstva smatra se neautoriziranom i odmah nastaje obveza banke za povratom cjelokupnog iznosa sredstava koja su otuđena izvršenjem neautorizirane platne transakcije.

Istragom policije ili u sudskom postupku utvrdit će se, u konačnici, je li platna transakcija autorizirana ili ne, odnosno je li nalog zadan od strane neovlaštene osobe ("hakera"). Ako istraga pokaže da je transakcija bila neautorizirana i da je banka neopravdano dugo vodila istragu, banka se izlaže riziku izricanja prekršajnih sankcija propisanih Zakonom o platnom prometu i riziku eventualne naknade štete.

Ako banka smatra da je transakcija autorizirana, morat će to i dokazati (osim u slučaju kada Zakon o platnom prometu dozvoljava drugačije ugovaranje tereta dokaza).

Odgovornost i ograničenje odgovornosti platitelja regulirani su Zakonom o platnom prometu.

U slučaju da se radi o prijevarnom ponašanju korisnika, ili ako namjerno ili zbog krajnje nepažnje nije ispunio jednu ili više svojih obveza iz okvirnog ugovora koje se odnose na korištenje platnog instrumenta (primjerice, općih uvjeta), korisnik sam odgovara za sva otuđena sredstva.

Ukoliko se ne radi o namjeri/krajnjoj nepažnji/prijevarnom ponašanju, već o slučaju da korisnik nije na ugovoreni način čuvao personalizirana obilježja platnog instrumenta, korisnik odgovara do ukupnog iznosa od 1.125,00 kuna, a za ostatak iznosa platne transakcije trošak snosi banka.

U odnosu na platitelja koji nije potrošač, odgovornost i ograničenje odgovornosti mogu biti regulirani i ugovorom.

Radi boljeg razumijevanja opisane problematike u nastavku donosimo pojašnjenja određenih pojmova korištenih u tekstu:

  1. Zakon o platnom prometu ("Narodne novine", br. 133/2009. i 136/2012.): ovim Zakonom uređuje se platni promet, i to platne usluge, pružatelji platnih usluga, obveze informiranja korisnika platnih usluga o uvjetima za pružanje usluga i pruženim platnim uslugama te druga prava i obveze u vezi s pružanjem i korištenjem platnih usluga, transakcijski računi i izvršenje platnih transakcija između kreditnih institucija, osnivanje, rad i nadzor nad institucijama za platni promet te osnivanje, rad i nadzor nad platnim sustavima. Zakon sadrži odredbe koje su u skladu s Direktivom 2007/64/EZ Europskog Parlamenta i Vijeća od 13. studenoga 2007. o uslugama platnog prometa na unutarnjem tržištu.
  2. Korisnik platnih usluga: fizička ili pravna osoba koja se koristi platnom uslugom u svojstvu platitelja i/ili primatelja plaćanja.
  3. Pružatelji platnih usluga: osobe regulirane člankom 5. Zakona o platnom prometu, (uključujući i banke).
  4. Platitelj: fizička ili pravna osoba koja ima račun za plaćanje i daje nalog ili suglasnost za plaćanje s tog računa ili, ako račun za plaćanje ne postoji, fizička ili pravna osoba koja daje nalog za plaćanje.
  5. Potrošač: fizička osoba koja u ugovorima o platnim uslugama obuhvaćenima Zakonom o platnom prometu djeluje izvan područja svoje gospodarske djelatnosti ili slobodnog zanimanja.
  6. Platni instrument: svako personalizirano sredstvo i/ili skup postupaka ugovorenih između korisnika platnih usluga i pružatelja platnih usluga koje korisnik platnih usluga primjenjuje za iniciranje naloga za plaćanje (primjerice, fizički ili softverski "token", "pametna" kartica ili USB uređaj s kriptografskim ključevima, debitna ili kreditna platna kartica, itd.).
  7. Okvirni ugovor: ugovor o platnim uslugama kojim se uređuje buduće izvršenje platnih transakcija, a koji može sadržavati obvezu i uvjete otvaranja i vođenja računa za plaćanje.
  8. Autentifikacija: postupak koji pružatelju platnih usluga omogućuje provjeru korištenja određenoga platnog instrumenta uključujući provjeru njegovih personaliziranih sigurnosnih obilježja.
  9. Elektroničko bankarstvo: neposredna ponuda novih i tradicionalnih proizvoda i usluga klijentima putem elektroničkih interaktivnih komunikacijskih kanala. Ono uključuje sustave koji klijentima kreditne institucije pružaju bankarske proizvode i usluge (primjerice pristup financijskim informacijama, informiranje o proizvodima i uslugama te elektroničko plaćanje). Najčešće se radi o platnim uslugama banke i s njima povezanim uslugama (npr. elektroničko zadavanje naloga za plaćanje, pristup informacijama o stanju i prometu po računu, i slično).