FN7.054.10-4.2015 - Dzienne limity transakcji płatniczych dokonywane w trybie offline.

Przedstawiona w interpelacji kwestia została dostrzeżona przez przedstawicieli instytucji i organów odpowiedzialnych za prawidłowy rozwój rynku usług płatniczych (w tym Ministerstwo Finansów, Urząd Komisji Nadzoru Finansowego, Narodowy Bank Polski, Związek Banków Polskich). Podmioty te aktywnie zaangażowały się w prace nad analizą bezpieczeństwa kart płatniczych z funkcją zbliżeniową, co skutkowało opracowaniem "Rekomendacji w zakresie bezpieczeństwa kart zbliżeniowych" 1 w ramach Rady ds. Systemu Płatniczego, organu opiniodawczo-doradczego przy Zarządzie Narodowego Banku Polskiego.

Wspomniane rekomendacje zawierają zestaw zaleceń związanych z wydawaniem, akceptowaniem i obsługą kart płatniczych z funkcją zbliżeniową, których wdrożenie przez wszystkie podmioty zaangażowane w te działania, zostało uznane za niezbędne dla zapewnienia stabilności i poczucia bezpieczeństwa wszystkich użytkowników obrotu bezgotówkowego.

Realizacja tych rekomendacji powinna przełożyć się na podniesienie poziomu bezpieczeństwa odczuwanego przez posiadaczy tych kart i zwiększenie ich zaufania do tego instrumentu płatniczego, co w konsekwencji skutkować powinno dalszym rozwojem obrotu bezgotówkowego.

Dodatkowo Urząd Komisji Nadzoru Finansowego (UKNF) przygotował i przedstawił dokument pt. "Analiza poziomu bezpieczeństwa kart zbliżeniowych z punktu widzenia ich posiadaczy", omawiający prawne i technologiczne aspekty bezpieczeństwa stosowanych kart 2 .

Dnia 14 kwietnia 2014 r. Związek Banków Polskich przedstawił na posiedzeniu Rady ds. Systemu Płatniczego podsumowanie wdrożenia Rekomendacji przez banki, wydawców kart.

Rada przyjęła sprawozdanie stwierdzając w nim że "zdecydowana większość banków - wydawców kart realizuje przedmiotowe rekomendacje" 3 .

W maju 2014 r., w związku z koniecznością uzupełnienia informacji na potrzeby prowadzonej przez nadzór finansowy analizy dotyczącej, w szczególności, poziomu ryzyka w zakresie środowiska teleinformatycznego polskich banków oraz sposobu zarządzania tym ryzykiem, UKNF opracował i rozesłał do banków ankietę: "IT i bezpieczeństwo w bankach". Analiza zebranych tam informacji potwierdziła m.in. prawidłowy stan wdrożenia Rekomendacji Rady ds. Systemu Płatniczego dotyczących bezpieczeństwa płatności zbliżeniowych oraz wynikający z niej poziom bezpieczeństwa użytkowników tych instrumentów płatniczych.

Odnosząc się natomiast do pytania Pana Posła dotyczącego dziennych limitów transakcji dokonywanych w trybie offline należy zauważyć, że zarówno rekomendacje, jak i obowiązująca ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2014 r. poz. 873, z późn. zm., dalej jako "UUP") gwarantuje instrumenty ochronne użytkownikom kart płatniczych z funkcją zbliżeniową.

Należy zauważyć, że autoryzacja transakcji dokonywanych karta płatniczą, przeprowadzana w trybie online, która pozwala na weryfikację limitów dziennych oraz salda rachunku płatniczego, nie jest jedyną formą zabezpieczenia zbliżeniowych kart płatniczych. Każda karta wyposażona jest również w aplikację weryfikującą liczbę lub wartość transakcji dokonanych od ostatniej autoryzacji wykonanej w trybie online. W momencie przekroczenia ustalonego limitu karta wymusza przeprowadzenie transakcji z użyciem numeru PIN. Limity ustalane są przez wydawcę karty płatniczej i z uwagi na bezpieczeństwo nie są one, zazwyczaj, udostępniane klientom banku. Jednocześnie z uwagi na charakterystykę transakcji zbliżeniowych (transakcje bez potrzeby potwierdzania PIN-em do wysokości 50 PLN) limity te w przeważającej liczbie przypadków pozwalają na uniknięcie możliwości przekroczenia ustalanych przez klienta banku dziennego limitu wartości transakcji.

W kontekście pytań Pana Posła szczególnie istotne wydają się punkty 1.1. oraz 1.2. ww. Rekomendacji, które wskazują, iż bank ma obowiązek zapewnić swojemu klientowi możliwość posiadania karty płatniczej bez funkcjonalności zbliżeniowej (co zrealizowane może być albo poprzez wyłączenie funkcjonalności zbliżeniowej na karcie, która posiada taką funkcjonalność, albo wydanie karty bez takiej funkcjonalności). Klienci banków, którzy mają wątpliwości co do bezpieczeństwa takich instrumentów nie są do ich posiadania zmuszani.

Jednocześnie zgodnie z Rekomendacją klienci banków muszą być informowani o możliwości przekroczenia salda w wyniku korzystania z karty zbliżeniowej (pkt 1.5. Rekomendacji), zaś sami wydawcy zobowiązali się do zarządzania swoimi systemami w taki sposób, by zminimalizować to ryzyko (pkt 1.6.). Co więcej należy podkreślić, że Rekomendacje w trosce o środki pieniężne klientów banków zobligowały banki do niezwłocznego zwrotu środków pieniężnych, w przypadku, gdy zniknięcie środków nastąpiło po zastrzeżeniu karty w wyniku funkcjonowania w trybie offline.

Dodatkowo wydawcy kart, na podstawie Rekomendacji, ograniczyli próg odpowiedzialności użytkowników kart za transakcje oszukańcze wykonane za pomocą funkcjonalności zbliżeniowej do poziomu 50 EUR (z poziomu 150 EUR zapisanego w UUP). W pozostałym zakresie, po przekroczeniu kwoty 50 euro, straty finansowe zobowiązany jest ponieść wydawca karty płatniczej.

Niezależnie od powyższych instrumentów ochronnych zapewnionych przez ww. Rekomendację wskazać należy, że również obowiązująca UUP zawiera regulacje dotyczące m.in. autoryzacji transakcji płatniczych, odpowiedzialności płatnika za nieautoryzowane transakcje, czy ciężaru dowodu, że transakcja płatnicza była autoryzowana.

Należy także dodać, że skala oszustw z użyciem kart płatniczych (nie tylko zbliżeniowych) jest niewielka w porównaniu do całości obrotu kartami w Polsce i wynosi - wg danych banków - zaledwie 0,006% wartości tego obrotu, a od strony agentów rozliczeniowych - 0,002%. Podobne wielkości w poprzednich latach sytuowały Polskę wśród krajów Unii Europejskiej na pozycji państw o najniższych wskaźnikach transakcji oszukańczych w liczbie i wartości transakcji kartowych.

Ponadto, zgodnie z przekazanym stanowiskiem UKNF, analiza skarg klientów kierowanych do organu nadzoru nie wskazuje na istotne problemy klientów z bezpieczeństwem płatności zbliżeniowych.

Z uwagi na powyższe, w opinii Ministerstwa Finansów należy stwierdzić, iż przepisy UUP oraz zapisy Rekomendacji Rady ds. Systemu Płatniczego w zakresie bezpieczeństwa kart zbliżeniowych zapewniają odpowiedni poziom ochrony posiadaczom takich instrumentów płatniczych.