Банк или клиент: кто отвечает за украденные с карт деньги
6 вересня 2016 року Правління НБУ затвердило ряд змін до Постанови № 705 "Про здійснення операцій з використанням електронних платіжних засобів" ("Постанова №705").
Частина змін мала радше редакційний характер і стосуються вони переважно сфери запобігання та протидії легалізації незаконних доходів. Проте нас цікавить інший аспект, а саме відповідальність користувача карти перед банком-емітентом за неналежні операції.
Відтепер договір про видачу платіжної карти не може містити застереження про безумовну відповідальність користувача за неналежний переказ. Проте залишається інше правило — користувач може бути відповідальним за неналежні операції, які були здійснені в результаті його дій чи бездіяльності. Наприклад, коли користувач дав сторонній особі свій ПІН код від платіжної карти тощо.
Визначення відповідальної особи у такій ситуації є одним із найважливіших питань, які зазвичай постають у платіжній системі у випадку неналежного платежу. Проте, не зовсім зрозуміло як запроваджені зміни узгоджуються із рештою положень постанови, які встановлюють правила розподілу відповідальності за неналежні платежі між банком та користувачем.
Так, за загальним правилом, яке міститься у Постанові №705, ризик збитків до моменту повідомлення банку про втрату платіжного засобу за неналежними операціями покладається на користувача, а після отримання такого повідомлення — на банк.
Винятком із цього загального правила є здійснення дистанційних операцій (card not present), про який автор цих рядків писав минулого року.
Таким чином, відсутність застереження в договорі між банком та користувачем про безумовну відповідальність користувача за неналежний переказ не впливає на загальне правило , яке залишається до певної міри несправедливими для обох сторін.
Ще один важливий нюанс — зміни до Положення №705 також доповнили визначенням терміну "негайно". Що це означає? Якк тільки користувач дізнався про неналежну операцію, він зобов'язаний повідомити банк протягом робочого дня.
Банк повинен заблокувати картку також протягом дня після отримання такого повідомлення від користувача. Відтак, не зовсім зрозуміло, хто відповідатиме за збитки, які можуть виникнути у період часу між повідомленням клієнта та блокуванням платіжного інструмента, за умови, що банк не заблокує картку негайно..
Існує імовірність, що банк навіть без відповідного застереження у договорі про безумовну відповідальність користувача за неналежний переказ покладе таку відповідальність на користувача на підставі вимог законодавства.
З огляду на те, що процесинг більшості безготівкових роздрібних платежів в Україні здійснюється міжнародним платіжними системами MasterCard та Visa, які були створені у США, можливо варто звернути увагу на врегулювання цього питання у цій країні.
У США покладення такої відповідальності регулюється залежно від того, яким видом платіжної картки ініційовано неналежний платіж. Зокрема, при вчиненні платежу дебітною платіжною картою застосовується комплекс з трьох правил.
Згідно з першим правилом підставою для покладення банком відповідальності на користувача є наявність у платіжної картки мінімальних засобів безпеки підтвердження операції. А саме:ПІН, фотографія користувача карти, його підпис тощо. За відсутності таких засобів законодавство забороняє банку покладати будь-яку відповідальність на користувача за неналежний платіж.
Подібне правило також встановлене у Директиві ЄС 2007/64 про платіжні послуги.
НБУ, до речі, зараз також розглядає можливість запровадження подібного правила до дистанційних платежів.
Таку пропозицію нещодавно на адресу НБУ направила міжбанківська асоціація ЕМА (Українська міжбанківська асоціація членів платіжних систем). Так, пропонується зобов'язати усіх емітентів та еквайрів сертифікувати використання технології 3D-Secure або іншої альтернативної.
Якщо банк не здійснює відповідну сертифікацію до 1 січня 2017 року, тоді користувачі його карток не несуть жодної відповідальності за неналежні дистанційні операції. Виняток з правил — збитки були спричинені діями чи бездіяльністю користувача.
Отже, перше правило: якщо банк забезпечив мінімальні засоби безпеки, на користувача покладається відповідальність за неналежний платіж на суму до 50 доларів у разі здійснення платежу до моменту повідомлення банку про втрату картки.
Користувач картки несе відповідальність незалежно від його дій чи бездіяльності. Навіть якщо він не знав про втрату картки.
У Директиві ЄС 2007/64 про платіжні послуги розмір такої відповідальності обмежено на рівні 150 євро. Якщо користувач діяв з умислом або недбалістю, тоді таке обмеження не застосовується.
Згідно з другим правилом, банк у США може покласти відповідальність на користувача у розмірі до 500 доларів за збитки, які виникли через два дні після того як користувач дізнався і не повідомив банк про втрату платіжної картки.
Цікаво, що у Директиві ЄС 2007/64 про платіжні послуги розмір відповідальності користувача у такому випадку не обмежується.
В деякій мірі через активне публічне обговорення свого часу у США цього питання правила міжнародних платіжних систем MasterCard та Visa було змінено. Відповідальність користувачів за неналежні операції було обмежено до 50 доларів США навіть у випадках, коли користувач вчасно не повідомляв банк про втрату платіжного інструмента та про неналежні операції, які могли бути ідентифіковані у виписці з карткового рахунка.
В цьому контексті варто згадати, що нещодавно у вітчизняній пресі з'явилося повідомлення про те, що міжнародна платіжна система Visa запроваджує в Україні своє правило "нульової відповідальності" для користувачів карт, які здійснюють дистанційні операції (card not present transactions).
Як було зазначено у листі ЕМА до НБУ, про який йдеться вище, ця звістка була також однією із причин запропонованих змін до Положення №705 щодо обмеження потенційної відповідальності користувача за неналежні он-лайн операції.
Цікаво, що наявність подібного правила у міжнародної платіжної системи MasterCard не призвело до ініціювання змін. Відтак, цікаво як буде реалізовано цей принцип на практиці.
Згідно з третім правилом банк у США може стягнути збитки з користувача, якщо користувач не повідомив банку про якусь неналежну операцію протягом 60-ти днів після отримання виписки з карткового рахунку: він нестиме відповідальність за усі наступні неналежні операції без обмежень, які б не відбулися, якщо б він вчасно повідомив про це емітента.
Як ми побачили з практики законодавства США та ЄС, правила щодо визначення відповідальності у випадку неналежних операцій, встановлені Постановою № 705, не в повній мірі відповідають такій практиці, оскільки як у США так і у ЄС розмір відповідальності користувача до моменту повідомлення про втрату платіжного інструмента обмежено на законодавчому рівні.
Крім того, часто правилами платіжних систем передбачено, що користувач не повинен нести ризик збитків.
При цьому принцип нульової відповідальності, прописаний у Постанові №705 лише стосовно операцій он-лайн, крім випадків навмисних дій чи бездіяльності користувача.
Відтак, у законодавства в цій сфері ще великий потенціал для вдосконалення.