11 lipca 2024 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał istotny wyrok w sprawie C-409/22 Eurobank Bulgaria. Orzeczenie to dostarcza kilku ważnych wskazówek interpretacyjnych, dotyczących pojęcia instrumentu płatniczego oraz zasad odpowiedzialności za nieautoryzowane transakcje płatnicze, określonych w przepisach dyrektywy PSD21.
Spór pomiędzy obywatelem włoskim a bułgarskim bankiem – tło sprawy
Sprawa dotyczyła sporu między obywatelem włoskim (UA) a bułgarskim bankiem "Eurobank Bulgaria" AD (dalej „Bank”). UA twierdził, że z jego rachunku bankowego dokonano nieautoryzowanych transakcji na łączną kwotę 982 000 EUR. Transakcje te zostały przeprowadzone przez osobę trzecią (MK) na podstawie odpisu pełnomocnictwa, zawierającego ważną klauzulę apostille2 Pełnomocnictwo okazało się później sfałszowane, co potwierdził włoski notariusz, którego dane były zamieszczone w treści przedłożonego pełnomocnictwa. UA zażądał zwrotu kwoty nieautoryzowanych transakcji przez Bank wskazując, że Bank wykazał się rażącym niedbalstwem, umożliwiając osobie nieuprawnionej dysponowanie środkami zgromadzonymi na jego rachunku bankowym. Bank twierdził, że dochował wymogów formalnych związanych z weryfikacją dokumentu pełnomocnictwa wskazując, że klauzula apostille została wydana przez uprawniony organ.
Kluczowe pytania prejudycjalne do TSUE
W powyższym stanie faktycznym sąd bułgarski sformułował trzy pytania prejudycjalne do TSUE. Pytania dotyczyły interpretacji przepisów dyrektywy PSD13. Przepisy te nie uległy znaczącym zmianom w Dyrektywie PSD2, w związku z czym wnioski wynikające wykładni TSUE mogą mieć odpowiednie zastosowanie również do obecnie obowiązującej dyrektywy PSD2 i przepisów ją implementujących (w Polsce w ramach Ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych4. Istota pytań prejudycjalnych sprowadza się do następujących kwestii:
Pełnomocnictwo jako element instrumentu płatniczego
TSUE stwierdził, że samo pełnomocnictwo do dysponowania rachunkiem bankowym nie stanowi „instrumentu płatniczego” w rozumieniu art. 4 pkt 23 dyrektywy PSD1. Trybunał stwierdził jednocześnie, że jeśli warunki umowy o prowadzenie rachunku płatniczego przewidują możliwość dysponowania rachunkiem za pośrednictwem pełnomocnika, to pełnomocnictwo wydane przez posiadacza rachunku, w połączeniu ze zleceniem płatniczym wydanym przez pełnomocnika, może stanowić element zbioru procedur uzgodnionych między dostawcą usług płatniczych, a użytkownikiem w celu zainicjowania zlecenia płatniczego w rozumieniu tego przepisu (taki zbiór procedur stanowi „instrument płatniczy” w rozumieniu art. 4 pkt 23 dyrektywy PSD1).
TSUE podkreślił jednocześnie, że uwzględnienie w ramach zbioru procedur, stanowiących instrument płatniczy, możliwości składania zleceń płatniczych za pośrednictwem pełnomocnika nie może zmniejszyć wysokiego poziomu kontroli autoryzacji transakcji płatniczych, który spoczywa na dostawcy usług płatniczych. W ramach tej kontroli dostawca usług płatniczych (tutaj Bank) powinien zweryfikować wartość dowodową pełnomocnictwa oraz tożsamość osoby, która przedstawia się jako pełnomocnik w celu zainicjowania transakcji płatniczej.
Formalna zgodność pełnomocnictwa a wykazanie autoryzacji transakcji płatniczej
Mając na uwadze art. 54 ust. 1 i 2 dyrektywy PSD1 (obecnie art. 64 ust. 1 i 2 dyrektywy PSD2), transakcję płatniczą należy uznać za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie w sposób uzgodniony między płatnikiem a jego dostawcą usług płatniczych. Art. 59 dyrektywy PSD1 (obecnie art. 72 dyrektywy PSD2) określa zasady rozkładu ciężaru dowodu, w przypadku, gdy użytkownik zaprzecza, że autoryzował transakcję płatniczą. Zgodnie z tymi zasadami, to na dostawcy usług płatniczych spoczywa ciężar wykazania, że transakcja była autoryzowana (w angielskiej wersji językowej dyrektywy PSD1 „uwierzytelniona”, z ang. authenticated), dokładnie zapisana i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez danego dostawcę usług płatniczych.
Na podstawie analizy ww. przepisów TSUE zauważa, że celem prawodawcy unijnego nie było ograniczenie obowiązku weryfikacji przez dostawcę usług płatniczych autoryzacji transakcji płatniczej jedynie do badania formalnej prawidłowości czynności prawnych dokonanych przez płatnika w celu udzielenia zgody na jej wykonanie. Co za tym idzie, dostawca tych usług nie może skutecznie powoływać się na okoliczność, że rozpatrywane transakcje płatnicze zostały zainicjowane przez pełnomocnika posiadającego pełnomocnictwo opatrzone apostille przez właściwy organ obcego państwa, aby zmniejszyć spoczywający na nim ciężar dowodu, że transakcja płatnicza była autoryzowana. W okolicznościach badanej sprawy TSUE zwrócił również uwagę, że Bank wykonał kwestionowane transakcje płatnicze na podstawie dokumentu, który stanowił jedynie kopię pełnomocnictwa i nie zawierał podpisu mocodawcy.
Podsumowując, TSUE stwierdził, że okoliczność, że pełnomocnictwo wydaje się prawidłowe z formalnego punktu widzenia, nie wystarczy, aby uznać, że dana transakcja płatnicza była autoryzowana. Dostawca usług płatniczych jest zobowiązany wykazać, że użytkownik należycie wyraził zgodę na wykonanie transakcji, zgodnie z procedurą korzystania z pełnomocników, uzgodnioną między użytkownikiem a dostawcą usług płatniczych.
Znaczenie wyroku TSUE dla wykładni przepisów Ustawy o usługach płatniczych
Na gruncie przepisów Ustawy o usługach płatniczych, w doktrynie silnie reprezentowany jest pogląd, zgodnie z którym przepis z art. 45 ust. 1 UUP nieprawidłowo implementuje art. 72 ust. 1 dyrektywy PSD2 (odpowiadający art. 59 ust. 1 dyrektywy PSD1), w zakresie w jakim nakłada na dostawcę obowiązek udowodnienia, że dana transakcja została autoryzowana, podczas gdy obowiązek ten powinien polegać na obowiązku udowodnienia uwierzytelnienia transakcji5. Zgodnie z tym poglądem wykazanie przez dostawcę uwierzytelnienia (np. poprzez wykazanie, że zlecenie zostało potwierdzone użyciem właściwego hasła i narzędzia identyfikacji biometrycznej) oraz prawidłowej realizacji transakcji od strony technicznej, przenosi ciężar dowodu, że transakcja nie została autoryzowana, na użytkownika.
Z kolei w orzecznictwie oraz stanowiskach Prezesa Urzędu Ochrony Konkurencji i Konsumentów dominuje pogląd, zgodnie z którym dostawca usług płatniczych powinien nie tylko wykazać uwierzytelnienie, ale również autoryzację transakcji. Omawiany wyrok TSUE wydaje się wspierać ten drugi, korzystny dla użytkowników usług płatniczych, pogląd (por. np. pkt 63 lub 77 wyroku TSUE). Wniosek ten nie jest przy tym jednoznaczny biorąc pod uwagę brak konsekwencji w używaniu pojęć „uwierzytelnienie” i „autoryzacja” w poszczególnych wersjach językowych omawianego wyroku. Dodatkowo należy wziąć pod uwagę specyfikę sprawy rozpatrywanej przez TSUE, która nie dotyczyła transakcji płatniczych inicjowanych w sposób zdalny (np. z wykorzystaniem serwisu bankowości elektronicznej lub aplikacji mobilnej).
Podsumowanie
Omawiany wyrok TSUE wydaje się wzmacniać pozycję konsumentów w ewentualnych sporach z dostawcami usług płatniczych, dotyczących nieautoryzowanych transakcji płatniczych. Trybunał wskazał, że pełnomocnictwo do rachunku płatniczego wraz ze zleceniem płatniczym może stanowić element instrumentu płatniczego, rozumianego jako zbiór procedur ustanowionych między dostawcą usług płatniczych a użytkownikiem, służących do inicjowania zlecenia płatniczego. Jednocześnie TSUE wskazał, że sama formalna prawidłowość pełnomocnictwa nie wystarczy do uznania transakcji za autoryzowaną przez użytkownika. Dostawca usług płatniczych powinien ponadto wykazać, że zgoda na wykonanie transakcji za pośrednictwem pełnomocnika została udzielona zgodnie z procedurami uzgodnionymi z użytkownikiem usług płatniczych. W świetle omawianego wyroku, dostawcy usług płatniczych powinni dokonać przeglądu zasad weryfikacji pełnomocnictw do dysponowania rachunkiem, w celu określenia czy odpowiadają one wymogom, które z niego wynikają.
1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.Urz.UE.L 2015 Nr 337, poz. 35; dalej jako „PSD2”).
2 Klauzula apostille to poświadczenie dokumentu sporządzonego w jednym kraju, które umożliwia legalne użycie go w innym kraju, nadawana przez państwa będące stroną Konwencji haskiej z 5.10.1961 r. (Dz. U. z 2005 r. Nr 112, poz. 938).
3 Dyrektywa 2007/64/WE Parlamentu Europejskiego i Rady z dnia 13 listopada 2007 r. w sprawie usług płatniczych w ramach rynku wewnętrznego zmieniająca dyrektywy 97/7/WE, 2002/65/WE, 2005/60/WE i 2006/48/WE i uchylająca dyrektywę 97/5/WE (Dz.Urz.UE.L 2007 Nr 319, poz. 1; dalej jako „PSD1”).
4 Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. 2011 Nr 199, poz. 1175 z późn. zm.; dalej jako „UUP”).
5 Zgodnie z art. 2 pkt 33b UUP, uwierzytelnianie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających.