U ovom osvrtu govorimo o financijskim online prijevarama, kako ih prepoznati te koja prava imaju potrošači u slučaju neautoriziranih platnih transakcija kao posljedica prijevara.
U posljednje vrijeme svjedočimo značajnom porastu prijevara do kojih dolazi zlouporabom financijskih podataka građana, ali i pravnih osoba prilikom korištenja platnih usluga. Cilj takvih prijevara je izvršavanje neovlaštenih tj. neautoriziranih transakcija putem kartica, internetskog i mobilnog plaćanja sa svrhom otuđenja novčanih sredstava korisnika platnih usluga.
Potrošači još uvijek nisu dovoljno upućeni u rizike koje sa sobom nose razvoj tehnologije i novi načini plaćanja
Hrvatska narodna banka (HNB) te Hrvatska agencija za nadzor financijskih usluga (HANFA), kao nadležni regulatori financijskog tržišta, mediji te sami pružatelji platnih usluga (banke) ulažu značajne napore kako bi upozorili javnost na moguće prijevare te ih educirali o načinu na koji se odvijaju financijske transakcije. No, unatoč tome, još uvijek je prisutna visoka razina neupućenosti potrošača i ostalih korisnika platnih usluga glede rizika koje sa sobom nose razvoj tehnologije i novi načini plaćanja, osobito kada se plaćanje odvija online odnosno digitalnim putem.
Stoga ćemo u ovom članku nastojati ukazati na najčešće vrste financijskih online prijevara te objasniti koja prava potrošači, ali i ostali korisnici platnih usluga, imaju na temelju važećeg Zakona o platnom prometu (ZPP) u slučaju neautoriziranih platnih transakcija koje su posljedice takvih prijevara.
FINANCIJSKE ONLINE PRIJEVARE
Ministarstvo unutarnjih poslova (MUP) te Hrvatska udruga banaka (HUB) prepoznali su i na svojim internetskim stranicama objavili najčešće financijske online prijevare.
Jedna od njih je tzv. CEO ili direktorska prijevara koja se događa kada je zaposlenik koji je ovlašten za provođenje plaćanja naveden od strane prevaranata da plati lažni račun ili provede neovlašteni prijenos sredstava s računa tvrtke na račun koji kontrolira prevarant.
Tu je zatim prijevara s računima gdje se varalice pretvaraju da su vaši klijenti ili dobavljači te vas uvjere da je potrebno promijeniti bankovne podatke za buduća plaćanja tako da novi bankovni račun primatelja na koji ćete uplatiti novčana sredstva vaše tvrtke kontrolira prevarant.
Sljedeća vrsta prijevara su krađe identiteta koje se mogu odvijati na više različitih načina pri čemu razlikujemo krađe identiteta pozivom (tzv. vishing, od riječi voice i phishing), mrežne krađe identiteta (tzv. phishing) te krađe identiteta putem SMS poruka (tzv. smishing, od riječi SMS i phishing).
Platitelj će odgovarati za neautorizirane platne transakcije ako su one posljedica izgubljenog ili ukradenog platnog instrumenta
Kod vishing prijevara prevaranti vas zovu telefonom te se predstavljaju kao zaposlenici banke ili druge poznate organizacije te vas pokušavaju navesti da otkrijete svoje osobne, financijske ili sigurnosne podatke ili da uplatite novčana sredstva s vašeg računa na neki nepoznati račun. Primjerice, prevaranti obećavaju povrat novca (npr. od telekoma, porezne uprave) i u tu svrhu traže da vašu debitnu karticu umetnete u token i date im kod kako bi izvršili neovlaštene transakcije na teret vašeg bankovnog računa.
Phishing dolazi od izraza “pecanje podataka” a odvija se tako da vam prevaranti šalju lažne poruke e-pošte kojima vas pokušavaju navesti na dijeljenje vaših osobnih podataka kao što su korisničko ime, lozinka ili podaci s kreditnih kartica. Lažne poruke e-pošte mogu izgledati identično porukama koje banke, društvene mreže ili internet trgovci inače šalju svojim klijentima a prevaranti u njima traže da preuzmete priloženi dokument ili kliknete na poveznicu koja vodi na krivotvorenu mrežnu stranicu u okviru koje vas navode na dijeljenje vaših osobnih i financijskih podataka.
Jedan oblik phishinga je i slanje e-poruka koje sadrže linkove putem kojih vas prevaranti navode da posjetite web stranice na kojima ćete preuzeti štetne ili maliciozne programe (tzv. malware) uz čiju pomoć također mogu doći do vašeg novca.
O smishingu se radi kada prevaranti pokušavaju doći do vaših osobnih podataka putem SMS-a u kojem obično traže da kliknete na poveznicu ili nazovete telefonski broj kako biste “potvrdili”, “ažurirali” ili “ponovno aktivirali” svoj račun. Takva poveznica u pravilu vodi do lažne web stranice a telefonski broj do prevaranta koji se pretvara da je neka tvrtka ili financijska institucija.
Tu su i prijevare u online kupovini u okviru kojih vam varalice nude izrazito povoljne ponude za online kupovinu ili vas uvjeravaju da ste osvojili neku nagradu. U ovu vrstu prijevara spadaju i prijevare do kojih dolazi kada se vi nalazite u ulozi prodavatelja, primjerice kada prodajete nešto putem internetskog oglasnika. U tom slučaju prijevara se u pravilu odvija na način da ubrzo nakon što ste oglasili svoj proizvod dobivate poruku na mobitel od navodnog kupca (putem SMS-a, Vibera ili WhatsAppa) s linkom ili QR kodom za unos podataka o vašoj kartici uz obrazloženje da je to potrebno radi provođenja plaćanja i dostave oglašenog proizvoda. Link ili QR kod u pravilu vode na phishing stranice za unos vaših osobnih i financijskih podataka (npr. lažne stranice Hrvatske pošte, DPD-a, GLS-a i drugih dostavnih službi). Za uspješnu prodaju i uplatu na vaš račun potreban je samo IBAN odnosno broj računa te vaše ime i prezime, a nikako podaci o vašoj kartici.
Jedna od novijih financijskih online prijevara je ona kod koje prevaranti od osoba koje su već prevarene pokušavaju izvući financijsku korist nudeći im pomoć u vezi s povratom ukradenog novca. Primjerice, prevaranti se na društvenoj mreži predstavljaju kao odvjetnički ured specijaliziran za vraćanje ukradenih sredstava klijentima koji su pretrpjeli online prijevaru. Ova prijevara spada u vrstu phishinga, a cilj joj je prikupljanje podataka kako bi vas prevaranti mogli kontaktirati i uvjeriti vas da ćete dobiti povrat ukradenog novca u zamjenu za proviziju ili zatražiti da im uplatite novac za njihove usluge.
NEAUTORIZIRANE TRANSAKCIJE
Platna transakcija smatra se autoriziranom ako je platitelj dao suglasnost za izvršenje platne transakcije (npr. davanje naloga za plaćanje u poslovnici banke, plaćanje karticom u trgovini ili na internetu, plaćanje internet ili mobilnim bankarstvom). Drugi način davanja suglasnosti je kada platitelj daje suglasnost za izvršenje niza platnih transakcija, pri čemu može biti riječ o ugovaranju trajnog naloga ili izravnog terećenja. Osnovna razlika između njih je da se trajni nalog koristi za podmirenje obveza čiji je iznos unaprijed poznat (npr. iznos rate kredita), dok se izravno terećenje koristi za podmirenje obveza čiji se iznos ne može unaprijed predvidjeti (npr. računi za struju, plin, vodu itd.). Važan preduvjet za davanje valjane suglasnosti je prethodna autentifikacija platitelja s ciljem provjere identiteta platitelja ili valjanosti samog platnog instrumenta (npr. kartice). Kada pristupate svojem internet bankarstvu ili plaćate karticom na POS uređaju ili na internetu, banka je dužna primijeniti pouzdanu autentifikaciju. Ova vrsta autentifikacije je snažnija tj. zahtijeva veći stupanj provjere od tzv. “obične” autentifikacije a cilj joj je povećati sigurnost elektroničkih plaćanja tj. plaćanja koja se odvijaju na daljinu. U tu svrhu, banka prilikom takvih plaćanja mora identificirati platitelja na temelju dva ili više elemenata koji pripadaju u kategoriju znanja (nešto što samo platitelj zna, npr. lozinka ili PIN), posjedovanja (nešto što samo platitelj posjeduje, npr. mobilni telefon, čitač kartice ili drugi uređaj koji generira jednokratnu lozinku) i svojstvenosti (nešto što platitelj jest, npr. otisak prsta), pri čemu najmanje dva od navedenih elemenata moraju pripadati različitoj kategoriji.
Dakle, ako suglasnost za izvršenje platne transakcije nije dana ili nije dana na način kako je to propisano zakonom i ugovorom između platitelja i banke platna transakcija nije autorizirana.
KOJA PRAVA IMAJU POTROŠAČI?
U slučaju neautorizirane platne transakcije, banka mora vratiti platitelju iznos neautorizirane platne transakcije, i to odmah, a najkasnije do kraja prvoga radnog dana nakon saznanja za neautoriziranu platnu transakciju. Banka nije dužna tako postupiti ako opravdano sumnja u prijevaru i ako je o tome obavijestila HNB u pisanom obliku. Platitelj mora obavijestiti banku o neautoriziranoj platnoj transakciji odmah čim sazna za istu, a najkasnije u roku 13 mjeseci od dana terećenja, u protivnom gubi pravo na povrat. Banka i korisnik platnih usluga koji nije potrošač mogu ugovoriti drukčije (u pravilu kraće) rokove od onih propisanih zakonom. Platitelj, osim prava na povrat neautorizirane platne transakcije ima pravo i na zateznu kamatu i na razliku do pune naknade štete prema općim pravilima o odgovornosti za štetu.
Teret dokaza o autentifikaciji i izvršenju platnih transakcija je na banci. Naime, ako platitelj tvrdi da nije autorizirao platnu transakciju, njegova banka dužna je dokazati da je platna transakcija bila autentificirana, pravilno evidentirana i proknjižena te da na njezino izvršenje nije utjecao tehnički kvar. Također, ako banka sumnja da je platitelj postupao prijevarno ili da namjerno ili zbog krajnje nepažnje nije ispunio jednu ili više svojih obveza (primjerice: nije koristio karticu u skladu s ugovorom, nije na vrijeme obavijestio banku o gubitku kartice, nije čuvao PIN i dr.), banka je dužna dokazati prijevarno postupanje odnosno namjeru ili krajnju nepažnju platitelja. Banka i korisnik platnih usluga koji nije potrošač mogu teret dokaza ugovoriti drugačije.
Prava koja potrošači imaju u slučaju neautoriziranih transakcija trebaju biti ujednačena na području cijele Europske unije
Iznimno, platitelj će ipak odgovarati za neautorizirane platne transakcije ako su one posljedica izgubljenog ili ukradenog platnog instrumenta (npr. ukradene kartice ili mobitela) ili druge zlouporabe, ali ukupno najviše do 50,00 eura. Ako nije riječ o potrošaču, iznos ograničenja odgovornosti može se ugovoriti i drukčije. Međutim, platitelj neće odgovarati čak ni do 50,00 eura ako gubitak, krađu ili zloporabu platnog instrumenta nije mogao otkriti prije izvršenja neautorizirane platne transakcije ili ako su neautorizirane platne transakcije posljedica radnje ili propusta osoba za koje odgovara banka (npr. zaposlenik banke otuđi novčana sredstva s računa platitelja). Također, platitelj neće odgovarati niti ako banka nije omogućila da platitelj može u svako doba prijaviti gubitak, krađu ili zlouporabu platnog instrumenta (npr. 0-24 h dostupnu telefonsku liniju). Platitelj neće odgovarati niti u slučaju ako pri izvršenju transakcije nije zahtijevana pouzdana autentifikacija.
Međutim, platitelj će ipak u cijelosti odgovarati za izvršene neautorizirane transakcije ako je do njih došlo njegovom prijevarom ili ako namjerno ili zbog krajnje nepažnje nije ispunio neku od obveza vezanu uz platni instrument (npr. koristio je karticu protivno ugovoru, nije odmah obavijestio banku o gubitku, krađi ili zlouporabi kartice, držao je PIN uz karticu). Platitelj ne odgovara za iznos neautoriziranih platnih transakcija izvršenih nakon što je obavijestio banku o gubitku, krađi odnosno zloporabi, osim ako je postupao s namjerom prijevare.
PRAVA POTROŠAČA NA RAZINI EU
Odredbe ZPP-a koje reguliraju prava potrošača u slučaju neautoriziranih transakcija posljedica su implementacije Direktive 2015/2366 o platnim uslugama na unutarnjem tržištu, koja je u naše zakonodavstvo prenesena upravo kroz ZPP. Cilj ove Direktive je uspostava jedinstvenog unutarnjeg tržišta platnih usluga koje će omogućiti sigurno elektroničko plaćanje koje je od ključne važnosti za razvoj gospodarstva EU-a. Stoga bi i prava koja potrošači imaju u slučaju neautoriziranih transakcija trebala biti ujednačena na području cijele Europske unije.
