Коментар до постанови ВС від 10.07.2019 р., справа №522/22780/15-ц
Фізособам, які користуються платіжними картками, добре відомі умови та правила надання банківських послуг. Вони зобов'язуються не повідомляти іншим особам:
- ПІН-код;
- постійний пароль;
- одноразові паролі;
- контрольну інформацію.
При цьому той, на кого емітовано картку, не має передавати її або її реквізити для здійснення операцій іншими особами, вживати необхідні заходи з метою запобігання втрати, пошкодження, крадіжки картки.
Тому що, якщо ці умови порушуються, то саме порушник, а не банк несе повну відповідальність за несанкціоноване отримання грошових коштів з карткового рахунку третіми особами.
Але навіть знаючи про ці правила, фізособи їх порушують і часто таке порушення не визнають. І справа доходить до суду.
Суди переважно стають на бік фізосіб, адже вважають, що лише наявність обставин, які безспірно доводять, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, говорить про наявність його вини. Тобто, якщо фізособа не говорить прямо, що передала картку та/або іншу інформацію, яка допомогла злодіям, довести її вину вкрай важко.
Розрахунки в інтернет-магазинах та збереження даних картки
Один з прикладів, коли користувач платіжної картки сам надає третім особам зайву інформацію - це купівля товарів/послуг в Інтернеті.
Доволі часто оплата на веб-сайтах відбувається з обов'язковим підтвердженням операції через смс-коди за номером телефону, закріпленим за платіжною карткою, або з використанням даних самої карти, у т.ч. CVV-коду.
Код CVV є тризначним цифровим кодом, який зазначається на зворотному боці картки.
При видачі платіжної картки банк завжди наголошує, що за будь-яких обставин не можна повідомляти CVV-код стороннім особам! Так само, як і ПІН-код цієї картки.
Але купувати на інтернет-сайтах так зручно, продавець цей код вимагає і навіть гарантує, що інформація ця потрібна лише разово, для проведення саме цієї операції з купівлі-продажу. Проте навіть якщо власники карток обережні та мають справу лише з тими інтернет-магазинами, які використовують технологію HTTPS для введення даних платника та оплати за допомогою даних платіжної картки, жоден з них не застрахований від шахрайських дій щодо них та їхніх карток (фейкові веб-сторінки, некоректна робота платіжної системи, інше).
А деякі інтернет-магазини, в яких власник картки хоча би один раз оплатив товар, запитують згоди відвідувача про збереження даних платіжної картки. Погоджуючись на це, власник картки має розуміти ризик використання комп’ютера (ноутбука, планшета чи мобільного телефону) із збереженими даними картки третіми особами (вдома, в офісі або злодіями, якщо вони цю оргтехніку вкрадуть).
Так сталось і у коментованій нами справі.
9 січня 2015 року з карткового рахунку фізособи через систему Visa Transer Portmone було несанкціоновано знято 9 600 грн. Однак на телефон власника картки надійшло смс-повідомлення про здійснення операцій з переказу коштів з платіжної картки на вказану суму. Дізнавшись про несанкціоновану операцію, фізособа одразу звернулася до банку зі заявою про блокування та видачу нової картки, а також подала заяву про незгоду з транзакцією і просила забезпечити повернення їй грошових коштів. Однак до теперішнього часу банком грошові кошти не повернуті та на рахунок власника картки не зараховані.
У цій справі суд першої інстанції та апеляційна інстанція стягнули кошти з банку, оскільки виходили з позиції, наведеної нами вище – банк не надав доказів на підтвердження вчинення фізособою будь-яких дій щодо списання грошових коштів з його банківського рахунку. А той факт, що лише власнику картки був відомий ПІН–код належної йому банківської платіжної карти, та непричетність установи банку до списання коштів з рахунку фізособи, судами не приймаються до уваги.
Але ВС вирішив інакше. Враховуючи, що операція з переказу коштів у сумі 9 600 грн була здійснена 9 січня 2015 року в мережі Інтернет з використання реквізитів платіжної картки, у тому числі CVV-коду, які відомі тільки власнику картки, банк не повинен нести відповідальність за дану операцію. А тому списані кошти власнику не повернули.
Як захистити свої права? Поради користувачам платіжних карт
Наведений вище висновок ВС цілком відповідає приписам ч. 9 розділу VI Положення №705. Користувач (власник платіжної картки – від авт.) не несе відповідальності за здійснення платіжних операцій, якщо електронний платіжний засіб було використано без фізичного пред'явлення користувачем та/або електронної ідентифікації самого електронного платіжного засобу і його користувача, крім випадків, якщо доведено, що дії чи бездіяльність користувача призвели до втрати, незаконного використання ПІН або іншої інформації, яка дає змогу ініціювати платіжні операції.
Тобто перш ніж покладати всю відповідальність на користувача платіжної картки, банк має довести такі дії або бездіяльність.
Крім того, особа, що має платіжну картку, має право вимагати від банку повернення коштів, якщо дотримувалась правил, встановлених емітентом платіжної картки, а саме:
- у разі здійснення помилкового або неналежного переказу власник картки повідомила банк у строк, передбачений у договорі або у Правилах користування платіжними картками банку. Увага! В окремих мобільних додатках банки повідомляють, що небажаний чи помилковий платіж можна скасувати протягом, скажімо, 10 секунд. Тому варто ознайомитись із запитаннями-відповідями, що містяться у такому додатку, або запитати окремо;
- здійснювала оплату лише на веб-сайтах з технологію HTTPS, та не давала згоди зберігати дані платіжної картки;
- не передавала свою картку третім особам для здійснення розрахунків та не повідомляла дані картки за допомогою смс, інших мобільних додатків, чатів тощо.
Банк зобов'язаний розглядати заяви (повідомлення) користувача, що стосуються використання електронного платіжного засобу або незавершеного переказу, ініційованого з його допомогою, надати користувачу можливість одержувати інформацію про хід розгляду заяви (повідомлення) і повідомляти в письмовій формі про результати розгляду заяви (повідомлення) у строк, установлений договором, але не більше строку, передбаченого Законом «Про звернення громадян» (ч. 10 розділу VI Положення №705). Ці строки становлять від 15 календарних днів до одного місяця, крім скасування, здійснення помилкового або неналежного платежу – як правило, це скорочені строки, які встановлюються у договорі або додатках до нього, мобільних додатках.
