logo Spaudos centras

Neautorizuoti mokėjimai ir finansinis sukčiavimas

Kada bankas privalo grąžinti pavogtas lėšas?

Kasdien vis daugiau bankų ir kitų mokėjimo paslaugų teikėjų klientų patenka į įgudusių finansinių sukčių pinkles: be klientų žinios nuo sąskaitų ir mokėjimo kortelių nurašomos lėšos, apgaulės būdu išviliojami prisijungimo duomenys, žmonės paskatinami paspausti apgaulingas nuorodas ar atsisiųsti kenksmingas programas.Dėl sparčios skaitmenizacijos finansinis sukčiavimas tampa vis dažnesne priežastimi, dėl kurios gyventojai ieško atsakymo, ar mokėjimo paslaugų teikėjas tokiu atveju yra atsakingas už neautorizuotas mokėjimo operacijas. 

Asmenys, patekę į sukčių pinkles, įprastai atskleidžia sukčiams mokėjimo paslaugų teikėjo suteiktus personalizuotus saugumo duomenis arba sukčiai įtikina asmenis autorizuoti mokėjimo operacijas (pavyzdžiui, sukuriamas puslapis, panašus į paslaugų teikėjo svetainę, ir klientas pats atlieka mokėjimą). Tokiais atvejais nukentėjusieji dažnai susiduria su ginčais su banku ar kitu mokėjimo paslaugų teikėju dėl to, kas turi padengti nuostolius. 

Toliau aptariama, kokiais atvejais tokios neautorizuotos mokėjimo operacijos turi būti laikomos banko ar kito mokėjimo paslaugų teikėjo atsakomybe ir kada klientas turi teisę reikalauti grąžinti prarastas lėšas.

Kada mokėjimo paslaugų teikėjui atsiranda pareiga atlyginti nuostolius?

Nuo sukčių nukentėjusių asmenų skundai ir Lietuvos banko praktika, nagrinėjant ginčus tarp mokėjimo paslaugų teikėjų ir jų klientų dėl nuo sąskaitų nurašytų lėšų, rodo, kad mokėjimo paslaugų teikėjai kartais atsisako grąžinti lėšas, jeigu pats asmuo atskleidė sukčiams personalizuotus saugumo duomenis arba dėl apgaulės autorizavo mokėjimo operaciją, kuria nuo sąskaitos buvo nurašytos lėšos ir pervestos sukčiams. 

Tačiau mokėjimo paslaugų teikėjams, kaip profesionaliems rinkos dalyviams, kurių teikiamos paslaugos yra susijusios su didesnėmis rizikomis, taikomi griežtesni atidumo ir rūpestingumo standartai. Todėl aplinkybė, kad iš asmens apgaulės būdu buvo išvilioti duomenys, reikalingi mokėjimo operacijai atlikti, ne visais atvejais reiškia, jog mokėjimo paslaugų teikėjas yra atleidžiamas nuo pareigos atlyginti klientui nuostolius, atsiradusius dėl neautorizuotų mokėjimo operacijų, atliktų be mokėtojo tikrosios valios. 

Mokėjimų įstatymo 29 straipsnio 1 dalyje nustatyta, kad mokėjimo operacija laikoma autorizuota tik tada, kai mokėtojas duoda sutikimą įvykdyti mokėjimo operaciją. Jeigu mokėtojo sutikimo įvykdyti mokėjimo operaciją nėra, laikoma, kad mokėjimo operacija yra neautorizuota. Mokėjimų įstatymo 39 straipsnio 1 dalyje nustatyta, kad mokėjimo paslaugų teikėjas mokėtojui turi grąžinti neautorizuotos mokėjimo operacijos sumą, išskyrus atvejus, kai mokėtojo mokėjimo paslaugų teikėjas turi pagrįstų priežasčių įtarti paties mokėtojo sukčiavimą ir apie šias priežastis raštu praneša priežiūros institucijai. 

Vien tai, kad mokėjimo operacija buvo atlikta panaudojant mokėjimo paslaugų teikėjo klientui suteiktus personalizuotus duomenis, nebūtinai reiškia, kad tokia mokėjimo operacija buvo teisėtai autorizuota ir kad mokėjimo paslaugų teikėjas yra atleidžiamas nuo pareigos atlyginti klientui patirtus nuostolius. 

Pavyzdžiui, kai personalizuotus saugumo duomenis ir (ar) mokėtojo sutikimą tretieji asmenys gauna apgaulės būdu (telefoninis sukčiavimas, suklastotos interneto banko nuorodos, netikros „Smart-ID“ ar „Mobile ID“ užklausos ir pan.), akivaizdu, kad tokios operacijos inicijavimas ir patvirtinimas neatitinka mokėtojo tikrosios valios, nors formaliai (pagal išorinius požymius) ir sutampa su mokėtojo ir mokėjimo paslaugų teikėjo sutarta sutikimo davimo forma ir tvarka. Kita vertus, mokėjimo operacija, atlikta nesant mokėtojo valios ir jam net nežinant apie tokios mokėjimo operacijos inicijavimo aplinkybes, net jeigu mokėjimo operacijai atlikti ir buvo panaudoti personalizuoti saugumo duomenys, turėtų būti laikytina neautorizuota. 

Lietuvos Aukščiausiasis Teismas yra konstatavęs, kad įstatyme nustatyta tokia mokėtojo paslaugų teikėjo atsakomybės už neautorizuotą mokėjimą sistema, pagal kurią mokėtojas turi teisę į neautorizuotos operacijos sumos sugrąžinimą, o mokėtojo paslaugų teikėjas turi pareigą ją sugrąžinti, išskyrus atvejus, jei nustatoma, kad: 

  1. Mokėtojas veikia nesąžiningai;

  2. Mokėtojas tyčia ar dėl didelio neatsargumo pažeidžia vieną ar kelias Mokėjimų įstatymo 34 straipsnyje nustatytas mokėtojo pareigas, susijusias su mokėjimo priemonėmis ir personalizuotais saugumo duomenimis.

Nurodyta mokėtojo paslaugų teikėjo atsakomybės už neautorizuotą mokėjimą sistema reiškia griežtąją mokėtojo paslaugų teikėjo atsakomybę už atliktas neautorizuotas mokėjimo operacijas, t. y. atsakomybę be kaltės. Svarbu pažymėti, kad mokėtojui neigiant autorizavus įvykdytą mokėjimo operaciją, pareiga įrodyti mokėtojo sukčiavimą arba didelį neatsargumą tenka mokėjimo paslaugų teikėjui, todėl šis negali perkelti šios naštos savo klientui ir reikalauti iš jo įrodyti, kad jis tokios mokėjimo operacijos neautorizavo. Tai ypač aktualu tiems, kurie po finansinio sukčiavimo kreipiasi į banką ir siekia susigrąžinti prarastas lėšas. 

Kada mokėjimo paslaugų teikėjas gali būti atleistas nuo atsakomybės?

Mokėtojo paslaugų teikėjo atsakomybė be kaltės neeliminuoja paties mokėtojo pareigos elgtis rūpestingai ir atsakingai. Todėl tuo atveju, jei mokėtojas elgiasi nesąžiningai arba tyčia ar dėl didelio neatsargumo pažeidžia įstatyme jam nustatytas pareigas, paslaugų teikėjas yra atleidžiamas nuo atsakomybės. 

Pažymėtina, kad ne bet kokių mokėtojo pareigų nevykdymas yra pagrindas atleisti paslaugų teikėją nuo atsakomybės, o būtent Mokėjimų įstatymo 34 straipsnyje nustatytų mokėtojo pareigų, kurios susijusios su mokėjimo priemonėmis ir personalizuotais saugumo duomenimis. Be to, paprastas mokėtojo neatsargumas nėra laikomas mokėtojo paslaugų teikėjo atleidimo nuo atsakomybės sąlyga – vien tas faktas, kad nukentėjusysis patikėjo sukčiumi, savaime dar nereiškia didelio neatsargumo. 

Mokėjimų įstatymo 34 straipsnis nustato mokėtojui, kuriam išduota mokėjimo priemonė, pareigą naudotis šia mokėjimo priemone pagal jos išdavimą ir naudojimą reglamentuojančias sąlygas, o sužinojus apie jos praradimą, vagystę arba neteisėtą pasisavinimą ar neautorizuotą jos naudojimą – nedelsiant apie tai pranešti mokėjimo paslaugų teikėjui arba jo nurodytam subjektui. Taip pat, gavus mokėjimo priemonę, mokėtojas turi imtis veiksmų, kad būtų apsaugoti personalizuoti saugumo duomenys (PIN kodai, prisijungimo slaptažodžiai, „Smart-ID“ ir „Mobile ID“ kodai ir kt.). 

Lietuvos Aukščiausiasis Teismas yra išaiškinęs, kad didelis neatsargumas pasireiškia neprotingu arba išskirtiniu rūpestingumo nebuvimu, kai asmuo nėra tiek rūpestingas, kiek akivaizdžiai būtina esamomis aplinkybėmis. Didelis mokėtojo neatsargumas gali būti konstatuojamas tik tuomet, jei mokėtojas elgėsi labai nerūpestingai. Kad mokėtojas elgėsi labai nerūpestingai, turi įrodyti mokėjimo paslaugų teikėjas, pateikdamas konkrečius tokį elgesį pagrindžiančius įrodymus. Ši įrodinėjimo našta negali būti perkelta mokėtojui. 

Mokėtojo neatsargumo laipsnio vertinimas susijęs su individualių, specifinių aplinkybių konkrečiu atveju visumos vertinimu. Todėl vien tai, kad asmuo, pakliuvęs į sukčių pinkles, atskleidė personalizuotus saugumo duomenis, savaime neleidžia teigti, jog mokėtojas elgėsi labai nerūpestingai ir dėl to mokėjimo paslaugų teikėjas yra atleidžiamas nuo atsakomybės. Taigi išvada dėl mokėtojo paprasto ar didelio neatsargumo, kaip vertinamojo pobūdžio aplinkybė, negali būti daroma izoliuotai, neįvertinus viso neautorizuotos mokėjimo operacijos įvykdymo ir su ja susijusių aplinkybių konteksto. 

Siekiant įvertinti galimą mokėjimo paslaugų vartotojo aplaidumą ar didelį aplaidumą, mokėjimo paslaugų teikėjas turėtų atsižvelgti į visas aplinkybes. Tačiau nors aplaidumas reiškia, kad pažeidžiamas įsipareigojimas elgtis rūpestingai, didelis aplaidumas turėtų reikšti daugiau nei vien aplaidumą ir apimti labai nerūpestingą elgesį, pavyzdžiui, mokėjimo operacijos autorizavimui naudojamų saugumo požymių laikymą prie mokėjimo priemonės atviru ir trečiosioms šalims lengvai atskleidžiamu formatu ir pan. 

Banko ir kitų mokėjimo paslaugų teikėjų atsakomybė už veiksmingą operacijų rizikos stebėseną

Net ir tuo atveju, kai mokėtojas elgėsi labai aplaidžiai, pavyzdžiui, sukčiams perdavė mokėjimo kortelę ir mokėjimo kortelės PIN kodą, suvedė „Smart-ID“ programėlės PIN1 ir PIN2 kodus, kuriais patvirtino mokėjimo operaciją ir pan., tai neatleidžia mokėjimo paslaugų teikėjo nuo pareigos įgyvendinti saugumo priemones, kurios padėtų sumažinti sukčiavimo riziką ir užkirsti kelią neįprastoms, galimai sukčiavimo būdu inicijuotoms operacijoms. 

Komisijos deleguotojo reglamento (ES) 2018/389 preambulėje nurodoma, kad autentiškumo patvirtinimo procedūra turėtų apimti operacijų stebėjimo mechanizmus, kuriais būtų galima nustatyti mėginimus pasinaudoti mokėjimo paslaugų vartotojo personalizuotais saugumo požymiais, kurie buvo prarasti, pavogti arba neteisėtai pasisavinti, ir užtikrinti, kad mokėjimo paslaugų vartotojas, įprastu būdu nurodęs personalizuotus saugumo požymius, būtų teisėtas vartotojas ir kaip toks išreikštų savo sutikimą pervesti lėšas ir gauti informaciją apie jo sąskaitą. 

Pagal reglamento nuostatas mokėjimo paslaugų teikėjai privalo turėti operacijų stebėsenos mechanizmus, kurie leistų aptikti neautorizuotas ir nesąžiningas mokėjimo operacijas, remiantis vartotojui būdingų elgsenos ir saugumo elementų analize. Šiuose mechanizmuose bent jau turi būti vertinami tokie rizikos veiksniai kaip pavogti ar pažeisti autentifikavimo duomenys, operacijos suma, žinomi sukčiavimo atvejai, kenkėjiškų programų požymiai bei neįprastas paslaugų teikėjo suteiktų priemonių naudojimas. 

Lietuvos bankas taip pat yra parengęs Sukčiavimo prevencijos gaires, kuriomis siekiama paskatinti finansų rinkos dalyvius gerinti finansinio sukčiavimo rizikos valdymą. Viena esminių šiose gairėse nurodytų priemonių – efektyvi operacijų rizikos stebėsena, diegiant tinkamas technologines ir organizacines priemones, kad būtų didinamas sukčiavimo prevencijos efektyvumas ir mažinama tiek banko, tiek kliento nuostolių rizika. 

Atsižvelgiant į reglamento nuostatas bei Lietuvos banko gairėse pateikiamas rekomendacijas dėl operacijų rizikos stebėsenos, veiksminga operacijų rizikos stebėsena turėtų būti grindžiama kliento elgesio netipiškumo stebėjimu, t. y. nukrypimais nuo įprastų kliento finansinių įpročių, veiklos modelio ir operacijų pobūdžio. Pavyzdžiui, turėtų būti vertinama:

  • konkretus kliento tipas ir jo įprasti mokėjimo įpročiai,
  • veiksmai iki operacijos inicijavimo,
  • klientui istoriškai būdingas elgesys, palyginti su dabartiniu,
  • staigus elgesio pasikeitimas per trumpą laikotarpį,
  • atliekamų veiksmų seka, jų kiekis, intensyvumas,
  • operacijų laikas bei suderinamumas su iki tol mokėtojo atliktais veiksmais ir pan. 

Taigi tais atvejais, kai panaudojant mokėtojui suteiktus personalizuotus duomenis atliekamos mokėjimo operacijos nėra pavienės, yra netipiškos klientui (pavyzdžiui, mokėjimo operacijos atliekamos mokėtojui netipiniu paros metu, netipinėmis ar neįprastai didelėmis sumomis ir pan.), mokėjimo paslaugų teikėjas turėtų į tai atsižvelgti, vertindamas vėlesnių mokėjimo operacijų neįprastumą, ir imtis aktyvių veiksmų, kad įsitikintų, jog pats klientas siekia atlikti mokėjimo sąskaitoje vykdomas operacijas (pavyzdžiui, susisiekti su klientu papildomam patvirtinimui). 

Nustačius, kad mokėjimo paslaugų teikėjo operacijų rizikos stebėsenos priemonės nebuvo veiksmingos ir kad nebuvo laiku identifikuotos bei užkardytos akivaizdžios sukčiavimo rizikos, tai galėtų būti pagrindas proporcingai mažinti mokėtojo atsakomybę už nuostolius, patirtus dėl neautorizuotų mokėjimo operacijų, ir reikalauti dalies atlyginimo iš mokėjimo paslaugų teikėjo. 

Tadas Kuzminskas, [email protected], advokatų profesinė bendrija „Leagus“

Pranešimą paskelbė: Jolita Urbienė, Advokatų profesinė bendrija "Leagus"
„BNS Spaudos centre“ skelbiami įvairių organizacijų pranešimai žiniasklaidai. Už pranešimų turinį atsako juos paskelbę asmenys bei jų atstovaujamos organizacijos.
2026-07-08 09:08
Teisėsauga, teisėtvarka Verslas, ekonomika, finansai
Kontaktinis asmuo
Tadas Kuzminskas
Partneris, advokatas
Advokatų profesinė bendrija "Leagus"
+370 659 48 656
[email protected]
logo
Prisegti failai