Nieautoryzowane transakcje i trzykrotna odmowa zwrotu mimo braku SCA
Mam kartę debetową z aktywnym 3D Secure. Ktoś wykonał na niej serię nieautoryzowanych transakcji u sprzedawcy bukmacherskiego, choć nigdy nie miałem tam konta, nie podawałem danych karty i nie autoryzowałem nic w aplikacji. Karta była cały czas u mnie.
Reklamację złożyłem niezwłocznie po wykryciu. Bank trzykrotnie odmówił zwrotu, twierdząc, że podanie numeru karty, daty ważności i CVV2 to "autoryzacja". To stoi w sprzeczności z wymogiem silnego uwierzytelnienia (SCA) z PSD2 - dane z jednej karty to jeden czynnik, a nie dwa niezależne.
Na wniosek RODO bank przekazał logi, które same obalają jego tezę: sporna tokenizacja nie była poprzedzona logowaniem, nie pochodziła z mojego urządzenia i nie miała żadnego śladu autoryzacji. Moja wcześniejsza, prawidłowa tokenizacja w tych samych logach wygląda zupełnie inaczej - pełny proces SCA. Bank odmówił też udostępnienia IP i identyfikatora urządzenia, zasłaniając się "bezpieczeństwem systemów", czyli nie przedstawił żadnego dowodu autoryzacji, choć ciężar dowodu spoczywa na nim. W piśmie ostatecznym zasugerował, żebym o zwrot "zwrócił się do sprzedawcy".
Sprawę skierowałem do Rzecznika Finansowego. Zabezpieczenia najwyraźniej nie zadziałały, a reklamacje są oddalane argumentami sprzed ery PSD2. Nie polecam.








