dr Michał Synowiec

Senior Associate

Bio

Specjalizuje się w prawie innowacji finansowych (FinTech) oraz regulacyjnych aspektach działalności instytucji finansowych. Posiada doświadczenie w zakresie prawa nowych technologii, w szczególności ochrony danych osobowych, prawa umów oraz prawa własności intelektualnej. W kancelarii uczestniczy w pracach praktyki Technologie Media Telekomunikacji oraz zespołu Prawa instytucji finansowych i usług płatniczych.

Wspierał instytucje finansowe w postępowaniach przed organami nadzoru (KNF, NBP). Uczestniczył w badaniach due diligence podmiotów działających na rynku finansowym, projektach dostosowania działalności dostawców usług płatniczych do wymogów regulacyjnych dyrektywy PSD2 (banki, krajowe instytucje płatnicze) oraz doradzał przy wdrażaniu procedur wewnętrznych (AML, outsourcing, monitoring incydentów, środki bezpieczeństwa, kontrola wewnętrzna). Brał również udział w przeprowadzaniu audytów zgodności procesów przetwarzania danych pod kątem wymogów ogólnego rozporządzenie o ochronie danych osobowych (RODO).

Prelegent na ogólnopolskich i międzynarodowych konferencjach naukowych poświęconych tematyce prawa usług płatniczych, ochrony danych osobowych, prawa własności intelektualnej oraz prawa cywilnego. Autor i współautor pozycji naukowych i popularnonaukowych z zakresu prawa gospodarczego oraz prawa usług płatniczych.

Doktor nauk prawnych Uniwersytetu Jagiellońskiego w Krakowie. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego na kierunkach prawo oraz administracja, Kraków Intellectual Property Law Summer School, organizowanej przez Uniwersytet Jagielloński, Winter School on European Business Law, organizowanej przez Julius-Maximilians-Universität Würzburg (Niemcy), oraz Szkoły Prawa Amerykańskiego organizowanej przez Columbus School of Law przy The Catholic University of America w Waszyngtonie. Stypendysta Julius-Maximilians-Universität Würzburg oraz kilkukrotny stypendysta Uniwersytetu Jagiellońskiego.

Biegle posługuje się językiem angielskim.


Powiązane newsy

Publikacje 6
25 mar 2022

Chambers Fintech Global Practice Guide

Ukazał się Chambers Fintech Global Practice Guide, który powstał przy udziale prawników naszej kancelarii prof. UEK dr hab. Jana Byrskiego, Karola Juraszczyka, Macieja Miąsko, Michała Synowca.

Przewodnik obejmuje najważniejsze zagadnienia dla rynku technologii finansowych w 40 jurysdykcjach.

04 sie 2021

Przetwarzanie przez podmioty nadzorowane informacji w chmurze obliczeniowej

Ukazała się publikacja pt. „Przetwarzanie przez podmioty nadzorowane informacji w chmurze obliczeniowej – praktyczny komentarz komunikatu Urzędu Komisji Nadzoru Finansowego dla dostawców usług płatniczych”, której autorami są adw. prof. UEK dr hab. Jan Byrski, adw. Henryk Hoser, r. pr. Karol Juraszczyk, r. pr. Maciej Miąsko i Michał Synowiec;

02 lip 2021

Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej

Wczoraj został opublikowany Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej na potrzeby sektora ubezpieczeniowego. Dokument był konsultowany z Polish Financial Supervision Authority.

28 cze 2021

Indywidualna interpretacja Komisji Nadzoru Finansowego jako środek wykładni przepisów prawa regulujących działalność na rynku finansowym w zakresie innowacyjnym

O analizie trybu, formy oraz skutkach prawnych wydawania przez Komisję Nadzoru Finansowego (KNF) indywidualnych interpretacji w zakresie określających zasady prowadzenia działalności na szeroko pojmowanym rynku finansowym pisze Michał Synowiec

05 lut 2021

Perspektywy prawnej rewolucji rynków kryptoaktywów

Zachęcamy do zapoznania się z artykułem prof. UEK dr hab. Jana Byrskiego i Michała Synowca, który został opublikowany w gazecie Parkiet.

04 kw. 2019

Najważniejsze zmiany nowelizacji ustawy o usługach płatniczych implementującej dyrektywę w sprawie usług płatniczych (PSD2) – praktyczny komentarz

Miło nam poinformować, że w marcu 2019
r. ukazało się kolejne opracowanie poświęcone zmianom regulacyjnym na
rynku usług płatniczych pt. „Najważniejsze zmiany nowelizacji ustawy o
usługach płatniczych implementującej dyrektywę w sprawie usług
płatniczych (PSD2) – praktyczny komentarz”.

Aktualności 3
01 gru 2022

Chambers Fintech Legal 2023

Zespół FinTech kancelarii Traple Konarski Podrecki i Wspólnicy po raz 4. z rzędu został wyróżniony w prestiżowym rankingu najlepszych kancelarii Chambers and Partners FinTech Legal in Poland 2022 (Band 2).
 
Sukcesy naszych zespołów satysfakcjonują nas tym bardziej, że są dowodem na świetnie dobrane składy eksperckie, ale przede wszystkim jak bezprecedensowe są sprawy, nad którymi pracujemy w kancelarii.
 
Serdeczne gratulacje składamy na ręce szefa praktyki adw. prof. UEK Jana Byrskiego, który otrzymał indywidualne wyróżnienie (Band 1), oraz dla całego zespołu.

13 gru 2021

Chambers FinTech 2022

Zespół FinTech Kancelarii TKP został po raz kolejny wyróżniony w rankingu Chambers and Partners FinTech Legal in Poland 2021 (Band 2).
 
Ponadto, prof. UEK dr hab. Jan Byrski otrzymał indywidualną rekomendację tej kategorii w Band 2.
 
Gratulacje dla całego zespołu FinTech!
prof. UEK dr hab. Jana Byrskiego, Karola Juraszczyka, Macieja Miąsko, Henryka Hosera, Michała Synowca, Michała Słuszniaka – dziękujemy za Waszą pracę i zaangażowanie!

18 gru 2020

Chambers & Partners - FinTech Legal in Poland 2021

Z przyjemnością informujemy, że zespół FinTech Kancelarii Traple Konarski Podrecki i Wspólnicy został wyróżniony w prestiżowym rankingu najlepszych kancelarii Chambers and Partners FinTech Legal in Poland 2021 (Band 2).

Ponadto, prof. UEK Jan Byrski, PhD hab. otrzymał indywidualną rekomendację i awans w tej kategorii w stosunku do zeszłego roku z Band 3 do Band 2.

Wydarzenia 17
21 wrz 2022

Legal FinTech 2022. Wyzwania prawne w sektorze innowacji finansowych

O tym, jak wyglądają aktualne ramy prawne w przestrzeni fintech oraz z czym przyjdzie się zmierzyć instytucjom finansowym w kontekście zmian, jakie są planowane w najbliższym czasie – porozmawiamy na jutrzejszej konferencji „Legal FinTech 2022. Wyzwania prawne w sektorze innowacji finansowych”.

25 sie 2021

Legal FinTech 2021

16 września 2021 r. odbędzie się konferencja Legal FinTech 2021. Tematem przewodnim wydarzenia są wyzwania prawne w sektorze technologii finansowych.

Konferencja została podzielona na 5 paneli tematycznych:

  • Outsourcing i wdrożenia chmury obliczeniowej na rynku finansowym
  • Dwa lata po implementacji PSD2 – otwarta bankowość i nowe wyzwania
  • Nowe inicjatywy na szczeblu UE i ich wpływ na rynek FinTech
  • Cyberbezpieczeństwo i ochrona danych osobowych na rynku FinTech
  • Wykorzystywanie rozwiązań innowacyjnych na potrzeby AML/CFT i compliance

Z przyjemnością informujemy, że nasza kancelaria jest Partnerem merytorycznym wydarzenia.

25 sie 2021

Przegląd aktualności regulacyjnych dla sektora FinTech

Program:

  • Najnowsze zmiany dotyczące outsourcingu regulowanego, w tym cloudcomputing – adw. prof. UEK dr hab. Jan Byrski
  • Projekty PayTech – wybór modelu regulacyjnego i jego konsekwencje, ze szczególnym uwzględnieniem obowiązków AML – r. pr. Karol Juraszczyk
  • Przetwarzanie informacji o klientach i beneficjentach rzeczywistych w implementacji AMLD5 – r. pr. Maciej Miąsko
  • Nowa regulacja dot. crowdfundingu – najważniejsze zmiany wynikające z Rozporządzenia w sprawie europejskich dostawców usług finansowania społecznościowego (2020/1503) – r. pr. Karol Juraszczyk i apl. radc. Michał Słuszniak
  • Prawne regulacje kryptoaktywów – ewolucja czy rewolucja? – Michał Synowiec
08 cze 2021

Digital Money & Blockchain Forum

Tematem przewodnim VIII edycji będą – „Aktywa cyfrowe, bitcoin i cyfrowe pieniądze – nowy etap?”.

Na wydarzeniu zostaną poruszone następujące kwestie:

  • Jakie interesujące rozwiązania techniczne pojawiły się ostatnio w świecie blockchain?
  • Jaka przyszłość czeka Ethereum (PoS i in.) oraz rynek tokenów ERC20 i NFT?
  • Czy już czas na ściślejsze regulacje rynków kryptowalut oraz jak to wpłynie na innowacyjność?
  • Czy Polska będzie podążała w tyle za regulacjami UE, czy wyjdzie przed szereg i dogoni Estonię?
  • Czy powstanie cyfrowy złoty, czy też w Polsce będziemy używać cyfrowego euro, juana i diem?

Z przyjemnością informujemy, że eksperci z naszej kancelarii prof. UEK dr hab. Jan Byrski i Michał Synowiec wygłoszą prelekcję pt. „Regulacja działalności dostawców usług w zakresie kryptoaktywów – stan obecny oraz perspektywy zmian”.

Więcej informacji znajdą Państwo na stronie organizatora.

09 kw. 2021

Szkolenie: Przegląd aktualności regulacyjnych dla sektora FinTech

Celem szkolenia jest zapoznanie uczestników z zagadnieniami dotyczącymi najnowszych zmian prawnych na rynku usług płatniczych dotyczących sektora FinTech, w tym PayTech i LendTech, oraz umożliwienie nabycia wiedzy i umiejętności pozwalających na swobodne stosowanie aktualnych rozwiązań prawnych w codziennej praktyce.

Program:

  • Najnowsze zmiany dotyczące outsourcingu regulowanego, w tym cloud computing – adw. prof. UEK dr hab. Jan Byrski
  • Projekty PayTech – wybór modelu regulacyjnego i jego konsekwencje, ze szczególnym uwzględnieniem obowiązków AML – r. pr. Karol Juraszczyk
  • Przetwarzanie informacji o klientach i beneficjentach rzeczywistych w implementacji AMLD5 – r. pr. Maciej Miąsko
  • Nowa regulacja dot. crowdfundingu – najważniejsze zmiany wynikające z Rozporządzenia w sprawie europejskich dostawców usług finansowania społecznościowego (2020/1503) – r. pr. Karol Juraszczyk i apl. radc. Michał Słuszniak
  • Prawne regulacje kryptoaktywów – ewolucja czy rewolucja? – Michał Synowiec
02 kw. 2021

Warsztat online: Zmiany w przepisach AML i praktyczne aspekty ich wdrożenia

Zapraszamy na warsztat online pt. „Zmiany w przepisach AML i praktyczne aspekty ich wdrożenia”, który odbędzie się w dniach 14-15 kwietnia 2021 r.

Z przyjemnością informujemy, że podczas pierwszego dnia warsztatu Michał Synowiec wygłosi prelekcję na temat outsourcingu procesów AML.

19 sty 2021

Szkolenie: Przegląd aktualności regulacyjnych FinTech, w tym dla PayTech i LendTech

Zapraszamy na szkolenie pt. „Przegląd aktualności regulacyjnych FinTech, w tym dla PayTech i LendTech”, które odbędzie się w dniu 28 stycznia 2021 r.

W programie wydarzenia m.in. najnowsze praktyki KNF (m.in. MIP, licencje AIS/PIS, cloud computing), bliższe i dalsze zmiany w prawie (AML5 i AML6, przedsiębiorca konsumentem, crowdfunding, rewizja CCD).

Zapraszamy do udziału!

23 wrz 2020

Webinarium: Chmura obliczeniowa w instytucjach finansowych

Zapraszamy na webinarium „Chmura obliczeniowa w instytucjach finansowych”, który obędzie się 30 września 2020 r. Organizatorem wydarzenia jest Polska Izba Informatyki i Telekomunikacji.

Podczas webinarium zostaną poruszone najważniejsze kwestie:

  • wykorzystanie rozwiązań opartych o chmurę obliczeniową przez podmioty działające na szeroko pojmowanym rynku finansowym
  • odpowiednie przygotowanie organizacji do planowanej migracji do chmury
  • zabezpieczenia interesów instytucji finansowych w kontraktach z dostawcami

Dodatkowo zaprezentowane zostaną praktyczne problemy zakończenia współpracy z dostawcami. Tematyka webinarium pozostaje szczególnie aktualna pod kątem terminu wyznaczonego podmiotom nadzorowanym przez KNF na dostosowanie się do wymagań nowego komunikatu chmurowego UKNF, który upływa 1 listopada 2020 r.

26 sie 2020

Najnowsze zmiany prawne na rynku usług płatniczych – implementacja dyrektywy AML5 i PSD2, outsourcing regulowany, w tym cloud computing, rozszerzenie rygoru konsumenckiego

Celem szkolenia jest zapoznanie uczestników z zagadnieniami dotyczącymi najnowszych zmian prawnych na rynku usług płatniczych oraz umożliwienie nabycia wiedzy i umiejętności pozwalających na swobodne stosowanie aktualnych rozwiązań
prawnych w codziennej praktyce.

Program wydarzenia:

  • Najnowsze zmiany dotyczące outsourcingu regulowanego, w tym cloud computing – adw. prof. UEK dr hab. Jan Byrski
  • Przetwarzanie informacji o klientach w najnowszym projekcie implementacji AMLD5 oraz stosowanie reżimu konsumenckiego wobec klientów biznesowych – r. pr. Maciej Miąsko
  • Waluty wirtualne oraz stosowanie innowacyjnych rozwiązań technicznych z perspektywy regulacji AML – apl. radc. Michał Synowiec
  • Projekty Fintech – wybór modelu regulacyjnego i jego konsekwencje, prawo telekomunikacyjnej a usługi płatnicze – r. pr. Karol Juraszczyk

Zapraszamy do udziału!

30 cze 2020

Training session: Legal Changes in the Payment Services Market.

You are welcome to participate in a training entitled Legal Changes on the Payment Services Market, organised by the Foundation for Non-Cash Transactions Development (Fundacja Rozwoju Obrotu Bezgotówkowego).

22 kw. 2020

Webinarium: Wybór modelu regulacyjnego świadczenia usług płatniczych w projektach Fintech

W dniu 22 kwietnia 2020 r. odbędzie się webinarium pt. „Wybór modelu regulacyjnego świadczenia usług płatniczych w projektach Fintech”, którego organizatorem jest Polska Izba Informatyki i Telekomunikacji.

Podczas webinarium omówione zostaną często pojawiające się praktyczne problemy i pytania dotyczące takich obszarów jak wyłączenia z obowiązku stosowania ustawy (w szczególności tzw. wyłączenia dla przedsiębiorców telekomunikacyjnych oraz wyłączenia dla instrumentów o ograniczonym zastosowaniu), kwalifikacja prawna usługi (ze szczególnym uwzględnieniem nowych usług płatniczych – PIS oraz AIS) czy wybór formy prowadzenia działalności regulowanej (KIP, MIP, dostawca świadczący wyłącznie AIS).

Z przyjemnością informujemy, że webinarium poprowadzą eksperci z naszej kancelarii r. pr. Karol Juraszczyk i apl. radc. Michał Synowiec.

Rejestracja: https://piit.clickmeeting.pl/wybor-modelu-regulacyjnego-swiadczenia-uslug-platniczych-w-projektach-fintech

19 lut 2020

Webinarium: Nowe wytyczne EBA dot. outsourcingu a podejście krajowe KNF dot. cloud computingu

Zapraszamy na webinarium Polskiej Izby Informatyki i Telekomunikacji pt. „Nowe wytyczne EBA dot. outsourcingu a podejście krajowe KNF dot. cloud computingu”, które odbędzie się w dniu 19 lutego 2020 r. w Warszawie.

W ramach wydarzenia omówione zostanie projektowane przez Komisję Nadzoru Finansowego (KNF) nowe stanowisko w przedmiocie zasad korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej. Prelegenci skupią się na przedstawieniu zakresu ostatnich zmian w podejściu KNF do cloud computing’u oraz oceny ich wpływu na działalność dostawców chmury. Ponadto, założenia opracowywanego przez KNF stanowiska zostaną porównane do rozwiązań przyjętych na szczeblu unijnym, tj. w ramach wytycznych ws. outsourcingu opracowanych przez Europejski Urząd Nadzoru Bankowego, które swoim zakresem obejmują m.in. kwestie korzystania przez wybranych dostawców z usług przetwarzania danych w chmurze obliczeniowej.

Webinarium poprowadzą adw. prof UEK dr hab. Jan Byrski i apl. radc. Michał Synowiec.

Zapraszamy do udziału!

14 lis 2019

Szkolenie: Zmiany prawne na rynku usług płatniczych

14 listopada 2019 r. w Warszawie odbędzie się szkolenie pt. „Zmiany prawne na rynku usług płatniczych – praktyczne aspekty stosowania ustaw implementujących Dyrektywę PSD 2 i AML 4”.

Celem szkolenia jest zapoznanie uczestników z zagadnieniami dotyczącymi najnowszych zmian prawnych na rynku usług płatniczych oraz umożliwienie nabycia wiedzy i umiejętności pozwalających na swobodne stosowanie aktualnych rozwiązań prawnych w codziennej praktyce.

Z przyjemnością informujemy, że spotkanie poprowadzą eksperci z kancelarii Traple Konarski Podrecki i Wspólnicy:

  • adw. dr hab. Jan Byrski, Partner – prelekcja: „Praktyczne aspekty wdrożenia PSD2 oraz zmiany dotyczące outsourcingu na rynku płatniczym”;
  • r. pr Karol Juraszczyk – prelekcja: „Uzyskanie statusu TPP oraz zasady świadczenia usług AIS/PIS z wykorzystaniem otwartych interfejsów komunikacyjnych dostawców prowadzących rachunki (ASPSP)’;
  • r. pr. Maciej Miąsko – prelekcja: „Silne uwierzytelnianie użytkowników (SCA) w świetle RTS, wytycznych EBA, KNF oraz praktyki rynkowej”;
  • apl. radc. Michał Synowiec – prelekcja: „Najnowsze trendy regulacyjne w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w tym rynek przed AML5”.

Organizatorami szkolenia są Traple Konarski Podrecki i Wspólnicy oraz Fundacja Rozwoju Obrotu Bezgotówkowego.

Więcej informacji:

Program (PDF): Folder FROB

Formularz rejestracyjny (PDF): Formularz FROB

16 paź 2019

Konferencja: Praktyczne aspekty wdrażania wymogów AML w instytucjach finansowych

Zapraszamy do udziału w konferencji pt. „Praktyczne aspekty wdrażania wymogów AML w instytucjach finansowych”, która odbędzie się w dniach 16-17 października 2019 r. w Warszawie.

Miło nam poinformować, że podczas spotkania swoją prelekcję pt. „Machine Learning w służbie AML” wygłosi apl. radc. Michał Synowiec.

Podczas wystąpienia poruszone zostaną takie zagadnienia jak:

  • Wykorzystanie sztucznej inteligencji w procesach AML;
  • Zakres stosowania Machine Learning’u na potrzeby realizacji obowiązków AML;
  • Machine Learning a rozliczalność stosowania środków bezpieczeństwa finansowego.

Szczegółowe informacje na temat wydarzenia znają Państwo na stronie organizatora – MMC Polska.

04 wrz 2019

Szkolenie: Praktyczne aspekty implementacji dyrektywy PSD2

W dniu 4 września 2019 r. w Warszawie odbędzie się szkolenie pt. „Praktyczne aspekty implementacji dyrektywy PSD2 w kontekście zmian regulacyjnych rynku usług płatniczych”, którego organizatorem jest  Centrum Promocji i Informatyki.

Celem szkolenia jest zapoznanie się z praktycznymi konsekwencjami zmian, jakie niesie za sobą implementacja do prawa polskiego dyrektywy PSD 2.

Z przyjemnością informujemy, że szkolenie poprowadzą nasi eksperci z zespołu FinTech:

  • dr. hab. Jan Byrski – prelekcje: „Wprowadzenie do ustawy o usługach płatniczych pod kątem implementacji PSD2” i „Modyfikacja katalogu wyłączeń stosowania przepisów ustawy o usługach płatniczych”;
  • Karol Juraszczyk – prelekcja: „Silne uwierzytelnianie użytkowników (SCA) oraz odpowiedzialność za transakcje nieautoryzowane”;
  • Michał Synowiec – prelekcja: „Zasady świadczenia nowych usług płatniczych (AIS/PIS) oraz notyfikacja incydentów na gruncie PSD2”.

Szczegółowe informacje na temat wydarzenia znajdą Państwo na stronie Centrum Promocji i Informatyki.

Zapraszamy do udziału!

25 mar 2019

Konferencja: Zarządzanie ryzykiem instytucji i transakcjami na gruncie aktów wykonawczych do AML IV

W dniach 25-26 marca 2019 r.  w Warszawie odbędzie się konferencja „Zarządzanie ryzykiem instytucji i transakcjami na gruncie aktów wykonawczych do AML IV”.

Drugiego dnia spotkania Michał Synowiec, prawnik z zespołu FinTech naszej Kancelarii wygłosi prelekcję pt. „Obowiązki instytucji obowiązanych w obszarze wstrzymania transakcji i/lub blokady rachunku”.

Podczas spotkania omówione zostaną m. in. następujące zagadnienia:

  • Cykl życia oceny ryzyka oraz wdrażanie środków do właściwego zarządzania rozpoznanym ryzykiem w ramach instytucji obowiązanej;
  • Symptomy identyfikujące transakcje podejrzane – case study;
  • Zasady przekazywania zawiadomień o okolicznościach mających wskazywać na popełnienie przestępstwa na gruncie AML;
  • Przystosowanie systemów informatycznych do najnowszych zasad raportowania – problem z dublowaniem transakcji;
  • Zasady funkcjonowania Centralnego Rejestru Beneficjentów Rzeczywistych;
  • Obowiązki instytucji obowiązanych w obszarze wstrzymania transakcji i/lub blokady rachunku;
  • Wzmocnienie systemu kontroli wewnętrznej i decyzje pracowników w oparciu o przepisy ustawy AML i akty wykonawcze.

Więcej informacji na temat wydarzenia dostępnych jest na stronie MMC Polska.

14 maj 2018

Warsztaty: Bezpieczeństwo płatności elektronicznych pod reżimem PSD II i nowych RTS

Warsztaty „Bezpieczeństwo płatności elektronicznych pod reżimem PSD II i nowych RTS” odbędą się w dniach 14-15 maja 2018 r. w Warszawie.

Podczas spotkania omówione zostaną m. in. tematy:

  • PSD II i RTS w działalności dostawcy usług płatniczych,
  • Praktyczne aspekty wdrożenia PSD II,
  • Zarządzanie ryzykiem nadużyć i fraudów pod reżimem PSD II,
  • Konsekwencje prawne niezapewnienia bezpieczeństwa transakcji,
  • Nowe otoczenie branży FinTech – nowe możliwości, nowe wyzwania.

Michał Synowiec, młodszy prawnik z naszej kancelarii omówi kwestię obowiązków dostawców usług płatniczych wobec organów nadzoru w zakresie zgłaszania poważnych incydentów operacyjnych i incydentów związanych z bezpieczeństwem.

Organizatorem wydarzenia jest MM Conferences.

Blog 2
25 kw. 2017

Interpretacja pojęcia „trwałego nośnika” w działalności instytucji finansowych

Pod koniec marca 2017 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów (dalej: „Prezes UOKiK”) wydał stanowisko zawierające istotny pogląd w sprawie umowy pożyczki zawieranej na odległość pomiędzy instytucją finansową a konsumentem. Stanowisko Prezesa UOKiK odwołuje się do problematyki wykładni definicji „trwałego nośnika” występującej na gruncie wielu aktów prawnych. Przedstawiony pogląd ma charakter o tyle kluczowy, iż prowadzi do rygorystycznej interpretacji pojęcia „trwałego nośnika”, która istotnie wpłynie na funkcjonowanie wielu instytucji finansowych.

****

Tło faktyczne

Istotny pogląd w sprawie sporu konsumenta z Creamfinance Poland (pożyczkodawcą) wydany został przez Prezesa UOKiK w ramach toczącego się postępowania o sygn. III Ca 529/16, prowadzonego przez Sąd Okręgowy w Nowym Sączu. W przedmiotowej sprawie pożyczkodawca wystąpił do sądu z żądaniem zasądzenia od konsumenta na jego rzecz kwoty odpowiadającej pozostałej do spłaty pożyczki wraz z odsetkami ustawowymi. Na skutek zgłoszonego roszczenia konsument wystąpił do sądu z powództwem wzajemnym, w którym wystąpił o zasądzenie o Creamfinance Poland stosownej kwoty z tytułu skorzystania z sankcji kredytu konsumenckiego w związku z niedochowaniem przez pożyczkodawcę wymogów wynikających z ustawy o kredycie konsumenckim.

W ramach toczącego się postepowania konsument skierował do Prezesa UOKiK wniosek o przestawienie istotnego poglądu w sprawie w zakresie interpretacji pojęcia „trwałego nośnika”. Według twierdzeń konsumenta znajdujące się na stronie internetowej oraz indywidualnym koncie użytkownika informacje związane z zawartą umową pożyczki nie zostały mu przekazane na trwałym nośniku, co spowodowało naruszenie obowiązków po stronie pożyczkodawcy.

Charakterystyka „trwałego nośnika”

Definicja „trwałego nośnika” przewidziana została w wielu aktach prawnych dotyczących regulacji praw i obowiązków w przypadku zawierania umów z udziałem konsumentów. Odpowiednimi przykładami w tym zakresie są: ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, ustawa z dnia 30 maja 2014 r. o prawach konsumenta oraz ustawa z dnia 12 maja 2011 r. o kredycie konsumenckim, która stanowiła podstawę rozbieżności interpretacyjnych, nad którą pochylił się Prezes UOKiK w ramach wydawanego przez siebie poglądu w sprawie.

Opierając się na brzmieniu zawartym w ostatnim z przytaczanych powyżej aktów prawnych poprzez pojęcie „trwałego nośnika” należy rozumieć: „materiał lub urządzenie służące do przechowywania i odczytywania informacji przekazywanych konsumentowi w związku z umową o kredyt, przez czas odpowiedni do celów jakim informacje te służą oraz pozwalające na odtworzenie tych informacji w niezmienionej postaci” (art. 5 pkt 17 u.k.k.). Podążając zatem za brzmieniem przepisu należy wskazać, że kluczowym w tym zakresie jest zapewnienie, by trwały nośnik umożliwiał przechowywanie dostarczonych informacji przez właściwy czas oraz by zapewniał on możliwość odtworzenia stosownych informacji w ich niezmienionej, pierwotnej postaci. Taka interpretacja zapewniać ma właściwą ochronę konsumentów w ramach zawierania przez nich umów z podmiotami profesjonalnymi, przy równoczesnym wskazaniu charakteru obowiązków informacyjnych, jakie mają zostać spełnione po stronie przedsiębiorcy, który zobligowany jest do dostarczenia konsumentowi stosownych informacji.

Stanowisko Prezesa UOKiK

Wyrażony przez Prezesa UOKiK istotny pogląd w sprawie doprowadził do przesądzenia, że strona internetowa przedsiębiorcy nie stanowi trwałego nośnika w rozumieniu ustawy o kredycie konsumenckim.

Podobne stanowisko przedstawione zostało także w kontekście indywidualnego konta użytkownika/ klienta prowadzonego w ramach serwisu internetowego przedsiębiorcy – stwierdzono, że nie spełnia ono wystarczających wymogów pozwalających na uznanie go za trwały nośnik w rozumieniu ww. ustawy.

Interpretacja Prezesa UOKiK zanegowała w pełni opinię wyrażoną przez Sąd I instancji (Sąd Rejonowy w Gorlicach; sygn. akt I C 675/15 upr), zgodnie z którą umieszczenie treści umowy i załączników na stronie internetowej jest równoznaczne z dostarczeniem jej na trwałym nośniku, gdyż konsument ma możliwość dokonania wydruku niezbędnych dokumentów. Prezes UOKiK – jak się zresztą wydaje słusznie – zauważył, że fakt możliwości samodzielnego wydrukowania dokumentów udostępnianych na stronie internetowej przedsiębiorcy nie ma żadnego znaczenia dla interpretacji pojęcia „trwałego nośnika”.

W kontekście analizy pojęciowej „trwałego nośnika” należy zauważyć, że sama ustawa mówi bowiem o dostarczeniu stosownych informacji. Takie sformułowanie wydaje się ukierunkowywać wykładnię przepisu ku poszukiwaniu aktywności po stronie podmiotu, który jest zobowiązany do przekazania informacji. Gdyby zatem podzielić pogląd Sądu I instancji, faktyczna aktywność wymaganych działań podejmowana byłaby przez konsumenta, a nie przedsiębiorcę, na którym ciąży obowiązek dostarczenia informacji.

Ponadto w kontekście omawianej sprawy kluczowe znaczenie ma, z jednej strony, kwestia czasowej dostępności dostarczanych informacji, a z drugiej strony, brak możliwości dokonywania w nich zmian.

Należy podkreślić, iż dostarczane przez przedsiębiorcę informacje na trwałym nośniku zapewnić mają do nich dostęp przez czas właściwy do celów, jakim informacje te służą. Z tego też względu sam fakt możliwości dostępu do informacji udostępnianych na indywidualnym koncie użytkownika w serwisie internetowym nie może zostać uznany za trwały nośnik informacji, gdyż dostęp do tego konta zostanie zablokowany względem użytkownika z chwilą zakończenia korzystania z usługi oferowanej przez przedsiębiorcę. Może być jednak konieczne uzyskanie dostępu do tych informacji ze względu na istnienie roszczeń, co do których termin przedawnienia jeszcze nie minął i które mogą być potencjalnie zgłoszone przez konsumenta w ramach dochodzenia przez niego swoich praw przed sądem.

Odnosząc się z kolei do drugiej cechy trwałego nośnika, jaką jest brak możliwości dokonywania zmian w dostarczanych informacjach, należy zauważyć, że w przypadku ich udostępniania w ramach prowadzonej przez przedsiębiorcę strony internetowej, czy też w ramach indywidualnego konta użytkownika, mogą być one (potencjalnie) edytowane przez przedsiębiorcę w dowolnym momencie, przy równoczesnym braku świadomości konsumenta o wprowadzanych modyfikacjach. Taki  stan rzeczy jest wysoce niepożądany z perspektywy konsumenta. Dostarczane przez przedsiębiorcę informacje nie są w takim przypadku w żaden sposób trwałe, gdyż ich zmiana możliwa jest w każdym czasie.

****

Wyrażony przez Prezesa UOKiK pogląd w sprawie wydaje się w istotny sposób wpływać na interpretację pojęcia „trwałego nośnika” występującą w polskim porządku prawnym. Jak sam zresztą wskazał on w swojej opinii, pomimo istnienia potrzeby każdorazowej analizy stanu faktycznego przemawiającego za koniecznością dokonania wykładni definicji „trwałego nośnika”, pojęcie to powinno być interpretowane i rozumiane tak samo na gruncie wszystkich przepisów służących ochronie konsumentów.

Nie sposób także pominąć faktu, że wyrażone stanowisko wpisuje się w dotychczasową wykładnię tego pojęcia na gruncie orzecznictwa unijnego (zob. wyrok TSUE z dnia 5 lipca 2012 r. w sprawie Content Services Ltd vs Bundesarbeitskammer, sygn. C-49/11). Doniosłość opinii przedkłada się bowiem na praktyczne wypełnianie obowiązków przez takie podmioty, jak chociażby banki/ skoki i inne instytucje finansowe, w tym instytucje płatnicze, które w ramach swojej działalności zobligowane są do wypełnienia rozległych obowiązków informacyjnych względem swoich klientów, w tym konsumentów. Zagadnienie to jest ponadto o tyle istotne, iż w ramach tak znaczącego rozwoju nowych technologii dostawcy usług płatniczych kierują się ku możliwie jak największej cyfryzacji w zakresie kontaktów ze swoimi klientami. Niemniej, należy pamiętać, że wszelkie wprowadzane przez nich innowacyjne rozwiązania powinny być dostosowane do obowiązujących przepisów prawa, co nie zawsze jest zadaniem prostym.

22 mar 2017

Silne uwierzytelnianie klientów (SCA) – mocniejsza ochrona klienta czy zmora dostawców usług płatniczych?

Z końcem lutego 2017 r. Europejski Urząd Nadzoru Bankowego (dalej: „EUNB”) uchwalił ostateczny projekt regulacyjnych standardów technicznych dotyczący silnego uwierzytelniania klientów oraz bezpiecznej komunikacji (dalej: „Standardy”). Początkowo dokument pojawić się miał z końcem stycznia 2017 r., jednakże ze względu na zbyt rygorystyczne regulacje spotkał się on z silnym sprzeciwem środowiska e-płatności. Dla podmiotów działających na rynku e-płatności Standardy stanowić będą jedno z kluczowych uregulowań wprowadzając obowiązek stosowania instytucji silnego uwierzytelniania w ramach obsługi rachunku płatniczego oraz przeprowadzania transakcji płatniczych.

****

Cel regulacji silnego uwierzytelniania

Zgodnie z motywami Standardów instytucja silnego uwierzytelniania stanowić ma podstawową metodę minimalizacji ryzyka oszustw w zakresie płatności elektronicznych. Jej wykorzystanie stanowić będzie zasadę zawsze, gdy dochodzić będzie do ujawnienia wrażliwych danych płatniczych, tj. danych potrzebnych do sprawdzenia salda rachunku lub historii transakcji płatniczych z ostatnich 90 dni. Z tego też względu korzystanie z procedury silnego uwierzytelniania nie będzie kwestią niezbędną jedynie w zakresie dokonania konkretnej płatności. Użytkownicy usług płatniczych będą mieli z nią do czynienia także w sytuacji uzyskania dostępu do swojego rachunku płatniczego.

Sama procedura uwierzytelniania poza wymogami technicznymi polegającymi na tworzeniu stosownych zabezpieczeń polegać ma również na wprowadzeniu funkcjonowania mechanizmu monitoringu transakcji, który pozwoli na wykrycie nieautoryzowanych lub oszukańczych operacji płatniczych. Tak rozbudowana struktura uwierzytelniania klientów ma za zadanie uściślić ochronę w zakresie działalności elektronicznych metod płatności.

Procedura silnego uwierzytelniania

Na gruncie Standardów zabezpieczenie operacji płatniczych przy użyciu silnego uwierzytelniania przybiera trójelementowy charakter. Wykorzystane środki opierają się na prostej koncepcji – coś co wiesz, coś co masz, coś czym jesteś. Wiedza stanowiąca pierwszą i w zasadzie fundamentalną część procedury uwierzytelniania odwoływać się ma np. do znajomości kodu PIN, potrzebnego do autoryzacji płatności. Posiadanie stanowiące kolejny element silnego uwierzytelniania dotyczy np. wykorzystania procedury potwierdzenia płatności przez posiadany smartfon użytkownika. Z kolei ostatnim, trzecim składnikiem, jest odwołanie się do zabezpieczeń biometrycznych polegających np. na wykorzystaniu odcisku palca użytkownika w ramach wykonywanej przez niego operacji płatniczej.

Zgodnie z ogólnymi założeniami każdy z powyższych składników jest w pełni niezależny od pozostałych, a złamanie jednego z nich nie wywiera żadnych negatywnych konsekwencji względem reszty. Procedura silnego uwierzytelniania klienta oparta ma być na wykorzystaniu minimum dwóch powyższych elementów, które następnie umożliwić mają wygenerowanie specyficznego kodu uwierzytelniającego. Kod ten ma zostać zaakceptowany przez dostawcę usług płatniczych tylko jednokrotnie w ramach uzyskiwania dostępu do konta online, rozpoczęcia transakcji płatniczej lub innej czynności związanej z obsługą konta, która mogłaby prowadzić do powstania ryzyka oszustwa albo innego nadużycia. Wygenerowany kod cechować ma się swoistymi wymogami polegającymi m.in. na niemożliwości jego podrobienia, czy też wygenerowania innego, który mógłby opierać się na tym poprzednim.

Standardy przewidują także podstawowe zasady wykorzystania procedury silnego uwierzytelniania klienta w ramach transakcji płatniczych. Z tego też względu liczba nieudanych prób uwierzytelniania ograniczona została do pięciu. Jeżeli użytkownik w sposób nieskuteczny przeprowadzi pięciokrotnie całą procedurę uwierzytelniania dochodzić ma do czasowego lub trwałego zablokowania elektronicznego instrumentu płatności. Z kolei maksymalny czas pozostawania bez jakiekolwiek aktywności ze strony płatnika na jego koncie online ograniczony został do maksymalnie pięciu minut liczonych od momentu skutecznego ukończenia procedury uwierzytelniania.

Warto także zwrócić uwagę, że Standardy narzucają na dostawców usług płatniczych inne wymogi związane z funkcjonowaniem kodów uwierzytelniających. Jednym z nich jest kwestia dynamicznego łączenia wygenerowanego kodu z kwotą transakcji oraz jej odbiorcą. Standardy bezpośrednio odwołują się także do obowiązku wprowadzenia odpowiednich środków umożliwiających zapewnienie poufności, autentyczności i integralności danych związanych z kwotą operacji płatniczej oraz odbiorcą płatności we wszystkich fazach procedury uwierzytelniania.

Wyjątki od stosowania procedury silnego uwierzytelniania

Standardy za ogólną zasadę przyjęły obowiązek korzystania z procedury silnego uwierzytelniania w celu zapewniania lepszej ochrony podmiotów korzystających z usług płatniczych oraz minimalizacji ryzyka oszustw i innych nadużyć z nimi związanych. Niemniej jednak przewidziany został szereg wyjątków, zgodnie z którym obowiązek ten został zniesiony. Warto jednakże wskazać, że możliwość niekorzystania z procedury silnego uwierzytelniania uzależniona została od innych czynników, które powinny zostać spełnione. Większość przewidzianych zwolnień obwarowana została szczegółowymi wymogami, które stanowić mają warunek konieczny skorzystania z opcji pominięcia procedury.

Po pierwsze, przypadkiem, który nie wymaga korzystania z procedury silnego uwierzytelniania jest transfer płatności w przypadku inicjacji całej operacji przez podmiot będący tą samą osobą fizyczną lub prawną zarówno po stronie płatnika jak i po stronie odbiorcy, a konta w ramach których dokonuje się płatności znajdują się u tego samego dostawcy usług płatniczych.

Po  drugie, podobne wyłączenie dotyczy także korzystania z samoobsługowych terminali płatniczych w ramach uiszczania opłaty za transport lub opłaty parkingowej. Przedmiotowe wyjątki odwołują się zatem do aspektów słusznościowych, którymi kierował się projektodawca w ramach przygotowywania Standardów – wprowadził on stosowne wyjątki, gdzie ryzyko nadużyć jest faktycznie niewielkie.

Po trzecie, do zwolnienia z obowiązku korzystania z procedury silnego uwierzytelniania dojdzie także wtedy, gdy w ramach dokonywanych operacji nie będą dostępne wrażliwe dane płatnicze, czyli dane dotyczące salda rachunku oraz historii transakcji z ostatnich 90 dni. Niemniej jednak wyjątek ten nie ma charakteru bezwzględnego, bowiem nie dotyczy sytuacji, w których użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku po raz pierwszy lub od ostatniego wykorzystania procedury silnego uwierzytelniania minęło ponad 90 dni. Zgodnie zatem z regulacją zawartą w Standardach obowiązek skorzystania z instytucji silnego uwierzytelniania powracać będzie każdorazowo minimum raz na 90 dni w ramach korzystania ze swojego rachunku płatniczego przez użytkownika.

Po czwarte, w ramach Standardów poruszono także bardzo istotną kwestię zwolnień z  obowiązku silnego uwierzytelniania podczas dokonywania tzw. transakcji o niskiej wartości. W  tym przypadku zwolnione od obowiązku korzystania z procedury będą wszelkie transakcje opiewające na kwotę niższą niż 30 euro. Warto zauważyć, że limit ten obowiązywać będzie także w przypadku kilku następujących po sobie transakcji płatniczych, jednakże ich łączna wartość nie może przewyższać 100 euro, a suma wszystkich operacji przekraczać 5 transakcji, na dzień. Podobne uregulowanie znalazło swoje odzwierciedlenie w kontekście zbliżeniowych płatności elektronicznych. Maksymalna kwota podczas operacji zwolnionej od obowiązku stosowania procedury silnego uwierzytelniania nie może przekraczać kwoty 50 euro, a kwota łącznych, występujących konsekwentnie po sobie transakcji wynosić ponad 150 euro lub przekraczać 5 operacji.

Analiza ryzyka transakcji a obowiązek silnego uwierzytelniania

Standardy poza obowiązkiem stosowania procedury silnego uwierzytelniania odwołują się także do potrzeby prowadzenia przez dostawców usług płatniczych mechanizmu monitoringu transakcji, którego zadaniem jest zapewnienie wykrywania nieautoryzowanych albo oszukańczych transakcji płatniczych. Mechanizm monitorowania transakcji ze swego założenia powinien być oparty na analizie transakcji płatniczych uwzględniając elementy typowe dla przeciętnego użytkownika usług płatniczych. Powinien on ponadto brać pod uwagę takie czynniki jak np. kwotę transakcji, listę zagrożonych lub ukradzionych składników uwierzytelniania, prawdopodobne scenariusze oszustwa, czy także oznaki infekcji złośliwym oprogramowaniem w ramach procedury uwierzytelniania.

Poza powyższymi wymogami mechanizm monitoringu transakcji obwarowany został dodatkowymi wymogami w przypadku podmiotów zwolnionych z obowiązku stosowania procedury silnego uwierzytelniania, ze względu na uznanie tego podmiotu za stwarzającego niski poziom ryzyka w ramach przeprowadzanych analiz ryzyka transakcji. Standardy określają szczególne warunki w ramach tworzenia analiz ryzyka transakcji wprowadzając m.in. trójstopniowy referencyjny wskaźnik transakcji oszukańczych. Podmioty mieszczące się w ramach konkretnych kategorii uznane za potencjalnie bezpieczne ze względu na niski wskaźnik oszustw mogą uzyskać prawo do zwolnienia z obowiązku silnego uwierzytelniania nawet w przypadku transakcji do kwoty 500 euro. Niemniej jednak zwolnienie z obowiązku stosowania procedury silnego uwierzytelniania w stosunku do podmiotów korzystających z analizy ryzyka transakcji uzależnione zostało od wielu innych czynników odwołujących się np. do analiz nietypowych lokalizacji płatnika lub analizy lokalizacji odbiorcy płatności, która nie wiążę się z dużym ryzykiem.

****

W artykule odwołano się jedynie do najistotniejszych postanowień zawartych w Standardach, które regulują kwestię silnego uwierzytelniania klientów i zwolnień od tego obowiązku. Możliwe jest dostrzeżenie, że nowa regulacja wprowadza istotne zmiany mające na celu zwiększenie ochrony użytkowników usług płatniczych, bez pozbawiania ich wygody i szybkości e-płatności. Ostateczne uchwalenie Standardów wiązać się będzie z obowiązkiem praktycznego dostosowania wielu mechanizmów wykorzystywanych obecnie przez dostawców usług płatniczych.

Pozytywnie należy ocenić chociażby zwolnienie z obowiązku silnego uwierzytelniania w  zakresie podmiotów, które posiadają niski wskaźnik ryzyka w ramach prowadzonej przez siebie działalności. Taka regulacja powinna sprzyjać mobilizacji intensyfikacji środków ochrony ze strony dostawców usług płatniczych, którzy chętnie korzystaliby z możliwości odstąpienia od procedury silnego uwierzytelniania w ramach obsługiwanych transakcji.

Poznaj nasz zespół