Nieautoryzowane transakcje płatnicze – aktualne obowiązki

Zgodnie z raportem, przygotowanym dla Fundacji Polska Bezgotówkowa w 2024 r. Do najpopularniejszych metod płatności w punktach handlowo-usługowych należą karty płatnicze (41%), gotówka (31%) oraz mobilne płatności NFC (18%). Tym samym w ubiegłym roku aż 69% wszystkich płatności zostało zrealizowanych
w sposób bezgotówkowy.

Od dłuższego czasu w Polsce zauważalny jest stabilny wzrost popularności płatności bezgotówkowych –
w 2016 r. podobny odsetek transakcji – 68% odbywał się za pomocą gotówki, a 20 lat temu w 2005 r. bezgotówkowe transakcje stanowiły tylko 2% sprzedaży.[1]

Stabilny wzrost popularności transakcji bezgotówkowych powoduje, że coraz bardziej istotnym zagadnieniem są nieautoryzowane transakcje płatnicze. Wraz ze wzrostem popularności transakcji bezgotówkowych rośnie również ilość przestępstw, których celem jest uzyskanie dostępu do zgromadzonych na rachunkach bankowych środków, w szczególności poprzez uzyskanie danych dostępowych do rachunku bankowego
i danych lub metod autoryzacji transakcji płatniczej.

Uzyskanie dostępu do rachunków bankowych poprzez przełamanie systemów zabezpieczeń systemów bankowych jest rzadkością. Przestępcy przeprowadzający fraudy bankowe stosują najczęściej zaawansowane metody manipulacji w celu uzyskania od klientów banków danych dostępowych do rachunków lub żeby skłonić ich do nieświadomego uwierzytelnienia niekorzystnej dla nich transakcji.

Ustawa o usługach płatniczych

Kwestie odpowiedzialność banku za nieautoryzowane transakcje reguluje w głównej mierze ustawa z dnia
19 sierpnia 2011 r. o usługach płatniczych (tekst jednolity – Dz. U. Z 2025 r. poz. 611).

Ustawa ta wprowadziła do polskiego porządku prawnego przepisy tzw. dyrektywy PSD2[2]. Obecnie
w Parlamencie Europejskim trwają pracę nad nową dyrektywą PSD3, która zgodnie z opublikowanymi w 2023 r. założeniami ma w zamierzeniu wprowadzić większą ochronę konsumentów, nowe narzędzia do zwalczania oszustw oraz poprawę funkcjonowania otwartej bankowości.

Ustawa o usługach płatniczych (dalej: uup) zawiera szeroką definicję usług płatniczych. Pojęcie to obejmuje działalność polegającą m.in. na przyjmowaniu wpłat gotówki i dokonywaniu wypłat gotówki
z rachunku płatniczego oraz wszelkie działania niezbędne do prowadzenia rachunku; wykonywaniu transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy; wydawaniu instrumentów płatniczych; umożliwianiu akceptowania instrumentów płatniczych; świadczeniu usługi przekazu pieniężnego.[3]

Działalność w zakresie świadczenia wyżej wymienionych usług płatniczych może być wykonywana wyłącznie przez dostawców usług płatniczych, którymi są m.in. bank krajowy, oddział banku zagranicznego, czy też instytucja kredytowa. Obszerny katalog innych dostawców usług płatniczych zawarto w art. 4 uup.

Ustawa definiuje również pojęcia: płatnika, odbiorcy i użytkownika. Za płatnika uważa się m.in. osobę fizyczną, składającą zlecenie płatnicze[4] – będzie nim więc np. posiadacz rachunku zlecający wykonanie przelewu, czy dokonujący płatności za pomocą innego instrumentu. Zlecenie płatnicze oznacza oświadczenie płatnika lub odbiorcy skierowane do jego dostawcy zawierające polecenie wykonania transakcji płatniczej [5], natomiast transakcja płatnicza to zainicjowana przez płatnika lub odbiorcę wpłata, transfer lub wypłata środków pieniężnych.[6]

Jako odbiorcę ustawa definiuje z kolei osobę będącą odbiorcą środków pieniężnych stanowiących przedmiot transakcji płatniczej.[7] Płatnika i odbiorcę zbiorczo ustawa określa mianem użytkownika.[8]

Obowiązki użytkownika i dostawcy

Podstawowymi obowiązkami użytkowników instrumentów płatniczych zgodnie z art. 42 uup są:

– korzystanie z instrumentu płatniczego zgodnie z zawartą z dostawcą umową ramową. W ramach tego obowiązku użytkownik powinien podejmować niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym, oraz

– zgłaszanie niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenia utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.

Do podstawowych obowiązków dostawcy należą natomiast:

– zapewnienie, że indywidualne dane uwierzytelniające nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu,

– niewysyłanie niezamówionego instrumentu płatniczego, z wyjątkiem sytuacji, w których instrument płatniczy otrzymany przez użytkownika podlega wymianie,

– zapewnienie stałej dostępności odpowiednich środków pozwalających użytkownikowi na dokonanie zgłoszenia stwierdzenia utraty, kradzieży albo nieuprawnionego użycia instrumentu płatniczego, w tym zapewnienie możliwości bezpłatnego dokonania takiego zgłoszenia oraz uniemożliwienia korzystania
z instrumentu płatniczego po dokonaniu zgłoszenia (tak: art. 43 uup) .

Nieautoryzowane transakcje

Jak wskazano wyżej podstawowym obowiązkiem użytkownika instrumentów płatniczych jest zgłaszanie niezwłocznie dostawcy nieuprawnionego dostępu do instrumentu płatniczego, w przypadku nieautoryzowanych transakcji płatniczych użytkownik ma również obowiązek niezwłocznego powiadamiania dostawcy o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych. (tak: art. 44 ust. 1 uup).

Zawiadomienia użytkownika najczęściej będzie dokonane jako reklamacja transakcji. Należy przy tym pamiętać, że orzecznictwo rozróżnia autoryzację transakcji od samego uwierzytelnienia transakcji, autoryzacja oznacza zgodę na wykonanie transakcji płatniczej (jej potwierdzenie), natomiast uwierzytelnienie jest procedurą umożliwiającą bankowi weryfikację tożsamości użytkownika. Wykazanie uwierzytelnienia transakcji płatniczej nie jest więc równoznaczne z wykazaniem jej autoryzacji, nie każda uwierzytelniona przez użytkownika transakcja będzie więc mogła zostać uznana za autoryzowaną[9].

Roszczenie użytkownika w stosunku do dostawcy wygasają, jeżeli nie dokona on powiadomienia w terminie
13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana. (tak: art. 44 ust. 2 uup).

Ustawa w sposób korzystny dla użytkownika rozkłada przy tym ciężar udowodnienia, że transakcja była autoryzowana. To bowiem na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej (tak: art. 45 ust. 1 uup). Samo więc wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie, albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa powyżej (tak: art. 45 ust. 2 uup).

Zwrot środków

Udowodnienie, że transakcje została autoryzowana przez płatnika ma kluczowe znaczenie dla odpowiedzialności banku i zwrotu środków. Zgodnie bowiem z art. 46 ust. 1 uup z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo.

Odpowiedzialność banku za nieautoryzowaną transakcję może więc być wyłączona jedynie w przypadku, gdy do nieautoryzowanej transakcji doszło w wyniku rażącego niedbalstwa użytkownika lub gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo.

W praktyce to właśnie kwestia rażącego niedbalstwa użytkownika stanowi najczęstsza oś sporów sądowych między klientami a bankami.

Rażące niedbalstwo

Podejmując próbę definicji rażącego niedbalstwa Sąd Najwyższy w wyroku z dnia 10 marca 2004 r. sygn. akt IV CK 151/03 stwierdził, iż „Przypisanie określonej osobie niedbalstwa uznaje się za uzasadnione wtedy, gdy osoba ta zachowała się w określonym miejscu i czasie w sposób odbiegający od właściwego dla niej miernika należytej staranności. Przez rażące niedbalstwo rozumie się natomiast niezachowanie minimalnych (elementarnych) zasad prawidłowego zachowania się w danej sytuacji”. Rażące niedbalstwo jest zatem kwalifikowaną postacią winy nieumyślnej, oznacza wyższy jej stopień niż w przypadku zwykłego niedbalstwa, leżący już bardzo blisko winy umyślnej.

Posłużenie się przez ustawę o usługach płatniczych kategorią rażącego niedbalstwa znacząco więc „podnosi poprzeczkę” i sprawia, że wyłączenie odpowiedzialności banku jest trudnym zadaniem. Orzecznictwo sądów powszechnych cechuje się przy tym bardzo wyrozumiałym podejściem do zachowań użytkowników, w rezultacie czego nawet bardzo lekkomyślne i nieuważne działania użytkowników będących konsumentami, często nie powodują przypisania im odpowiedzialności za nieautoryzowane transakcje.

Ustawa o usługach płatniczych korzystnie więc dla konsumentów – klientów banku kształtuje odpowiedzialności banku za „kradzież z konta”, przerzucając ciężar dowodu na banki i wprowadzając kategorię „rażącego niedbalstwa”.

Częstym efektem wydania wyroku jest więc zwrot środków przez Bank. Należy jednak pamiętać, że w praktyce konkretny stan faktyczny może być odmiennie oceniony przez sąd rozpatrujący sprawę, a sam proces sądowy jest długotrwały. Istotne i rozsądne, z punktu widzenia użytkownika instrumentów płatniczych, jest więc zachowanie daleko posuniętej ostrożności w korzystaniu z tych instrumentów.

[1] Raport POLASIK RESEARCH zrealizowany przez agencję Minds & Roses dla Fundacji Polska Bezgotówkowa, styczeń 2025 r.

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE

[3] Tak: art. 3 ust. 1 uup

[4] Tak: art. 2 pkt 22 uup

[5] Tak. Art. 2 pkt 36 uup

[6] Tak: art. 2 pkt 29 uup

[7] Tak: art. 2 pkt 18 uup

[8] Tak: art. 2 pkt 34 uup

[9] za: Wyrok Sądu Najwyższego – Izba Cywilna z dnia 15 września 2023 r., sygn. akt II CSKP 1013/22, opubl. OSNC 2024 nr 6, poz. 61, str. 49