W dobie powszechnego korzystania z bankowości elektronicznej i płatności mobilnych ryzyko dokonania nieautoryzowanej transakcji staje się realnym problemem dla wielu konsumentów. Co, gdy z naszego konta znikają środki bez naszej zgody? Jakie obowiązki ma bank, a jakie prawa przysługują klientowi? W dzisiejszym wpisie omawiamy, czym jest nieautoryzowana transakcja płatnicza oraz jakie obowiązki ma wówczas bankna przykładzie jednej z prowadzonych przez nas spraw.

Stan faktyczny

W styczniu 2025 roku doszło do nieautoryzowanych transakcji na rachunku bankowym klientki oraz powiązanej z nim karcie płatniczej w Banku. Sprawca, podając się za pracownika Banku, podczas rozmowy telefonicznej wprowadził klientkę w błąd i nakłonił ją do zainstalowania aplikacji na telefonie, co umożliwiło mu uzyskanie nieuprawnionego dostępu do jej rachunku bankowego. Sprawcy kontaktowali się z klientką z numeru komórkowego oznaczonego jako „Bank”, a także wysyłali wiadomości SMS w tym samym oknie dialogowym, w którym wcześniej prowadzona była korespondencja z Bankiem.

Sprawca dokonał szeregu nieautoryzowanych transakcji, w tym przelewów i wypłat BLIK, na łączną kwotę ponad 28 000 zł. Klientka nie autoryzowała wspomnianych transakcji płatniczych.

Po uzyskaniu informacji o oszustwie, jeszcze tego samego dnia, klientka niezwłocznie skontaktowała się z Bankiem za pośrednictwem infolinii, informując o nieautoryzowanych transakcjach i prosząc o zablokowanie transakcji, które nie zostały jeszcze zakończone. Dodatkowo, wciąż tego samego dnia, klientka kontaktowała się z Bankiem  w jego placówce. Klientka udała się również do innej placówki Banku u, informując pracowników, że pomimo jej jednoznacznych oświadczeń, transakcje są nadal przetwarzane. Bank natomiast zignorował zgłoszenie klientki i nie wstrzymał przetwarzania transakcji, które w chwili obu wizyt w placówce nie były jeszcze w pełni wykonane.

Klientka złożyła reklamację do Banku  następnego dnia po zdarzeniu, jednak reklamacja ta została negatywnie rozpatrzona. W piśmie klientka wskazała, że oszuści uzyskali dostęp do aplikacji klientki wskutek niewystarczających zabezpieczeń po stronie Banku, że klientka nie autoryzowała transakcji, niezwłocznie poinformowała Bank o oszustwie, a Bank nie podjął żadnych czynności po uzyskaniu zawiadomienia, mimo że miał możliwość „cofnięcia transakcji”.

Odpowiedzialność Banku za Nieautoryzowane Transakcje – Art. 45 ust. 1 Ustawy o Usługach Płatniczych (UUP)

Zgodnie z art. 45 ust. 1 Ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2024 r. poz. 630):

W przypadku nieautoryzowanej transakcji płatniczej dostawca świadczy użytkownikowi niezwłocznie zwrot kwoty nieautoryzowanej transakcji płatniczej, a w przypadku gdy użytkownik złożył reklamację, o której mowa w art. 44 ust. 1, w terminie do końca dnia roboczego, w którym zgłoszono taką transakcję, albo w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego, zwraca użytkownikowi kwotę nieautoryzowanej transakcji płatniczej, chyba że użytkownik dokonał oszustwa lub umyślnie albo wskutek rażącego niedbalstwa naruszył obowiązki, o których mowa w art. 42.

Kluczowym elementem art. 45 UUP jest zasada, że to na dostawcy usług płatniczych spoczywa obowiązek udowodnienia, że transakcja płatnicza została autoryzowana przez użytkownika. Dotyczy to również sytuacji, gdy transakcja została zainicjowana przez dostawcę świadczącego usługę inicjowania transakcji płatniczej. Istotne jest, że samo zarejestrowanie faktu użycia instrumentu płatniczego nie jest wystarczającym dowodem autoryzacji przez użytkownika. Bank musi przedstawić dodatkowe dowody potwierdzające, że płatnik wyraził zgodę na daną transakcję. Ponadto, w przypadku gdy Bank zamierza zwolnić się z odpowiedzialności, argumentując, że to użytkownik umyślnie lub wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji lub naruszył swoje obowiązki z art. 42 UUP, to również na banku ciąży obowiązek udowodnienia tych okoliczności[1].

Autoryzacja a uwierzytelnianie.

Zgodnie z opinią Prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), uwierzytelnienie, będące czynnością techniczną polegającą na weryfikacji tożsamości użytkownika, nie jest tożsame z autoryzacją, która stanowi wyrażenie zgody na dokonanie transakcji[2]. Samo wykazanie prawidłowości uwierzytelnienia nie jest wystarczające do udowodnienia autoryzacji transakcji w rozumieniu art. 45 ust. 1 UUP. Takie stanowisko potwierdza również orzecznictwo sądów [3].

Art 45 UUP implementuje art. 64 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (PSD2). Kluczowym elementem prawidłowej autoryzacji jest udzielenie przez płatnika zgody na wykonanie określonej transakcji płatniczej, Ciężar udowodnienia tej zgody spoczywa na dostawcy usług płatniczych.

Polskie sądy w swojej praktyce orzeczniczej wielokrotnie odnosiły się do art. 45 UUP, interpretując jego postanowienia w kontekście konkretnych spraw dotyczących nieautoryzowanych transakcji płatniczych. W wyroku Sądu Rejonowego dla Łodzi-Śródmieścia w Łodzi z dnia 13 lutego 2017 r. [4], sąd zasądził od banku na rzecz powódki kwotę nieautoryzowanej transakcji, uznając, że pozwany bank nie wykazał, aby powódka dopuściła się rażącego niedbalstwa. Sąd podkreślił, że ciężar udowodnienia, iż transakcja była autoryzowana lub że płatnik doprowadził do niej umyślnie lub wskutek rażącego niedbalstwa, spoczywa na dostawcy usług płatniczych.

Podobne stanowisko zajął Sąd Apelacyjny w Łodzi w wyroku z dnia 17 stycznia 2020 r., podkreślając, że, zgodnie z art. 45 ust. 1 UUP, ciężar udowodnienia autoryzacji transakcji spoczywa na dostawcy użytkownika, a samo zarejestrowane użycie instrumentu płatniczego nie jest wystarczające [5]. Sąd uznał, że pozwany bank nie wywiązał się z obowiązku zapewnienia bezpieczeństwa instrumentu płatniczego. Z kolei w wyroku Sądu Okręgowego w Warszawie z dnia 19 czerwca 2017 r., sąd orzekł, że bank nie udowodnił, aby powód autoryzował sporne przelewy, mimo że zostały one uwierzytelnione przy użyciu jego loginu i kodów SMS. Sąd wyraźnie rozróżnił pojęcie uwierzytelnienia od autoryzacji, podkreślając, że brak zgody płatnika na transakcję skutkuje uznaniem jej za nieautoryzowaną.[6]

Warto również zwrócić uwagę na wyrok Sądu Okręgowego w Sieradzu z dnia 10 lutego 2022 r. [7] gdzie sąd przypomniał, że zgodnie z art. 45 UUP, ciężar udowodnienia autoryzacji transakcji spoczywa na dostawcy, a samo zarejestrowane użycie instrumentu płatniczego nie jest wystarczające. Dostawca musi udowodnić inne okoliczności wskazujące na autoryzację lub na umyślne działanie bądź rażące niedbalstwo płatnika.

Analiza orzeczeń sądowych ujawnia spójną linię interpretacyjną art. 45 UUP, która kładzie nacisk na ochronę konsumenta poprzez nałożenie znacznego ciężaru dowodu na bank w zakresie wykazania autoryzacji transakcji lub winy użytkownika. Sądy konsekwentnie podkreślają różnicę między uwierzytelnieniem a autoryzacją. Ponadto w orzecznictwie zwraca się uwagę, że w przypadku zarzutu nieautoryzowanej transakcji, to na Banku obowiązek wykazania, iż transakcja została wykonana zgodnie z wolą Klienta.

Naruszenie art. 45 UPP

Na podstawie analizy orzeczeń sądowych i interpretacji prawnych, można wskazać konkretne sytuacje, w których banki są zazwyczaj uznawane za odpowiedzialne za nieautoryzowane transakcje płatnicze w świetle art. 45 UUP. Jedną z takich sytuacji są transakcje wynikające z phishingu lub innych oszustw, gdzie użytkownik, mimo zastosowania procedur uwierzytelnienia, nie wyraził rzeczywistej zgody na transakcję i nie dopuścił się przy tym umyślnego działania ani rażącego niedbalstwa w ujawnieniu swoich danych [8]. W takich przypadkach, bank nie jest w stanie udowodnić, że transakcja została autoryzowana przez płatnika.

Kolejną kategorią są transakcje, do których doszło w wyniku luk lub słabości w systemach bezpieczeństwa banku[9]. Jeżeli bank nie zapewnił odpowiedniego poziomu zabezpieczeń, które uniemożliwiłyby na nieuprawniony dostęp do konta lub instrumentu płatniczego, może ponosić odpowiedzialność za powstałe w ten sposób nieautoryzowane transakcje. Odpowiedzialność banku może również powstać w sytuacjach, gdy nie jest on w stanie przedstawić wystarczających dowodów na to, że użytkownik wyraził jednoznaczną zgodę (autoryzację) na transakcję, nawet jeśli doszło do technicznego uwierzytelnienia [10]. Samo zalogowanie się do systemu bankowości internetowej przy użyciu prawidłowych danych uwierzytelniających niekoniecznie oznacza autoryzację każdej kolejnej transakcji.

Ponadto, jeśli bank nie wdrożył lub nie utrzymuje adekwatnych środków bezpieczeństwa, które mogłyby zapobiec nieautoryzowanemu dostępowi do kont klientów, może zostać pociągnięty do odpowiedzialności na podstawie art. 45 UUP [11]. W kontekście wielu nieautoryzowanych transakcji, które są skutkiem ataków phishingowych i socjotechnicznych, kluczowe jest, aby banki nie tylko stosowały zaawansowane protokoły uwierzytelniania, ale także aktywnie edukowały swoich klientów na temat potencjalnych zagrożeń. Odpowiedzialność banków w świetle art. 45 UUP rozciąga się zatem nie tylko na techniczną poprawność wykonania transakcji, ale także na bezpieczeństwo ich systemów i jasność procesu autoryzacji dla użytkowników.

Aby ustalić odpowiedzialność banku za nieautoryzowaną transakcję płatniczą na podstawie art. 45 UUP, muszą zostać spełnione określone przesłanki:

• zgłoszenie przez użytkownika, że dana transakcja była nieautoryzowana.[12]. Wówczas, zgodnie z art. 45 uup, na banku spoczywa ciężar udowodnienia, że transakcja została autoryzowana przez użytkownika [13].

• brak wykazania przez bank, że użytkownik umyślnie lub wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji lub naruszył swoje obowiązki wynikające z art. 42 UUP.

Relacja między zgłoszeniem nieautoryzowanej transakcji przez użytkownika a obowiązkiem banku udowodnienia jej autoryzacji tworzy mechanizm, w którym oświadczenie użytkownika uruchamia odpowiedzialność dowodową banku. Chociaż art. 45 UUP dotyczy głównie ciężaru dowodu, jego zastosowanie jest ściśle powiązane z obowiązkami notyfikacyjnymi użytkownika i terminami określonymi w innych artykułach, takich jak art. 46 UUP.

Ciężar Dowodu

Zgodnie z art. 45 ust. 2 Ustawy o Usługach Płatniczych:

Jeżeli użytkownik zgłosił dostawcy nieautoryzowaną transakcję płatniczą, ciężar udowodnienia, że transakcja płatnicza była autoryzowana, spoczywa na dostawcy.

W związku z tym, to na Banku spoczywa obowiązek udowodnienia, że transakcje były autoryzowane. Bank musi przedstawić dowody potwierdzające prawidłową autoryzację każdej transakcji. Nie jest wystarczające powoływanie się na ogólne stwierdzenia o zgodności z procedurami.

Bank nie może opierać się jedynie na twierdzeniu, że transakcja została uwierzytelniona kodem CVC2/CVV2 i 3D Secure, ponieważ te metody autoryzacji, choć powszechne, nie są niepodważalne i mogą zostać przełamane przez oszustów.

Bank powinien przedstawić szczegółowe logi systemowe, analizę IP, MAC adresów urządzeń, z których dokonywano transakcji, oraz inne dane, które pozwolą na jednoznaczne ustalenie sprawców przestępstwa.

Brak rażącego niedbalstwa po stronie klientki

W przedmiotowej sprawie nie autoryzowano ww. transakcji. W pełni należy się zgodzić ze stanowiskiem judykatury, że pojęcie autoryzacji jest kategorią odmienną od pojęcia uwierzytelniania.

Wzywająca nie dopuściła się rażącego niedbalstwa oraz nie dopuściła się umyślnego wytransferowania środków. Wzywająca niezwłocznie poinformowała Bank o konieczności zaprzestania procedowania transakcji, które w chwili dokonania przez nią zgłoszenia nie zostały jeszcze zakończone.

W przedmiotowej sprawie rażące niedbalstwo występuje po stronie Banku, który pozostawał bierny na informacje uzyskane od Konsumenta. Ciężar udowodnienia okoliczności przeciwnych spoczywa natomiast na Banku, który nie sprostał temu wymogowi.

Użytkowniczka podjęła wszelkie racjonalne środki ostrożności. Została oszukana przez osobę podającą się za pracownika Banku i nakłoniona do zainstalowania aplikacji, co w obecnych czasach jest powszechną praktyką w obsłudze klienta przez instytucje finansowe. W orzecznictwie podkreśla się, że rażące niedbalstwo musi być oczywiste i łatwo zauważalne. Nie można zatem uznać, że działanie Klientki nosi znamiona "rażącego niedbalstwa".

Odpowiedzialność Banku za Bezpieczeństwo

Zgodnie z art. 36 UUP dostawca usług płatniczych jest obowiązany zapewnić bezpieczeństwo świadczonych usług płatniczych, w tym ochronę przed nieautoryzowanym dostępem do rachunku płatniczego użytkownika.

W niniejszej sprawie, Bank nie zapewnił odpowiedniego poziomu bezpieczeństwa, co umożliwiło oszustom dokonanie nieautoryzowanych transakcji.

Bank powinien stosować nowoczesne i skuteczne metody autoryzacji i monitorowania transakcji, aby minimalizować ryzyko oszustw.

W przypadku, gdy klient pada ofiarą oszustwa, bank powinien aktywnie współpracować z organami ścigania i podejmować wszelkie możliwe kroki w celu odzyskania środków.

Skutki nieautoryzowanych transakcji

Art. 46 UUP określa materialne konsekwencje wystąpienia nieautoryzowanej transakcji. Zasadą jest, że w przypadku nieautoryzowanej transakcji, bank ma obowiązek niezwłocznie zwrócić płatnikowi kwotę tej transakcji oraz w przypadku korzystania z rachunku płatniczego, przywrócić jego stan do poziomu sprzed transakcji [14].

W przedmiotowej sprawie nie znajdzie zastosowania wyjątek przewidziany przez Art. 46 UUP, który przewiduje ograniczenie odpowiedzialności płatnika do kwoty stanowiącej równowartość 50 EUR w przypadku, gdy nieautoryzowana transakcja jest wynikiem utraty, kradzieży lub przywłaszczenia instrumentu płatniczego. Wzywającej nie ukradziono instrumentu płatniczego, a jedynie uzyskano dostęp do jej aplikacji bankowej wskutek niewystarczających zabezpieczeń po stronie banku.

Odpowiedzialność Banku jest w tym przypadku odpowiedzialnością na zasadzie ryzyka, co oznacza, że bank odpowiada za nieautoryzowane transakcje, niezależnie od tego, czy ponosi winę za ich powstanie.

PODSUMOWANIE

Odpowiedzialność banku w szczególności wynika z faktu, że:

a.       Oszuści uzyskali dostęp do aplikacji Wzywającej wskutek niewystarczających zabezpieczeń po stronie Banku – oszuści przełamali zabezpieczenia Banku i uzyskali możliwość nadawania wiadomości sms z numeru, który był identyfikowany przez telefon Wzywającej jako „Bank”

b.       Wzywająca nie autoryzowała przedmiotowych transakcji,

c.       Wzywająca niezwłocznie poinformowała Bank o oszustwie,

d.       Bank nie podjął żadnych czynności niezwłocznie po uzyskaniu zawiadomienia, pomimo, że Wzywająca skontaktowała się z Bankiem w chwili, gdy przetwarzanie transakcji nie zastało zakończone w zw. z czym Bank miał możliwość „cofnięcia transakcji”.

Biorąc pod uwagę interpretacje prawne i orzecznictwo sądowe, jasne jest, że banki ponoszą odpowiedzialność za nieautoryzowane transakcje płatnicze. Ciężar dowodu spoczywa na banku, który musi wykazać, że transakcja została autoryzowana przez użytkownika lub że użytkownik działał umyślnie albo wskutek rażącego niedbalstwa. Sama techniczna autoryzacja często nie wystarcza do udowodnienia zgody. Jak pokazuje przedstawiony przypadek i co potwierdzają liczne orzeczenia sądowe, jeśli bank nie zapewni odpowiednich zabezpieczeń, zignoruje natychmiastowe zgłoszenie oszustwa przez klienta lub nie będzie w stanie jednoznacznie udowodnić autoryzacji, zostanie pociągnięty do odpowiedzialności. Przytoczone przepisy mają na celu ochronę konsumentów poprzez silne podkreślenie obowiązków banku w zakresie bezpieczeństwa usług płatniczych i jasności procesu autoryzacji dla użytkowników

[2] Interpretacja Prezesa UOKiK z dnia 22 grudnia 2022 r. dotycząca ciężaru dowodu autoryzacji transakcji płatniczej dostępna na stronie internetowej UOKiK,

[3] Wyrok SO w Warszawie sygn. II C 334/16

[4] Wyrok Sądu Rejonowego dla Łodzi-Śródmieścia w Łodzi z dnia 13 lutego 2017 r., sygn. akt I C 924/15.

[5] Wyrok Sądu Apelacyjnego w Łodzi z dnia 17 stycznia 2020 r., sygn. akt I ACa 1511/18

[6] Wyrok Sądu Okręgowego w Warszawie z dnia 19 czerwca 2017 r., sygn. akt II C 334/16.

[7] Wyrok Sądu Okręgowego w Sieradzu z dnia 10 lutego 2022 r., sygn. akt I C 648/20.

[8] Wyrok Sądu Okręgowego w Warszawie z dnia 19 czerwca 2017 r., sygn. akt II C 334/16. Wyrok Sądu Rejonowego dla Łodzi-Śródmieścia w Łodzi z dnia 13 lutego 2017 r., sygn. akt I C 924/15.

[9] Wyrok Sądu Apelacyjnego w Łodzi z dnia 17 stycznia 2020 r., sygn. akt I ACa 1511/18.

[10] Wyrok Sądu Okręgowego w Warszawie z dnia 19 czerwca 2017 r., sygn. akt II C 334/16.

[11] Wyrok Sądu Apelacyjnego w Łodzi z dnia 17 stycznia 2020 r., sygn. akt I ACa 1511/18

[12] D. Bednarczyk, Komentarz do art. 45 ustawy o usługach płatniczych, LEX/el, T. Czech, Obowiązki użytkownika instrumentu płatniczego w kontekście nieautoryzowanych transakcji płatniczych, Prawo Bankowe 2020, nr 10, s. 45-58.

[13] Wyrok Sądu Najwyższego z dnia 12 kwietnia 2018 r., sygn. akt V CSK 141/17, Wyrok Sądu Okręgowego w Warszawie z dnia 19 czerwca 2017 r., sygn. akt II C 334/16., Wyrok Sądu Rejonowego dla Łodzi-Śródmieścia w Łodzi z dnia 13 lutego 2017 r., sygn. akt I C 924/15., M. Sieradzka, Odpowiedzialność dostawcy usług płatniczych za nieautoryzowane transakcje płatnicze, Monitor Prawniczy 2018, nr 2, s. 70-78Wyrok Sądu Apelacyjnego w Łodzi z dnia 17 stycznia 2020 r., sygn. akt I ACa 1511/18.

[14] Wyrok Sądu Najwyższego z dnia 12 kwietnia 2018 r., sygn. akt V CSK 141/17., Wyrok Sądu Okręgowego w Poznaniu z dnia 28 listopada 2019 r., sygn. akt XII C 1452/18, Wyrok Sądu Rejonowego w Bydgoszczy z dnia 15 maja 2020 r., sygn. akt VIII C 237/19. M. Nowak, Komentarz do art. 46 ustawy o usługach płatniczych, System Informacji Prawnej LEX/el. Makarowicz, Odpowiedzialność za nieautoryzowane transakcje płatnicze w świetle ustawy o usługach płatniczych, Internetowy Kwartalnik Antymonopolowy i Regulacyjny 2017, nr 4(6), s. 65-77.