Nieautoryzowane transakcje płatnicze – odpowiedzialność banku i zwrot pieniędzy (UUP)
Pierwsza publikacja: Maj 2025 · Aktualizacja: Marzec 2026
W dobie powszechnej bankowości elektronicznej ryzyko nieautoryzowanej transakcji staje się realnym problemem. Co, gdy z konta znikają pieniądze bez Twojej zgody? Jakie obowiązki ma bank, a jakie prawa przysługują Ci na gruncie ustawy o usługach płatniczych (UUP)?
W tym artykule omawiamy kluczowe przepisy art. 45 i 46 UUP, najnowszą opinię Rzecznika Generalnego TSUE z 5 marca 2026 r. (sprawa C-70/25 — polska klientka, phishing) oraz praktyczny poradnik — co zrobić krok po kroku po wykryciu nieautoryzowanej transakcji.
Spis treści:
- 1. TSUE C-70/25 — przełomowa opinia ws. polskiej klientki (marzec 2026)
- 2. Nasza sprawa — spoofing, BLIK, 28 000 zł
- 3. Art. 45 UUP — ciężar dowodu na banku
- 4. Autoryzacja ≠ uwierzytelnienie
- 5. Art. 46 UUP — zwrot D+1 i mechanizm „najpierw zwróć"
- 6. Orzecznictwo 2023–2026
- 7. Co zrobić po wykryciu — krok po kroku
- 8. Obowiązki konsumenta (art. 42 UUP)
- 9. PSD3/PSR — nadchodzące zmiany
- 10. Najczęstsze pytania
Skontaktuj się z nami — bezpłatna analiza sprawy →
1. Opinia TSUE C-70/25 — bank musi zwrócić, nawet przy rażącym niedbalstwie klienta
Nowość — 5 marca 2026 r.
Rzecznik Generalny TSUE Athanasios Rantos wydał opinię w sprawie C-70/25 (Tukowiecka) — polskiej klientki, która padła ofiarą phishingu w okolicznościach niemal identycznych jak w naszej sprawie opisanej poniżej.
Kluczowa teza opinii: Bank nie może odmówić bezzwłocznego zwrotu kwoty nieautoryzowanej transakcji z powodu rażącego niedbalstwa klienta. Zwrot ten nie jest jednak ostateczny — po jego dokonaniu bank może zażądać od klienta pokrycia strat, jeżeli umyślnie lub w wyniku rażącego niedbalstwa nie dochował swoich obowiązków.
Rzecznik Generalny stwierdził, że prawo unijne zobowiązuje bank do bezzwłocznego zwrotu kwoty nieautoryzowanej transakcji, chyba że ma uzasadnione powody, by podejrzewać oszustwo ze strony samego klienta — o czym musi poinformować na piśmie właściwy organ. Od tej zasady nie przewidziano żadnych innych wyjątków, a prawodawca unijny nie pozostawił państwom członkowskim swobody działania w tym zakresie.
Co to oznacza w praktyce?
Opinia Rzecznika to jeszcze nie wyrok TSUE, ale wyznacza kierunek rozstrzygnięcia. Jej treść jest spójna z literalnym brzmieniem art. 46 UUP, stanowiskiem UOKiK oraz Rzecznika Finansowego. Jeśli TSUE podzieli tę opinię, banki w Polsce stracą argument, na który powołują się najczęściej — „rażące niedbalstwo klienta zwalnia z obowiązku zwrotu D+1".
2. Nasza sprawa — spoofing, BLIK, 28 000 zł
W styczniu 2025 r. doszło do nieautoryzowanych transakcji na rachunku naszej klientki. Sprawca, podając się za pracownika banku, nakłonił ją do zainstalowania aplikacji na telefonie, co umożliwiło mu dostęp do rachunku. Sprawcy kontaktowali się z numeru oznaczonego jako „Bank" i wysyłali SMS-y w tym samym wątku co wcześniejsza korespondencja z bankiem (tzw. spoofing).
Sprawca dokonał szeregu nieautoryzowanych transakcji — przelewów i wypłat BLIK — na łączną kwotę ponad 28 000 zł. Klientka niezwłocznie (tego samego dnia) skontaktowała się z bankiem przez infolinię, odwiedziła dwie placówki, prosząc o wstrzymanie transakcji, które nie były jeszcze zakończone. Bank zignorował zgłoszenie i nie wstrzymał przetwarzania. Reklamacja złożona następnego dnia została odrzucona.
Sprawa naszej klientki jest wzorcowym przykładem spełnienia wymogu zgłoszenia „bez zbędnej zwłoki" — w kontekście wyroku TSUE C-665/23, który potwierdził, że terminowość zgłoszenia ma kluczowe znaczenie dla zachowania prawa do zwrotu.
3. Art. 45 UUP — ciężar dowodu na banku
Zgodnie z art. 45 ust. 1 i 2 UUP (Dz.U. 2025 poz. 611):
To najsilniejszy oręż konsumenta w sporze z bankiem. Konsument musi jedynie zgłosić, że transakcja była nieautoryzowana — nie musi przedstawiać żadnych dowodów. To bank musi wykazać, że klient świadomie wyraził zgodę. Samo zarejestrowanie użycia instrumentu płatniczego nie jest wystarczającym dowodem autoryzacji (wyrok SN z 18 stycznia 2018 r., V CSK 141/17; wyrok SN z 15 września 2023 r., II CSKP 1013/22).
Jeśli bank chce się zwolnić z odpowiedzialności, argumentując rażące niedbalstwo klienta (art. 42 UUP), to również na banku ciąży obowiązek udowodnienia tych okoliczności.
4. Autoryzacja ≠ uwierzytelnienie
Kluczowe rozróżnienie (UOKiK + SN)
Autoryzacja = świadome wyrażenie zgody przez klienta na transakcję.
Uwierzytelnienie = czynność techniczna — podanie PIN, kodu SMS, potwierdzenie w aplikacji.
To nie to samo. Bank, który twierdzi, że „transakcja została autoryzowana" na podstawie samego uwierzytelnienia, wprowadza konsumenta w błąd (stanowisko Prezesa UOKiK z 22.12.2022 r., wyrok SN II CSKP 1013/22 z 15.09.2023 r.).
Sądy konsekwentnie potwierdzają tę linię:
- SO w Warszawie (II C 334/16, 19.06.2017) — bank nie udowodnił autoryzacji mimo uwierzytelnienia loginem i kodem SMS.
- SA w Łodzi (I ACa 1511/18, 17.01.2020) — bank nie zapewnił bezpieczeństwa instrumentu płatniczego; samo użycie instrumentu nie dowodzi autoryzacji.
- SO w Sieradzu (I C 648/20, 10.02.2022) — dostawca musi udowodnić okoliczności wskazujące na autoryzację lub rażące niedbalstwo.
- SO w Piotrkowie Trybunalskim (II Ca 361/24, 8.07.2024) — brak autoryzacji należy rozumieć szeroko, obejmuje każdą sytuację, gdy płatnik nie miał woli dokonania rozporządzenia.
5. Art. 46 UUP — zwrot D+1 i mechanizm „najpierw zwróć"
Zgodnie z art. 46 UUP, bank ma obowiązek zwrócić pieniądze do końca następnego dnia roboczego po zgłoszeniu (termin D+1). To obowiązek bezwzględny.
Kluczowy mechanizm potwierdzony przez opinię TSUE C-70/25: bank najpierw musi zwrócić środki (D+1), a dopiero potem może dochodzić ich od klienta, jeśli wykaże umyślne działanie lub rażące niedbalstwo. Bank nie może od razu odmówić zwrotu, powołując się na winę klienta.
Bank może odmówić zwrotu D+1 wyłącznie w dwóch przypadkach:
- Zgłoszenie po upływie 13 miesięcy od transakcji.
- Bank zawiadomił policję lub prokuraturę o uzasadnionym podejrzeniu oszustwa ze strony samego klienta (fałszywe zgłoszenie).
15 banków pod lupą UOKiK
UOKiK prowadzi postępowania wobec 15 banków za nieprzestrzeganie D+1, wprowadzanie w błąd (autoryzacja vs. uwierzytelnienie) i stosowanie „zwrotów warunkowych" (automatyczne pobranie zwróconej kwoty po negatywnej ocenie reklamacji). Kara: do 10% obrotu. Alior Bank i Plus Bank ograniczają też liczbę reklamacji (max. 15) i skracają termin zgłoszenia do 120 dni — co jest niezgodne z ustawą (13 miesięcy, bez limitu reklamacji).
Limit 50 EUR i odpowiedzialność na zasadzie ryzyka
Konsument odpowiada za nieautoryzowane transakcje max. do 50 EUR, jeśli wynikały z utraty lub kradzieży instrumentu płatniczego. W sprawie naszej klientki ten limit nie ma zastosowania — nie ukradziono jej karty, lecz uzyskano dostęp do aplikacji wskutek socjotechniki. Odpowiedzialność banku jest w takim przypadku odpowiedzialnością na zasadzie ryzyka.
6. Orzecznictwo 2023–2026
| Orzeczenie | Kluczowa teza |
|---|---|
| Opinia RG TSUE C-70/25 (5.03.2026) | Bank musi zwrócić D+1 nawet przy rażącym niedbalstwie klienta; dopiero potem może dochodzić roszczeń |
| TSUE C-665/23 (1.08.2025) | Obowiązek zgłoszenia „bez zbędnej zwłoki" — niezależny od terminu 13 miesięcy; ciężar dowodu na banku |
| SN II CSKP 1013/22 (15.09.2023) | Uwierzytelnienie ≠ autoryzacja — bank musi udowodnić świadomą zgodę klienta |
| SO Piotrków II Ca 361/24 (8.07.2024) | Brak autoryzacji rozumieć szeroko — obejmuje brak woli rozporządzenia środkami |
| SR Warszawa-Mokotów I C 3854/21 (14.03.2024) | Instalacja aplikacji pod wpływem socjotechniki = niedbalstwo, ale nie rażące |
| SN V CSK 141/17 (18.01.2018) | Samo zarejestrowane użycie instrumentu nie dowodzi autoryzacji |
| SA Łódź I ACa 1511/18 (17.01.2020) | Bank nie zapewnił bezpieczeństwa instrumentu — odpowiada za nieautoryzowane transakcje |
Szczególnie istotny jest wyrok SR dla Warszawy-Mokotowa (I C 3854/21) — sąd ocenił, że zainstalowanie aplikacji pod wpływem rozmowy z osobą podszywającą się pod pracownika banku to niedbalstwo, ale nie o charakterze rażącym. To bezpośredni precedens dla sprawy naszej klientki.
7. Co zrobić po wykryciu nieautoryzowanej transakcji — krok po kroku
| Krok | Co zrobić? | Termin |
|---|---|---|
| 1 | Zadzwoń na oficjalną infolinię banku — zgłoś nieautoryzowaną transakcję, zastrzeż kartę, zmień dane do logowania | Niezwłocznie (tego samego dnia!) |
| 2 | Złóż pisemną reklamację — powołaj się wprost na art. 45 i 46 UUP, zażądaj zwrotu D+1. Wskaż też procedurę chargeback jeśli transakcja dotyczyła karty | Jak najszybciej (max. 13 miesięcy) |
| 3 | Zawiadom policję — złóż zawiadomienie o podejrzeniu popełnienia przestępstwa | Tego samego lub następnego dnia |
| 4 | Czekaj na zwrot D+1 — bank ma obowiązek zwrotu do końca następnego dnia roboczego po zgłoszeniu | D+1 |
| 5 | Jeśli bank odmawia — złóż wniosek do Rzecznika Finansowego (bezpłatny, przerywa bieg przedawnienia) | W każdym momencie |
| 6 | Jeśli Rzecznik nie pomoże — pozew do sądu (opłata: 5% wartości sporu, min. 30 zł) | Przedawnienie: 3 lata |
8. Obowiązki konsumenta (art. 42 UUP) — kiedy tracisz ochronę?
UUP chroni konsumenta, ale nakłada też obowiązki. Tracisz ochronę, gdy:
- Świadomie ujawniłeś dane uwierzytelniające osobom trzecim (nie pod wpływem oszustwa — to istotne rozróżnienie).
- Nie zgłosiłeś transakcji bez zbędnej zwłoki po jej wykryciu (wymóg z TSUE C-665/23 — niezależny od terminu 13 miesięcy).
- Przekroczyłeś termin 13 miesięcy na zgłoszenie.
Zainstalowanie aplikacji pod wpływem socjotechniki ≠ rażące niedbalstwo
Sądy konsekwentnie uznają, że działanie pod wpływem manipulacji (podszywanie się pod pracownika banku, spoofing numeru) to niedbalstwo, ale nie rażące (SR Warszawa-Mokotów I C 3854/21). Oznacza to, że bank nie może odmówić zwrotu, powołując się na rażące niedbalstwo klienta — a po opinii TSUE C-70/25, nawet gdyby niedbalstwo było rażące, bank musi najpierw zwrócić D+1.
9. PSD3/PSR — nadchodzące zmiany (2027/2028)
W dniu 27 listopada 2025 r. Parlament Europejski i Rada UE osiągnęły porozumienie w sprawie PSD3 (dyrektywa — wymaga implementacji) i PSR (rozporządzenie — bezpośrednio stosowalne). Stosowanie po 18–24-miesięcznym okresie przejściowym (~2027/2028).
Kluczowe zmiany dla nieautoryzowanych transakcji:
- Weryfikacja nazwy do IBAN (name-to-IBAN check) — bank musi sprawdzić, czy nazwa odbiorcy zgadza się z numerem konta.
- Monitorowanie behawioralne w czasie rzeczywistym — banki zobowiązane do wykrywania podejrzanych wzorców transakcji.
- PSR przewiduje wzmocnioną ochronę przy tzw. APP fraud (manipulacja płatnikiem) — banki będą zobowiązane do weryfikacji transakcji i monitorowania behawioralnego. Szczegółowe zasady odpowiedzialności przy spoofingu będą doprecyzowane w akcie delegowanym.
- Jeśli bank nie wdroży mechanizmów zapobiegania oszustwom — ponosi odpowiedzialność za straty klientów.
Rzecznik Finansowy postuluje dodatkowo wprowadzenie 24-godzinnej karencji na uruchomienie kredytu w transakcjach na odległość — to propozycja legislacyjna, która mogłaby ograniczyć skutki wielu oszustw. Więcej o sporach z bankami na stronie prawo bankowe i sprawy frankowe. O kosztach niecelowej egzekucji po odzyskaniu pieniędzy piszemy w artykule Niecelowa egzekucja — kogo obciążają koszty?.
Padłeś ofiarą nieautoryzowanej transakcji?
Sprawdzimy, czy bank dochował obowiązków z art. 45–46 UUP i pomożemy odzyskać środki. Prowadzimy sprawy na terenie całej Polski.
Zamów Bezpłatną Analizę Sprawy10. Najczęstsze pytania
Ile czasu ma bank na zwrot pieniędzy po zgłoszeniu nieautoryzowanej transakcji?
Czym się różni autoryzacja od uwierzytelnienia?
Czy zainstalowanie aplikacji pod wpływem oszusta to rażące niedbalstwo?
Jaki jest termin na zgłoszenie nieautoryzowanej transakcji?
Czy chargeback dotyczy transakcji BLIK?
Ile kosztuje sprawa sądowa o zwrot nieautoryzowanej transakcji?
[1] Ciężar dowodu w zakresie winy użytkownika spoczywa na banku.
[2] Interpretacja Prezesa UOKiK z dnia 22 grudnia 2022 r. dowodu autoryzacji transakcji płatniczej.
[3] Wyrok SO w Warszawie sygn. II C 334/16; Wyrok SN z 15 września 2023 r., II CSKP 1013/22.
[4] Wyrok SR dla Łodzi-Śródmieścia z dnia 13 lutego 2017 r., sygn. I C 924/15.
[5] Wyrok SA w Łodzi z dnia 17 stycznia 2020 r., sygn. I ACa 1511/18.
[6] Wyrok SO w Warszawie z dnia 19 czerwca 2017 r., sygn. II C 334/16.
[7] Wyrok SO w Sieradzu z dnia 10 lutego 2022 r., sygn. I C 648/20.
[8] Wyrok SO w Piotrkowie Trybunalskim z dnia 8 lipca 2024 r., sygn. II Ca 361/24.
[9] Wyrok SR dla Warszawy-Mokotowa z dnia 14 marca 2024 r., sygn. I C 3854/21.
[10] Wyrok SN z dnia 18 stycznia 2018 r., sygn. V CSK 141/17, Legalis nr 1765469.
[11] Opinia Rzecznika Generalnego TSUE z 5 marca 2026 r. w sprawie C-70/25 (Tukowiecka).
[12] Wyrok TSUE z dnia 1 sierpnia 2025 r. w sprawie C-665/23 (Veracash).
Zabezpieczenie o zwolnieniu z płatności rat ws. kredytu WIBOR — Postanowienie SO w Gdańsku
Blog Zabezpieczenie o zwolnieniu z płatności rat ws. kredytu WIBOR — Postanowienie SO w Gdańsku Marzec 2026 Zdjęcie: Freepik Sąd Okręgowy w Gdańsku wydał postanowienie o wstrzymaniu spłaty rat kredytu opartego na WIBOR na czas procesu (sygn. XV C 3674/25 z 29.12.2025 r.). To jedno z nielicznych korzystnych rozstrzygnięć dla kredytobiorców w sprawach WIBOR — dlatego warto przeanalizować, czym jest zabezpieczenie roszczenia, jakie daje […]
AI Act – Co Musisz Wiedzieć o Regulacji Sztucznej Inteligencji w UE
Blog AI Act – Co Musisz Wiedzieć o Regulacji Sztucznej Inteligencji w UE W tym artykule dowiesz się: czym jest AI Act i dlaczego obowiązuje bezpośrednio w Polsce, jaki jest harmonogram wdrożenia – kluczowe daty do 2027 r., jakie kategorie ryzyka wprowadza rozporządzenie i co z tego wynika dla Twojej firmy, kto jest dostawcą a […]
Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami?
Blog Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami? Zarządzając Software House’em lub agencją IT w 2026 roku, z pewnością mierzysz się z nowym standardem rynku: klienci masowo oczekują integracji sztucznej inteligencji w swoich systemach. O ile operacyjnie, czy też technologicznie to po prostu kolejne zadanie, o tyle z […]