Nieautoryzowana transakcja płatnicza to operacja finansowa dokonana bez świadomej zgody uprawnionego. Przykłady obejmują niezamierzony przelew w bankowości internetowej wywołany przez cyberprzestępców, transakcję kartą płatniczą czy wypłatę z bankomatu przez osobę nieuprawnioną. Praktyka dostarcza wielu przykładów takich zdarzeń.
W 2025 roku problem nieautoryzowanych transakcji w Polsce utrzymuje się na wysokim poziomie. Straty szacuje się nawet na 750 mln zł rocznie. Najczęściej wynikają one z cyberprzestępczości – phishingu, przejmowania kont czy podszywania się pod pracowników banków. Oszuści często dzwonią z fałszywie wyświetlanego numeru infolinii, aby wyłudzić dane i zainstalować złośliwe oprogramowanie na urządzeniu ofiary.
Szczególnie uciążliwa dla banków jest tzw. zasada D+1 (art. 46 ustawy o usługach płatniczych). Nakłada ona obowiązek zwrotu kwoty nieautoryzowanej transakcji do końca następnego dnia roboczego po zgłoszeniu przez klienta lub wykryciu przez bank. W praktyce oznacza to, że instytucja ma zaledwie jeden dzień na analizę zgłoszenia, zebranie dowodów i podjęcie decyzji. Bank może odmówić zwrotu środków tylko wtedy, gdy w tym krótkim czasie uzyska podstawy do stwierdzenia, że zgłoszenie jest próbą oszustwa ze strony klienta, i jednocześnie złoży zawiadomienie do organów ścigania. Tak skonstruowane przepisy, choć chronią klientów, stwarzają pole do nadużyć – zarówno ze strony przestępców, jak i nieuczciwych klientów.
Decydujące znaczenie ma stanowisko Prezesa UOKiK dotyczące interpretacji ustawy o usługach płatniczych. Zgodnie z nim obowiązek zwrotu kwoty transakcji powstaje w momencie zgłoszenia przez klienta, że nie autoryzował danej operacji. Wyjątkiem są sytuacje, gdy bank posiada uzasadnione i udokumentowane podejrzenie, że zgłoszenie jest oszustwem ze strony klienta, i zgłosi to organom ścigania albo gdy od transakcji minęło ponad 13 miesięcy. Co istotne, nawet jeśli płatnik doprowadził do nieautoryzowanej transakcji umyślnie lub wskutek rażącego niedbalstwa (np. nie chronił karty, nie zgłosił jej utraty, ujawnił dane uwierzytelniające), bank nadal musi zwrócić środki. Może jednak później dochodzić ich zwrotu od klienta w drodze roszczeń.
W konsekwencji, jeśli bank nie odpowiada za nieautoryzowaną transakcję, ma dwie ścieżki działania: odmówić wypłaty i złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa przez klienta albo zwrócić środki i następnie dochodzić ich odzyskania w postępowaniu windykacyjnym.
Orzecznictwo sądów powszechnych, w sprawach cywilnych pomiędzy klientami i bankami jest bogate. W sprawach tych niejednokrotnie wypowiadał się także Sąd Najwyższy czy Trybunał Sprawiedliwości Unii Europejskiej. Należy się spodziewać dalszej ewolucji tego orzecznictwa. W tym momencie jednak informacja w sprawie postępowań karnych przeciwko nieuczciwym klientom banków jest ograniczona. Oczekiwać należy jednak stosownie do powyższych uwag – ustawowego zmuszania banków do składania zawiadomień do organów ścigania celem przeciwdziałaniu zasadzie D+1 – że sytuacja ta będzie się zmieniać.
Niewątpliwie, nieuczciwe zachowanie polegające na celowym zgłaszaniu nieautoryzowanych transakcji przy zatajeniu okoliczności, które prowadziłyby do braku odpowiedzialności banku albo zgłaszanie pozornych, nieprawdziwych nieautoryzowanych transakcji w celu uzyskania szybkiej korzyści majątkowej spełniać będzie znamiona oszustwa (art. 286 Kodeksu karnego samodzielnie albo w związku z art. 294 Kodeku karnego). Przestępstwo oszustwa na szkodę banku, jak zaznaczono powyżej, może przy tym objawiać się dwojako. Po pierwsze jako celowe działanie osoby, która faktycznie jest pokrzywdzona przez oszusta, ale zgłasza żądanie zwrotu straconej kwoty przez bank, zatajając okoliczności, które na gruncie ustawy wyłączałyby odpowiedzialność banku. Warto przy tym pamiętać, że wprowadzenie w błąd może zostać osiągnięte także przez celowe przemilczenie, wyrażające się zaniechaniem poinformowania o faktycznym stanie rzeczy (por. wyrok SN z dnia 10 lipca 2007 r., III KK 20/07). Dla uznania, iż mamy do czynienia z wprowadzeniem w błąd, wystarczające jest każde, jakiekolwiek działanie, które może doprowadzić do powstania błędnego wyobrażenia o rzeczywistości u osoby rozporządzającej mieniem (por. wyrok Sądu Najwyższego z 26.06.2003 r., V KK 324/02, LEX nr 80291).
Przemilczenie stanowi więc formę ukrycia przed osobą rozporządzającą mieniem pewnych faktów, zjawisk, okoliczności itp., których nieświadomość powoduje powstanie błędnego wyobrażenia o rzeczywistości ([w:] A. Zoll (red.), A. Barczak-Oplustil, G. Bogdan, Z. Ćwiąkalski, M. Dąbrowska-Kardas, J. Majewski, J. Raglewski, M. Rodzynkiewicz, M. Szewczyk, W. Wróbel, Kodeks karny. Część szczególna. Tom III, Zakamycze 2006, wyd. II). Po drugie jako zorganizowane działanie osób jedynie próbujących wywołać przekonanie banku, że doszło do nieautoryzowanej transakcji oraz utraty środków, mimo że nie miało to miejsca (upozorowanie), w celu uzyskania wypłaty. Oczywistością jest, że ta pierwsza postać oszustwa na szkodę banku, polegająca na braku lojalności, może być szczególnie niebezpieczna dla zdesperowanych poszkodowanych, to jest narażać ich na bardzo poważną odpowiedzialność osobistą, kiedy w nadziei na odzyskanie pieniędzy od banku próbują oni restrykcyjne przepisy ustawy oraz utrudnienia dowodowe banku obrócić na swoją korzyść.
Na zakończenie warto podkreślić, że problem nieautoryzowanych transakcji płatniczych pozostaje jednym z największych wyzwań współczesnej bankowości. Przepisy chronią klientów, nakładając na banki obowiązek szybkiego zwrotu utraconych środków, ale jednocześnie otwierają pole do nadużyć wobec instytucji finansowych. Dlatego kluczowe znaczenie ma nie tylko precyzyjna analiza okoliczności i współpraca z organami ścigania, lecz także inwestycje w nowoczesne zabezpieczenia oraz edukacja klientów, aby skutecznie ograniczać ryzyko cyberprzestępczości.
Autor: Waldemar Szubert, radca prawny, Kancelaria Radców Prawnych Ryszewski, Szubierajski