Nieautoryzowane transakcje płatnicze – konsument nie zawsze uprawniony do zwrotu | Co do zasady

Przejdź do treści
Mamy tu kilka tysięcy artykułów. Czego szukasz?
Formularz wyszukiwania
Zamów newsletter
Formularz zapisu na newsletter Co do zasady

Nieautoryzowane transakcje płatnicze – konsument nie zawsze uprawniony do zwrotu

06.11.2025 spory bankowe | bankowość i finansowanie | Trybunał Sprawiedliwości Unii Europejskiej

Kwestia odpowiedzialności banków za nieautoryzowane transakcje płatnicze to jedno z najistotniejszych zagadnień w prawie usług płatniczych. Bezpośrednio wpływa ono na zakres ochrony konsumentów korzystających z nowoczesnych instrumentów płatniczych. W dobie dynamicznego rozwoju bankowości elektronicznej i rosnącej liczby cyberprzestępstw problem ten nabiera szczególnego znaczenia zarówno dla użytkowników usług płatniczych, jak i instytucji finansowych.

Co do zasady, przepisy dyrektywy PSD2 oraz implementujących ją regulacji krajowych ustanawiają szeroki zakres ochrony użytkowników, obciążając dostawców usług płatniczych odpowiedzialnością za nieautoryzowane transakcje. Jednak ochrona ta nie jest bezwzględna. Orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej wypracowało istotne standardy interpretacyjne, które precyzują granice tej odpowiedzialności.

Zgodnie ze stanowiskiem TSUE bank może skutecznie się bronić przed roszczeniem użytkownika dotyczącym nieautoryzowanej transakcji, jeśli wykaże, że użytkownik zwlekał z powiadomieniem o niej swojego dostawcy usług płatniczych – czy to celowo, czy w wyniku rażącego zaniedbania polegającego na kwalifikowanym naruszeniu obowiązku staranności. Użytkownicy są bowiem odpowiedzialni za należyte zabezpieczenie swoich instrumentów płatniczych i terminowe reagowanie na podejrzane zdarzenia.

Konsument z opóźnieniem kwestionuje wypłaty

1 sierpnia 2025 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie C-665/23 (Veracash), dotyczący praw i obowiązków konsumentów w kontekście nieautoryzowanych transakcji płatniczych. W odpowiedzi na pytania prejudycjalne francuskiego sądu kasacyjnego TSUE wskazał, jak interpretować przepisy unijnej dyrektywy 2007/64 w sprawie usług płatniczych (czyli poprzedniej dyrektywy PSD, uchylonej 13 stycznia 2018 r.). Orzeczenie jest wyraźnym sygnałem nie tylko dla instrukcji płatniczych, ale także dla konsumentów – przypomina, jak należy działać w przypadku nieprawidłowości.

W sprawie zawisłej przed sądem francuskim konsument posiadał rachunek w złocie w spółce Veracash SAS. W marcu 2017 r. spółka wysłała konsumentowi kartę do wypłat i dokonywania płatności. Od marca do maja 2017 r. codziennie dokonywane były wypłaty z rachunku. W maju 2017 r. konsument zakwestionował wypłaty i oświadczył, że nie autoryzował żadnej z nich. Sądy kolejnych instancji oddaliły jednak wysunięte przez konsumenta żądanie zwrotu środków. Uzasadniały, że konsument – choć zmieścił się w wyznaczonym przez prawo terminie 13 miesięcy – nie poinformował o podejrzanych wypłatach „bez zbędnej zwłoki”.

Gdy konsument wniósł skargę kasacyjną, sąd skierował następujące pytania prejudycjalne do TSUE:

  • Czy płatnik zostaje pozbawiony prawa do zwrotu kwoty nieautoryzowanej transakcji płatniczej, jeżeli zwlekał z powiadomieniem swojego dostawcy usług płatniczych o nieautoryzowanej transakcji płatniczej, nawet jeśli finalnie powiadomił dostawcę przed upływem 13 miesięcy od daty obciążenia rachunku?
  • Czy pozbawienie płatnika prawa do zwrotu jest uzależnione od tego, czy zwłoka w powiadomieniu była celowa lub wynikała z rażącego zaniedbania ze strony płatnika?
  • Czy płatnik zostaje pozbawiony prawa do zwrotu z tytułu wszystkich nieautoryzowanych transakcji, czy tylko tych, których można było uniknąć, gdyby powiadomienia nie dokonano ze zwłoką?

Celowa lub rażąco niedbała zwłoka – zwrotu środków nie będzie

Trybunał w przedmiocie pierwszego pytania orzekł, że co do zasady użytkownikowi usług płatniczych nie przysługuje prawo do zwrotu, jeżeli nie powiadomił swojego dostawcy usług płatniczych o nieautoryzowanej transakcji płatniczej bez zbędnej zwłoki – nawet jeśli powiadomienie nastąpiło w ciągu 13 miesięcy od takiej transakcji.

TSUE zwrócił uwagę, że art. 58 dyrektywy 2007/64 wyznacza dwie odrębne przesłanki czasowe: subiektywną (tj. „bez zbędnej zwłoki”) oraz obiektywną (tj. termin 13 miesięcy). Obydwie przesłanki powinny być brane pod uwagę podczas oceny postępowania użytkownika.

W powyższym aspekcie, w punkcie 37 uzasadnienia, TSUE wskazał:

W tym względzie należy stwierdzić, że brzmienie tego przepisu przewiduje spoczywający na użytkowniku usług płatniczych obowiązek powiadomienia swojego dostawcy usług płatniczych o tym, że stwierdził on w szczególności nieautoryzowaną transakcję płatniczą, „bez zbędnej zwłoki” „i nie później niż” w ciągu 13 miesięcy od daty obciążenia rachunku. Wynika stąd zatem, że zgodnie z brzmieniem wspomnianego przepisu prawo użytkownika usług płatniczych do uzyskania korekty nieautoryzowanej transakcji płatniczej jest uzależnione od uprzedniego spełnienia podwójnej przesłanki czasowej.

W przedmiocie drugiego pytania Trybunał doszedł do wniosku, że użytkownik jest pozbawiony prawa do faktycznego uzyskania korekty transakcji tylko wtedy, gdy zwlekał z powiadomieniem o niej swojego dostawcy usług płatniczych celowo lub w wyniku rażącego zaniedbania polegającego na kwalifikowanym naruszeniu obowiązku staranności. W tym zakresie TSUE podkreślił, że ciężar dowodu spoczywa na dostawcy usług płatniczych, który musi udowodnić, że transakcja została uwierzytelniona, odpowiednio zapisana i ujęta w księgach.

W tym zakresie TSUE wyjaśnił w punktach 71 i 72 uzasadnienia, że:

[…] w przypadku gdy doszło do nieautoryzowanej transakcji płatniczej, która, po pierwsze, jest skutkiem użycia instrumentu płatniczego utraconego, skradzionego lub przywłaszczonego lub jakiegokolwiek nieuprawnionego użycia takiego instrumentu oraz, po drugie, została zgłoszona przez płatnika jego dostawcy usług płatniczych w ciągu 13 miesięcy od daty obciążenia rachunku, ów płatnik jest – co do zasady i z wyjątkiem sytuacji, w której działał on w nieuczciwych zamiarach – pozbawiony prawa do uzyskania zwrotu kwoty, na jaką owa transakcja opiewała, tylko wtedy, gdy zwlekał z powiadomieniem o tej nieautoryzowanej transakcji płatniczej swojego dostawcy usług płatniczych celowo lub w wyniku rażącego zaniedbania.

Do sądu odsyłającego, który jako jedyny jest właściwy do dokonania oceny okoliczności faktycznych, należy ustalenie, czy jest tak w przypadku każdej z wypłat rozpatrywanych w postępowaniu głównym, ponieważ ów art. 58 odnosi się wyraźnie do zgłaszania indywidualnych transakcji płatniczych.

Odnosząc się do trzeciego pytania, TSUE stwierdził, że jeśli doszło do szeregu następujących po sobie nieautoryzowanych transakcji płatniczych (wskutek użycia instrumentu płatniczego utraconego, skradzionego lub przywłaszczonego) lub jakiegokolwiek nieuprawnionego użycia takiego instrumentu, a płatnik wprawdzie dochował terminu 13 miesięcy od daty obciążenia rachunku w związku z tymi transakcjami, lecz częściowo zwlekał – celowo lub w wyniku rażącego zaniedbania – z powiadomieniem o nich swojego dostawcy usług płatniczych, ów płatnik jest co do zasady pozbawiony prawa do uzyskania zwrotu jedynie w zakresie strat będących wynikiem transakcji, w przypadku których celowo lub w sposób rażąco niedbały zwlekał z powiadomieniem swojego dostawcy usług płatniczych. Przepis dotyczący odpowiedzialności płatnika za nieautoryzowane transakcje płatnicze jest bowiem wyjątkiem od ogólnej zasady, dlatego należy go interpretować ściśle.

Wyrok w sprawie C-665/23 wskazuje, jak interpretować dyrektywę PSD2

W polskim systemie prawnym zasadą jest natychmiastowy zwrot przez instytucję płatniczą kwoty nieautoryzowanej transakcji i przywrócenie rachunku do stanu sprzed obciążenia zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych. Ciężar dowodu autoryzacji lub rażącego niedbalstwa klienta spoczywa na dostawcy usług (art. 45 u.u.p.). Przepisy te bezpośrednio realizują dyrektywę PSD, jak i jej następczynię – dyrektywę PSD2.

W przypadku serii nieautoryzowanych transakcji ocenę potencjalnego rażącego niedbalstwa płatnika (kwalifikowane naruszenie obowiązku staranności) – również na tle oceny tego, czy powiadomienie było zbyt późne – należy przeprowadzić odrębnie dla każdej transakcji.

Wyrok w sprawie C-665/23 jasno wskazuje, jak należy interpretować przepisy unijnej dyrektywy PSD w sprawie usług płatniczych oraz, na zasadzie analogii, również przepisy dyrektywy PSD2. Niedochowanie staranności – w postaci kwalifikowanej, tj. rażącego niedbalstwa – przez użytkowników usług płatniczych skutkuje pełną odpowiedzialnością płatnika. Użytkownicy w takim stanie rzeczy nie mogą domagać się od dostawcy przywrócenia stanu sprzed nieautoryzowanej transakcji.

Mateusz Kosiorowski, adwokat, praktyka postępowań sądowych i arbitrażowych, Klaudiusz Mikołajczyk, praktyka bankowości i finansowania projektów kancelarii Wardyński i Wspólnicy

Polecane artykuły
Legitymacja procesowa nabywców wierzytelności w sporach o kredyty konsumenckie (wyrok TSUE C-80/24)
Czy TSUE odrzucił teorię dwóch kondykcji?
Spory o WIBOR – część pierwsza. Czy można zakwestionować WIBOR jako podstawę oprocentowania zmiennego?
Spory o WIBOR – część druga. Czy oparcie oprocentowania zmiennego na WIBOR-ze może być klauzulą abuzywną?
TSUE: sankcja kredytu darmowego musi być proporcjonalna