"Rażące niedbalstwo” w procesach reklamacyjnych w sprawach nieautoryzowanych transakcji – gdzie sądy stawiają granicę?

16 marca 2026

Pomimo obowiązku zwrotu kwoty nieautoryzowanej transakcji wynikającego z art. 46 ustawy o usługach płatniczych, banki w wielu przypadkach negatywnie rozpatrują reklamacje klientów. Najczęściej podstawą takiego stanowiska jest stwierdzenie, że do powstania transakcji doszło wskutek rażącego niedbalstwa po stronie użytkownika instrumentu płatniczego.

Spory dotyczące tzw. nieautoryzowanych transakcji (NT) należą obecnie do dynamicznie rozwijających się obszarów sporów na rynku usług finansowych. Rozwój bankowości mobilnej i płatności elektronicznych zwiększył skalę obrotu bezgotówkowego, ale równocześnie doprowadził do wzrostu liczby incydentów związanych z oszustwami wykorzystującymi socjotechnikę.

W praktyce oznacza to, że w postępowaniach reklamacyjnych i sądowych kluczowe staje się ustalenie granicy odpowiedzialności między bankiem jako dostawcą usług płatniczych a użytkownikiem rachunku.

Okoliczności powstania nieautoryzowanej transakcji

W przypadku wystąpienia nieautoryzowanych przez płatnika (klienta) transakcji płatniczych konieczne jest ustalenie okoliczności, w jakich doszło do ich zlecenia, w szczególności:

czy nastąpiło to z winy płatnika – na skutek naruszenia przez niego podstawowych obowiązków wynikających z art. 42 ustawy o usługach płatniczych,
czy doszło do zdarzenia, za które płatnik nie ponosi odpowiedzialności,
czy odpowiedzialność za powstanie transakcji ponosi dostawca usług płatniczych (bank).

Zasadą wynikającą z ustawy o usługach płatniczych jest obowiązek zwrotu środków w przypadku transakcji nieautoryzowanej. Odpowiedzialność banku nie ma jednak charakteru absolutnego. Przepisy wprost przewidują sytuacje, w których odpowiedzialność może zostać ograniczona lub całkowicie wyłączona, w szczególności, gdy użytkownik doprowadził do transakcji umyślnie albo w wyniku rażącego niedbalstwa.

Autoryzacja a uwierzytelnienie – znaczenie w sporach dotyczących NT

W sprawach dotyczących nieautoryzowanych transakcji kluczowe znaczenie ma rozróżnienie pomiędzy uwierzytelnieniem a autoryzacją. Uwierzytelnienie ma charakter techniczny i polega na potwierdzeniu tożsamości użytkownika przy użyciu danych uwierzytelniających, takich jak PIN, hasło, biometria czy autoryzacja w aplikacji mobilnej. Autoryzacja jest natomiast wyrażeniem zgody płatnika na wykonanie konkretnej transakcji.

W praktyce banki dysponują rozbudowanymi systemami bezpieczeństwa oraz danymi technicznymi (logi systemowe, identyfikatory urządzeń, dane autoryzacyjne), które pozwalają na odtworzenie przebiegu transakcji. Dane te mają istotne znaczenie dowodowe w postępowaniach reklamacyjnych i sądowych, ponieważ pozwalają ustalić, czy transakcja została przeprowadzona z wykorzystaniem prawidłowo uwierzytelnionego instrumentu płatniczego.

Rażące niedbalstwo w praktyce orzeczniczej

Orzecznictwo sądowe w sprawach z zakresu nieautoryzowanych transakcji stale ewoluuje, a definicja „rażącego niedbalstwa” jest interpretowana wąsko. Obecnie samo udowodnienie faktu uwierzytelnienia transakcji może okazać się niewystarczające, by przenieść odpowiedzialność na klienta. Sądy coraz częściej podkreślają, że w realiach współczesnej bankowości elektronicznej użytkownik powinien zachować podstawowy standard ostrożności przy korzystaniu z instrumentów płatniczych. Z analizy wyroków zapadających w tego rodzaju sprawach wynika, że rażące niedbalstwo zachodzi wówczas, gdy zachowanie klienta w sposób oczywisty narusza elementarne zasady bezpieczeństwa.

Przykładowo w orzecznictwie wskazuje się m.in. na takie sytuacje jak:

przechowywanie instrumentów w sposób jawny – zapisanie kodu PIN na karcie płatniczej lub przechowywanie haseł razem z dokumentami,
całkowita bierność klienta – zignorowanie powiadomień o zmianie urządzenia zaufanego lub zmianie limitów transakcyjnych,
dobrowolne przekazanie danych uwierzytelniających osobom trzecim – np. podanie loginu, hasła lub kodu autoryzacyjnego osobie podszywającej się pod pracownika instytucji finansowej,
instalowanie na polecenie nieznanej osoby oprogramowania umożliwiającego zdalny dostęp do urządzenia,
korzystanie z bankowości elektronicznej na urządzeniu, co do którego użytkownik został uprzednio ostrzeżony jako potencjalnie zainfekowane.

W takich sytuacjach sądy mogą uznać, że zachowanie klienta stanowiło warunek konieczny dokonania transakcji, co w konsekwencji prowadzi do wyłączenia odpowiedzialności banku.

Socjotechnika jako główne narzędzie sprawców

Współczesne oszustwa finansowe rzadko polegają na przełamywaniu zabezpieczeń systemów bankowych. W zdecydowanej większości przypadków przestępcy wykorzystują socjotechnikę, nakłaniając użytkownika do wykonania określonych czynności. Do najczęściej spotykanych scenariuszy należą:

phishing – wyłudzanie danych logowania poprzez fałszywe strony internetowe,
smishing – wiadomości SMS zawierające linki do fałszywych stron płatności,
vishing – rozmowy telefoniczne z osobami podszywającymi się pod pracowników banków lub instytucji publicznych,
oszustwa z wykorzystaniem aplikacji zdalnego dostępu.

W praktyce przestępcy często nie przełamują zabezpieczeń systemowych, lecz wykorzystują nieuwagę użytkownika, który sam przekazuje dane uwierzytelniające lub autoryzuje operacje.

Ciężar dowodu w sporach dotyczących nieautoryzowanych transakcji

Ciężar dowodu w sporach dotyczących nieautoryzowanych transakcji spoczywa na dostawcy usług płatniczych, czyli banku. Aby skutecznie powołać się na zarzut rażącego niedbalstwa, bank musi wykazać nie tylko, że transakcja została technicznie uwierzytelniona, lecz także że do jej wykonania doszło wskutek działań klienta naruszających obowiązki wynikające z ustawy lub umowy. Same logi z systemów bankowych potwierdzają jedynie techniczne użycie instrumentu płatniczego, a nie autoryzację (wolę) klienta czy jego zaniedbanie.

Bank musi zatem wykazać, że do transakcji doszło na skutek konkretnych działań użytkownika oraz że działanie to nosiło cechy rażącego niedbalstwa, ponieważ gdyby klient nie zachował się w określony sposób – np. nie umożliwił aktywacji aplikacji mobilnej na nieznanym urządzeniu lub nie przekazał danych osobie trzeciej – do transakcji w ogóle by nie doszło.

Podsumowanie

Prawo usług płatniczych przewiduje daleko idące mechanizmy ochrony użytkownika w razie transakcji nieautoryzowanych. Jednocześnie model odpowiedzialności zakłada, że użytkownik ma obowiązek zachowania co najmniej podstawowych standardów bezpieczeństwa. W praktyce zatem ocena odpowiedzialności zależy od szczegółów: sposobu działania sprawców, przebiegu autoryzacji, komunikatów bezpieczeństwa oraz tego, czy zachowanie użytkownika nie stanowiło rażącego naruszenia elementarnych zasad ostrożności.

Bezpieczeństwo bankowości cyfrowej jest relacją opartą na współpracy. Im wyższy standard staranności po stronie użytkownika, tym mniejsze ryzyko szkody — i tym większa przewidywalność oceny prawnej w razie sporu.

Pomimo obowiązku zwrotu kwoty nieautoryzowanej transakcji wynikającego z art. 46 ustawy o usługach płatniczych, banki w wielu przypadkach negatywnie rozpatrują reklamacje klientów. Najczęściej podstawą takiego stanowiska jest stwierdzenie, że do powstania transakcji doszło wskutek rażącego niedbalstwa po stronie użytkownika instrumentu płatniczego.

Spory dotyczące tzw. nieautoryzowanych transakcji (NT) należą obecnie do dynamicznie rozwijających się obszarów sporów na rynku usług finansowych. Rozwój bankowości mobilnej i płatności elektronicznych zwiększył skalę obrotu bezgotówkowego, ale równocześnie doprowadził do wzrostu liczby incydentów związanych z oszustwami wykorzystującymi socjotechnikę.

W praktyce oznacza to, że w postępowaniach reklamacyjnych i sądowych kluczowe staje się ustalenie granicy odpowiedzialności między bankiem jako dostawcą usług płatniczych a użytkownikiem rachunku.

Okoliczności powstania nieautoryzowanej transakcji

W przypadku wystąpienia nieautoryzowanych przez płatnika (klienta) transakcji płatniczych konieczne jest ustalenie okoliczności, w jakich doszło do ich zlecenia, w szczególności:

czy nastąpiło to z winy płatnika – na skutek naruszenia przez niego podstawowych obowiązków wynikających z art. 42 ustawy o usługach płatniczych,
czy doszło do zdarzenia, za które płatnik nie ponosi odpowiedzialności,
czy odpowiedzialność za powstanie transakcji ponosi dostawca usług płatniczych (bank).

Zasadą wynikającą z ustawy o usługach płatniczych jest obowiązek zwrotu środków w przypadku transakcji nieautoryzowanej. Odpowiedzialność banku nie ma jednak charakteru absolutnego. Przepisy wprost przewidują sytuacje, w których odpowiedzialność może zostać ograniczona lub całkowicie wyłączona, w szczególności, gdy użytkownik doprowadził do transakcji umyślnie albo w wyniku rażącego niedbalstwa.

Autoryzacja a uwierzytelnienie – znaczenie w sporach dotyczących NT

W sprawach dotyczących nieautoryzowanych transakcji kluczowe znaczenie ma rozróżnienie pomiędzy uwierzytelnieniem a autoryzacją. Uwierzytelnienie ma charakter techniczny i polega na potwierdzeniu tożsamości użytkownika przy użyciu danych uwierzytelniających, takich jak PIN, hasło, biometria czy autoryzacja w aplikacji mobilnej. Autoryzacja jest natomiast wyrażeniem zgody płatnika na wykonanie konkretnej transakcji.

W praktyce banki dysponują rozbudowanymi systemami bezpieczeństwa oraz danymi technicznymi (logi systemowe, identyfikatory urządzeń, dane autoryzacyjne), które pozwalają na odtworzenie przebiegu transakcji. Dane te mają istotne znaczenie dowodowe w postępowaniach reklamacyjnych i sądowych, ponieważ pozwalają ustalić, czy transakcja została przeprowadzona z wykorzystaniem prawidłowo uwierzytelnionego instrumentu płatniczego.

Rażące niedbalstwo w praktyce orzeczniczej

Orzecznictwo sądowe w sprawach z zakresu nieautoryzowanych transakcji stale ewoluuje, a definicja „rażącego niedbalstwa” jest interpretowana wąsko. Obecnie samo udowodnienie faktu uwierzytelnienia transakcji może okazać się niewystarczające, by przenieść odpowiedzialność na klienta. Sądy coraz częściej podkreślają, że w realiach współczesnej bankowości elektronicznej użytkownik powinien zachować podstawowy standard ostrożności przy korzystaniu z instrumentów płatniczych. Z analizy wyroków zapadających w tego rodzaju sprawach wynika, że rażące niedbalstwo zachodzi wówczas, gdy zachowanie klienta w sposób oczywisty narusza elementarne zasady bezpieczeństwa.

Przykładowo w orzecznictwie wskazuje się m.in. na takie sytuacje jak:

przechowywanie instrumentów w sposób jawny – zapisanie kodu PIN na karcie płatniczej lub przechowywanie haseł razem z dokumentami,
całkowita bierność klienta – zignorowanie powiadomień o zmianie urządzenia zaufanego lub zmianie limitów transakcyjnych,
dobrowolne przekazanie danych uwierzytelniających osobom trzecim – np. podanie loginu, hasła lub kodu autoryzacyjnego osobie podszywającej się pod pracownika instytucji finansowej,
instalowanie na polecenie nieznanej osoby oprogramowania umożliwiającego zdalny dostęp do urządzenia,
korzystanie z bankowości elektronicznej na urządzeniu, co do którego użytkownik został uprzednio ostrzeżony jako potencjalnie zainfekowane.

W takich sytuacjach sądy mogą uznać, że zachowanie klienta stanowiło warunek konieczny dokonania transakcji, co w konsekwencji prowadzi do wyłączenia odpowiedzialności banku.

Socjotechnika jako główne narzędzie sprawców

Współczesne oszustwa finansowe rzadko polegają na przełamywaniu zabezpieczeń systemów bankowych. W zdecydowanej większości przypadków przestępcy wykorzystują socjotechnikę, nakłaniając użytkownika do wykonania określonych czynności. Do najczęściej spotykanych scenariuszy należą:

phishing – wyłudzanie danych logowania poprzez fałszywe strony internetowe,
smishing – wiadomości SMS zawierające linki do fałszywych stron płatności,
vishing – rozmowy telefoniczne z osobami podszywającymi się pod pracowników banków lub instytucji publicznych,
oszustwa z wykorzystaniem aplikacji zdalnego dostępu.

W praktyce przestępcy często nie przełamują zabezpieczeń systemowych, lecz wykorzystują nieuwagę użytkownika, który sam przekazuje dane uwierzytelniające lub autoryzuje operacje.

Ciężar dowodu w sporach dotyczących nieautoryzowanych transakcji

Ciężar dowodu w sporach dotyczących nieautoryzowanych transakcji spoczywa na dostawcy usług płatniczych, czyli banku. Aby skutecznie powołać się na zarzut rażącego niedbalstwa, bank musi wykazać nie tylko, że transakcja została technicznie uwierzytelniona, lecz także że do jej wykonania doszło wskutek działań klienta naruszających obowiązki wynikające z ustawy lub umowy. Same logi z systemów bankowych potwierdzają jedynie techniczne użycie instrumentu płatniczego, a nie autoryzację (wolę) klienta czy jego zaniedbanie.

Bank musi zatem wykazać, że do transakcji doszło na skutek konkretnych działań użytkownika oraz że działanie to nosiło cechy rażącego niedbalstwa, ponieważ gdyby klient nie zachował się w określony sposób – np. nie umożliwił aktywacji aplikacji mobilnej na nieznanym urządzeniu lub nie przekazał danych osobie trzeciej – do transakcji w ogóle by nie doszło.

Podsumowanie

Prawo usług płatniczych przewiduje daleko idące mechanizmy ochrony użytkownika w razie transakcji nieautoryzowanych. Jednocześnie model odpowiedzialności zakłada, że użytkownik ma obowiązek zachowania co najmniej podstawowych standardów bezpieczeństwa. W praktyce zatem ocena odpowiedzialności zależy od szczegółów: sposobu działania sprawców, przebiegu autoryzacji, komunikatów bezpieczeństwa oraz tego, czy zachowanie użytkownika nie stanowiło rażącego naruszenia elementarnych zasad ostrożności.

Bezpieczeństwo bankowości cyfrowej jest relacją opartą na współpracy. Im wyższy standard staranności po stronie użytkownika, tym mniejsze ryzyko szkody — i tym większa przewidywalność oceny prawnej w razie sporu.