Kiedy bank musi oddać pieniądze skradzione z konta w wyniku cyberoszustwa? Komentarz dla eGospodarka.pl
Nie każda utrata środków z rachunku oznacza, że klient pozostaje bez ochrony. W przypadku nieautoryzowanych transakcji przepisy przewidują konkretne obowiązki po stronie banku, a spór zwykle nie dotyczy samego zdarzenia, lecz tego, czy transakcja rzeczywiście została przez klienta świadomie autoryzowana. Ekspertki Kancelarii Hantke&Piskor wyjaśniały, jak nie dać się oszukać i na co uważać.
Cyberoszustwa stają się coraz bardziej wyrafinowane, a przestępcy wykorzystują już nie tylko klasyczny phishing, lecz także fałszywe oferty pracy, podszywanie się pod znane podmioty czy oszustwa związane z handlem internetowym. W praktyce wiele takich sytuacji opiera się na presji czasu, wzbudzeniu zaufania i skłonieniu ofiary do szybkiego działania, zanim zdąży spokojnie ocenić sytuację.
Z perspektywy prawnej najważniejsze pytanie brzmi jednak nie to, jak doszło do oszustwa, ale czy transakcja była autoryzowana. To rozróżnienie ma fundamentalne znaczenie. Sam fakt potwierdzenia operacji kodem SMS, w aplikacji mobilnej czy innym narzędziem bezpieczeństwa nie przesądza jeszcze automatycznie, że klient wyraził świadomą i ważną zgodę na dokonanie transakcji. Uwierzytelnienie techniczne nie jest tym samym co autoryzacja w rozumieniu przepisów.
Zgodnie z ustawą o usługach płatniczych, jeżeli doszło do nieautoryzowanej transakcji, dostawca płatnika powinien zwrócić klientowi kwotę tej transakcji niezwłocznie, nie później niż do końca dnia roboczego następującego po dniu stwierdzenia zdarzenia albo po otrzymaniu zgłoszenia. Co istotne, to na dostawcy spoczywa ciężar udowodnienia, że transakcja została autoryzowana i że nie doszło do nieprawidłowości po stronie systemu obsługującego płatność. Samo wykazanie użycia instrumentu płatniczego nie wystarcza jeszcze do udowodnienia, że klient działał świadomie albo dopuścił się rażącego niedbalstwa.
To stanowisko znajduje także potwierdzenie na poziomie europejskim. W opinii rzecznika generalnego TSUE z 5 marca 2026 r. wskazano, że zwrot środków po nieautoryzowanej transakcji powinien być zasadą, a odmowa powinna mieć charakter wyjątkowy. Innymi słowy, bank nie może automatycznie przerzucać odpowiedzialności na klienta tylko dlatego, że oszustwo zostało przeprowadzone z użyciem prawidłowych danych logowania lub mechanizmu potwierdzenia operacji.
W praktyce ogromne znaczenie ma szybka reakcja. Klient powinien niezwłocznie zgłosić bankowi nieautoryzowaną transakcję, zabezpieczyć wiadomości, historię połączeń, zrzuty ekranu, potwierdzenia oraz wszelkie inne dowody, które mogą pomóc w odtworzeniu przebiegu zdarzenia. To często właśnie pierwsze godziny po wykryciu oszustwa mają decydujący wpływ na dalsze postępowanie reklamacyjne i ewentualny spór z bankiem.
Kamila Morawiec oraz Olga Matyjaszczyk-Jendrasiak w materiale dla portalu e-Gospodarka.pl wyjaśniają, jak nie dać się oszukać i jakie prawa ma konsument.
Link do publikacji: https://www.finanse.egospodarka.pl/196844,Kiedy-bank-musi-oddac-pieniadze-skradzione-z-konta-w-wyniku-cyberoszustwa,1,60,1.html
