Abstrakt

Artykuł ma charakter analityczno-dogmatyczny i poświęcony jest pojęciu autoryzacji transakcji płatniczej w rozumieniu art. 40 ust. 1 ustawy o usługach płatniczych i art. 64 ust. 1 dyrektywy PSD2. Centralne pytanie brzmi: czy na podstawie dostępnego materiału normatywnego i interpretacyjnego możliwe jest sformułowanie jednolitej i precyzyjnej definicji autoryzacji, pozwalającej na jednoznaczne odróżnienie transakcji autoryzowanej od nieautoryzowanej. Artykuł analizuje relację między autoryzacją a uwierzytelnieniem, aspekty subiektywne i obiektywne zgody płatnika, a także orzecznictwo sądowe i stanowiska organów, w szczególności Prezesa UOKiK. Przeprowadzona analiza prowadzi do wniosku, że jednolita definicja autoryzacji nie jest możliwa do sformułowania dla przypadków granicznych, które dominują w praktyce. Wartością poznawczą artykułu jest systematyzacja rozbieżnych stanowisk i wskazanie na zbliżające się rozporządzenie PSR jako nowy etap regulacji tego zagadnienia.

Słowa kluczowe

Autoryzacja, transakcja płatnicza, uwierzytelnienie, nieautoryzowana transakcja, usługi płatnicze.

Abstract

This article adopts an analytical and doctrinal approach and examines the concept of authorization of a payment transaction within the meaning of Article 40(1) of the Polish Payment Services Act and Article 64(1) of the PSD2 Directive. The central question is whether, on the basis of available normative and interpretive material, it is possible to formulate a uniform and precise definition of authorization that would allow a clear distinction between authorized and unauthorized transactions. The article analyzes the relationship between authorization and authentication, the subjective and objective aspects of the payer’s consent, as well as case law and the positions of authorities, in particular the President of the Office of Competition and Consumer Protection (UOKiK). The analysis leads to the conclusion that a uniform definition cannot be formulated for borderline cases, which predominate in practice. The article’s contribution lies in the systematization of divergent views and in pointing to the forthcoming PSR Regulation as the next stage in the legal framework governing this area.

Keywords

Authorization, payment transaction, authentication, unauthorized transaction, payment services.

Maciej Juzoń

Wprowadzenie

Liczba nieautoryzowanych transakcji płatniczych zgłaszanych przez użytkowników usług płatniczych systematycznie rośnie[1]. Zjawisko to jest ściśle związane z rozwojem bankowości elektronicznej i mobilnej oraz z rosnącą aktywnością przestępców posługujących się metodami socjotechnicznymi, takimi jak phishing czy spoofing. Skala problemu skłoniła organy ochrony konsumentów, w szczególności Prezesa Urzędu Ochrony Konkurencji i Konsumentów (dalej: „Prezes UOKiK”), do zajęcia wyraźnego stanowiska w kwestii zasad rozpatrywania zgłoszeń dotyczących transakcji, których autoryzacji użytkownicy zaprzeczają[2]. Stanowisko to zyskało istotne znaczenie dla praktyki dostawców usług płatniczych i stało się punktem odniesienia w sporach między dostawcami a ich klientami.

U podstaw tych sporów leży pojęcie autoryzacji transakcji płatniczej. Zgodnie z art. 40 ust. 1 u.u.p.[3] transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą, przy czym zgoda ta może dotyczyć także kolejnych transakcji płatniczych. Przepis ten nie zawiera jednak definicji zgody ani pojęcia autoryzacji. Ustawodawca nie wskazuje, jakie elementy muszą zostać spełnione, aby można było mówić o skutecznej autoryzacji, ani jak należy kwalifikować transakcję w sytuacjach granicznych, gdy zewnętrzne zachowanie płatnika odpowiada uzgodnionemu trybowi wyrażenia zgody, lecz jego rzeczywista wola była inna lub została zniekształcona działaniem osób trzecich. Ten deficyt definicyjny jest źródłem istotnych rozbieżności, zarówno w doktrynie, w orzecznictwie sądowym, jak i w praktyce organów.

Niniejszy artykuł stawia sobie za cel analizę pojęcia autoryzacji transakcji płatniczej w świetle przepisów u.u.p. i dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z25.11.2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego[4], poglądów doktryny, orzecznictwa sądowego oraz stanowisk organów – w szczególności Prezesa UOKiK. Centralne pytanie brzmi: czy na podstawie dostępnego materiału normatywnego i interpretacyjnego możliwe jest sformułowanie jednolitej i precyzyjnej definicji autoryzacji transakcji płatniczej, pozwalającej na jednoznaczne odróżnienie transakcji autoryzowanej od nieautoryzowanej? Zagadnienie to ma doniosłe znaczenie praktyczne. Od odpowiedzi na to pytanie zależy rozkład odpowiedzialności między płatnikiem a dostawcą usług płatniczych w przypadku transakcji dokonanych z udziałem osób trzecich lub wbrew rzeczywistej woli płatnika.

Analiza wymaga w pierwszej kolejności ustalenia normatywnego znaczenia pojęcia autoryzacji i jego genezy. Konieczne jest następnie odróżnienie autoryzacji od uwierzytelnienia – pojęcia odrębnego, zdefiniowanego w art. 2 pkt 33b u.u.p., lecz w praktyce nierzadko utożsamianego z autoryzacją. Rozróżnienie to ma znaczenie fundamentalne, ponieważ determinuje zakres obowiązków dowodowych dostawcy na gruncie art. 45 u.u.p. oraz zakres jego odpowiedzialności na gruncie art. 46 u.u.p. Artykuł obejmuje również analizę przesłanek skutecznej zgody płatnika, przegląd orzecznictwa sądowego oraz omówienie stanowisk organów, ze wskazaniem obszarów zgodności i rozbieżności między nimi a wykładnią wynikającą z przepisów i doktryny.

Pojęcie autoryzacji transakcji płatniczej

Pojęcie autoryzacji transakcji płatniczej nie zostało zdefiniowane w u.u.p. Ustawodawca posługuje się nim w art. 40 u.u.p., nie wyjaśniając jednak jego treści. Jak wyżej wskazano, zgodnie z art. 40 ust. 1 u.u.p. transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Z przepisu tego wynika, że autoryzacja jest równoznaczna ze zgodą płatnika i że to zgoda, a nie żaden inny element, stanowi jedyną przesłankę uznania transakcji za autoryzowaną. Taka jest również jednolita konkluzja wynikająca z wykładni językowej art. 64 ust. 1 PSD2, którego implementację stanowi art. 40 ust. 1 u.u.p.

Warto zaznaczyć, że pojęcie autoryzacji funkcjonuje w systemie płatniczym również w innych znaczeniach. W obrocie kartowym pojęcie to tradycyjnie odnosi się do zgody wydawcy karty na realizację transakcji kartowej – jest zatem czynnością podejmowaną po stronie dostawcy w relacji z agentem rozliczeniowym, nie zaś wyrazem woli płatnika. Dla jasności dalszego wywodu konieczne jest jednak wyraźne oddzielenie tych znaczeń od autoryzacji w rozumieniu art. 40 u.u.p. Na gruncie tego przepisu autoryzacja ma charakter wyłącznie materialnoprawny – jest aktem woli płatnika, nie procedurą techniczną ani czynnością dostawcy.

W doktrynie dominuje pogląd, że zgoda płatnika stanowi oświadczenie woli w rozumieniu art. 60 k.c.[5], a zatem podlega ogólnym regułom prawa cywilnego dotyczącym składania i wykładni oświadczeń woli[6]. Oznacza to w szczególności, że zgoda może być wyrażona przez każde zachowanie ujawniające wolę płatnika w sposób dostateczny, w tym również w sposób dorozumiany – na przykład przez przyłożenie karty płatniczej do czytnika terminala – o ile umowa między płatnikiem a dostawcą dopuszcza taką formę[7]. Artykuł 40 ust. 2 zd. 2 u.u.p. potwierdza tę elastyczność, stanowiąc że zgoda może być udzielona także za pośrednictwem odbiorcy, dostawcy odbiorcy albo dostawcy świadczącego usługę inicjowania transakcji płatniczej[8].

Przepisy u.u.p. regulują również tryb i moment wyrażenia zgody oraz możliwość jej cofnięcia. Zgodnie z art. 40 ust. 3 u.u.p. płatnik może w każdej chwili wycofać zgodę na wykonanie transakcji płatniczej, nie później jednak niż do momentu nieodwołalności zlecenia płatniczego, o którym mowa w art. 51 u.u.p. Moment nieodwołalności zlecenia płatniczego wyznacza zatem nieprzekraczalną granicę, po której cofnięcie zgody nie wywołuje skutków prawnych. Zgoda na wykonanie kolejnych transakcji płatniczych może być natomiast cofnięta ze skutkiem na przyszłość, co oznacza, że transakcje już zrealizowane przed cofnięciem zgody pozostają autoryzowane (por. art. 40 ust. 4 u.u.p.).

Z powyższego wynika, że z prawnego punktu widzenia autoryzacja na gruncie art. 40 u.u.p. to wyłącznie akt woli płatnika. Ta kwalifikacja jest punktem wyjścia dla dalszej analizy, w szczególności dla rozróżnienia między autoryzacją a uwierzytelnieniem.

Uwierzytelnienie a autoryzacja – rozróżnienie pojęć i jego konsekwencje prawne

Obok pojęcia „autoryzacji” u.u.p. posługuje się pojęciem „uwierzytelnienia”, które w praktyce bywa z „autoryzacją” utożsamiane. Utożsamienie to jest błędne i rodzi poważne konsekwencje zarówno dla rozkładu ciężaru dowodu, jak i dla zakresu odpowiedzialności dostawcy usług płatniczych[9].

Uwierzytelnienie zostało zdefiniowane w art. 2 pkt 33b u.u.p. jako procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających. Jest to zatem procedura techniczna realizowana po stronie dostawcy, której celem jest sprawdzenie, czy osoba inicjująca transakcję jest uprawniona do korzystania z danego instrumentu. Uwierzytelnienie dotyczy tożsamości lub uprawnienia – nie woli płatnika.

Autoryzacja natomiast – jak wskazano we Wprowadzeniu i rozwinięto w części „Pojęcie autoryzacji transakcji płatniczej” powyżej – jest aktem woli płatnika, kwalifikowanym jako oświadczenie woli w rozumieniu art. 60 k.c. Różnica między oboma pojęciami jest zatem fundamentalna. Uwierzytelnienie odpowiada na pytanie, czy uprawniony użytkownik inicjuje transakcję, autoryzacja zaś – czy użytkownik chciał, aby transakcja została wykonana.

Rozróżnienie to ma bezpośrednie przełożenie na regulację dowodową zawartą w art. 45 u.u.p. Przepis ten nakłada na dostawcę obowiązek udowodnienia, że transakcja została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Jednakże art. 45 ust. 2 u.u.p. wyraźnie zastrzega, że wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Przepis ten pośrednio odnosi się do uwierzytelnienia[10] i w ten sposób wydaje się, że ustawodawca przecina intuicyjny związek między stwierdzeniem prawidłowego przebiegu procesu uwierzytelnienia a przyjęciem, że transakcja była autoryzowana.

W doktrynie relacja między uwierzytelnieniem a autoryzacją nie jest ujmowana jednolicie. Dominuje pogląd, zgodnie z którym uwierzytelnienie i autoryzacja to pojęcia odrębne, a prawidłowe przeprowadzenie procedury uwierzytelnienia nie jest normatywną przesłanką autoryzacji. Autoryzację transakcji płatniczych należy odróżnić od uwierzytelnienia, czyli procedury weryfikacji tożsamości użytkownika lub ważności stosowania instrumentu płatniczego. Okoliczność, że prawidłowo uwierzytelniono użytkownika lub instrument płatniczy nie oznacza, że nastąpiła autoryzacja transakcji płatniczej. Uwierzytelnienie per se nie powinno być interpretowane jako definitywny dowód, że płatnik wyraził zgodę na transakcję. Naruszenie procedury dotyczącej uwierzytelnienia nie powoduje nieważności lub nieskuteczności zgody płatnika – obowiązujące przepisy nie wprowadzają skutków prawnych tego rodzaju, gdy płatnik udzielił zgody. Udzielenie przez płatnika zgody w uzgodniony sposób jest jedyną przesłanką (warunkiem) autoryzacji danej transakcji płatniczej przez użytkownika (płatnika). Pogląd ten jest zbieżny z wykładnią językową art. 40 ust. 1 u.u.p., który nie odwołuje się do uwierzytelnienia jako przesłanki autoryzacji. Stanowisko to prezentują w szczególności T. Czech, K. Korus oraz M. Grabowski[11].

Odmienny pogląd, jak się wydaje, prezentowany w doktrynie przez B. Bajor, zakłada, że uwierzytelnienie stanowi konieczny element prawidłowego procesu autoryzacji. W tym ujęciu ocena, czy doszło do wyrażenia zgody na transakcję, wymaga ustalenia, czy doszło do prawidłowego uwierzytelnienia. Nie wydaje się możliwe rozłączenie tych dwóch procesów. Transakcja autoryzowana to taka, na którą płatnik wyraził zgodę, przy czym aby doszło do wyrażenia zgody, musi nastąpić zweryfikowanie tożsamości, czyli uwierzytelnienie. Uwierzytelnienie stanowi więc konieczną przesłankę prawidłowego procesu autoryzacji transakcji płatniczej[12]. Pogląd ten zbliżony jest do Stanowiska Prezesa UOKiK, omówionego szczegółowo poniżej, w ramach części „Autoryzacja transakcji płatniczej w świetle stanowisk organów”.

Stanowisko pośrednie prezentują M. Blocher i W. Iwański. Autorzy ci, odróżniając autoryzację od uwierzytelnienia i przyjmując, że udzielenie przez płatnika zgody w uzgodniony sposób jest jedyną przesłanką autoryzacji danej transakcji płatniczej, wskazują zarazem, że uwierzytelnienie pełni istotną rolę dowodową. Uwierzytelnianie jest elementem procesu weryfikacji przez dostawcę usług płatniczych faktu wyrażenia przez płatnika zgody (autoryzacji) na wykonanie transakcji płatniczej i jako takie jest kluczową przesłanką dla udowodnienia przez dostawcę usług płatniczych, że transakcja została autoryzowana. Zdaniem M. Blochera i W. Iwańskiego, „(…) skoro autoryzacja stanowi oświadczenie woli płatnika, treść tego oświadczenia dostawca usług płatniczych może oceniać na podstawie obiektywnych, możliwych do zaobserwowania z zewnątrz okoliczności (art. 65 KC). Taką okolicznością jest właśnie procedura uwierzytelniania, na którą umówili się płatnik i jego dostawca. Dlatego też przesłanką dowodową autoryzacji jest fakt uwierzytelnienia”. W tym ujęciu wykazanie prawidłowego uwierzytelnienia nie zastępuje dowodu autoryzacji, lecz stanowi kluczowy element materiału dowodowego pozwalającego na jej wykazanie – co pozostaje w zgodzie z brzmieniem art. 45 ust. 1 u.u.p.[13].

Konsekwencje praktyczne sporu są istotne. Dostawca, który wykaże jedynie, że transakcja przeszła procedurę uwierzytelnienia – na przykład, że została zainicjowana z użyciem prawidłowego hasła lub kodu SMS – nie udowadnia tym samym, że płatnik wyraził zgodę na jej wykonanie. Nie wyklucza to w szczególności sytuacji, w których indywidualne dane uwierzytelniające zostały uzyskane przez osobę trzecią bez wiedzy lub wbrew woli płatnika.

Tymczasem praktyka sektora bankowego przez długi czas zmierzała w kierunku zrównania obu pojęć. Banki powszechnie przyjmowały, że wykazanie prawidłowego przebiegu procedury uwierzytelnienia jest równoznaczne z wykazaniem autoryzacji i na tej podstawie odmawiały klientom zwrotu środków utraconych na skutek transakcji nieautoryzowanych. Stanowisko to stało się głównym motywem wszczęcia przez Prezesa UOKiK szeregu postępowań przeciwko bankom. Prezes UOKiK zakwestionował je jako naruszające zbiorowe interesy konsumentów, wskazując, że praktyka polegająca na błędnym przypisaniu płatnikowi ciężaru obalenia domniemania autoryzacji wynikającego z faktu uwierzytelnienia, pozbawia konsumentów ochrony przysługującej im na mocy art. 45 ust. 2 w zw. z art. 46 u.u.p. Postępowania te nadały omawianemu rozróżnieniu pojęciowemu wymiar nie tylko teoretyczny, lecz przede wszystkim praktyczny i regulacyjny.

Powyższe rozróżnienie nabiera szczególnego znaczenia w kontekście transakcji dokonywanych w wyniku działań socjotechnicznych. Ofiara oszustwa może bowiem samodzielnie podać dane uwierzytelniające lub nawet osobiście zainicjować transakcję, wskutek czego procedura uwierzytelnienia zostanie w pełni zachowana, mimo że rzeczywista wola płatnika była zniekształcona lub nieobecna. Zagadnienie to jest szczególnie istotne w kontekście odpowiedzialności dostawcy  na podstawie art. 46 u.u.p. i zostanie szczegółowo omówione poniżej.

Wola płatnika – aspekty subiektywne i obiektywne

Ustalenie, że autoryzacja jest oświadczeniem woli płatnika rodzi pytanie o to, w jakim stopniu o skuteczności zgody decyduje rzeczywista, wewnętrzna wola płatnika, a w jakim jego zewnętrzne zachowanie zgodne z uzgodnionym trybem. Pytanie to ma zasadnicze znaczenie praktyczne. W większości sporów dotyczących transakcji nieautoryzowanych płatnik nie kwestionuje bowiem faktu, że podjął określone czynności techniczne (np. wprowadził kod, potwierdził operację w aplikacji mobilnej czy przelał środki), lecz twierdzi, że czynności te zostały dokonane bez jego świadomej i swobodnej woli, najczęściej na skutek działania przestępców posługujących się metodami socjotechnicznymi.

W doktrynie dominuje pogląd, że na potrzeby ustalenia autoryzacji transakcji płatniczej zasadniczo nie ma znaczenia wola płatnika stanowiąca jego wewnętrzne przeżycie psychiczne, gdy nie pokrywa się ona z uzewnętrznionym zachowaniem. Wola taka w zasadzie nie podlega badaniu przez dostawcę[14]. Zgoda płatnika stanowi jego zachowanie odpowiednio uzewnętrznione, które powinno być rozumiane według ustalonych reguł znaczeniowych, z uwzględnieniem perspektywy starannego i racjonalnego adresata, a także postanowień umowy zawartej między płatnikiem a jego dostawcą. Stanowisko to należy jednak zastrzec o dwa wyjątki. Po pierwsze, sankcja nieważności bezwzględnej z art. 82 k.c. – gdy zlecenie płatnicze złożyła osoba znajdująca się w stanie wyłączającym świadome albo swobodne podjęcie decyzji i wyrażenie woli, transakcja jest nieautoryzowana niezależnie od zewnętrznych pozorów jej dokonania. Po drugie, zlecenie złożone przez osobę podszywającą się pod płatnika w ogóle nie stanowi jego oświadczenia woli i jest prawnie nieistniejące – niezależnie od dobrej wiary dostawcy[15].

Oznacza to, że jeżeli płatnik podjął czynności odpowiadające uzgodnionemu trybowi wyrażenia zgody, transakcja co do zasady powinna być uznana za autoryzowaną, niezależnie od subiektywnych motywów, którymi płatnik się kierował, czy też od błędnych wyobrażeń co do podstawy lub celu transakcji. Przykładowo, płatnik, który zlecił przelew na rachunek osoby trzeciej, błędnie sądząc, że jest wobec niej zobowiązany, autoryzował transakcję skutecznie – błąd co do stosunku podstawowego nie wpływa na ważność autoryzacji[16].

Opisane wyżej ujęcie można określić jako obiektywną teorię autoryzacji. W jej świetle bank nie jest zobowiązany do badania subiektywnych motywów ani wewnętrznych przeżyć płatnika. Ocena, czy transakcja była autoryzowana, ogranicza się do sprawdzenia, czy płatnik zachował się w sposób przewidziany umową jako wyraz zgody. Dostawca nie dysponuje zresztą narzędziami pozwalającymi na weryfikację rzeczywistej woli klienta i nałożenie na niego takiego obowiązku byłoby nie tylko nieuzasadnione normatywnie, lecz także niemożliwe do wykonania w praktyce.

Odmienne stanowisko, bliższe subiektywnej teorii autoryzacji, prezentowane jest w części orzecznictwa sądów powszechnych. Dla przykładu, Sąd Okręgowy w Piotrkowie Trybunalskim wskazał, że brak autoryzacji należy rozumieć szeroko, jako każdą sytuację, w której płatnik nie miał woli dokonania rozporządzenia swoimi środkami, i że wyrażenie zgody w rozumieniu art. 40 ust. 1 u.u.p. należy rozumieć jako świadomą i zamierzoną wolę, by oznaczona suma pieniędzy została przekazana na ściśle oznaczone konto wiadomego odbiorcy[17]. Ujęcie to, choć intuicyjnie atrakcyjne z perspektywy ochrony konsumentów, prowadzi do trudnych do zaakceptowania konsekwencji. Nakazuje bowiem badać rzeczywistą wolę płatnika, co w praktyce sprowadza się do przyznania płatnikowi możliwości zakwestionowania każdej transakcji przez powołanie się na nieadekwatność jej zewnętrznych przesłanek do jego rzeczywistych intencji.

Obiektywna teoria autoryzacji ma zatem swoje granice. Nie sposób przyjąć, że zewnętrzna zgodność zachowania płatnika z uzgodnionym trybem wyrażenia zgody jest wystarczająca w każdych okolicznościach. W przypadku transakcji dokonywanych w wyniku działań socjotechnicznych płatnik może być manipulowany co do tożsamości rozmówcy, charakteru operacji lub jej rzeczywistych skutków i w konsekwencji wykonać czynności techniczne odpowiadające uzgodnionemu trybowi autoryzacji, nie mając jednocześnie świadomości, że wyraża zgodę na konkretną transakcję płatniczą. W takich przypadkach zachowanie płatnika jest formalnie poprawne, lecz pozbawione rzeczywistego elementu wolicjonalnego, który stanowi – jak wskazano powyżej – istotę autoryzacji w rozumieniu art. 40 ust. 1 u.u.p. Jak wskazał Sąd Okręgowy w Warszawie, fakt że przelew przeszedł przez system bankowy nie przesądza o istnieniu zgody klienta w rozumieniu art. 40 ust. 1 u.u.p., jeżeli płatnik nie miał rzeczywistej kontroli nad wykonaniem przelewu[18].

Kwestia ta wymaga jednak wyraźnego zastrzeżenia. Samo powołanie się przez płatnika na działanie w warunkach manipulacji nie przesądza automatycznie o braku autoryzacji ani o odpowiedzialności dostawcy. Konieczna jest ocena całokształtu okoliczności, w tym zachowania samego płatnika. Jeżeli płatnik, będąc pod wpływem manipulacji, ujawnił osobie trzeciej indywidualne dane uwierzytelniające lub w inny sposób naruszył obowiązki wynikające z art. 42 u.u.p., okoliczność ta może mieć istotne znaczenie dla oceny jego odpowiedzialności – w szczególności w kontekście przesłanki rażącego niedbalstwa z art. 46 ust. 3 u.u.p.

Pytanie, gdzie przebiega granica między swobodnym wyrażeniem woli a jej zniekształceniem w stopniu wykluczającym skuteczną autoryzację, pozostaje jednym z najtrudniejszych problemów interpretacyjnych w omawianym obszarze.

Znaczenie autoryzacji dla odpowiedzialności dostawcy – kontekst praktyczny i regulacyjny

Rozważania prowadzone w poprzednich częściach mają bezpośrednie przełożenie na praktykę. Ustalenie, czy transakcja płatnicza była autoryzowana, determinuje bowiem zakres obowiązków dostawcy wobec płatnika. Zgodnie z art. 46 ust. 1 u.u.p. w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie – nie później niż do końca dnia roboczego następującego po dniu stwierdzenia jej wystąpienia lub po dniu otrzymania stosownego zgłoszenia – zwrócić płatnikowi kwotę nieautoryzowanej transakcji[19]. Obowiązek ten jest zatem bezpośrednią konsekwencją stwierdzenia braku autoryzacji. Od odpowiedzi na pytanie, czy płatnik wyraził zgodę na wykonanie transakcji w rozumieniu art. 40 ust. 1 u.u.p., zależy więc, czy po stronie dostawcy powstaje obowiązek natychmiastowego zwrotu – i to nierzadko znacznych kwot.

Ciężar udowodnienia autoryzacji spoczywa przy tym na dostawcy. Artykuł 45 ust. 1 u.u.p. stanowi w tym zakresie wyjątek od ogólnej zasady wyrażonej w art. 6 k.c. To nie płatnik musi bowiem wykazać, że transakcji nie autoryzował, lecz dostawca musi udowodnić, że do autoryzacji doszło. Jak wskazano powyżej, samo wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest w tym zakresie wystarczające. Dostawca, który nie zdoła udowodnić autoryzacji, jest obowiązany dokonać zwrotu, niezależnie od własnej oceny okoliczności sprawy.

W tym miejscu ujawnia się oś praktycznego sporu między sektorem bankowym a organami ochrony konsumentów. Dostawcy od lat dążą do obiektywizacji pojęcia autoryzacji, tj. do takiego jego ukształtowania, które pozwoliłoby na uznanie transakcji za autoryzowaną w oparciu o obiektywnie weryfikowalne przesłanki, w szczególności o fakt prawidłowego uwierzytelnienia. Jest to stanowisko mające swoje uzasadnienie systemowe – dostawca nie ma możliwości weryfikacji rzeczywistej woli płatnika w momencie realizacji transakcji, a nałożenie na niego obowiązku jej badania jest normatywnie nieuzasadnione i praktycznie niewykonalne. Prezes UOKiK natomiast konsekwentnie kwestionuje tego rodzaju podejście, wskazując że wykazanie uwierzytelnienia nie zwalnia dostawcy z obowiązku zwrotu i nie stanowi samo w sobie dowodu autoryzacji.

Ustawodawca nie rozstrzygnął tego sporu wprost. Artykuł 40 ust. 1 u.u.p. nie precyzuje, jak oceniać tę zgodę w sytuacjach granicznych. Ta nieostrość definicyjna jest źródłem niepewności prawnej zarówno dla dostawców, jak i dla płatników. Wypełnieniu jej służy w pierwszej kolejności wykładnia sądowa. Orzecznictwo może w praktyce wyznaczać granicę między transakcją autoryzowaną a nieautoryzowaną w przypadkach spornych. W ślad za orzecznictwem idą stanowiska organów, które – jak zostanie wykazane poniżej – w istotnych punktach odbiegają od kierunku, który wyznacza wykładnia sądowa.

Autoryzacja transakcji płatniczej w orzecznictwie sądowym

Wobec braku ustawowej definicji autoryzacji i niejednolitości doktryny, to orzecznictwo sądowe odgrywa kluczową rolę w wyznaczaniu granic pojęcia zgody płatnika w rozumieniu art. 40 ust. 1 u.u.p. Analiza dostępnego orzecznictwa pozwala na identyfikację kilku linii interpretacyjnych, których kierunek ma bezpośrednie znaczenie dla praktyki dostawców.

Punktem wyjścia pozostaje wyrok Sądu Najwyższego z 18.01.2018 r.[20], w którym Sąd przesądził, że ciężar udowodnienia, iż transakcja płatnicza została autoryzowana przez użytkownika, spoczywa na dostawcy usług płatniczych. Wyrok ten, wydany na gruncie poprzednio obowiązujących przepisów, potwierdził kierunek wynikający z obecnego art. 45 ust. 1 u.u.p. i utrwalił zasadę, że to dostawca – a nie płatnik – ponosi ryzyko procesowe związane z niemożnością wykazania autoryzacji. Orzeczenie to stanowi fundament, na którym opiera się późniejszy dorobek orzeczniczy w omawianym zakresie.

Przełomowe znaczenie ma natomiast wyrok Sądu Najwyższego z 15.09.2023 r.[21]. Sąd Najwyższy wyraźnie rozróżnił w nim pojęcia uwierzytelnienia i autoryzacji, wskazując, że wykazanie uwierzytelnienia transakcji płatniczej nie jest równoznaczne z wykazaniem jej autoryzacji, co potwierdza art. 45 ust. 2 u.u.p. Wyrok ten wpisuje się bezpośrednio w rozróżnienie omówione w części „Uwierzytelnienie a autoryzacja – rozróżnienie pojęć i jego konsekwencje prawne” powyżej i stanowi jego najważniejsze orzecznicze potwierdzenie.

W tym samym nurcie interpretacyjnym mieści się wyrok Sądu Rejonowego w Chełmnie z 18.04.2023 r., w którym sąd precyzyjnie wyodrębnił dwa kumulatywne wymogi skutecznej autoryzacji[22]. Po pierwsze, przesłankę podmiotową – oświadczenie woli musi złożyć osoba uprawniona, tj. posiadacz rachunku jako płatnik, a nie jakakolwiek inna osoba. Po drugie, przesłankę przedmiotową – oświadczenie woli musi zostać złożone we właściwej formie i w sposób jednoznacznie określający wolę składającego. Sąd wyraźnie odróżnił techniczną czynność podania kodu SMS, stanowiącą jedynie uwierzytelnienie transakcji, od autoryzacji jako aktu woli płatnika, stwierdzając, że samo podanie kodu bez zgody posiadacza rachunku bankowego na dokonanie transakcji stanowi wyłącznie uwierzytelnienie transakcji i że poprawne wykonanie czynności przy wykorzystaniu właściwych narzędzi autoryzacyjnych nie jest jednoznaczne z uznaniem transakcji za autoryzowaną w rozumieniu art. 40 ust. 1 u.u.p. Na uwagę zasługuje argument sądu, że brak woli autoryzacji po stronie płatnika potwierdzała jego reakcja po stwierdzeniu kradzieży – złożenie reklamacji w oddziale banku oraz zawiadomienie Policji o popełnieniu przestępstwa – co Sąd potraktował jako dowód, że płatnik wypełnił obowiązek, o którym mowa w art. 44 u.u.p., i że nie wyrażał zgody na zakwestionowane transakcje.

Zagadnienie autoryzacji przez dodanie odbiorcy zaufanego było z kolei przedmiotem rozważań Sądu Apelacyjnego w Krakowie w wyroku z 19.04.2023 r.[23]. Sąd wskazał, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą, przy czym zgoda ta może być wyrażona pośrednio także poprzez upoważnienie innej osoby do dokonywania transakcji poprzez dodanie jej jako odbiorcy zaufanego. Sąd podkreślił przy tym, powołując się na preambułę dyrektywy PSD2, że obowiązek przedstawienia dowodów domniemanego zaniedbania spoczywa na dostawcy usług płatniczych – dotyczy to także obowiązku wykazania, że dodanie osób, które mogły wykonać bez dodatkowego uwierzytelnienia transakcje, nastąpiło świadomie albo na skutek rażącego niedbalstwa pozwanego. W okolicznościach rozpatrywanej sprawy Sąd stwierdził, że brak jest dowodów wskazujących, że pozwany odebrał wiadomości SMS zawierające kod autoryzacyjny i po otrzymaniu kodów potwierdził dodanie odbiorców zaufanych kodem autoryzacyjnym. Dostęp do autoryzacji nieznany sprawca uzyskał bez działania pozwanego.

Kierunek orzeczniczy pozostaje jednak niejednolity. Mimo wykształcenia pewnych standardów oceny w zakresie ciężaru dowodu autoryzacji, orzecznictwo nie dostarczyło jak dotąd precyzyjnych i spójnych wskazówek interpretacyjnych co do tego, kiedy transakcję można uznać za autoryzowaną w rozumieniu art. 40 ust. 1 u.u.p.

Autoryzacja transakcji płatniczej w świetle stanowisk organów

Niejednolitość orzecznictwa oraz różne praktyki dostawców w tym zakresie skłoniły organy ochrony konsumentów i nadzoru finansowego do zajęcia własnych stanowisk w kwestii rozumienia pojęcia autoryzacji. Stanowiska te mają istotne znaczenie praktyczne, kształtując oczekiwania regulacyjne wobec sektora bankowego.

Kluczowe znaczenie ma Stanowisko Prezesa UOKiK. Prezes UOKiK przyjął w nim, że transakcja płatnicza jest autoryzowana wyłącznie wówczas, gdy spełnione są łącznie dwa warunki: płatnik wyraził zgodę na jej wykonanie oraz transakcja została prawidłowo uwierzytelniona. Aby stwierdzić autoryzację transakcji, niezbędne jest wykazanie wystąpienia łącznie obu tych przesłanek. Stanowisko to zastrzega przy tym, że pojęcia „autoryzacji” nie należy utożsamiać z „uwierzytelnieniem”.

Stanowiska opublikowane przez Rzecznika Finansowego są w tym zakresie zbliżone. W opracowaniach poświęconych nieautoryzowanym transakcjom płatniczym Rzecznik Finansowy przyjmuje, że jedyną przesłanką autoryzacji jest zgoda płatnika, nie zajmując jednak wyraźnego stanowiska co do roli uwierzytelnienia jako elementu koniecznego lub dowodowego w procesie wykazania autoryzacji[24].

Urząd Komisji Nadzoru Finansowego nie wypowiadał się publicznie w kwestii interpretacji pojęcia „autoryzacji” transakcji płatniczych. Zwracał jednak publicznie uwagę na niespójność przepisów u.u.p. dotyczących rozkładu ciężaru dowodu przy wykazywaniu autoryzacji transakcji płatniczej z dyrektywą PSD2[25]. Choć UKNF nie wypowiada się wprost co do definicji autoryzacji, jego zastrzeżenie ma istotne znaczenie systemowe – wskazuje bowiem, że obowiązujące przepisy krajowe w zakresie sposobu wykazywania autoryzacji mogą być surowsze wobec dostawców niż wynikałoby to z dyrektywy PSD2, a wykładnia tych przepisów powinna uwzględniać regulację unijną jako punkt odniesienia.

Zestawienie stanowisk organów z dominującym poglądem doktryny i kierunkiem orzecznictwa sądowego ujawnia wyraźne rozbieżności w podejściu do pojęcia „autoryzacji”. Rozbieżności te nie zostały dotychczas rozstrzygnięte, co stanowi jedno z głównych źródeł niepewności prawnej w omawianym obszarze.

Perspektywa zmian – rozporządzenie PSR[26]

Analiza pojęcia autoryzacji nie byłaby kompletna bez choćby sygnalnego odniesienia do zbliżających się zmian legislacyjnych. Na horyzoncie pozostaje bowiem rozporządzenie Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego (dalej: „PSR”), które zastąpi dyrektywę PSD2. Należy zaznaczyć, że nie chodzi wyłącznie o aktualizację treści regulacji, lecz przede wszystkim o zmianę formy aktu prawnego – z dyrektywy na rozporządzenie. Oznacza to bezpośrednią stosowalność przepisów PSR we wszystkich państwach członkowskich, bez potrzeby implementacji do prawa krajowego.

Z perspektywy analizowanej w niniejszym artykule problematyki autoryzacji, generalna zasada z art. 64 ust. 1 PSD2 zostaje utrzymana. Autoryzacja nadal będzie oznaczała zgodę płatnika na wykonanie transakcji. Punkt wyjścia dla oceny, czy transakcja jest autoryzowana, pozostanie zatem niezmieniony. Istotną nowością będzie przepis wprost wskazujący, kiedy transakcja nie powinna zostać uznana za autoryzowaną. Ustawodawca unijny zdecydował się na wyraźne uregulowanie przypadku, który w prawie polskim był dotąd rozstrzygany wyłącznie w drodze wykładni, tj. sytuacji, w której transakcja została zainicjowana lub zmodyfikowana przez osobę trzecią działającą bez zgody użytkownika, w tym z użyciem bezprawnie uzyskanych danych uwierzytelniających. Przepis ten bezpośrednio odnosi się do scenariuszy socjotechnicznych analizowanych w niniejszym artykule. Projektowane rozporządzenie ma również wprost przesądzić, że fakt uwierzytelnienia transakcji – w tym z zastosowaniem silnego uwierzytelniania klienta (SCA) – nie jest sam w sobie wystarczający do udowodnienia, że transakcja była autoryzowana przez płatnika lub że płatnik działał z zamiarem oszustwa lub z rażącym niedbalstwem.

Niezależnie od finalnego brzmienia przepisów, zmiana instrumentu prawnego z dyrektywy na rozporządzenie będzie sama w sobie rewolucyjna dla krajowego porządku prawnego. PSR będzie stosowane bezpośrednio, bez „pośrednictwa” ustawy o usługach płatniczych, co wyeliminuje rozbieżności implementacyjne, takie jak te wskazane przez UKNF w kontekście art. 45 u.u.p. Jednocześnie jednak bezpośrednia stosowalność rozporządzenia stworzy nowe wyzwania interpretacyjne. Krajowe sądy i organy będą musiały odwoływać się wprost do tekstu unijnego, bez krajowych przepisów implementacyjnych jako bufora.

Podsumowanie

Pytanie postawione we wstępie dotyczyło tego, czy na podstawie dostępnego materiału normatywnego i interpretacyjnego możliwe jest sformułowanie jednolitej i precyzyjnej definicji autoryzacji transakcji płatniczej, pozwalającej na jednoznaczne odróżnienie transakcji autoryzowanej od nieautoryzowanej. Przeprowadzona analiza prowadzi do odpowiedzi negatywnej lub co najmniej do odpowiedzi warunkowej. Definicja taka jest możliwa jedynie w odniesieniu do przypadków niebudzących wątpliwości, natomiast w odniesieniu do przypadków granicznych – a to właśnie one dominują w praktyce sądowej i regulacyjnej – materiał normatywny i interpretacyjny nie dostarcza jednoznacznych kryteriów rozstrzygnięcia.

Rozbieżności te mają swoje źródło w niedoskonałości regulacyjnej. Ustawodawca posługuje się pojęciem autoryzacji, nie definiując go w sposób wyczerpujący, a luka ta nie została dotąd wypełniona przez spójne orzecznictwo ani przez stanowiska organów. Efektem jest stan, w którym kwalifikacja tej samej transakcji – jako autoryzowanej lub nieautoryzowanej – może zależeć od tego, który organ lub sąd sprawę rozpatruje, co jest stanem trudnym do zaakceptowania z punktu widzenia pewności prawa.

Odpowiedzi na część z tych pytań może dostarczyć zbliżające się rozporządzenie PSR. Niezależnie od finalnego brzmienia poszczególnych przepisów, zmiana ta nieuchronnie otworzy nowy etap dyskusji nad pojęciem autoryzacji – tym razem na gruncie aktu bezpośrednio stosowalnego.

r.pr. Maciej Juzoń
starszy prawnik
w kancelarii Sołtysiński Kawecki & Szlęzak
ORCID: 0009-0005-3009-4305

Bibliografia:

1. Bajor B. [w:] Ustawa o usługach płatniczych. Komentarz (red. J. Byrski, A. Zalcewicz), Warszawa 2021, art. 40.
2. Blocher M., Iwański W., Nieautoryzowane transakcje płatnicze – zagadnienia wybrane, Monitor Prawniczy 2020, nr 9.
3. Czech T. [w:] Ustawa o usługach płatniczych. Komentarz (red.K. Osajda, J. Dybiński), Warszawa 2025, art. 40.
4. Grabowski M., Ustawa o usługach płatniczych. Komentarz, Warszawa 2020.
5. Korus K. [w:] Ustawa o usługach płatniczych. Komentarz, t. V, Zobowiązania (red.P. Machnikowski), Warszawa 2025, art. 40.

---

[1] Zgodnie z danymi przekazanymi przez agentów rozliczeniowych, w III kw. 2025 r. dokonano prawie 8,0 tys. operacji oszukańczych przy użyciu kart płatniczych o wartości 4,0 mln zł, co względem poprzedzającego kwartału oznacza wzrost zarówno liczby takich transakcji (o 15,5%), jak i ich wartości (o 35,5%). W III kw. 2025 r. odnotowano również 28,8 tys. oszustw poleceniem przelewu na kwotę prawie 176,6 mln zł. W porównaniu z poprzedzającym kwartałem wzrosły liczba (o 32,8%) i wartość (o 2,2%) takich transakcji oszukańczych (źródło: Informacja o transakcjach oszukańczych dokonywanych przy użyciu bezgotówkowych instrumentów płatniczych w III kwartale 2025 r., NBP, grudzień 2025 r.; dostęp: 13.03.2026 r.).

[2] Stanowisko Prezesa UOKiK w sprawie nieautoryzowanych transakcji płatniczych z 16.11.2022 r., dalej: „Stanowisko Prezesa UOKiK”.

[3] Ustawa z 19.08.2011 r. o usługach płatniczych (t.j. Dz.U. z 2020 r., poz. 794, ze zm.), dalej: „u.u.p.”.

[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) nr 2015/2366/UE z 25.11.2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.U. UE L nr 337, s. 35), dalej: „PSD2”.

[5] Ustawa z 23.04.1964 r. – Kodeks cywilny (t.j. Dz.U. z 2026 r., poz. 184), dalej: „k.c.”.

[6] Zob. M. Grabowski, Ustawa o usługach płatniczych. Komentarz, , Warszawa 2020, art. 40, nb 1, gdzie M. Grabowski stwierdza wprost: „Zgoda ta stanowi oświadczenie woli w rozumieniu art. 60 KC”. Ponadto, T. Czech wskazuje, że „Zgoda płatnika stanowi jego oświadczenie woli w rozumieniu art. 60 KC” i zaznacza, że pogląd ten jest powszechnie podzielany w nauce prawa [zob. T. Czech [w:] Ustawa o usługach płatniczych. Komentarz (red. K. Osajda, J. Dybiński), Warszawa 2025, art. 40, nb 7-7.1].

[7] Zob. T. Czech, Ustawa…, art. 40, nb 7.6: „Zgoda płatnika może zostać udzielona w sposób wyraźny (np. złożenie podpisu pod dyspozycją przelewu) lub dorozumiany (np. przyłożenie karty płatniczej do czytnika terminala). Zachowanie się płatnika powinno – w sposób dostateczny – ujawniać jego wolę co do przeprowadzenia określonej transakcji płatniczej (art. 60 KC)”.

[8] Zob. T. Czech [w:] Ustawa…, art. 40, nb 9.

[9] Praktyka polegająca na zrównaniu obu pojęć, a w szczególności na uznawaniu wykazania prawidłowego uwierzytelnienia za równoznaczne z wykazaniem autoryzacji, stała się główną podstawą zarzutów formułowanych przez Prezesa UOKiK wobec dostawców usług płatniczych w ramach wszczętych w ostatnich latach postępowań dotyczących naruszenia zbiorowych interesów konsumentów.

[10] Zarejestrowane użycie instrumentu płatniczego jest bowiem technicznym śladem procedury uwierzytelnienia, choć formalnie pojęcia te nie są tożsame.

[11] Zob. T. Czech , Ustawa…, art. 40, nb 34–35; K. Korus [w:] Ustawa o usługach płatniczych. Komentarz, t. V, Zobowiązania (red.P. Machnikowski), Warszawa 2025, art. 40, pkt II.3-4; M. Grabowski, Ustawa…, art. 40, nb 7. Stanowisko K. Korusa wymaga przy tym doprecyzowania. Autor wprawdzie wyraźnie stwierdza, że omawiany przepis sugeruje, iż do autoryzacji transakcji płatniczej uwierzytelnienie z mocy ustawy nie jest potrzebne (norma ta nie odwołuje się w żadnym zakresie do uwierzytelnienia). Dopiero przepisy dowodowe oraz przepisy o transakcjach nieautoryzowanych wiążą akt autoryzacji z uwierzytelnieniem i uzależniają określone skutki prawne od zastosowania obu tych mechanizmów. Jednocześnie jednak przyjmuje, że z systemowej wykładni przepisów – w szczególności regulacji dotyczących indywidualnych danych uwierzytelniających oraz obowiązków wynikających z rozporządzenia delegowanego 2018/389 – należy wywieść obowiązek stosowania uwierzytelnienia przy wykonywaniu transakcji płatniczych. Stanowisko K. Korusa ma zatem charakter złożony: autor nie traktuje uwierzytelnienia jako normatywnej przesłanki autoryzacji w rozumieniu art. 40 ust. 1 u.u.p., lecz uzasadnia obowiązek jego stosowania na podstawie innych regulacji.

[12] Zob. B. Bajor [w:] Ustawa o usługach płatniczych. Komentarz (red. J. Byrski, A. Zalcewicz), Warszawa 2021, art. 40.

[13] Zob. M. Blocher, W. Iwański, Nieautoryzowane transakcje płatnicze – zagadnienia wybrane, Monitor Prawniczy 2020, nr 9, s. 466-468.

[14] Zob. T. Czech Ustawa…, art. 40, art. 40, nb 7.3, gdzie autor wskazuje, że „Zasadniczo nie ma znaczenia wola płatnika stanowiąca jego wewnętrzne przeżycie psychiczne, gdy nie pokrywa się ona z uzewnętrznionym zachowaniem (…). Wola taka w zasadzie nie podlega badaniu na potrzeby ustalenia autoryzacji transakcji płatniczej (z zastrzeżeniem nt 51.2)”. K. Korus wskazuje natomiast, że„miarodajna jest wola odczytywalna dla ogółu starannych uczestników obrotu, a nie subiektywne przeżycia podmiotu ujawniającego wolę”, zarazem podkreślając, że ewentualne rozbieżności pomiędzy wolą ujawnioną a zamiarem nieujawnionym należy rozstrzygać wyłącznie w ramach dedykowanych instytucji u.u.p. (cofnięcie autoryzacji, odwołanie zlecenia, prawo zwrotu) – zob. K. Korus Ustawa…, art. 40, pkt II.5.

[15] Zob. T. Czech, Ustawa…, art. 40, nb 51.2, gdzie autor wskazuje, że „sankcja nieważności występuje wtedy, gdy zlecenie płatnicze złożyła osoba, która znajdowała się w stanie wyłączającym świadome albo swobodne podjęcie decyzji i wyrażenie woli (art. 82 KC). Transakcja płatnicza jest wówczas nieautoryzowana”; co do działania osoby podszywającej się pod płatnika – zob. T. Czech , Ustawa…, art. 40, nb 8.3-8.4: „Zgoda nie zostaje udzielona wtedy, gdy oświadczenie złożyła osoba podszywająca się pod płatnika lub jego przedstawiciela (oszust) (…) Działanie oszusta, który podszywa się pod płatnika lub jego przedstawiciela, nigdy nie może zostać uznane za skuteczną zgodę płatnika, choćby dostawca o tym nie wiedział i – mimo zachowania należytej staranności – nie mógł tej okoliczności ustalić w trakcie przyjmowania zlecenia oraz wykonywania transakcji płatniczej”.

[16] Zob. T. Czech, Ustawa…, art. 40, nb 8.6-8.7, gdzie autor wskazuje, że „Zgoda jest skuteczna prawnie, gdy płatnik udzielił jej, działając pod wpływem błędu co do osoby odbiorcy albo istnienia lub treści stosunku podstawowego łączącego go z odbiorcą. Błąd tego rodzaju per se nie powoduje bezskuteczności udzielonej zgody (zob. art. 84 i n. KC)”.

[17] Wyrok SO w Piotrkowie Trybunalskim z 8.07.2024 r. (II Ca 361/24), LEX nr 3752860.

[18] Wyrok SO w Warszawie z 12.06.2025 r. (V Ca 276/25), LEX nr 3886656.

[19] Przepis ten nie ma zastosowania w dwóch przypadkach: (i) gdy płatnik nie powiadomił dostawcy o stwierdzonych nieautoryzowanych transakcjach w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, oraz (ii) gdy dostawca ma uzasadnione i należycie udokumentowane podstawy, by podejrzewać oszustwo ze strony płatnika, i poinformował o tym w formie pisemnej organy powołane do ścigania przestępstw. Wyjątki te pozostają poza zakresem niniejszego artykułu.

[20] Wyrok SN z 18.01.2018 r. (V CSK 141/17), LEX nr 2481983.

[21] Wyrok SN z 15.09.2023 r. (II CSKP 1013/22), LEX nr 3618242.

[22] Wyrok SR w Chełmnie z 18.04.2023 r. (I C 433/21), LEX nr 3574487.

[23] Wyrok SA w Krakowie z 19.04.2023 r. (I AGa 292/21), LEX nr 3715788.

[24] Urząd Rzecznika Finansowego, Nieautoryzowane transakcje płatnicze – analiza, 2019; Urząd Rzecznika Finansowego, Nieautoryzowane transakcje płatnicze – analiza, 2020.

[25] Por. publicznie dostępne stanowisko Urzędu zawarte w piśmie z 20.122021 r., skierowanym do Podsekretarza Stanu w Ministerstwie Finansów Pana Piotra Patkowskiego (https://legislacja.rcl.gov.pl/docs//2/12342905/12760189/12760192/dokument538000.pdf), dostęp: 9.03.2026 r.

[26] Rozporządzenie PSR nie zostało na dzień oddania niniejszego artykułu do druku opublikowane w Dzienniku Urzędowym Unii Europejskiej. Uwagi przedstawione w niniejszym artykule opierają się na tekście wypracowanym w toku procesu legislacyjnego i mają charakter orientacyjny.