ISPB
Icon label Icon label
Icon label Icon label
Zaloguj się
0
logo MPB
Zamów prenumeratę
ISPB
logo MPB
0
Menu
Menu

Obowiązek zwrotu kwoty nieautoryzowanych transakcji płatniczych z perspektywy rozkładu ciężaru dowodu

Monitor Prawa Bankowego 2025/09 Wrzesień

Niniejszy artykuł przedstawia problematykę zwrotu przez dostawcę usług płatniczych kwoty nieautoryzowanych transakcji płatniczych w kontekście rozkładu ciężaru dowodu przewidzianego w art. 45 u.u.p.[1].

Anna Drabik-Ostafin

Ustawa o usługach płatniczych[2] reguluje m.in. kwestie dotyczące nieautoryzowanych transakcji płatniczych oraz obowiązków dostawców usług płatniczych związanych ze zwrotem kwoty takich transakcji. Dostawcą – w świetle tej ustawy – jest podmiot uprawniony do wykonywania działalności w zakresie usług płatniczych, w tym bank krajowy oraz oddział banku zagranicznego[3]. Płatnika zdefiniowano jako podmiot składający zlecenie płatnicze[4].

Pojęcie autoryzacji transakcji płatniczej odwołuje się do zgody płatnika na wykonanie danej transakcji: „transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych” (art. 40 ust. 1 u.u.p.).

Zgodnie z art. 46 ust. 1 u.u.p. „z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw (…)”. Uzupełniając powyższą regulację, art. 44 ust. 2 u.u.p. stanowi, że: „jeżeli użytkownik nie dokona powiadomienia, o którym mowa w ust. 1 (czyli powiadomienia dostawcy o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych – dop. własny), w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają”.

Biorąc za punkt wyjścia powołane wyżej przepisy u.u.p. w ich literalnym brzmieniu, w przypadku zgłoszenia przez płatnika nieautoryzowanej transakcji płatniczej (zgodnie z jej definicją ustawową wynikającą z art. 40 ust. 1 u.u.p. a contrario), dostawca usług płatniczych pozostaje – co do zasady – zobowiązany do dokonania zwrotu kwoty takiej transakcji w ścisłym terminie D+1 („niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia” – art. 46 ust. 1 u.u.p.). Obowiązek ten powstaje w każdym przypadku, z jedynie dwoma wyjątkami: 1) gdy dostawca podejrzewa oszustwo i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw, 2) gdy do zgłoszenia nieautoryzowanej transakcji doszło po upływie 13 miesięcy od dnia obciążenia rachunku lub dnia, w którym transakcja miała być wykonana.

Poza tymi wyjątkami dostawca ma obowiązek dokonać niezwłocznego zwrotu kwoty takich transakcji, niezależnie od kwestii rażącego niedbalstwa czy winy umyślnej po stronie płatnika (zob. art. 46 ust. 3 u.u.p.). Dostawca nie może czasowo wstrzymać zwrotu, choćby na czas przeprowadzenia wewnętrznego postępowania wyjaśniającego, zebrania dowodów i pełnej analizy zgłoszenia, co nierzadko wymaga okresu dłuższego niż ustawowy termin D+1. Drogą do późniejszego odzyskania przez dostawcę zwróconej kwoty transakcji jest standardowy tryb windykacyjny, a więc wezwanie płatnika do zapłaty, a następnie – w razie braku płatności – cywilne postępowanie sądowe.

Rozkład ciężaru dowodu

Do ustalenia zakresu odpowiedzialności dostawcy usług płatniczych kluczowe znaczenie ma rozkład ciężaru dowodu wprowadzony w art. 45 ust. 1 u.u.p. Determinuje on bowiem podmiot, na którym ciąży obowiązek wykazania, że dana transakcja płatnicza była autoryzowana[5], a więc – zgodnie z art. 40 ust. 1 u.u.p. – że płatnik wyraził na nią zgodę. Zgodnie z art. 45 ust. 1 u.u.p. na dostawcy usług płatniczych spoczywa ciężar dowodu, że transakcja płatnicza została autoryzowana przez płatnika: „Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej”[6].

Polski ustawodawca posługuje się pojęciem „autoryzacja” w kontekście rozkładu ciężaru dowodu (art. 45 ust. 1 u.u.p.). Co istotne, w art. 2 pkt 33b u.u.p. zdefiniowano – odmienne od „autoryzacji” – pojęcie „uwierzytelniania” jako „procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających”. Wprowadzono więc definicje zarówno „autoryzacji”, jak i „uwierzytelniania”, dostrzegając różnice w ich zakresie. Odwrócenie onus probandi – wobec ogólnej zasady wyrażonej w art. 6 k.c. – zastosowane zostało jednak wobec „autoryzacji”, a nie „uwierzytelniania”.

Implementacja dyrektywy PSD2

Do pełnego zrozumienia istoty problemu wynikającego z brzmienia art. 45 u.u.p. oraz wiążących się z tym konsekwencji niezbędne jest przybliżenie genezy tego przepisu. Powołane wyżej regulacje (w tym art. 45 u.u.p.) stanowią implementację unijnej dyrektywy PSD2[7]. Zastąpiła ona obowiązującą poprzednio dyrektywę PSD1[8].

Artykuł 72 ust. 1 PSD2 stanowi, że: „Państwa członkowskie nakładają wymóg, zgodnie z którym w przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował wykonaną transakcję płatniczą, lub twierdzi, że transakcja płatnicza została wykonana nieprawidłowo, do dostawcy usług płatniczych należy udowodnienie, że transakcja ta została uwierzytelniona, dokładnie zapisana, ujęta w księgach i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez danego dostawcę usług płatniczych”[9]. Przepis ten transponowano w art. 45 ust. 1 u.u.p. Już pobieżna lektura obu wskazanych przepisów prowadzi do wniosku, że nie są one tożsame. Przeciwnie, w kontekście rozkładu ciężaru dowodu ustawodawca krajowy posługuje się terminem „autoryzacja”, natomiast unijny –  „uwierzytelnienie”, co prowadzi do daleko idących konsekwencji.

Dla porządku wywodu należy dodać, że w PSD2 – podobnie jak w u.u.p. – zawarto definicję pojęcia „uwierzytelnianie”. Pojęcie to „oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika”(art. 4 pkt 29 PSD2)[10]. Wprowadzono również definicję autoryzowanych transakcji płatniczych: „Państwa członkowskie zapewniają, aby transakcję płatniczą uznawano za autoryzowaną tylko pod warunkiem udzielenia przez płatnika zgody na wykonanie transakcji płatniczej. Udzielenie zgody na wykonanie jednej transakcji płatniczej lub kilku transakcji płatniczych odbywa się w sposób uzgodniony pomiędzy płatnikiem a dostawcą usług płatniczych. Zgody na wykonanie transakcji płatniczej można również udzielić za pośrednictwem odbiorcy lub dostawcy świadczącego usługę inicjowania płatności. W przypadku braku zgody transakcję płatniczą uznaje się za nieautoryzowaną”[11]. Definicja ta została transponowana w cytowanym wyżej art. 40 ust. 1 u.u.p. Dyrektywa PSD2 wprowadza zatem definicje dwóch odrębnych pojęć: „autoryzacji” („authorization” zgodnie z 64 ust. 1 PSD2) oraz „uwierzytelniania” („authentication” zgodnie z art. 4 pkt 29 PSD2), które – podobnie jak w u.u.p. – posiadają odmienne znaczenie normatywne i nie mogą być ze sobą utożsamiane.

Kontrowersje

W konsekwencji prawidłowość transpozycji art. 72 PSD2 (wcześniej: art. 59 PSD1) do przepisów u.u.p. została zakwestionowana[12]. Zgodnie z art. 59 ust. 1 PSD1 w jego wersji angielskiej: „Member States shall require that, where a payment service user denies having authorised an executed payment transaction or claims that the payment transaction was not correctly executed, it is for his payment service provider to prove that the payment transaction was authenticated, accurately recorded, entered in the accounts and not affected by a technical breakdown or some other deficiency”, co w polskiej wersji językowej ujęto następująco: „Państwa członkowskie nakładają wymóg, zgodnie z którym w  przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował wykonaną transakcję płatniczą lub twierdzi, że transakcja płatnicza została wykonana nieprawidłowo, do dostawcy usług płatniczych tego użytkownika należy udowodnienie, że transakcja ta była autoryzowana, odpowiednio zapisana, ujęta w księgach i że na transakcję nie miała wpływu żadna awaria techniczna ani innego rodzaju usterka”.

Angielskie słowo „authenticated przetłumaczono na język polski jako „autoryzowana”. Zgodnie z art. 4 pkt 19 PSD1 w angielskiej wersji językowej: „»authentication« means a procedure which allows the payment service provider to verify the use of a specific payment instrument, including its personalised security features”. Przepis ten w polskiej wersji językowej brzmi następująco: „»autoryzacja« oznacza procedurę pozwalającą dostawcy usług płatniczych na sprawdzenie wykorzystania konkretnego instrumentu płatniczego, w tym jego indywidualnych zabezpieczeń”.

W świetle zasadniczych różnic między tymi dwoma pojęciami oraz ich odmiennego definiowania zarówno w u.u.p., jak i w PSD2 (poprzednio PSD1), w literaturze przedmiotu postawiono tezę o błędnym tłumaczeniu tekstu dyrektywy w analizowanym zakresie[13]. Z powyższym twierdzeniem należy się zgodzić. Autoryzacja transakcji płatniczej oznacza zgodę płatnika na jej wykonanie w sposób umówiony między tym płatnikiem a jego dostawcą. Uwierzytelnienie z kolei – definiowane jako „procedura umożliwiająca dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających” – odnosi się do technicznego aspektu weryfikacji tożsamości płatnika lub ważności instrumentu płatniczego (zob. art. 2 pkt 33b u.u.p. oraz art. 4 pkt 29 PSD2).

Różnica między „autoryzacją” a „uwierzytelnianiem” sprowadza się do dodatkowego, szczególnego waloru zgody płatnika, jaki charakteryzuje autoryzację transakcji. Innymi słowy, w celu udowodnienia, że mamy do czynienia z transakcją autoryzowaną, nie jest  wystarczające stwierdzenie, iż transakcja ta została potwierdzona przez wprowadzenie danych uwierzytelniających. Konieczne jest dodatkowe wykazanie, że płatnik wyraził na jej dokonanie zgodę[14]. Autoryzacja transakcji płatniczej obejmuje łącznie dwa komponenty: po pierwsze zgodę płatnika na jej dokonanie, a po drugie prawidłowe uwierzytelnienie, mające na celu potwierdzenie tożsamości płatnika. Autoryzacja transakcji jest więc pojęciem szerszym od uwierzytelniania, gdyż obejmuje element w postaci zgody płatnika.

W związku z powyższym nie sposób przyjąć, że posłużenie się w art. 45 ust. 1 u.u.p. terminem „autoryzacja” jest rozwiązaniem prawidłowym. Wniosek ten wspiera również fakt, że w PSD2 zastosowano technikę harmonizacji pełnej[15], co wyklucza możliwość dowolnej ingerencji ustawodawcy krajowego w treść implementujących przepisów.

Konsekwencje

Konsekwencją nieprawidłowej – w ocenie autorki – implementacji art. 72 ust. 1 PSD2 jest funkcjonowanie w polskim porządku prawnym wymogu, aby dostawca usług płatniczych – w przypadku gdy zakwestionował transakcję zgłoszoną przez płatnika jako nieautoryzowaną – udowodnił fakt jej autoryzacji. Musi udowodnić nie tylko, że doszło do jej prawidłowego uwierzytelnienia, ale również to, iż płatnik wyraził zgodę na jej wykonanie. Rodzi to daleko idące konsekwencje dla ustalenia zakresu obowiązków dostawcy dotyczących zwrotu kwot takich transakcji, a także dla całego sektora bankowego oraz obrotu gospodarczego.

Po pierwsze, opisany wyżej stan prawny, polegający na swego rodzaju dualizmie w ustawodawstwie krajowym i unijnym, doprowadził do powstania dwóch kierunków interpretacyjnych powyższych przepisów. Z jednej strony dostawcy usług płatniczych – w szczególności banki – argumentują, że transpozycja art. 72 ust. 1 PSD2 do polskiego porządku prawnego została dokonana nieprawidłowo, więc konieczne jest zastosowanie prounijnej wykładni przepisów u.u.p. (z uwzględnieniem treści PSD2)[16]. Z drugiej strony prezentowana jest odmienna interpretacja, odwołująca się do literalnego brzmienia art. 45 ust. 1 u.u.p. i wymagająca jego ścisłej wykładni. Drugi kierunek interpretacyjny obecnie zdecydowanie przeważa nie tylko w judykaturze, ale również jest konsekwentnie utrzymywany przez Urząd Ochrony Konkurencji i Konsumentów oraz Urząd Komisji Nadzoru Finansowego[17]. Motywowany jest koniecznością ochrony interesów konsumentów, co ma wymagać bezwzględnego respektowania u.u.p. przez dostawców usług płatniczych.

Fakt istnienia powyższego dualizmu należy ocenić krytycznie. Prowadzi on bowiem do braku pewności co do podstawowych obowiązków prawnych oraz sankcjonuje niepożądane zjawisko „pomijania” przepisów prawa unijnego, a co najmniej braku należytej wykładni przepisów krajowych z uwzględnieniem europejskich pryncypiów.

Po drugie, wskutek powyższego, dotychczasowa praktyka banków (dostawców usług płatniczych), która opierała się na interpretacji art. 45 ust. 1 u.u.p. w unijnym kontekście, spotkała się z negatywną reakcją organów. W szczególności Prezes UOKiK wszczął postępowania wyjaśniające przeciwko 18 polskim bankom, a wobec 15 z nich przedstawił zarzuty naruszenia u.u.p. w zakresie zwrotu kwot nieautoryzowanych transakcji[18]. Z kolei Urząd KNF[19], co prawda, dostrzegł konieczność ujednolicenia przepisów u.u.p. z PSD2 w celu wyeliminowana rozbieżności i zapewnienia stabilnego funkcjonowania podmiotów rynku finansowego, jednak wskazał również, że de lege lata: „okolicznością powodującą obowiązek zwrotu użytkownikowi kwoty transakcji płatniczej jest stwierdzenie, iż była ona nieautoryzowana. (…)  Oznacza to, że obowiązek ten powstaje nawet w przypadku, gdy transakcja była prawidłowo (w sposób zgodny z umową) uwierzytelniona i poza zgłoszeniem użytkownika brak jest innych dowodów na to, że nie była ona autoryzowana. Są to wystarczające przesłanki”.

Po trzecie, wykazanie faktu autoryzacji (a więc również zgody płatnika) przez dostawcę w praktyce jest wysoce utrudnione, o ile w ogóle możliwe. Zgoda płatnika na wykonanie transakcji stanowi jego oświadczenie woli[20] ze wszystkimi cywilnoprawnymi konsekwencjami, jakie mogą się z tym wiązać (np. wady oświadczenia woli). Dostawcy nie są wyposażeni w narzędzia umożliwiające samodzielne ustalenie, że np. płatnik nie działał pod wpływem błędu lub podstępu. W istocie ich możliwości dowodowe często są jedynie iluzoryczne.

Planowane zmiany w prawodawstwie unijnym

Omawianym rozbieżnościom oraz wynikającym z nich konsekwencjom zostanie – być może – położony kres wskutek planowanej nowelizacji PSD2, a więc, paradoksalnie, na poziomie legislacji unijnej, a nie krajowej. W dniu 28.06.2023 r. Komisja Europejska zaprezentowała bowiem pakiet trzech nowych regulacji dotyczących usług płatniczych (tzw. pakiet PSD3), w tym projekt PSR[21], które docelowo ma zastąpić PSD2.

Jak wynika z projektowanego art. 55 ust. 1 PSR: „[w] przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował wykonaną transakcję płatniczą, lub twierdzi, że transakcja płatnicza została wykonana nieprawidłowo, na dostawcy usług płatniczych spoczywa ciężar udowodnienia, że transakcja ta została autoryzowana, dokładnie zapisana, ujęta w księgach i że na transakcję nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą świadczoną przez danego dostawcę usług płatniczych (…)”. W tym przypadku polskie tłumaczenie przepisu jest prawidłowe – wersja angielska posługuje się pojęciem „authorised”, które przetłumaczono jako „autoryzowana” (w projektowanym przepisie brak jest terminu „authenticated”, czyli polskiego „uwierzytelnienia”).

Planowany odpowiednik dotychczasowego art. 72 ust. 1 PSD2 w sposób jednoznaczny wprowadza rozwiązanie analogiczne do – obecnie funkcjonującego w polskim porządku prawnym – art. 45 ust. 1 u.u.p. Rozwiązanie to polega na wymogu wykazania przez dostawcę autoryzacji danej transakcji płatniczej, a nie tylko jej uwierzytelnienia (w przypadku zakwestionowania zgłoszenia dokonanego przez płatnika).

Podsumowanie

Obecne brzmienie art. 45 ust. 1 u.u.p. jest wadliwe, ponieważ pozostaje w sprzeczności z art. 72 ust. 1 PSD2. Świadczy o tym nie tylko historia legislacyjna tego przepisu oraz jego tło wynikające z prawa unijnego, ale również znaczeniowe zróżnicowanie pojęć „autoryzacja” i „uwierzytelnianie”, które polski legislator dostrzega i uwzględnia w u.u.p. Jedynie art. 45 ust. 1 u.u.p. – jako spuścizna błędnego tłumaczenia art. 59 ust. 1 PSD1 – odbiega znaczeniowo od europejskiego pierwowzoru, nakładając na dostawców usług płatniczych obowiązki przekraczające pierwotną ratio legis oraz destabilizując pewność obrotu prawnego w analizowanym zakresie.

W powyższej optyce planowana treść art. 55 ust. 1 PSR otwiera pole do dyskusji nad intencjami unijnego prawodawcy co do zmiany dotychczasowego rozkładu ciężaru dowodu. Ścieżka legislacyjna PSR jest nadal otwarta, zatem dalsze losy projektowanego art. 55 ust. 1 nie są przesądzone. Wprowadzenie tego przepisu w cytowanym wyżej brzmieniu zakończyłoby, co prawda, stan niepewności w polskiej ustawie, ale mogłoby zapoczątkować krytykę takiego rozstrzygnięcia na obszarze całej Unii Europejskiej.

Anna Drabik-Ostafin
adwokat LL.M.,
senior associate,
T. Studnicki, K. Płeszka, Z. Ćwiąkalski, J. Górski sp.k.

Kancelaria SPCG
ZOBACZ NUMER 2025/09

[1] Ustawa z 19.08.2011 r. o usługach płatniczych (t.j. Dz.U. z 2025 r., poz. 611, ze zm.), dalej: „u.u.p.”.

[2] Ustawa ta weszła w życie 24.10.2011 r.

[3] Art. 4 ust. 1 i 2 u.u.p.

[4] Zgodnie z art. 2 pkt 22 u.u.p. płatnikiem jest zarówno osoba fizyczna, jak i osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, której ustawa przyznaje zdolność prawną. Niniejszy artykuł ogranicza się do płatników-konsumentów i nie omawia problematyki wynikającej z art. 33 u.u.p.

[5] Wynika to z literalnego brzmienia art. 45 ust. 1 u.u.p. Problem zakresu znaczeniowego zawartej w nim normy jest poruszony w dalszej części artykułu.

[6] Z art. 45 ust. 2 u.u.p. wynika, że: „wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy”.

[7] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25.11.2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.U. UE L nr 337, s. 35), dalej: „PSD2”.

[8] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2007/64/WE z 13.11.2007 r. w sprawie usług płatniczych w ramach rynku wewnętrznego zmieniająca dyrektywy 97/7/WE, 2002/65/WE, 2005/60/WE i 2006/48/WE i uchylająca dyrektywę 97/5/WE (Dz.U. UE L nr 319, s. 1), dalej: „PSD1”.

[9] W angielskiej wersji językowej: „Member States shall require that, where a payment service user denies having authorised an executed payment transaction or claims that the payment transaction was not correctly executed, it is for the payment service provider to prove that the payment transaction was authenticated, accurately recorded, entered in the accounts and not affected by a technical breakdown or some other deficiency of the service provided by the payment service provider”.

[10] W angielskiej wersji językowej: „authentication means a procedure which allows the payment service provider to verify the identity of a payment service user or the validity of the use of a specific payment instrument, including the use of the user’s personalised security credentials”.

[11] W angielskiej wersji językowej: „Member States shall ensure that a payment transaction is considered to be authorised only if the payer has given consent to execute the payment transaction. A payment transaction may be authorised by the payer prior to or, if agreed between the payer and the payment service provider, after the execution of the payment transaction. Consent to execute a payment transaction or a series of payment transactions shall be given in the form agreed between the payer and the payment service provider. Consent to execute a payment transaction may also be given via the payee or the payment initiation service provider. In the absence of consent, a payment transaction shall be considered to be unauthorised”.

[12] M. Nowakowski, Nieautoryzowane transakcje i zwrot środków przez banki na tle zarzutów Prezesa UOKiK, LEX/el. 2022.

[13] Zob. M. Bodzioch, Autoryzacja transakcji płatniczych i odpowiedzialność za transakcje nieautoryzowane, Monitor Prawa Bankowego 2012, nr 7-8, s. 86: „[d]oszło (…) do ewidentnego błędu na poziomie tłumaczenia przedmiotowej dyrektywy z języka angielskiego na język polski i utożsamienia autoryzacji z uwierzytelnianiem, podczas gdy bez żadnych wątpliwości jasne jest, że są to dwie odrębne instytucje prawa usług płatniczych”.

[14] Zob. B. Bajor [w:] Ustawa o usługach płatniczych. Komentarz (red. J. Byrski, A. Zalcewicz), Warszawa 2021, LEX/el., komentarz do art. 40: „Transakcja autoryzowana to taka, na którą płatnik wyraził zgodę. Należy jednak pamiętać, że aby doszło do wyrażenia zgody – musi nastąpić zweryfikowanie tożsamości – czyli uwierzytelnienie (czyli autoryzacja, która następuje poprzez wyrażenie zgody, musi być poprzedzona uwierzytelnieniem). Uwierzytelnienie stanowi więc konieczną przesłankę prawidłowego procesu autoryzacji transakcji płatniczej”.

[15] Zob. art. 107 PSD2.

[16] M. Nowakowski, Nieautoryzowane…: „W obecnym brzmieniu art. 45 ust. 1 [u.u.p.] jest skonstruowany w sposób błędny”, przez co niezbędne jest „przyjęcie wykładni celowościowej i przyjmującej przepisy UE jako punkt wyjścia, a więc przyjęcie, że udowodnieniu podlega fakt uwierzytelnienia, a nie autoryzacji”.

[17] Nieautoryzowane transakcje płatnicze, stanowisko Prezesa UOKiK, Monitor Prawa Bankowego 2023, nr 2.

[18] https://archiwum.uokik.gov.pl/aktualnosci.php?news_id=17679; https://finanse.uokik.gov.pl/nieautoryzowane -transakcje/transakcje-nieautoryzowane-zarzuty-wobec-5-bankow; https://archiwum.uokik.gov.pl/aktualnosci.php?news_id=19057.

[19] Nieautoryzowane transakcje płatnicze, pismo z 20.12.2021 r. (DSI-DSIZ2.804.16.2021.MG), Monitor Prawa Bankowego 2022, nr 3.

[20] Zob. T. Czech [w:] Ustawa o usługach płatniczych. Komentarz (red. serii K. Osajda, red. tomu J. Dybiński), Warszawa 2025, Legalis, komentarz do art. 40: „[z]goda płatnika stanowi jego oświadczenie woli w rozumieniu art. 60 k.c. Wyraża akceptację co do wykonania określonej transakcji płatniczej przez jego dostawcę”.

[21] Rozporządzenie Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego i zmieniające rozporządzenie (UE) nr 1093/2010, dalej: „PSR”; https://eur-lex.europa.eu/resource.html?uri=cellar:04cc5bd5-196f-11ee-806b01aa75ed71a1.0020.02/DOC_1&format=PDF.