ISPB
Icon label Icon label
Icon label Icon label
Zaloguj się
0
Koszyk jest pusty.
logo MPB
ISPB
logo MPB
0
Koszyk jest pusty.
Menu
Menu

Odpowiedzialność banku z tytułu nieautoryzowanych transakcji płatniczych

Monitor Prawa Bankowego 2024/03 Marzec

Artykuł przedstawia zagadnienia związane z odpowiedzialnością dostawców usług płatniczych, w tym banków, za nieautoryzowane transakcje płatnicze. W szczególności – z odwołaniem się do wniosków płynących z praktyki sądowej – omawia przesłanki tej odpowiedzialności oraz wskazuje możliwości jej uniknięcia. Jest to zwłaszcza istotne w dobie powszechnego korzystania z bankowości elektronicznej oraz dokonywania płatności za pomocą kart płatniczych.

Grzegorz Ostaszewski

Zasady odpowiedzialności za nieautoryzowane transakcje płatnicze określają art. 40 i n. u.u.p.[1]. Wprowadzono je do polskiego porządku w efekcie transpozycji art. 64 i n. PSD2[2]. W celu właściwego odczytania tych przepisów należy na wstępie przedstawić definicje kluczowych pojęć.

Pierwszym z nich jest dostawca usług płatniczych. Szeroką definicję usług płatniczych zamieszczono w art. 3 u.u.p. Obejmuje ona m.in. przyjmowanie wpłat i dokonywanie wypłat gotówki z rachunku płatniczego oraz wykonywanie transakcji płatniczych, w tym transfer środków pieniężnych z wykorzystaniem polecenia zapłaty, polecenia przelewu lub karty płatniczej. Za dostawcę takich usług uważa się m.in. banki krajowe[3]. Obszerny katalog innych dostawców usług płatniczych zawarto w art. 4 u.u.p.

Znaczenie mają również definicje następujących pojęć: płatnik, odbiorca, użytkownik. Zgodnie z art. 2 pkt 22 u.u.p. za płatnika uważa się osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, składającą zlecenie płatnicze. Samo zlecenie płatnicze oznacza oświadczenie płatnika lub odbiorcy skierowane do jego dostawcy zawierające polecenie wykonania transakcji płatniczej (art. 2 pkt 36 u.u.p.), a transakcja płatnicza to zainicjowana przez płatnika lub odbiorcę wpłata, transfer lub wypłata środków pieniężnych (art. 2 pkt 29 u.u.p.). Za odbiorcę uważa się osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, będącą odbiorcą środków pieniężnych stanowiących przedmiot transakcji płatniczej (art. 2 pkt 18 u.u.p.). Płatnika i odbiorcę, korzystających z usług płatniczych, określa się łącznie mianem użytkownika (art. 2 pkt 34 u.u.p.).

Należy podkreślić, że poniższe rozważania na temat odpowiedzialności za transakcje nieautoryzowane dotyczą przede wszystkim relacji z konsumentami. W przypadku gdy użytkownikiem jest przedsiębiorca, ustawowe regulacje dotyczące tej odpowiedzialności można wyłączyć na mocy umowy w całości lub w części (art. 33 u.u.p.). Ułatwia to bankowi ograniczenie ryzyk związanych z odpowiedzialnością za nieautoryzowane transakcje płatnicze. Gdy użytkownikiem jest konsument, przepisy przewidujące odpowiedzialność banku jako dostawcy mają charakter semiimperatywny (art. 8 u.u.p.).

Obowiązki użytkownika w związku z nieautoryzowaną transakcją płatniczą

Artykuł 44 ust. 1 u.u.p. przewiduje obowiązek użytkownika niezwłocznego zgłoszenia do dostawcy, z którym wiąże go umowa o świadczenie usług płatniczych, że doszło do wadliwości określonej transakcji płatniczej (braku autoryzacji bądź jej niewykonania lub nienależytego wykonania). Takie zgłoszenie należy zakwalifikować jako reklamację, czyli wystąpienie skierowane do dostawcy usług płatniczych przez użytkownika lub posiadacza pieniądza elektronicznego, w którym zgłasza on zastrzeżenia dotyczące usług świadczonych przez dostawcę (art. 2 pkt 24b u.u.p.). Dostawca ma ustawowo zakreślony termin 15 dni roboczych od dnia jej otrzymania na ustosunkowanie się do reklamacji. Odpowiedzi udziela się w postaci papierowej lub, po uzgodnieniu z użytkownikiem, na innym trwałym nośniku informacji (art. 15a ust. 2 u.u.p.).

Jeżeli użytkownik nie dokonał wymaganego zgłoszenia wadliwej (nieautoryzowanej, niewykonanej lub nienależycie wykonanej) transakcji płatniczej w terminie 13 miesięcy, dochodzi do wygaśnięcia jego roszczeń w stosunku do dostawcy usług płatniczych (art. 44 ust. 2 u.u.p.). Z punktu widzenia banku jest to przepis o charakterze ochronnym, jako że limituje czas trwania jego odpowiedzialności wobec użytkownika w związku z wadliwymi transakcjami płatniczymi. Celem tego przepisu jest zapewnienie stabilności sytuacji prawnej dostawcy po upływie wyznaczonego terminu.

Najczęściej powodem takich zgłoszeń jest brak autoryzacji transakcji płatniczej. Chodzi o transakcję, na której wykonanie płatnik nie wyraził zgody w sposób przewidziany w umowie z jego dostawcą. Zgoda taka zasadniczo powinna zostać udzielona przed wykonaniem transakcji. Przesłanka zgody nie jest spełniona w sytuacji, w której oświadczenie woli użytkownika nie spełnia odpowiednich wymagań formalnych określonych w umowie lub przepisach prawa (zob. art. 40 u.u.p.)[4].

Rozkład ciężaru dowodu

Gdy wystąpiły transakcje nieautoryzowane, rozkład ciężaru dowodu reguluje art. 45 u.u.p. Zadaniem tego przepisu jest chronić interesy użytkowników. Dostawcy są traktowani jako profesjonaliści w zakresie świadczenia usług płatniczych (jest to przedmiot ich działalności gospodarczej). Zakłada się, że można od nich wymagać odpowiedniego poziomu profesjonalizmu i przypisać im ciężar udowodnienia, że wykonana transakcja została autoryzowana przez płatnika albo wystąpiły inne istotne okoliczności warunkujące odpowiedzialność użytkownika za transakcję nieautoryzowaną. Użytkowników – w relacjach z dostawcami – traktuje się natomiast jako stronę strukturalnie słabszą, która wymaga ochrony prawnej przez korzystne dla nich ukształtowanie reguł dowodowych w odniesieniu do autoryzacji transakcji płatniczych oraz kwestii pokrewnych związanych z odpowiedzialnością[5].

Zgodnie z art. 45 ust. 1 u.u.p. na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę (w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej). W myśl art. 45 ust. 2 u.u.p. wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej, ewentualnie umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 u.u.p.

Ciężar udowodnienia tych okoliczności spoczywa na dostawcy. Obejmuje to także kwestię uwierzytelnienia, czyli procedury umożliwiającej dostawcy weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego[6], łącznie ze stosowaniem indywidualnych danych uwierzytelniających (art. 2 pkt 33b u.u.p.). W myśl art. 2 pkt 9d u.u.p. chodzi o indywidualne dane zapewniane użytkownikowi przez dostawcę do celów uwierzytelnienia (np. login, hasło, PIN).

Dostawca ma zatem obowiązek wykazać, że płatnik udzielił zgody na wykonanie transakcji płatniczej. Jeżeli dostawca nie sprosta tak rozumianemu ciężarowi dowodu, ponosi pełną odpowiedzialność wobec płatnika za transakcję nieautoryzowaną stosownie do art. 46 u.u.p. Takie obciążenie dostawcy ciężarem dowodu znajduje aprobatę w orzecznictwie Sądu Najwyższego i sądów powszechnych[7].

Należy zauważyć, że samo wykazanie uwierzytelnienia transakcji płatniczej nie jest równoważne udowodnieniu jej autoryzacji (rozumianej jako wyrażenie zgody przez płatnika na jej dokonanie[8]) oraz nie może stanowić podstawy do przyjmowania domniemań faktycznych w tym zakresie. Analogiczny rezultat powstaje w przypadku wykazania przez dostawcę zarejestrowanego użycia instrumentu płatniczego – okoliczność ta nie jest wystarczająca do udowodnienia, że transakcja płatnicza została przez płatnika autoryzowana (art. 45 ust. 2 zd. 1 u.u.p.). Co istotne, gdy dostawca jest bankiem, w postępowaniu cywilnym nie może powołać się na moc urzędową swoich dokumentów odnośnie do rejestracji pewnych faktów w księgach lub systemach bankowych. W takim postępowaniu szczególny walor dowodowy dokumentów bankowych został wyłączony (zob. art. 95 ust. 1a p.b.). Dokumenty te mają wówczas jedynie moc dokumentu prywatnego (art. 245 k.p.c.).

Powyższe ukształtowanie ciężaru dowodu jasno wskazuje, że ustawodawca ustanowił surowe wymagania dla banków co do zwolnienia się z odpowiedzialności za nieautoryzowane transakcje płatnicze.

Skutki odpowiedzialności banku

Transakcja nieautoryzowana oznacza transakcję płatniczą, na którą płatnik nie wyraził zgody w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Do uznania, że występuje transakcja nieautoryzowana, nie jest konieczne, aby płatnik odmówił zgody na transakcję płatniczą. Wystarczy, że nie uzyskano jego pozytywnego oświadczenia w tej sprawie[9].

Następstwa nieautoryzowanej transakcji płatniczej oraz konsekwencje dla dostawcy i płatnika określa art. 46 u.u.p. W doktrynie wskazuje się, że przepis ten wprowadza autonomiczny reżim odpowiedzialności cywilnoprawnej stron. Odpowiedzialność dostawcy na podstawie tego przepisu można określić jako odpowiedzialność gwarancyjną. Odpowiada on prawnie w razie wystąpienia określonego zdarzenia (wykonania nieautoryzowanej transakcji płatniczej). W następstwie ciąży na nim obowiązek podjęcia działań określonych w art. 46 ust. 1 u.u.p. Należy zauważyć, że dostawca odpowiada na zasadzie ryzyka, gdy – bez odpowiedniej zgody płatnika – zostanie zrealizowana transakcja płatnicza. Natomiast odpowiedzialność płatnika ma złożoną konstrukcję. W części zależy od kwalifikowanej wadliwości podmiotowej po jego stronie (art. 46 ust. 3-5 u.u.p.), a w części płatnik odpowiada na zasadzie ryzyka (art. 46 ust. 2 u.u.p.). Co istotne, odpowiedzialność stron określona w art. 46 u.u.p. nie jest odpowiedzialnością odszkodowawczą. Kwestia wystąpienia i wysokości szkody w ich majątku nie jest w tym przypadku relewantna prawnie[10].

Zasadniczo za nieautoryzowane transakcje odpowiedzialność ponosi w całości dostawca. Nie może on zwolnić się z tej odpowiedzialności, nawet gdy udowodni, że należycie wykonał obowiązki dotyczące zachowania środków bezpieczeństwa, w tym ochrony indywidualnych danych uwierzytelniających oraz systemów transakcyjnych. Gdy dostawcy przypisano taką odpowiedzialność, jest on zobowiązany do zwrotu płatnikowi kwoty będącej przedmiotem transakcji nieautoryzowanej (art. 46 ust. 1 u.u.p.).

Płatnik ponosi odpowiedzialność za nieautoryzowane transakcje płatnicze, w myśl art. 46 ust. 2 u.u.p., do wysokości sumy, która wynosi równowartość 50 EUR w walucie polskiej. W zakresie przewyższającym tę sumę odpowiedzialność ponosi dostawca. Równowartość 50 EUR ustala się przy zastosowaniu kursu średniego ogłaszanego przez NBP, obowiązującego w dniu wykonania transakcji. Ustawa jasno wskazuje na „partycypację” płatnika w odpowiedzialności ograniczonej kwotowo wyłącznie w sytuacji, gdy nieautoryzowaną transakcję płatniczą wykonano na skutek: 1) posłużenia się utraconym przez płatnika albo skradzionym mu instrumentem płatniczym lub 2) przywłaszczenia instrumentu płatniczego. Dotyczy to wszelkiego rodzaju sytuacji, w których płatnik stracił fizyczną kontrolę nad instrumentem płatniczym, bez względu na przyczynę. Przyczyny mogą leżeć po stronie zarówno płatnika (np. niedbalstwo), jak i osób trzecich (np. kradzież). Utrata kontroli może – lecz nie musi – być wynikiem przestępstwa. Zgodnie z art. 46 ust. 2a u.u.p. omawiana odpowiedzialność nie powstaje, gdy: 1) płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji (z wyjątkiem przypadku, gdy płatnik działał umyślnie), lub 2) utrata instrumentu płatniczego przed wykonaniem transakcji została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy płatnika lub podmiotu świadczącego na jego rzecz usługi, o których mowa w art. 6 pkt 10 u.u.p.[11]. Ciężar dowodu, że wystąpiła któraś z powyższych przesłanek, spoczywa na płatniku. Jeżeli płatnik uwolni się od odpowiedzialności, w pełni odpowiadał będzie dostawca[12].

Ponadto płatnik nie odpowiada za nieautoryzowane transakcje płatnicze po dokonaniu zgłoszenia wobec dostawcy, że doszło do utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu, chyba że doprowadził do takiej transakcji umyślnie (art. 46 ust. 4 u.u.p.). Na analogicznej zasadzie płatnik nie odpowiada za transakcję nieautoryzowaną, jeżeli dostawca, wbrew swojemu obowiązkowi wynikającemu z art. 43 ust. 1 pkt 3 u.u.p., nie zapewnia odpowiednich środków umożliwiających dokonanie w każdym czasie wspomnianego zgłoszenia (art. 46 ust. 5 u.u.p.). Także w przypadku gdy dostawca płatnika nie wymaga silnego uwierzytelniania[13] (uchybił obowiązkowi stosowania silnego uwierzytelnienia albo wykonał ów obowiązek niewłaściwie), płatnik nie ponosi odpowiedzialności za transakcje nieautoryzowane, chyba że działał umyślnie (art. 46 ust. 4a u.u.p.).

Płatnik w pełni odpowiada za nieautoryzowane transakcje płatnicze, których dokonał umyślnie albo w efekcie rażącego niedbalstwa. Zgodnie z powszechnie przyjmowaną definicją umyślność oznacza, że płatnik miał zamiar spowodowania transakcji nieautoryzowanej lub godził się, że taka transakcja zostanie zrealizowana. Płatnik ponosi też odpowiedzialność, jeżeli umyślnie lub w wyniku rażącego niedbalstwa naruszył któryś z obowiązków określonych w art. 42 u.u.p., nałożonych na użytkownika instrumentów płatniczych[14]. Rażące niedbalstwo jest natomiast rozumiane jako kwalifikowana postać winy nieumyślnej. Oznacza jej wyższy stopień niż w przypadku zwykłego niedbalstwa, leżący bardzo blisko winy umyślnej (culpa lata dolo aequiparatur). Wykładnia pojęcia rażącego niedbalstwa powinna uwzględniać kwalifikowaną postać braku zwykłej staranności w przewidywaniu skutków. Konieczne jest zatem stwierdzenie, że podmiot, któremu tę postać winy chce się przypisać, zaniedbał takiej czynności zachowującej chronione dobro przed zajściem zdarzenia powodującego szkodę, której niedopełnienie byłoby czymś absolutnie oczywistym w świetle doświadczenia życiowego dostępnego każdemu przeciętnemu uczestnikowi obrotu prawnego i w sposób wprost dla każdego przewidywalny mogło doprowadzić do powstania szkody. Rażące niedbalstwo występuje tylko wtedy, gdy stopień naganności postępowania drastycznie odbiega od modelu właściwego w danych warunkach zachowania się dłużnika[15]. Takie uregulowanie kwestii pełnej odpowiedzialności płatnika powoduje, że wykazanie jej podstaw jest niezwykle trudne.

Należy zauważyć, że w praktyce orzeczniczej istnieje silnie zarysowana tendencja do liberalnego traktowania przesłanki rażącego niedbalstwa. W efekcie nawet zachowania nacechowane poważną lekkomyślnością nie prowadzą do przypisania odpowiedzialności płatnikom będącym konsumentami. Do takich zachowań należą np.: brak aktualizacji lub posiadania odpowiedniego programu antywirusowego na komputerze, instalacja złośliwego oprogramowania pozwalającego na uzyskanie dostępu do komputera (telefonu) płatnika przez klikanie w linki otrzymywane mailem lub SMS-em, wpisywanie na fałszywej stronie internetowej banku kodów SMS, których treść wskazuje na wykonanie operacji odmiennej od zamierzonej przez płatnika[16], ignorowanie ostrzeżeń publikowanych przez banki na ich stronach internetowych lub w serwisach transakcyjnych, jak się bronić przez atakiem cyberprzestępców[17]. Odmienne, bardziej wymagające w stosunku do płatników podejście jest rzadziej prezentowane w orzecznictwie[18].

Jak wspomniano, gdy przypisuje się bankowi odpowiedzialność za nieautoryzowaną transakcję płatniczą, jest on zobowiązany do zwrotu płatnikowi kwoty będącej przedmiotem tej transakcji. Zgodnie z art. 46 ust. 1 zd. 1 u.u.p. zwrot taki nie następuje, gdy spełniono łącznie dwie przesłanki: 1) dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, 2) dostawca poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw (Policję, prokuraturę itd.) przez złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa. Podstawą do odmowy dokonania zwrotu jest podejrzenie popełnienia oszustwa przez samego użytkownika, a nie osobę trzecią. W orzecznictwie wyrażono pogląd, że przyjęcie interpretacji, zgodnie z którą podstawą odmowy zwrotu środków jest podejrzenie popełnienia przestępstwa oszustwa przez osobę trzecią, prowadziłoby do paraliżu całej instytucji zwrotu, skoro istotą nieautoryzowanej transakcji płatniczej jest działanie oszukańcze osoby nieuprawnionej do dysponowania środkami pieniężnymi zdeponowanymi na rachunku użytkownika, czyli właśnie oszustwo na szkodę użytkownika[19].

W praktyce banki – powodowane chęcią wyjaśnienia okoliczności danego przypadku – nie są skore (i słusznie) do automatycznego wypłacania jakichkolwiek kwot, a przebieg danej transakcji jest wyjaśniany najczęściej w ramach postępowania przed sądem. Jak wspomniano, w takim postępowaniu na bankach spoczywa ciężar dowodu, a wykazanie przesłanek odpowiedzialności płatnika jest niezwykle trudne. Ponadto sądy zazwyczaj uważają argumenty banków za niewystarczające do wykazania rażącego niedbalstwa płatników. Dlatego przeważnie w efekcie wydania wyroku bank musi zwrócić płatnikowi kwotę będącą przedmiotem transakcji nieautoryzowanej.

Podsumowanie i wnioski

Z uwagi na kierunek sądowej interpretacji przepisów bank ma małe szanse na uniknięcie zwrotu kwoty nieautoryzowanej transakcji płatniczej, przynajmniej w relacjach z konsumentami. W odniesieniu do przedsiębiorców banki mogą natomiast umownie modyfikować (wyłączać) niektóre przepisy o charakterze ochronnym.

W celu zminimalizowania ryzyk i wykazania braku swojej odpowiedzialności w procesie cywilnym banki powinny dbać o odpowiednią politykę informacyjną względem klientów co do sposobu użytkowania systemów bankowości elektronicznej i instrumentów płatniczych. Przekaz taki (np. w formie uproszczonych prezentacji, a nie tylko regulaminów) musi charakteryzować się – mogącą się wydawać przesadną – szczegółowością i oczywistością, np.: 1) podkreślając konieczność używania i aktualizacji programu antywirusowego (z podaniem jego wymaganych parametrów), 2) wskazując, jaki zestaw danych jest potrzebny do logowania, a jaki do wykonania zlecenia płatniczego albo innej operacji, 3) wyjaśniając, że kod zatwierdzający daną transakcję jest zawsze opisany przez wskazanie jej celu lub kwoty. Banki powinny pouczać w sposób zdecydowany klientów, że muszą oni z należytą starannością weryfikować treść składanych zleceń oraz kodów lub innych narzędzi wykorzystywanych do autoryzacji transakcji. To właśnie rozwaga klienta na tym etapie bardzo często pozwala udaremnić przestępczą próbę kradzieży środków[20].

Kolejną kwestią jest skłanianie klientów do składania zawiadomień na policję, gdy wystąpiła transakcja nieautoryzowana, ze wskazaniem potrzeby zabezpieczenia komputera. Rekomendacja taka powinna stanowić element pouczeń kierowanych do płatników. Możliwe jest wówczas przeprowadzenie dowodu z opinii biegłego odnośnie do – najczęściej zainfekowanego złośliwym oprogramowaniem – sprzętu i wyjaśnienie przyczyn tego zainfekowania. Taką opinię można wykorzystać w postępowaniu cywilnym (art. 2781k.p.c.). Przeprowadzenie tego dowodu w procesie sądowym wszczętym przez płatnika przeciwko bankowi jest najczęściej niemożliwe, gdyż kwestia jego dopuszczenia pojawia się po znacznym upływie czasu od zdarzenia (wykonania kwestionowanej transakcji), a wcześniej płatnicy często formatują dysk komputera (bądź nawet go zbywają). Uniemożliwia to przeprowadzenie dowodu z opinii biegłego, a zatem znacznie osłabia i tak już niekorzystną pozycję banków.

W konsekwencji banki (dostawcy) powinny czuwać nad kształtem (zakresem, treścią i formą) polityk informacyjnych prowadzonych względem klientów (płatników). Celem jest uniknięcie wykonywania transakcji płatniczych, które następnie mogłyby być kwestionowane. Trzeba jednak mieć świadomość, że w przypadku sporu na linii płatnik –dostawca, przy obecnie dominującej linii orzeczniczej, sądy mogą nie uznawać nawet najbardziej dosłownych tłumaczeń i ostrzeżeń kierowanych do płatników za wystarczające do zwolnienia banku z odpowiedzialności przewidzianej w przepisach u.u.p.

Grzegorz Ostaszewski
adwokat,
associate
w kancelarii SPCG

ZOBACZ NUMER 2024/03

[1] Ustawa z 19.08.2011 r. o usługach płatniczych (t.j. Dz.U. z 2022 r., poz. 2360, ze zm.), dalej: „u.u.p.”.

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25.11.2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (Dz.U. UE L nr 337, s. 35), dalej: „PSD2”.

[3] Zgodnie z art. 4 ust. 1 pkt 1 ustawy z 29.08.1997 r. – Prawo bankowe (t.j. Dz.U. z 2023 r., poz. 2488), dalej: „p.b.”, bankiem krajowym jest bank mający siedzibę na terytorium Rzeczypospolitej Polskiej.

[4] Por. T. Czech [w:] Ustawa o usługach płatniczych. Komentarz (red. serii K. Osajda, red. tomu J. Dybiński), Warszawa 2022, Legalis, komentarz do art. 44, teza 21.

[5] T. Czech [w:] Ustawa…, komentarz do art. 45, teza 2.k.p.c.”

[6] Zgodnie z art. 2 pkt 10 u.u.p. instrument płatniczy to zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego.

[7] Por. m.in. wyrok SN z 18.01.2018 r. (V CSK 141/17), Legalis nr 1765469; wyrok SO w Warszawie z 11.08.2021 r. (XXVII Ca 1352/21), Legalis nr 2628479.

[8] Rozróżnienia między autoryzacją a uwierzytelnieniem dokonał Sąd Najwyższy w wyroku z 15.09.2023 r. (II CSKP 1013/22), Legalis nr 3002918. Stwierdził, że autoryzacja to zgoda na wykonanie transakcji płatniczej wyrażona przez płatnika w sposób przewidziany w umowie, zaś uwierzytelnienie to procedura umożliwiająca dostawcy usług (bankowi) weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika.

[9] T. Czech [w:] Ustawa…, komentarz do art. 46, tezy 7 i 7.1.

[10] T. Czech [w:] Ustawa…, komentarz do art. 46, tezy nr 11-14 i przytoczona tam literatura.

[11] Są to usługi świadczone przez dostawców usług technicznych, wspierających świadczenie usług płatniczych, jeżeli nie wchodzą oni w posiadanie środków pieniężnych będących przedmiotem transakcji płatniczej, w szczególności usługi przetwarzania i przechowywania danych, usługi powiernicze i ochrony prywatności, usługi przekazywania między płatnikiem a odbiorcą informacji o transakcji płatniczej, uwierzytelniania danych i podmiotów, dostarczania technologii informatycznych (IT) i sieci komunikacyjnych, dostarczania i utrzymania terminali i urządzeń wykorzystywanych do świadczenia usług płatniczych, z wyjątkiem usług inicjowania transakcji płatniczej i usług dostępu do informacji o rachunku.

[12] T. Czech [w:] Ustawa…, komentarz do art. 46, tezy 25-28.

[13] Zgodnie z art. 2 pkt 26aa u.u.p. silne uwierzytelnianie użytkownika to uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: a) wiedza o czymś, o czym wie wyłącznie użytkownik, b) posiadanie czegoś, co posiada wyłącznie użytkownik, c) cechy charakterystyczne użytkownika – będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych.

[14] Odwołanie do obowiązków przewidzianych w tym przepisie nie znajduje zastosowania, gdy transakcji dokonano bez użycia instrumentu płatniczego.

[15] Wyrok SO w Gliwicach z 6.07.2022 r. (III Ca 264/22), Legalis nr 2714415.

[16] Przykładowo, płatnik myśli, że ma problemy z zalogowaniem się do swojego konta w bankowości elektronicznej. Podaje kolejne przychodzące do niego kody SMS, których opis wskazuje, że zatwierdza dokonanie przelewu. Innym przykładem może być przypadek, gdy płatnik wpisuje kod SMS, próbując się zalogować do swojego konta, choć wie z praktyki, że kod taki nie jest wymagany do logowania.

[17] Por. np. wyrok SA w Łodzi z 10.03.2017 r. (I ACa 1174/16), Legalis nr 2055512; wyrok SA w Warszawie z 24.05.2018 r. (VI ACa 217/17), Legalis nr 1855763; wyrok SA w Białymstoku z 3.10.2019 r. (I ACa 228/19), Legalis nr 2327786; wyrok SA w Białymstoku z 2.03.2020 r. (I AGa 4/19), Legalis nr 2398717; por. B. Wyżykowski, Spory między dostawcami usług płatniczych a użytkownikami dotyczące transakcji płatniczych w świetle najnowszego orzecznictwa polskich sądów powszechnych, Internetowy Kwartalnik Antymonopolowy i Regulacyjny 2022, nr 7, s. 28 i n.

[18] Por. wyrok SA w Warszawie z 30.08.2018 r. (VI ACa 509/17), Legalis nr 1874665.

[19] Wyrok SR Szczecin-Centrum w Szczecinie z 21.02.2022 r. (I C 307/21), Legalis nr 2687847.

[20] B. Wyżykowski, Spory…, s. 28.