Czy bank może odmówić zwrotu pieniędzy po nieautoryzowanej transakcji?

Nieautoryzowane transakcje bankowe – najczęściej związane z phishingiem lub podszywaniem się pod instytucje finansowe – stały się jednym z częstszych problemów zgłaszanych przez klientów banków. W wielu przypadkach spór zaczyna się dopiero po złożeniu reklamacji: bank odmawia zwrotu pieniędzy, twierdząc, że klient sam dopuścił się rażącego niedbalstwa. W tle tych sporów pojawia się jednak istotne pytanie prawne: czy taka odmowa jest w ogóle dopuszczalna?

Znaczenie tej kwestii dobrze pokazuje sprawa TSUE C-70/25, w której rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej przedstawił stanowisko dotyczące obowiązku zwrotu środków po nieautoryzowanej transakcji. Choć nie jest to jeszcze wyrok, opinia ta może mieć duże znaczenie dla sporów między bankami a klientami w całej Unii Europejskiej.

Na czym polega problem prawny

Podstawowe zasady odpowiedzialności za nieautoryzowane transakcje wynikają z przepisów prawa unijnego, w szczególności z dyrektywy PSD2 dotyczącej usług płatniczych. Regulacja ta określa zarówno obowiązki banków, jak i użytkowników rachunków.

Zasadą jest, że transakcja płatnicza musi być autoryzowana przez użytkownika rachunku. Autoryzacja oznacza wyrażenie zgody na wykonanie operacji – na przykład poprzez zatwierdzenie przelewu w aplikacji mobilnej albo wpisanie kodu jednorazowego przesłanego przez bank.

Jeżeli zgoda taka nie została udzielona, mamy do czynienia z tzw. nieautoryzowaną transakcją płatniczą. W takiej sytuacji przepisy przewidują szczególną ochronę użytkownika rachunku. Zgodnie z dyrektywą PSD2 bank powinien co do zasady niezwłocznie zwrócić kwotę transakcji i przywrócić rachunek do stanu sprzed jej wykonania.

W praktyce spór pojawia się wtedy, gdy bank uznaje, że do zdarzenia doszło wskutek niewłaściwego zachowania klienta – na przykład podania danych logowania na fałszywej stronie internetowej albo przekazania kodu autoryzacyjnego osobie trzeciej. Instytucje finansowe często powołują się w takich sytuacjach na tzw. rażące niedbalstwo użytkownika.

Na tej podstawie bank odmawia zwrotu środków. Pojawia się więc pytanie, czy takie stanowisko jest zgodne z przepisami prawa unijnego.

Kiedy klient może dochodzić swoich praw

Ocena odpowiedzialności banku zależy od kilku podstawowych elementów. Najważniejszym z nich jest ustalenie, czy transakcja rzeczywiście była autoryzowana przez użytkownika rachunku.

Banki często wskazują, że operacja została zatwierdzona przy użyciu prawidłowych danych logowania lub kodu SMS. Nie oznacza to jednak automatycznie, że użytkownik świadomie zgodził się na wykonanie transakcji. W praktyce wiele zdarzeń ma miejsce w sytuacji, gdy klient działa pod wpływem wprowadzenia w błąd przez oszustów.

Istotne znaczenie ma również moment zgłoszenia transakcji bankowi. Zgodnie z przepisami użytkownik rachunku powinien poinformować o niej bez zbędnej zwłoki po jej zauważeniu, nie później jednak niż w terminie trzynastu miesięcy od obciążenia rachunku.

Przepisy nakładają także na użytkownika rachunku obowiązki związane z bezpieczeństwem korzystania z bankowości elektronicznej. Dotyczą one przede wszystkim ochrony danych uwierzytelniających, takich jak hasła czy kody autoryzacyjne.

Jeżeli użytkownik umyślnie naruszy te obowiązki albo dopuści się rażącego niedbalstwa, może ponosić odpowiedzialność za powstałą szkodę. Spór dotyczy jednak tego, czy bank może samodzielnie powołać się na takie zachowanie i na tej podstawie odmówić zwrotu pieniędzy.

Jak wygląda dochodzenie roszczeń w praktyce

Sprawy dotyczące nieautoryzowanych transakcji najczęściej przebiegają według podobnego schematu.

Pierwszym etapem jest ustalenie okoliczności zdarzenia – w szczególności tego, w jaki sposób doszło do wykonania transakcji oraz jakie komunikaty autoryzacyjne były wyświetlane użytkownikowi rachunku. Często już na tym etapie można ustalić, czy klient mógł zostać wprowadzony w błąd.

Kolejnym krokiem jest postępowanie reklamacyjne prowadzone przez bank. Instytucja finansowa analizuje zdarzenie i przedstawia własną ocenę sytuacji. W praktyce wiele reklamacji kończy się odmową zwrotu środków z powodu rzekomego naruszenia obowiązków przez klienta.

Jeżeli bank nie zwróci pieniędzy, użytkownik rachunku może dochodzić roszczenia przed sądem. W takim postępowaniu sąd bada zarówno przebieg samej transakcji, jak i funkcjonowanie systemów bezpieczeństwa banku.

Aktualne orzecznictwo i znaczenie sprawy przed TSUE

Istotne znaczenie dla tych sporów może mieć stanowisko przedstawione w opinii rzecznika generalnego w sprawie TSUE C-70/25.

Rzecznik generalny wskazał, że przepisy dyrektywy PSD2 należy interpretować w sposób zapewniający wysoki poziom ochrony użytkowników usług płatniczych. W jego ocenie obowiązek zwrotu środków po nieautoryzowanej transakcji ma charakter podstawowy.

Zgodnie z przedstawioną interpretacją bank powinien w pierwszej kolejności bezzwłocznie zwrócić kwotę nieautoryzowanej transakcji. Dopiero w dalszym etapie – jeżeli uzna, że klient działał umyślnie albo dopuścił się rażącego niedbalstwa – może dochodzić zwrotu tej kwoty od użytkownika rachunku.

Takie podejście oznacza w praktyce odwrócenie dotychczasowej logiki sporów. Zamiast odmowy zwrotu środków na etapie reklamacji, bank powinien najpierw przywrócić rachunek klienta do poprzedniego stanu, a dopiero później – w razie potrzeby – dochodzić roszczeń w postępowaniu sądowym.

Opinia rzecznika generalnego nie jest jeszcze ostatecznym rozstrzygnięciem sprawy. Wyrok Trybunału Sprawiedliwości zostanie wydany w późniejszym terminie. Już teraz jednak stanowisko to może mieć istotne znaczenie dla interpretacji przepisów dotyczących odpowiedzialności banków za nieautoryzowane transakcje.

Stanowisko Rzecznika Finansowego po opinii TSUE

Na opinię rzecznika generalnego TSUE bardzo szybko zareagował również Rzecznik Finansowy.
W komunikacie z 5 marca 2026 r. wskazano, że przedstawione stanowisko w sprawie C-70/25 potwierdza argumentację, którą urząd ten od lat prezentuje w sporach dotyczących nieautoryzowanych transakcji.

Jak podkreślono w komunikacie, zasadą wynikającą z dyrektywy PSD2 powinien być bezzwłoczny zwrot środków na rachunek klienta – najpóźniej w następnym dniu roboczym (tzw. zasada D+1). Ocena ewentualnej odpowiedzialności użytkownika rachunku powinna natomiast nastąpić dopiero w dalszym etapie.

Rzecznik Finansowy przypomina, że w latach 2022–2025 do jego biura trafiło ponad 10 tysięcy wniosków o interwencję w sprawach dotyczących odmowy zwrotu pieniędzy po nieautoryzowanych transakcjach. Część z tych spraw trafiła następnie do sądów, gdzie argumentacja przedstawiana przez Rzecznika była uwzględniana w orzeczeniach.

Zdaniem ekspertów urzędu w większości przypadków osoby, które padły ofiarą manipulacji ze strony oszustów, nie działają w sposób świadomy ani nie lekceważą oczywistego ryzyka. Trudno więc automatycznie przypisywać im kwalifikowane naruszenie obowiązków bezpieczeństwa.

Z tego punktu widzenia opinia rzecznika generalnego TSUE może okazać się ważnym wzmocnieniem argumentacji prezentowanej w sporach między klientami a bankami. Jeżeli Trybunał podzieli tę interpretację w przyszłym wyroku, praktyka odmawiania zwrotu środków wyłącznie na podstawie zarzutu „rażącego niedbalstwa” może zostać istotnie ograniczona.

Źródło: komunikat Rzecznika Finansowego z 5 marca 2026 r.

Podsumowanie

Nieautoryzowane transakcje bankowe należą dziś do najczęstszych problemów związanych z korzystaniem z bankowości elektronicznej. Mechanizmy oszustw internetowych są coraz bardziej złożone, a użytkownicy rachunków nie zawsze są w stanie rozpoznać fałszywe strony czy komunikaty.

Prawo unijne przewiduje w takich sytuacjach szczególną ochronę klientów banków. Jednym z jej elementów jest obowiązek bezzwłocznego zwrotu środków w przypadku transakcji wykonanej bez zgody użytkownika rachunku.

Najnowsza opinia rzecznika generalnego TSUE wskazuje, że bank nie powinien uzależniać tego zwrotu od własnej oceny zachowania klienta. Jeżeli uzna, że użytkownik rachunku naruszył swoje obowiązki, może dochodzić swoich roszczeń w odrębnym postępowaniu.

Każda sprawa wymaga jednak indywidualnej analizy – zarówno pod kątem przebiegu zdarzenia, jak i obowiązujących przepisów. Dopiero taka analiza pozwala ocenić, czy istnieją podstawy do skutecznego dochodzenia roszczeń wobec banku.

📄 Komunikat prasowy TSUE – sprawa C-70/25