Nieautoryzowane transakcje – jak odzyskać utracone środki?
Nieautoryzowane transakcje to obciążenia rachunku lub karty dokonane bez zgody płatnika. Jeżeli użytkownik nie wyraził ważnej zgody na operację, bank ma obowiązek niezwłocznie – nie później niż do końca następnego dnia roboczego po zgłoszeniu – zwrócić jej kwotę i przywrócić stan rachunku. O wyniku sprawy często decyduje szybka reakcja i precyzyjne udokumentowanie zdarzenia.
Czym są nieautoryzowane transakcje?
- Przelew z rachunku wykonany przez osobę trzecią po przejęciu dostępu do bankowości elektronicznej.
- Obciążenie karty po jej kradzieży, zagubieniu lub sklonowaniu.
- Transakcja BLIK albo płatność internetowa wyłudzona pod wpływem presji lub phishingu.
- Wykorzystanie danych karty (PAN/CVV) bez wiedzy i zgody posiadacza.
Ustawa o usługach płatniczych nie definiuje wprost pojęcia „nieautoryzowanej transakcji”. Punkt wyjścia jest prosty: transakcja jest autoryzowana wyłącznie wtedy, gdy płatnik wyraził zgodę (art. 40 UUP). Brak ważnej zgody oznacza brak autoryzacji.
Obowiązek zwrotu środków – zasada D+1
Zasada ogólna: w razie nieautoryzowanej transakcji bank ma obowiązek niezwłocznie – najpóźniej do końca następnego dnia roboczego po zgłoszeniu – zwrócić jej kwotę oraz przywrócić stan rachunku do sytuacji, jakby do obciążenia nie doszło (art. 46 UUP).
Ciężar dowodu: to bank musi wykazać, że transakcja została autoryzowana albo że użytkownik działał umyślnie bądź dopuścił się rażącego niedbalstwa (art. 45 i 46 UUP; por. art. 73–74 PSD2).
Sam fakt użycia poprawnych danych logowania, kodu SMS czy mechanizmu 3-D Secure nie przesądza jeszcze o autoryzacji. Zgoda musi pochodzić od płatnika – i to bank powinien ten fakt udowodnić.
Terminy – bez zwłoki i 13 miesięcy
Zgłoszenie należy złożyć niezwłocznie po wykryciu nieprawidłowości. Roszczenia wobec banku wygasają co do zasady po 13 miesiącach od dnia obciążenia rachunku (art. 44 UUP).
Opóźnienie w zgłoszeniu może osłabić pozycję użytkownika. W praktyce warto złożyć reklamację natychmiast – przez bankowość elektroniczną oraz równolegle w formie pisemnej.
Najczęstsze mechanizmy wyłudzeń
- Podszywanie się pod pracownika banku i nakłanianie do podania kodów autoryzacyjnych lub instalacji aplikacji zdalnego pulpitu.
- Fałszywe wiadomości SMS i e-maile z linkiem do spreparowanej strony logowania.
- Fikcyjne inwestycje lub „doradcy” przejmujący kontrolę nad urządzeniem użytkownika.
- Płatności internetowe CNP (card-not-present) z użyciem danych karty bez wiedzy posiadacza.
Co zrobić po wykryciu nieautoryzowanej transakcji?
- Niezwłocznie zablokować instrument płatniczy i zmienić hasła.
- Złożyć reklamację do banku, zachowując potwierdzenie zgłoszenia i numer sprawy.
- Opisać zdarzenie możliwie precyzyjnie: daty, kwoty, sposób działania sprawcy, zrzuty ekranu.
- Rozważyć zawiadomienie organów ścigania.
- W razie odmowy zwrotu – wezwać bank do zapłaty i ocenić zasadność skierowania sprawy do sądu.
Bank nie może uzależniać zwrotu od uprzedniego zgłoszenia sprawy Policji ani „wstrzymywać” środków na czas własnych analiz. Ustawa wyraźnie wskazuje termin zwrotu – wyjątki mają charakter ustawowy i wymagają wykazania przez bank.
Kiedy bank może odmówić zwrotu?
- Umyślne działanie użytkownika.
- Rażące niedbalstwo w zakresie ochrony danych i instrumentu płatniczego.
- Zgłoszenie po upływie 13 miesięcy od obciążenia rachunku.
Pojęcie rażącego niedbalstwa należy interpretować ściśle. Nie każde ulegnięcie manipulacji czy presji psychologicznej spełnia ten próg. To bank musi wykazać, że zachowanie użytkownika miało charakter kwalifikowany.
