Phishing, spoofing, fałszywe bramki płatnicze – sposoby oszustw są coraz bardziej wyrafinowane.

Przejmowanie kont mailowych czy tworzenie fałszywych stron logowania sprawia, że nieautoryzowane transakcje płatni cze przestały być incydentem, a stały się realnym ryzykiem operacyjnym dla firm.

Metody kradzieży oszustów

Tylko w 2024 r. zgłoszono ok. 334 tys. takich przypadków. Banki prowadzą kampanie ostrzegawcze, ale mimo to ich liczba utrzymuje się na stałym, wysokim poziomie. Dochodzi do nich w różny sposób. Najbardziej charakterystyczny (o którym ostatnio głośno) to telefon od „pracownika banku z oficjalnego numeru infolinii” (tzw. spoofing), który wskazuje na wykrycie próby kradzieży środków z rachunku i dokonania jakiejś dużej transakcji płatniczej itp. Następnie prosi o zainstalowanie na telefonie lub komputerze oprogramowania, które ma przeskanować urządzenie w celu wykrycia złośliwych aplikacji i zablokowania transakcji. W rzeczywistości umożliwiają one kradzież danych logowania do bankowości elektronicznej.

Kolejna metoda to rozsyłanie SMS-ów z rzekomej firmy kurierskiej. Oszuści w takiej wiadomości informują o zaległości w płatnościach i wysyłają link do dokonania dopłaty. Kliknięcie przekierowuje na fałszywą stronę przypominającą strony pośredników płatności. W ten sposób oszuści dostają na tacy dane do logowania do bankowości internetowej lub uzyskują płatność na własny rachunek.

Ofiarami takich działań są też firmy prowadzące sprzedaż za pośrednictwem platform internetowych. Oszust może udawać osobę zainteresowaną zakupem. Aby sfinalizować transakcję, wysyła sprzedającemu link przekierowujący na stronę jego banku (tu: atrapy) do odebrania zapłaty za sprzedany przedmiot. Pracownik, aby ściągnąć należność, musi wpisać tam firmowe dane. W ten sposób jednak daje oszustowi dostęp do konta sklepu.

Postępowania wobec banków

Kiedy z rachunku bankowego znika znaczna kwota, przedsiębiorcy najczęściej nie mają szans na odzyskanie środków od oszustów. Naturalnym i najprostszym adresatem roszczeń staje się bank, bo z rachunku doszło do zaboru środków. Banki, co oczywiste, zwykle odrzucają reklamacje, twierdząc, że skoro system rozpoznał dane logowania i przelew został autoryzowany, to klient ponosi winę – bo udostępnił oszustom dane uwierzytel niające.

Problem ten stał się na tyle powszechny, że prezes UOKiK wszczął kilka postępowań wobec największych banków. Bardzo często odrzucają one reklamacje klientów i wskazują, że w ich systemie podane zostały dane niezbędne do zrealizowania przelewu, czyli transakcja została prawidłowo uwierzytelniona – klient sam ujawnił przestępcom swoje dane uwierzytelniające i kanał zatwierdzenia transakcji, co umożliwiło jej dokonanie.

Kiedy transakcja płatnicza jest nie autoryzowana?

Zgodnie z ustawą o usługach płatniczych (dalej: u.u.p.) transakcja płatnicza to zainicjowana przez płatnika lub odbiorcę wpłata środków pieniężnych, ich transfer lub wypłata. Definicja jest zatem bardzo szeroka i w praktyce obejmuje większość przesunięć środków pieniężnych na zgromadzonym rachunku (np. za pomocą zapłaty kartą, blikiem, przelewem natychmiastowym, wypłaty gotówki w bankomacie).

Na próżno szukać jednak w polskim prawie legalnej definicji transakcji nieautoryzowanej. Zgodnie z art. 40 ust. 1 u.u.p. wspomniana transakcja pozostaje autoryzowana jedynie wówczas, gdy użytkownik (klient np. banku) wyraził na nią zgodę w sposób przewidziany w umowie pomiędzy nim a dostawcą usług płatniczych (np. bankiem). W innym przypadku, na zasadzie przeciwieństwa, transakcja jest nieautoryzowana.

Jakie obowiązki ma bank w przypadku podejrzanej operacji

Zgodnie z art. 46 ust. 1 u.u.p., instytucja finansowa w przypadku wystąpienia nieautoryzowanej transakcji płatniczej jest zobowiązana do niezwłocznego zwrotu środków klientowi. Obowiązek ten powstaje w momencie:

  • zgłoszenia przez niego wystąpienia takiej transakcji lub też
  • zauważenia jej samodzielnie przez instytucję finansową.

Termin „niezwłocznie” został bardzo rygorystycznie określony w u.u.p. Oznacza, że instytucja finansowa powinna dokonać zwrotu środków „(…) do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej (…)”.

A zatem bank ma obowiązek działać szybko. To efekt implementacji Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. (dalej: dyrektywa PSD2).

Wyjątki, czyli kiedy bank nie musi oddać pieniędzy

Od ww. obowiązku zwrotu środków ustawodawca przewidział dwa wyjątki:

  • gdy instytucja finansowa „(…) ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw” (art. 46 ust. 1 u.u.p.);
  • gdy klient (zgodnie z art. 44 ust. 2 u.u.p.) nie poinformuje instytucji płatniczej o wystąpieniu nieautoryzowanej transakcji w ciągu 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana.

Oprócz tego użytkownik ma obowiązek niezwłocznego zgłoszenia utraty, kradzieży lub nieuprawnionego użycia instrumentu płatniczego. Brak takiego zgłoszenia może pozbawić go ochrony.

Na kim spoczywa ciężar dowodu

Polski ustawodawca zdecydował się wprowadzić surowy model odpowiedzialności, w którym to instytucja finansowa musi podjąć inicjatywę dowodową, żeby jej uniknąć. Użytkownik musi zasadniczo wyłącznie wskazać, że doszło do transakcji, oraz ocenić ją jako nieautoryzowaną – nie musi przedstawiać na to żadnych dowodów. Tak stanowi art. 45 ust. 1 u.u.p. Dla instytucji finansowych oznacza to konieczność aktywnego zaangażowania dowodowego w każdej spornej sprawie.

Ważne dla przedsiębiorców – jak reagować w razie nieautoryzowanej transakcji

1. Zablokuj dostęp do konta

Niezwłocznie skontaktuj się z bankiem – najlepiej przez infolinię oraz pisemnie. Zablokuj dostęp do bankowości elektronicznej i poproś o zmianę danych logowania.

2. Złóż reklamację

Zrób to na piśmie, powołując się na art. 46 u.u.p. Wskaż, że transakcja była nieautoryzowana.

3. Zabezpiecz dowody

Zachowaj SMS-y, e-maile, historię przeglądarki, zrzuty ekranu – mogą być przydatne w sporze z bankiem lub przed sądem.

4. Zgłoś sprawę na policję

Złóż zawiadomienie o podejrzeniu popełnienia przestępstwa – może to również pomóc w reklamacji bankowej.

5. Nie daj się zbyć

Jeżeli bank odrzuci reklamację, możesz się odwołać do rzecznika finansowego lub wnieść pozew cywilny.

6. Reaguj szybko

Na zgłoszenie nieautoryzowanej transakcji masz maksymalnie 13 miesięcy, ale im szybciej to zrobisz, tym lepiej. ©℗

Kiedy przedsiębiorca nie odpowiada za kradzież środków z konta

Przedsiębiorca odpowiada za nieautoryzowaną transakcję płatniczą tylko do równowartości 50 euro (w polskiej walucie ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji), jeżeli została ona dokonana na skutek utraty, kradzieży lub przywłaszczenia instrumentu płatniczego.

Ale uwaga! Ograniczenie nie ma zastosowania w przypadku, gdy:

1) poszkodowany nie mógł stwierdzić utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej, z wyjątkiem przypadku, gdy działał umyślnie, lub

2) utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy poszkodowanego lub podmiotu świadczącego na jego rzecz usługi.

Jeśli klient działał umyślnie lub rażąco niedbale (np. udostępnił dane uwierzytelniające osobie trzeciej), to ponosi pełną odpowiedzialność. Zgodnie bowiem z art. 42 ust. 1 u.u.p. „użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:

1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz

2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu”.

Musi ponadto przechowywać dane logowania z należytą starannością i nie udostępniać ich nieuprawnionym osobom. Po zgłoszeniu nieautoryzowanej transakcji klient jest chroniony – chyba że sam umożliwił oszustwo.

Co dalej? Coraz więcej pozwów

Na razie postępowania sądowe przeciwko bankom w opisywanych sprawach nie są jeszcze powszechne – nie są też tak głośne medialnie jak np. powództwa frankowiczów. Jednak, biorąc pod uwagę masowy charakter problemu, spodziewać się należy, że na stałe trafią one na wokandy sądowe, a ich udział w ogólnej liczbie spraw będzie się stale zwiększać. Już zresztą pojawiają się kancelarie specjalizujące się wyłącznie w nieautoryzowanych transakcjach, a orzecznictwo zaczyna się stabilizować.

Z punktu widzenia przedsiębiorców oznacza to konieczność podwójnego działania:

  • po pierwsze – prewencja, czyli szkolenia, procedury, kontrola dostępu do kont firmowych;
  • po drugie – szybkie i świadome działanie w razie ataku, w tym natychmiastowe zgłoszenie sprawy do banku i – jeśli to konieczne – wystąpienie na drogę sądową, bo choć banki mają przewagę technologiczną i proceduralną, to klienci nie zawsze są bez szans. ©℗

Podstawa prawna

• art. 42, art. 44, art. 46 ustawy o usługach płatniczych z 19 sierpnia 2011 r. (t.j. Dz.U. z 2025 r. poz. 611)