26.03.2026
Opinia Rzecznika Generalnego Trybunału Sprawiedliwości Unii Europejskiej przedstawiona w dniu 5 marca 2026 r. może wpłynąć na zwykle stosowaną przez banki strategię, według której odpowiedzialnością za utratę środków z rachunku bankowego w wyniku użycia przez klienta banku fałszywego linku obciążany jest sam klient. Mimo że treść opinii stanowi potwierdzenie przyjmowanego już od lat stanowiska Urzędu Ochrony Konkurencji i Konsumentów oraz Rzecznika Finansowego w sporach dotyczących nieautoryzowanych transakcji, to przedmiotowa sprawa C-70/25 [Tukowiecka] rozstrzygana z udziałem Trybunału Sprawiedliwości wzmacnia szanse na obrót praktyki przyjętej przez banki z korzyścią dla ich klientów.
Rozstrzygnięciu poddano następujący stan faktyczny. Klientka banku PKO BP S.A. padła ofiarą oszustwa polegającego na wyłudzeniu informacji (phishing). Osoba trzecia podszyła się pod kupującego na portalu aukcyjnym i przesłała jej fałszywy link imitujący stronę internetową jej banku. Kobieta podała swoje dane logowania, co umożliwiło oszustowi pozyskanie ich i dokonanie nieautoryzowanej transakcji płatniczej z jej rachunku bankowego. Następnego dnia zgłosiła transakcję dotkniętą oszustwem policji (sprawca oszustwa nie został zidentyfikowany) oraz bankowi, który to odmówił zwrotu kwoty nieautoryzowanej transakcji, uznając, że klientka dopuściła się rażącego zaniedbania ciążącego na niej obowiązku przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępnienia go osobom nieuprawnionym. W następstwie tej odmowy kobieta wniosła do Sądu Rejonowego w Koszalinie powództwo przeciwko bankowi o zapłatę kwoty 3000 zł.
Powódka podniosła, że zasada bezzwłocznego zwrotu kwoty nieautoryzowanej transakcji byłaby wyłączona jedynie w sytuacji opisanej w art. 73 ust. 1 Dyrektywy 2015/2366, to jest w sytuacji, gdy dostawca usług płatniczych ma uzasadnione podstawy, by podejrzewać oszustwo płatnika i informuje o tych podstawach odpowiedni organ krajowy. Jeżeli takie podstawy nie zachodzą, dostawca powinien bezzwłocznie, nie później niż do końca następnego dnia roboczego, zwrócić kwotę nieautoryzowanej transakcji płatnikowi i dopiero po takim zwrocie i przeprowadzeniu postępowania wyjaśniającego okoliczności zdarzenia wskazany dostawca mógłby domagać się od płatnika poniesienia strat wywołanych rażącym zaniedbaniem płatnika. W razie odmowy zwrotu kwoty nieautoryzowanej przez płatnika transakcji dany bank winien wystąpić na drogę sądową z żądaniem zapłaty. Z kolei według pozwanego banku przepisy krajowe implementujące art. 74 ust. 1 wspomnianej Dyrektywy zwalniają dostawcę usług płatniczych z obowiązku bezzwłocznego zwrotu kwoty nieautoryzowanej transakcji, jeżeli ustali on, że zachowanie płatnika nosiło cechy rażącego zaniedbania. Bank twierdzi również, że może samodzielnie ocenić wszystkie relewantne przesłanki odpowiedzialności za nieautoryzowaną transakcję i jest zwolniony z obowiązku bezzwłocznego zwrotu w razie ustalenia przez siebie niedbalstwa po stronie płatnika.
Sąd Rejonowy w Koszalinie zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej w Luksemburgu z pytaniem, czy zgodnie z prawem Unii bank, jako dostawca usług płatniczych, jest zobowiązany do bezzwłocznego zwrotu kwoty nieautoryzowanej transakcji, nawet jeśli uzna, że klient dopuścił się rażącego zaniedbania obowiązków ciążących na nim na mocy art. 69 Dyrektywy 2015/2366, czy też może odmówić zwrotu z tego powodu.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni art. 73 ust. 1
i art. 74 ust. 1 Dyrektywy 2015/2366, stanowiących o systemie odpowiedzialności, kolejno, dostawcy usług płatniczych oraz płatnika z tytułu nieautoryzowanych transakcji płatniczych. Na marginesie należy dodać, że prawodawca Unii Europejskiej w zakresie implementacji tych przepisów nie przyznał państwom członkowskim żadnego zakresu swobody. Polska wdrożyła Dyrektywę do ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (art. 46).
Zgodnie z artykułem 73 ust. 1 wspomnianej Dyrektywy, w przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych płatnika powinien zwrócić płatnikowi kwotę tej transakcji bezzwłocznie, nie później niż do końca następnego dnia roboczego po odnotowaniu danej transakcji lub po otrzymaniu stosownego zgłoszenia, chyba że dostawca usług płatniczych płatnika ma uzasadnione podstawy, by podejrzewać oszustwo, i poinformuje na piśmie o tych podstawach odpowiedni organ krajowy. W związku z powyższym jedynym wyjątkiem od zasady bezzwłocznego zwrotu jest przypadek, gdy dostawca ma uzasadnione podstawy, by podejrzewać oszustwo, a swe podejrzenia przekaże na piśmie właściwemu organowi krajowemu. Przepis ten nie daje możliwości rozszerzenia katalogu odstępstw o inne okoliczności, w tym również o rażące zaniedbanie przez płatnika co najmniej jednego z ciążących na nim obowiązków określonych w art. 69 Dyrektywy 2015/2366. Jak rozstrzyga dalej Rzecznik Generalny, „ponadto, co się tyczy art. 74 ust. 1 tejże dyrektywy, wydaje się, że przepis ten nie dotyczy kwestii bezzwłocznego zwrotu kwoty nieautoryzowanej transakcji płatniczej, lecz koncentruje się na rozkładzie odpowiedzialności pomiędzy płatnikiem a dostawcą usług płatniczych w celu ustalenia, kto powinien być
w następnym kroku – w toku postępowania – uznany za ponoszącego odpowiedzialność
i, w konsekwencji, ponieść straty wynikające z takich transakcji”.
W zakresie zasady natychmiastowego zwrotu, rzecznik generalny Athanasios Rantos przyjął interpretację powódki, zgodnie z którą art. 73 ust. 1 i art. 74 ust. 1 Dyrektywy 2015/2366 regulują dwa odrębne etapy procedury zwrotu kwoty nieautoryzowanej transakcji. Bank zobowiązany jest w pierwszej kolejności do bezzwłocznego zwrotu kwoty nieautoryzowanej transakcji, chyba że ma on uzasadnione podstawy, by podejrzewać oszustwo, o czym musi poinformować na piśmie właściwy organ krajowy. Dopiero po dokonaniu zwrotu, jeżeli bank ustali, że klient celowo lub w wyniku rażącego zaniedbania nie dochował przynajmniej jednego z obowiązków związanych w szczególności
z indywidualnymi danymi uwierzytelniającymi, może dochodzić od tego klienta pokrycia odpowiednich strat. Jeżeli klient odmówi zwrotu kwoty nieautoryzowanej transakcji, bank może wszcząć postępowanie sądowe przeciwko klientowi w celu uzyskania zapłaty.
Rzecznik Generalny wskazuje, że „chociaż głównym celem tej dyrektywy jest harmonizacja reguł dotyczących usług płatniczych i prawidłowe funkcjonowanie rynku wewnętrznego tych usług, o czym świadczy fakt, że podstawą tej dyrektywy jest art. 114 TFUE, to jednak konieczność zapewnienia wysokiego poziomu ochrony konsumentów przy korzystaniu
z tych usług jest również jednym z celów tej dyrektywy”.
Opinia Rzecznika Generalnego nie wiąże TSUE i stanowi tylko propozycję rozstrzygnięcia prawnego, jednak w praktyce jego wnioski są często uwzględniane w ostatecznych wyrokach. Wyrok TSUE zostanie wydany w terminie późniejszym.