Kiedy bank musi oddać pieniądze skradzione z konta w wyniku cyberoszustwa?

Przeczytaj także: Transakcje nieautoryzowane - 4 kolejne banki z zarzutami Prezesa UOKiK

Cyberoszustwa w Polsce rosną w tempie, które zaczyna realnie uderzać w finanse klientów banków. W 2025 r. liczba incydentów cyberbezpieczeństwa podwoiła się rok do roku i przekroczyła 222 tys., a CERT Polska zablokował ponad 1,8 mln podejrzanych SMS-ów wykorzystywanych w kampaniach phishingowych. Już 28% Polaków wskazuje kradzież pieniędzy w wyniku cyberoszustwa jako jedno z największych zagrożeń dla swoich finansów – więcej niż obawia się utraty pracy. Wraz ze skalą problemu rośnie też liczba sporów z bankami. Kluczowe pytanie brzmi: kiedy instytucja finansowa musi oddać pieniądze?

Coraz bardziej wyrafinowane metody oszustw

Cyberprzestępcy nie ograniczają się już do prostych schematów działania – dziś wykorzystują zaawansowane techniki socjotechniczne i narzędzia cyfrowe.

Jednym z najczęstszych jest phishing, czyli podszywanie się pod zaufane instytucje jak banki, firmy kurierskie czy popularne serwisy internetowe. Ofiara otrzymuje wiadomość e-mail lub SMS z linkiem do strony łudząco przypominającej oryginalną. Wprowadzone dane trafiają bezpośrednio do oszustów.

Równie niebezpieczne są fałszywe oferty pracy, w których obiecuje się wysokie wynagrodzenie za proste czynności, takie jak wykonywanie przelewów. W praktyce może to oznaczać udział w procederze prania pieniędzy, co niesie za sobą odpowiedzialność karną.

Na popularności nie tracą także oszustwa związane z handlem internetowym - zarówno po stronie sprzedaży (fikcyjne ogłoszenia i zaliczki), jak i zakupu (fałszywe potwierdzenia przelewów). Wciąż funkcjonują również tzw. „oszustwa nigeryjskie” (wyłudzenia oparte na obietnicy dużych zysków w zamian za wcześniejszą opłatę) oraz mechanizmy wyłudzania pieniędzy poprzez płatne SMS-y ukryte pod pozornie niewinnymi usługami.

„Najgroźniejsze jest poczucie, że wszystko wygląda wiarygodnie”

– W wielu sprawach, które prowadzimy, kluczowy jest element psychologiczny. Oszustwa są dziś przygotowywane w sposób bardzo profesjonalny: strony internetowe, komunikacja czy nawet język nie budzą podejrzeń – wskazuje Kamila Morawiec z Kancelarii Hantke&Piskor

Ekspertka podkreśla, że przestępcy coraz częściej wykorzystują pośpiech i presję czasu.

– Ofiara ma podjąć decyzję natychmiast. Kliknąć link, wykonać przelew czy podać dane. To ogranicza racjonalną ocenę sytuacji i zwiększa skuteczność oszustwa – dodaje.

Jak się chronić? Podstawy wciąż działają

Choć metody oszustów ewoluują, podstawowe zasady bezpieczeństwa pozostają takie same.

Kluczowe znaczenie ma weryfikacja wiarygodności ofert i podmiotów - sprawdzenie danych rejestrowych, opinii czy bezpośredni kontakt. Niezmiennie obowiązuje także zasada ograniczonego zaufania wobec „okazji życia”.

– Z naszej praktyki wynika, że wiele osób wciąż bagatelizuje podstawowe środki ostrożności, takie jak sprawdzenie adresu strony czy nadawcy wiadomości. Tymczasem to często pierwszy i najprostszy sposób, aby uniknąć problemów – zaznacza Olga Matyjaszczyk-Jendrasiak z Kancelarii Hantke&Piskor

Ekspertki rekomendują także:

• nieudostępnianie danych osobowych i bankowych niezweryfikowanym podmiotom,
• unikanie klikania w podejrzane linki,
• korzystanie z zabezpieczonych połączeń (https),
• stosowanie aktualnego oprogramowania antywirusowego,
• dokładne czytanie regulaminów usług online.

Kluczowe pytanie: czy bank odda pieniądze?

W przypadku utraty pieniędzy wiele osób zakłada, że odzyskanie pieniędzy będzie trudne lub niemożliwe. Tymczasem obowiązujące przepisy często stawiają bank w roli odpowiedzialnej za zwrot środków.

Zgodnie z ustawą o usługach płatniczych klient ma obowiązek niezwłocznie zgłosić nieautoryzowaną transakcję. To moment kluczowy - od niego zaczyna się procedura reklamacyjna.

– Po zgłoszeniu nieautoryzowanej transakcji bank co do zasady powinien zwrócić środki niezwłocznie, najpóźniej do końca następnego dnia roboczego. To nie jest dobra wola instytucji finansowej, lecz ustawowy obowiązek – wyjaśnia Olga Matyjaszczyk-Jendrasiak.

Autoryzacja to nie to samo co uwierzytelnienie

W praktyce spory między klientami a bankami często koncentrują się wokół jednego zagadnienia – czy transakcja była autoryzowana.

– Warto wyraźnie rozróżnić autoryzację od uwierzytelnienia. To, że ktoś potwierdził operację kodem SMS czy w aplikacji, nie oznacza automatycznie, że wyraził świadomą zgodę na transakcję – podkreśla Kamila Morawiec.

Jak wskazują eksperci, ciężar dowodu w tym zakresie spoczywa na banku. To instytucja finansowa musi wykazać, że transakcja była autoryzowana, a nie jedynie prawidłowo uwierzytelniona technicznie.

Aktualne stanowisko UE: zwrot ma być zasadą

Najnowsze podejście potwierdzają również instytucje europejskie. W opinii rzecznika generalnego Trybunału Sprawiedliwości UE z 5 marca 2026 r. wskazano, że zwrot środków powinien być standardem, a nie wyjątkiem. Oznacza to, że bank może odmówić jedynie w sytuacji, gdy posiada uzasadnione dowody, że klient działał umyślnie lub dopuścił się rażącego niedbalstwa. Co istotne – nawet jeśli środki zostaną zwrócone, bank może dochodzić ich odzyskania w późniejszym postępowaniu.

Reaguj szybko – to decyduje o wyniku sprawy

Eksperci są zgodni: kluczowe znaczenie ma czas reakcji.

– Im szybciej klient zgłosi nieautoryzowaną transakcję i zabezpieczy dowody, tym większe ma szanse na odzyskanie środków i skuteczne dochodzenie roszczeń – podsumowuje Olga Matyjaszczyk-Jendrasiak.