PSD2 (dyrektywa 2015/2366) przewiduje obowiązek zwrotu wyłącznie w razie nieautoryzowanej transakcji płatniczej (art. 73 PSD2; w prawie polskim — art. 46 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych). Klient, który padł ofiarą tzw. oszustwa autoryzowanego — czyli sam wykonał przelew, ale pod wpływem manipulacji — zwykle pozostawał poza zakresem zwrotu. Projekt rozporządzenia PSR (dokument Rady 8221/26 z 17 kwietnia 2026 r.) tę logikę zmienia. Art. 59 PSR wprowadza nowy reżim odpowiedzialności dostawcy usług płatniczych za oszustwo polegające na podszywaniu się (ang. impersonation fraud).
Poniżej omawiamy, czego dokładnie dotyczy nowy obowiązek, jakie warunki musi spełnić klient i kiedy dostawca usług płatniczych może odmówić zwrotu. Wpis warto czytać razem z artykułem o weryfikacji odbiorcy w każdym poleceniu przelewu oraz z analizą harmonogramu wdrożenia całego pakietu PSD3/PSR.
Co konkretnie reguluje art. 59 PSR?
Art. 59 ust. 1 PSR — w wersji kompromisu Rady — stanowi:
„Where a payment services user who is a consumer was manipulated by a third party pretending to be the consumer's payment service provider using communication channels attributed to the consumer's payment service provider and that manipulation gave rise to subsequent fraudulent authorised payment transactions, the payment service provider shall refund the consumer the full amount of the fraudulent authorised payment transaction […].”
Rozkładając zdanie na czynniki — obowiązek zwrotu pełnej kwoty powstaje, jeżeli kumulatywnie:
- ofiarą jest konsument (a nie użytkownik biznesowy),
- został zmanipulowany przez osobę trzecią podszywającą się pod jego dostawcę usług płatniczych,
- manipulacja odbywała się z wykorzystaniem kanałów komunikacji przypisywanych temu dostawcy (np. spoofowany numer telefonu infolinii, sfałszowana domena banku, podrobiony adres mailowy lub komunikat SMS),
- manipulacja doprowadziła do autoryzowanej transakcji płatniczej, która okazała się oszukańcza.
Co ważne — art. 59 ust. -1 PSR zobowiązuje wszystkich dostawców usług płatniczych do utrzymywania „adequate prevention and robust technical safeguards” uniemożliwiających replikację i nadużywanie kanałów komunikacji dostawcy. To nakłada techniczny obowiązek prewencyjny, którego naruszenie może uzasadniać późniejszą odpowiedzialność z ust. 1.
Jakie warunki musi spełnić konsument?
Art. 59 ust. 1 PSR uzależnia zwrot od dwóch działań po stronie konsumenta:
- niezwłoczne powiadomienie dostawcy usług płatniczych po stwierdzeniu oszustwa,
- zgłoszenie sprawy na policję (ang. reported the fraud to the police).
Bez zgłoszenia organom ścigania mechanizm z art. 59 PSR nie uruchomi się. To istotna różnica względem zwrotu za nieautoryzowaną transakcję z art. 56 PSR (i odpowiednio art. 46 ustawy o usługach płatniczych) — tam zgłoszenie na policję nie jest warunkiem prawa do zwrotu.
W jakim terminie i kiedy PSP może odmówić?
Art. 59 ust. 2 PSR daje dostawcy 15 dni roboczych od chwili otrzymania powiadomienia i raportu policyjnego, by:
- zwrócić konsumentowi kwotę oszukańczej transakcji, albo
- uzasadnić odmowę — wskazując konsumentowi organy, do których może się odwołać (m.in. organy z art. 90, 91, 93–95 PSR), oraz, jeśli dostawca uzna, że konsument działał umyślnie, przekazując informacje organowi krajowemu, o którym mowa w art. 56 ust. 2 lit. b PSR.
Art. 59 ust. 3 i 4 PSR dopełniają obraz:
- przepis nie ma zastosowania, jeżeli konsument działał umyślnie albo dopuścił się rażącego niedbalstwa,
- ciężar dowodu rażącego niedbalstwa lub działania umyślnego konsumenta spoczywa na dostawcy.
Co więcej — przed sformułowaniem wniosku o rażącym niedbalstwie, dostawca ma obowiązek zaprosić konsumenta do przedstawienia informacji o okolicznościach poprzedzających transakcję i uwzględnić te informacje w ocenie. Brak odpowiedzi konsumenta nie może sam w sobie prowadzić do uznania rażącego niedbalstwa. Konsument nie ma obowiązku przekazywać więcej niż to, czego można od niego rozsądnie oczekiwać.
Z naszego doświadczenia w obsłudze sporów reklamacyjnych z bankami i KIP — to zdanie będzie kluczowe w praktyce. PSR wprost tnie linię obrony „klient nie współpracował, więc winę ponosi sam”.
Co z odpowiedzialnością przy braku silnego uwierzytelniania?
Reżim z art. 59 PSR nie wyłącza ogólnych zasad zwrotu z art. 56 i art. 60 PSR. W szczególności art. 60 ust. 2 PSR nadal stanowi, że jeżeli dostawca nie wymagał silnego uwierzytelniania klienta (ang. strong customer authentication, SCA, art. 85 PSR), płatnik nie ponosi żadnych strat, chyba że działał w celu oszukania. Taka sama zasada obowiązuje w przypadku skorzystania z wyjątku od SCA — o ile to nie wina płatnika. Naszym zdaniem oznacza to, że roszczenia z impersonation fraud i z braku SCA mogą się kumulować — błąd PSP w obu obszarach skutkuje pełnym zwrotem.
Co zmienia art. 59a PSR — współpraca z hostingami i telekomami?
Skuteczność zwrotu z art. 59 PSR jest powiązana z zatrzymaniem źródła oszustwa. Art. 59a PSR wprowadza obowiązki współpracy międzysektorowej:
- jeśli oszustwo płatnicze ma źródło w nielegalnych treściach online — dostawca usług płatniczych ma niezwłocznie poinformować dostawcę usług hostingowych w trybie art. 16 lub 22 rozporządzenia 2022/2065 (Akt o usługach cyfrowych, DSA),
- dostawcy usług komunikacji elektronicznej (zdefiniowani w dyrektywie 2018/1972) i operatorzy bardzo dużych platform internetowych oraz bardzo dużych wyszukiwarek w rozumieniu art. 33 rozporządzenia 2022/2065 mają obowiązek ustanowić dedykowane kanały komunikacji lub uczestniczyć w mechanizmie wymiany informacji z dostawcami usług płatniczych,
- dostawcy usług komunikacji elektronicznej mają, zgodnie z art. 59a ust. 5 PSR, wykrywać i zapobiegać wykorzystywaniu swoich usług do oszustw polegających na podszywaniu się — w tym przez manipulację identyfikacją linii wywołującej (CLI spoofing) lub adresu poczty elektronicznej.
Jednocześnie art. 59a ust. 3 PSR nakłada obowiązki edukacyjne — m.in. ostrzeżeń dla użytkowników o nowych formach oszustw, ze szczególnym uwzględnieniem grup wrażliwych.
Reklama usług finansowych na bardzo dużych platformach — art. 59b PSR
Art. 59b PSR wprowadza obowiązek operatorów VLOP-ów i VLOSE-ów (art. 33 rozporządzenia 2022/2065) do żądania od reklamodawców regulowanych usług finansowych:
- numeru zezwolenia, numeru rejestracyjnego lub innej informacji potwierdzającej, że reklamodawca jest podmiotem regulowanym (lub działa w jego imieniu),
- weryfikacji wiarygodności tych informacji (best efforts), w tym przez wykorzystanie rejestrów dostawców regulowanych prowadzonych na podstawie PSD3 lub innych aktów UE,
- odmowy publikacji reklamy w przypadku braku takich informacji.
Z naszego doświadczenia jest to przepis odpowiadający na fenomen reklam tzw. „inwestycji”, które zalewały platformy społecznościowe od 2020 r. i wielokrotnie kierowały konsumentów na strony spoofingowe naśladujące banki. Po wejściu w życie PSR udokumentowanie próby publikacji takiej reklamy będzie sygnałem rozjazdu z compliance po stronie platformy, a nie tylko reklamodawcy.
Co teraz zrobić?
Z naszego doświadczenia w obsłudze postępowań reklamacyjnych i kontroli rekomendujemy:
- Audyt kanałów komunikacji — czy logujemy, jak weryfikujemy autentyczność komunikatów wychodzących do klienta (numery telefonów, domeny SMS, nadawcy maili, linki w aplikacji mobilnej). Standardy CLI signing, BIMI dla maili, push-only komunikacja w aplikacji to elementy, które po wejściu PSR będą oceniane jako „adequate prevention and robust technical safeguards” z art. 59 ust. -1 PSR.
- Procedurę reklamacyjną — czy mamy 15 dni roboczych na decyzję (art. 59 ust. 2 PSR), jak zbieramy raport policyjny od konsumenta, jak prowadzimy proces zaproszenia konsumenta do uzupełnienia informacji bez przerzucenia na niego ciężaru dowodu.
- Mapowanie ryzyk z art. 83 PSR — system monitorowania transakcji ma sygnalizować nietypowe zachowania w kontekście social engineeringu, nie tylko klasycznych nadużyć.
- Współpracę z operatorami sieci komunikacyjnych i platformami — z art. 59a PSR wynika, że banki i KIP mają obowiązek aktywnie informować kanały dystrybucji o nowych wzorcach oszustw, co wymaga dedykowanej komórki organizacyjnej.
Naszym zdaniem dla działu compliance najtrudniejszy będzie nie sam zwrot, ale dowodzenie, że dostawca nie miał obiektywnie uzasadnionych podstaw do podejrzenia rażącego niedbalstwa. Już dziś w sporach z klientami banki wskazują, że klient zignorował komunikat ostrzegawczy. Po wejściu PSR samo wskazanie na ignorowanie ostrzeżenia nie wystarczy — trzeba będzie wykazać, że ostrzeżenie dotarło, zostało zrozumiane i zostało zignorowane mimo konkretnej, indywidualnej oceny ryzyka.
Jeżeli przygotowujesz aktualizację procedur reklamacyjnych albo mapę kanałów komunikacji pod nowy reżim, w Legal Geek doradzamy bankom, KIP i MIP w sporach reklamacyjnych i w kontrolach KNF dotyczących nadużyć płatniczych.
