Nowe obowiązki banków wobec klientów. Jak zmienia się ochrona przed oszustwami?

W 2026 roku ochrona klientów banków przed oszustwami przechodzi największą od lat transformację. Napędzają ją dwa równoległe procesy: unijny pakiet PSD3/PSR, który wchodzi w życie w 2026 roku i całkowicie przebudowuje odpowiedzialność banków za transakcje, rozszerzając ją na nowe rodzaje oszustw i wprowadzając obowiązek zwrotu środków dla ofiar tzw. authorized push payment (APP), oraz presja ze strony polskich sądów i Rzecznika Generalnego TSUE, który w opinii z 5 marca 2026 roku jednoznacznie stwierdził, że bank nie może odmówić bezzwłocznego zwrotu środków nawet w przypadku rażącego niedbalstwa klienta. W odpowiedzi na te zmiany banki wdrażają nowe narzędzia ochrony – mBank wprowadził funkcję weryfikacji autentyczności połączenia telefonicznego w czasie rzeczywistym, a KNF i UOKiK zaostrzają nadzór nad praktykami banków. Nowe przepisy przesuwają ciężar odpowiedzialności z klienta na instytucje finansowe, które muszą udowodnić, że zrobiły wszystko, aby zapobiec oszustwu, zanim będą mogły odmówić zwrotu środków.

27 listopada 2025 roku Parlament Europejski i Rada UE osiągnęły wstępne porozumienie polityczne w sprawie pakietu reformy usług płatniczych, czyli nowego Rozporządzenia o Usługach Płatniczych (PSR) oraz trzeciej Dyrektywy o Usługach Płatniczych (PSD3). Pakiet ten zastępuje obowiązującą od 2018 roku dyrektywę PSD2 oraz drugą dyrektywę o pieniądzu elektronicznym (EMD2). W kwietniu 2026 roku Rada opublikowała ostateczne teksty kompromisowe, a publikacji w Dzienniku Urzędowym UE oczekuje się do końca drugiego kwartału 2026 roku.

Najistotniejszą zmianą w pakiecie jest reforma obszaru przeciwdziałania oszustwom, która stanowi centralny element nowego rozporządzenia. Nowe przepisy rozszerzają zakres odpowiedzialności banków o manipulacje polegające na podszywaniu się pod instytucje, co w praktyce oznacza, że ofiary tzw. authorized push payment (APP), czyli oszustw, w których klient sam, ale pod wpływem manipulacji, autoryzuje przelew, zyskają prawo do zwrotu środków.

Nowe rozporządzenie nakłada na banki obowiązek porównywania danych odbiorcy z danymi posiadacza rachunku bankowego, co ma umożliwić wykrywanie potencjalnie oszukańczych transakcji. Ponadto instytucje płatnicze będą musiały wdrażać zaawansowane narzędzia zwalczania phishingu i smishingu, a zasady silnego uwierzytelniania klienta (SCA) zostaną rozszerzone. Wprowadzono również mechanizm obowiązkowego zwrotu całej kwoty w przypadkach, gdy oszust podszywa się pod pracownika banku, co jest odpowiedzią na jedną z najczęstszych i najbardziej dotkliwych metod wyłudzeń, w której przestępcy dzwonią do klientów, podszywając się pod bank i nakłaniając do wykonania przelewów na bezpieczne konta.

Nowe obowiązki banków w Polsce

W odpowiedzi na rosnącą skalę oszustw i presję regulacyjną polskie banki wdrażają nowe narzędzia ochrony. Według dostępnych danych transakcje oszukańcze przy użyciu bezgotówkowych instrumentów płatniczych w całym 2025 roku opiewały na około 800 milionów złotych. Najczęściej są to wyłudzenia metodami socjotechnicznymi, czyli z wykorzystaniem podstępu i gry na emocjach, takie jak popularne metody na wnuczka czy policjanta.

W maju 2026 roku mBank wprowadził nową funkcję bezpieczeństwa, która pozwala użytkownikowi sprawdzić w trakcie rozmowy telefonicznej, czy po drugiej stronie rzeczywiście jest pracownik banku. Mechanizm jest prosty: aplikacja mobilna, która dostaje sygnał od systemu operacyjnego telefonu o trwającym połączeniu, wyświetla komunikat: „nie rozmawiasz teraz z mBankiem”. Jeśli pojawi się ten komunikat, oznacza to, że rozmówca nie jest pracownikiem banku i rozmowę należy zakończyć. Rozwiązanie ma pomóc w sytuacjach, w których przestępcy podszywają się pod pracowników banku i próbują wyłudzić dane lub pieniądze, co jest jednym z najczęstszych sposobów działania oszustów. Funkcja daje klientowi dwie informacje: potwierdzenie przy prawdziwym kontakcie i ostrzeżenie, gdy ktoś może się pod bank podszywać.

Urząd Komisji Nadzoru Finansowego podejmuje działania związane z prewencją przed cyberoszustwami na rynku finansowym, w tym monitoruje i analizuje zagrożenia. Rosnąca skala oszustw i presja nadzorcza wymuszają nowe podejście do odpowiedzialności banków. W styczniu 2026 roku Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, nakładającą na podmioty kluczowe obowiązek wdrożenia rozwiązań technicznych i organizacyjnych z zakresu cyberbezpieczeństwa.

Zwrot środków, przełomowe orzecznictwo TSUE

Kluczowym wydarzeniem w 2026 roku jest opinia Rzecznika Generalnego TSUE z 5 marca 2026 roku w sprawie C-70/25 (Tukowiecka), która dotyczy polskiej klientki, która padła ofiarą phishingu. Rzecznik Generalny Athanasios Rantos stwierdził, że bank nie może odmówić bezzwłocznego zwrotu kwoty nieautoryzowanej transakcji z powodu rażącego niedbalstwa klienta. Zwrot ten nie jest jednak ostateczny, ponieważ po jego dokonaniu bank może zażądać od klienta pokrycia strat, jeżeli umyślnie lub w wyniku rażącego niedbalstwa nie dochował swoich obowiązków.

Rzecznik Generalny podkreślił, że prawo unijne zobowiązuje bank do bezzwłocznego zwrotu, chyba że ma uzasadnione powody, by podejrzewać oszustwo ze strony samego klienta, o czym musi poinformować na piśmie właściwy organ. Od tej zasady nie przewidziano żadnych innych wyjątków. Opinia Rzecznika, choć jeszcze nie jest wyrokiem TSUE, wyznacza kierunek rozstrzygnięcia i jest spójna z literalnym brzmieniem art. 46 ustawy o usługach płatniczych, stanowiskiem UOKiK oraz Rzecznika Finansowego. Jeśli TSUE podzieli tę opinię, banki w Polsce stracą argument, na który powołują się najczęściej, czyli że rażące niedbalstwo klienta zwalnia z obowiązku zwrotu.

Zgodnie z obowiązującymi przepisami banki mają obowiązek zwrotu kwoty nieautoryzowanej transakcji lub przywrócenia rachunku do stanu sprzed wystąpienia takiej transakcji. Zasada D+1 oznacza, że bank musi zwrócić kwotę nieautoryzowanej transakcji w ciągu 24 godzin od zgłoszenia, czyli do końca następnego dnia roboczego. Ciężar dowodu spoczywa na banku, ponieważ to instytucja musi udowodnić, że transakcja była autoryzowana lub że klient dopuścił się rażącego niedbalstwa.

Nowe obowiązki informacyjne i transparentność

Banki mają również nowe obowiązki informacyjne wobec klientów. Zgodnie z przepisami instytucje muszą rzetelnie informować o skutkach finansowych produktów i usług przed podpisaniem umowy. Szczególne obowiązki informacyjne wobec klientów ze specjalnymi potrzebami zaczęły obowiązywać od 28 czerwca 2025 roku.

W przypadku nieautoryzowanych transakcji banki często odmawiają zwrotów, powołując się na rażące niedbalstwo klienta lub brak zabezpieczeń. Jednak nowe orzecznictwo i regulacje przesuwają ciężar odpowiedzialności, ponieważ to bank musi wykazać, że wdrożył odpowiednie mechanizmy zapobiegania oszustwom, w przeciwnym razie ponosi odpowiedzialność za straty klientów. Rzecznik Finansowy postuluje dodatkowo wprowadzenie mechanizmów ułatwiających dochodzenie roszczeń.

Co to oznacza dla klientów?

Nowe regulacje oznaczają dla klientów kilka istotnych zmian, które w praktyce przekładają się na realną poprawę ich sytuacji prawnej i finansowej. Banki będą zobowiązane do bezzwłocznego zwracania pieniędzy w przypadku nieautoryzowanych transakcji, nawet jeśli klient dopuścił się niedbalstwa, co wcześniej było najczęstszym powodem odmowy zwrotu. Nowe przepisy obejmują również oszustwa typu spoofing i APP, które wcześniej często pozostawały poza zakresem odpowiedzialności banków, co oznacza, że ofiary tych metod wyłudzeń będą mogły liczyć na odzyskanie środków.

Banki wdrażają funkcje umożliwiające weryfikację autentyczności kontaktu, co ma chronić przed socjotechniką, czego przykładem jest funkcja weryfikacji połączenia w mBanku, która daje klientowi narzędzie do samodzielnego sprawdzenia, czy rozmawia z prawdziwym pracownikiem banku. Instytucje finansowe muszą udowodnić, że wdrożyły odpowiednie mechanizmy zapobiegania oszustwom, zanim będą mogły odmówić zwrotu środków, co zasadniczo zmienia układ sił między bankiem a klientem w sporach o nieautoryzowane transakcje.

Fot. Pixabay

Podłącz się do źródła najważniejszych informacji z rynku energii i przemysłu

Podłącz się do źródła najważniejszych informacji z rynku energii i przemysłu

WP Twitter Auto Publish Powered By : XYZScripts.com