Odpowiedzialność za nieautoryzowane transakcje

Na dostawcy usług płatniczych ciąży obowiązek dostarczenia płatnikowi informacji dotyczących odbiorcy nieautoryzowanej transakcji, co jest kluczowe dla rzeczywistego zidentyfikowania osoby fizycznej lub prawnej korzystającej z nieautoryzowanej płatności. Spór między posiadaczem rachunku a bankiem dotyczył autoryzacji transakcji, gdzie istotne jest spełnienie wymogów informacyjnych nałożonych dyrektywą 2007/64/WE. TSUE podkreślił konieczność osiągnięcia określonego rezultatu, a nie tylko starannego działania, w dostarczaniu informacji dotyczących odbiorcy płatności, co ma istotne znaczenie przy interpretacji przepisów europejskich dotyczących usług płatniczych.

Tematyka: usługi płatnicze, nieautoryzowane transakcje, dostawca usług płatniczych, TSUE, dyrektywa 2007/64/WE, informacje dotyczące odbiorcy, obowiązek osiągnięcia rezultatu

Na dostawcy usług płatniczych ciąży obowiązek osiągnięcia rezultatu w odniesieniu do dostarczenia
płatnikowi „informacji dotyczących odbiorcy” nieautoryzowanej transakcji w rozumieniu art. 47 ust. 1
dyrektywy 2007/64/WE. Informacje te powinny pozwolić płatnikowi na rzeczywiste zidentyfikowanie osoby
fizycznej lub prawnej, która otrzymała tę nieautoryzowaną płatność.
Stan faktyczny
Spór między posiadaczem rachunku a bankiem dotyczył dwóch transakcji płatniczych zrealizowanych za pomocą
karty debetowej tego posiadacza, które uważał on za nieautoryzowane. Posiadacz ów żądał w szczególności zwrotu
kwot, na które opiewały te transakcje, a bank odmawiał, uznając, że te transakcje były autoryzowane lub że
przynajmniej posiadacz dopuścił się rażącego niedbalstwa. Rozpatrujący tę sprawę Sąd wskazywał, że bank podał
jedynie cyfrowe oznaczenie terminalu i jego geolokalizację, informując o tożsamości odbiorcy spornych płatności
jedynie poprzez wskazanie: „COM SU VALENCIA ESP”. Natomiast bank twierdził, że to instytucja bankowa odbiorcy
tych płatności odmawia przekazania informacji identyfikujących.
Wątpliwości Sądu odsyłającego dotyczyły oceny, czy sporne płatności były autoryzowane, w tym w odniesieniu do
środków organizacji postępowania, jakie ewentualnie należy podjąć w tym kontekście, poznanie charakteru i zakresu
informacji, jakie dostawca usług płatniczych danego płatnika powinien mu dostarczyć na podstawie art. 47 ust. 1 lit.
a) dyrektywy 2007/64/WE Parlamentu Europejskiego i Rady z 13.11.2007 r. w sprawie usług płatniczych w ramach
rynku wewnętrznego, zmieniającej dyrektywy 97/7/WE, 2002/65/WE, 2005/60/WE i 2006/48/WE i uchylającej
dyrektywę 97/5/WE (Dz.Urz. UE L z 2007 r. Nr 319, s. 1).
Stanowisko TSUE
Przepis art. 47 ust. 1 dyrektywy 2007/64/WE przewiduje, że po obciążeniu rachunku płatnika kwotą indywidualnej
transakcji płatniczej, lub w przypadku gdy płatnik nie korzysta z rachunku płatniczego, po otrzymaniu zlecenia
płatniczego dostawca usług płatniczych tego płatnika bez zbędnej zwłoki dostarcza mu w sposób określony
w art. 41 ust. 1 dyrektywy 2007/64/WE szereg określonych informacji. Aby spełnić ten wymóg, dostawca usług
płatniczych danego płatnika jest zobowiązany do przekazania, zgodnie z przepisem art. 47 ust. 1 lit. a) dyrektywy
2007/64/WE, informację umożliwiającą płatnikowi zidentyfikowanie transakcji płatniczej i „w stosownych
przypadkach, informacje dotyczące odbiorcy”.
Pojęcie „odbiorcy” zostało zdefiniowane w art. 4 pkt. 8 dyrektywy 2007/64/WE jako osoba fizyczna lub prawna
będąca zamierzonym odbiorcą środków stanowiących przedmiot transakcji płatniczej. Tymczasem TSUE stwierdził,
że „informacje”, które należy dostarczyć na podstawie art. 47 ust. 1 lit. a) dyrektywy 2007/64/WE w odniesieniu do
odbiorcy danej transakcji płatniczej, nie zostały doprecyzowane w tej dyrektywie. W szczególności treść tego
ostatniego przepisu nie pozwala na ustalenie, jak zauważył Sąd odsyłający, czy obowiązek dostarczenia tych
informacji stanowi obowiązek starannego działania, czy obowiązek osiągnięcia rezultatu, i to w szczególności ze
względu na zawarte w nim sformułowanie „w stosownych przypadkach”.
Z art. 86 ust. 1 dyrektywy 2007/64/WE wynika, że dokonuje ona pełnej harmonizacji, która uniemożliwia państwom
członkowskim utrzymanie w mocy lub wprowadzenie przepisów innych niż te zawarte w tej dyrektywie, chyba że
stanowi ona inaczej. Jednakże nie ma to miejsca w przypadku obowiązków informacyjnych przewidzianych w art. 47
ust. 1 dyrektywy 2007/64/WE. W motywie 21 owej dyrektywy uściślono, że państwa członkowskie nie mogą
przyjmować innych przepisów dotyczących informowania niż te ustanowione w dyrektywie. Z uwagi na tę
pełną harmonizację TSUE uznał, że obowiązki informacyjne przewidziane w art. 47 ust. 1 dyrektywy 2007/64/WE
ustanawiają w sposób konieczny obowiązki, które państwa członkowskie powinny wykonać bez możliwości
odstąpienia od nich, a nawet bez możliwości ich złagodzenia poprzez zakwalifikowanie ich jako obowiązków
starannego działania, a nie jako obowiązków osiągnięcia rezultatu. Trybunał stwierdził, że wykładnia systemowa art.
47 dyrektywy 2007/64/WE nie pozwala uznać, że przewidując obowiązki, które dokładnie wskazują działania, jakie
należy podjąć, prawodawca Unii zmierzał wyłącznie do tego, aby podjęte zostały starania w tym zakresie, a nie do
ustalenia konkretnych rezultatów, jakie należy osiągnąć. Zdaniem TSUE powyższy wniosek potwierdza
okoliczność, że niektóre przepisy dyrektywy 2007/64/WE są sformułowane w sposób, z którego jasno wynika, iż
podjęcie starań wystarczy do spełnienia wymogów ustanowionych w tych przepisach. Jest tak w szczególności
w przypadku art. 74 ust. 2 ak. 2 dyrektywy 2007/64/WE lub art. 75 ust. 1 ak. 4 dyrektywy 2007/64/WE, zgodnie
z którymi dostawca usług płatniczych płatnika powinien „dążyć” do odzyskania środków lub do odnalezienia śladu
niewykonanej lub wadliwie wykonanej transakcji płatniczej. Zatem można domniemywać, że prawodawca Unii
posłużyłby się analogicznymi sformułowaniami w art. 47 ust. 1 lit. a) dyrektywy 2007/64/WE, gdyby samo podjęcie

starań w celu dostarczenia płatnikowi informacji dotyczących odbiorcy płatności miało być wystarczające do
wypełnienia obowiązku przewidzianego w tym przepisie.
Co się tyczy sformułowania „w stosownych przypadkach”, zawartego w art. 47 ust. 1 lit. a) dyrektywy 2007/64/WE,
TSUE stwierdził, że z uwagi na przedstawione powyżej rozważania sformułowanie to nie może być rozumiane w ten
sposób, że dostawca usług płatniczych powinien przekazać płatnikowi informacje umożliwiające identyfikację
odbiorcy transakcji płatniczej tylko wtedy, gdy po podjęciu starań w tym względzie sam dysponuje tymi informacjami.
Przeciwnie, to sformułowanie należy rozumieć jako oznaczające w tym kontekście, że informacje dotyczące odbiorcy
transakcji płatniczej, które dostawca usług płatniczych musi dostarczyć danemu płatnikowi po obciążeniu rachunku
tego płatnika kwotą transakcji płatniczej lub w terminie uzgodnionym na podstawie art. 47 ust. 2 dyrektywy
2007/64/WE, obejmują informacje, którymi dysponuje lub powinien dysponować ten dostawca usług
płatniczych, zgodnie z prawem UE.
Trybunał przypomniał, że zgodnie z motywem 27 dyrektywy 2007/64/WE sposób, w jaki dany dostawca usług
płatniczych był zobowiązany do dostarczenia wymaganych informacji użytkownikowi tych usług, powinien
uwzględniać w szczególności jego potrzeby. Ponadto, jak wskazano w motywie 46 dyrektywy 2007/64/WE, to
dostawca usług płatniczych danego płatnika udostępnia system płatności, podejmuje działania w celu odzyskania
niewłaściwie przekazanych lub mylnie przypisanych środków i w większości przypadków podejmuje decyzję
o pośrednikach uczestniczących w wykonywaniu transakcji płatniczej. Ponadto, jak wskazano również w motywie 46
dyrektywy 2007/64/WE, co do zasady można oczekiwać, że instytucja pośrednicząca, zwykle organ „neutralny”, taki
jak bank centralny lub izba rozliczeniowa, przekazująca kwotę płatności od wysyłającego do otrzymującego dostawcy
usług płatniczych, zachowa dane dotyczące rachunku i będzie w stanie je przedstawić, kiedy tylko pojawi się taka
potrzeba.
Reasumując, TSUE orzekł, że art. 47 ust. 1 lit. a) dyrektywy 2007/64/WE należy interpretować w ten sposób, iż
dostawca usług płatniczych płatnika jest zobowiązany przekazać temu płatnikowi informacje umożliwiające
identyfikację osoby fizycznej lub prawnej, która uzyskała korzyść w związku z transakcją płatniczą
obciążającą rachunek tego płatnika, a nie tylko informacje, którymi w odniesieniu do tej transakcji płatniczej
dysponuje dostawca po dołożeniu wszelkich starań.

Komentarz
Trybunał wyjaśnił zakres obowiązku dostawcy usług płatniczych udzielenia informacji, o których mowa w art. 47 ust. 1
lit. a) dyrektywy 2007/64/WE, w tym zwłaszcza, jak w niniejszej sprawie, dotyczących odbiorcy nieautoryzowanych
płatności. Rozważania TSUE w tym zakresie determinuje okoliczność, iż dyrektywa 2007/64/WE przewiduje pełną
harmonizację.
Na podstawie wykładni językowej i systemowej art. 47 ust. 1 lit. a) dyrektywy 2007/64/WE, TSUE uznał, że
obowiązek dostarczenia powyżej wskazanych informacji obejmuje osiągniecie określonego rezultatu, a nie tylko
staranne działanie. Zatem informacje, jakich dostawca usług płatniczych powinien dostarczyć danemu płatnikowi, na
podstawie art. 47 ust. 1 lit. a) dyrektywy 2007/64/WE, powinny być wystarczająco precyzyjne i istotne. Trybunał
podkreślił, że w związku z tym, iż ten dostawca sprawuje kontrolę na poszczególnych etapach realizacji transakcji
płatniczej, to on zwraca się do pośredników o dostarczenie mu odpowiednich informacji na temat danego odbiorcy.
Tym bardziej gdy – jak w niniejszej sprawie – transakcja płatnicza jest inicjowana za pośrednictwem infrastruktury
technicznej należącej do takiego pośrednika.
Należy wskazać, że w niniejszym wyroku Trybunał dokonał wykładni dyrektywy 2007/64/WE ze względu na termin
sporu. Przy czym ta dyrektywa została uchylona i zastąpiona dyrektywą Parlamentu Europejskiego i Rady (UE)
2015/2366 z 25.11.2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy
2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) Nr 1093/2010 oraz uchylająca dyrektywę
2007/64//WE (Dz.Urz. UE L z 2015 r. Nr 337, s. 35) ze skutkiem od 13.1.2018 r. Jednakże należy podkreślić, że ze
względu na tożsamą treść art. 47 ust. 1 lit. a) dyrektywy 2007/64/WE i art. 57 ust. 1 lit. a) dyrektywy 2015/2366/UE
powyższe rozważania TSUE w pełni zachowują aktualność w obecnym stanie prawnym.
Niniejszy wyrok powinien być stosowany do interpretacji art. 25 pkt. 1 ustawy z 19.8.2011 r. o usługach płatniczych
(t.j. Dz.U. z 2022 r. poz. 2360).

Wyrok TSUE z 16.3.2023 r., Beobank, C-351/21,

TSUE w wyroku Beobank (C-351/21) wyjaśnił, że dostawca usług płatniczych ma obowiązek przekazania płatnikowi informacji umożliwiających identyfikację osoby otrzymującej nieautoryzowaną płatność. Trybunał podkreślił, że ten obowiązek obejmuje osiągnięcie określonego rezultatu, a nie tylko staranne działanie. Wyrok ten ma znaczenie dla interpretacji przepisów unijnych dotyczących usług płatniczych, szczególnie w kontekście dostarczania informacji dotyczących odbiorcy płatności.