Najważniejsze informacje:

Zniknęły pieniądze z konta bez Twojej zgody? Najpierw blokujesz kanały i zgłaszasz nieautoryzowaną transakcję. Co do zasady bank ma obowiązek przywrócić rachunek do stanu sprzed obciążenia niezwłocznie, najpóźniej do końca następnego dnia roboczego po zgłoszeniu (UUP art. 46).
Wyjątki od zwrotu „D+1”: bank może wstrzymać zwrot, gdy zgłoszenie jest po terminie (zasadniczo po 13 miesiącach) albo gdy ma uzasadnione i należycie udokumentowane podejrzenie oszustwa po stronie zgłaszającego i zawiadamia organy ścigania (UUP art. 44 i art. 46).
Odpowiedzialność przed zgłoszeniem, co do zasady: równowartość 50 EUR, po zgłoszeniu: 0 zł, o ile nie doszło do działania umyślnego lub rażącego niedbalstwa (UUP/PSD2).
Terminy: odpowiedź na reklamację w usługach płatniczych zwykle 15 dni roboczych, w sprawach szczególnie skomplikowanych bank może wydłużyć do 35 dni roboczych z podaniem przyczyn; zgłoszenie wadliwej operacji do 13 miesięcy (UUP art. 15a i art. 44).
APP scam (autoryzacja pod wpływem manipulacji): bank często uznaje transakcję za autoryzowaną, więc art. 46 zwykle nie zadziała „automatycznie”, ale pozostają ścieżki: reklamacja z argumentacją antyfraud, interwencja u Rzecznika Finansowego, zawiadomienie o przestępstwie.
Co zrobić od razu: zastrzeż kartę pod 828 828 828 (ZBP), zgłoś w banku, zgłoś incydent na incydent.cert.pl (CERT Polska), włącz Alerty BIK i rozważ zastrzeżenie PESEL.

Utrata pieniędzy z konta jest stresująca, ale w takich sprawach liczą się minuty i porządek w dowodach. Jeżeli z rachunku zniknęły pieniądze bez Twojej zgody, natychmiast blokujesz kanały i zgłaszasz nieautoryzowaną transakcję, a dopiero potem sprzątasz urządzenia, hasła i dokumenty. Poniżej masz plan krok po kroku, rozróżnienie przypadków (nieautoryzowane vs APP scam), checklistę oraz ścieżkę po odmowie banku.

Zasada działania: najpierw blokada (kanały, karta, BLIK), potem zgłoszenie i reklamacja, na końcu dowody i eskalacja. W odwrotnej kolejności najczęściej traci się czas i rośnie ryzyko kolejnych obciążeń.

Warianty rozwiązań (co wybierasz zależnie od sytuacji):

Sytuacja	Najlepsza pierwsza ścieżka	Co zwykle przesądza o wyniku
Transakcja kartą lub przelew, którego nie wykonałeś	Zgłoszenie nieautoryzowanej transakcji + reklamacja (UUP art. 46)	Czy bank wykaże autoryzację i czy zarzuci rażące niedbalstwo
Płatność kartą u sprzedawcy (spór o usługę/towar)	Reklamacja w banku + równolegle chargeback (procedura kartowa)	Termin zgłoszenia w chargeback (często 120 dni zależnie od powodu) i komplet dokumentów
APP scam (sam zatwierdziłeś operację po manipulacji)	Reklamacja z argumentacją antyfraud + żądanie logów + eskalacja do RF	Czy bank miał podstawy zablokować nietypową operację i jak wyglądał proces ostrzegania
Podejrzenie przejęcia numeru (SIM swap) lub telefonu	Blokada w banku + kontakt z operatorem + odtworzenie chronologii zdarzeń	Oś czasu: kiedy straciłeś kontrolę, kiedy poszły SMS-y/zgody, kiedy zgłosiłeś

Co zrobić w pierwszych 5 minutach po odkryciu kradzieży?

Najpierw blokujesz dostęp i uruchamiasz zgłoszenie w banku, dopiero potem zajmujesz się telefonem, komputerem i hasłami.

Zablokuj kanały w banku: aplikacja, bankowość internetowa, telefon, urządzenia zaufane.
Zastrzeż kartę i wyłącz płatności online, zbliżeniowe, wypłaty z bankomatów, jeśli bank daje takie przełączniki.
Zablokuj BLIK i przelewy na telefon, ustaw limity na minimum, jeżeli nie możesz zablokować całkowicie.
Gdy nie masz numeru do banku lub dostępu do aplikacji: dzwoń pod 828 828 828 (System Zastrzegania Kart ZBP), potem potwierdź blokady w banku.

Krótka formuła, która przyspiesza sprawę:

„Zgłaszam nieautoryzowane transakcje na rachunku. Proszę o blokadę kanałów, zastrzeżenie instrumentów, numer sprawy i potwierdzenie zgłoszenia na trwałym nośniku.”

Jeżeli podejrzewasz infekcję telefonu lub komputera, odłącz internet (tryb samolotowy/Wi-Fi off), nie wklepuj haseł „na szybko”, nie instaluj żadnych aplikacji „pomocniczych”. Z perspektywy dowodowej liczy się oś czasu: kiedy zauważyłeś problem, kiedy zablokowałeś i kiedy zgłosiłeś.

Jak przeanalizować historię i wskazać nieautoryzowane transakcje?

Tworzysz listę spornych operacji z kompletem danych, bo bank ocenia nie emocje, tylko chronologię i identyfikatory transakcji.

Przejrzyj historię co najmniej z ostatnich 30 dni, a jeżeli widzisz oznaki wcześniejszego przejęcia dostępu, cofnij się dalej. Szukaj typowych wzorców: mikropłatności 1–10 zł (test instrumentu), serie identycznych kwot, transakcje nocne, płatności w sklepach online, których nigdy nie używałeś, wypłaty z bankomatów w obcych lokalizacjach.

Oznacz kanał: karta, przelew, BLIK, bankomat.
Zapisz: kwota, waluta, data, godzina, identyfikator transakcji, opis, odbiorca, sklep.
Dołącz: zrzuty ekranu, powiadomienia push lub SMS, potwierdzenia e-mail.
Sprawdź logowania: urządzenie, przeglądarka, adresy IP, godziny i lokalizacje, jeżeli bank to udostępnia.

Wskazówka praktyczna: przy każdej spornej pozycji dopisz jedno zdanie „dlaczego to nie moje”, np. „w tym czasie byłem w pracy, telefon był przy mnie, nie używam tego sklepu, brak potwierdzenia w moich e-mailach”. To ułatwia analizę i porządkuje narrację.

Gdzie i jak zgłosić incydent w banku, jakie dane podać?

Użyj jednoznacznego sformułowania „zgłaszam nieautoryzowaną transakcję” i poproś o numer sprawy oraz potwierdzenie na trwałym nośniku.

Zgłoś incydent przez infolinię, czat lub aplikację. Przekaż listę spornych transakcji i moment wykrycia. Jeżeli pojawia się wątek phishingu, utraty telefonu, SIM swap, podejrzanego „konsultanta”, powiedz to wprost, bo bank często otwiera wtedy osobny tor antyfraud.

Zapisz datę i godzinę zgłoszenia, kanał kontaktu oraz to, co bank faktycznie zablokował.
Poproś o potwierdzenie przyjęcia zgłoszenia oraz o informację, czy bank wymaga dodatkowego oświadczenia.
Zapytaj, jak bank liczy terminy odpowiedzi i w jakiej formie przekaże uzasadnienie.

Godzina 0: wykrycie i blokada kanałów oraz kart (jeżeli trzeba tel. 828 828 828).
Zgłoszenie w banku: numer sprawy i potwierdzenie zgłoszenia.
Dowody: historia, zrzuty ekranu, potwierdzenia, e-mail/SMS/push, logi sesji.
Reklamacja: jak najszybciej, bank zwykle odpowiada w 15 dni roboczych.
Dalsze kroki: CERT, policja, Rzecznik Finansowy, jeśli bank odmawia.

Jakie są moje prawa i ile pieniędzy odzyskam?

W nieautoryzowanej transakcji bank co do zasady przywraca rachunek do stanu sprzed obciążenia, a spór zwykle dotyczy autoryzacji i zarzutu rażącego niedbalstwa.

Zwrot po zgłoszeniu: bank ma obowiązek przywrócić rachunek do stanu sprzed obciążenia niezwłocznie, najpóźniej do końca następnego dnia roboczego po zgłoszeniu (UUP art. 46). Odpowiedzialność: do chwili zgłoszenia płatnik odpowiada co do zasady do równowartości 50 EUR, po zgłoszeniu 0 zł, o ile nie doszło do działania umyślnego lub rażącego niedbalstwa. Termin zgłoszenia: do 13 miesięcy (UUP art. 44). Odpowiedź na reklamację: zwykle 15 dni roboczych, wyjątkowo do 35 dni roboczych z uzasadnieniem (UUP art. 15a).

Kiedy zwrot może nie nastąpić od razu:

Gdy zgłoszenie jest po terminie, zasadniczo po upływie 13 miesięcy.
Gdy bank ma uzasadnione podejrzenie oszustwa po stronie zgłaszającego, jest ono należycie udokumentowane i bank zawiadamia organy ścigania.

**Najważniejsze parametry i terminy w sporze o nieautoryzowaną transakcję**
Parametr	Wartość	Podstawa / źródło
Zwrot przez bank po zgłoszeniu	do końca następnego dnia roboczego (co do zasady), z wyjątkami	UUP art. 46, praktyka opisywana przez UOKiK
Odpowiedzialność użytkownika	50 EUR przed zgłoszeniem, 0 zł po zgłoszeniu, bez umyślności i rażącego niedbalstwa	UUP/PSD2 (implementacja w UUP)
Termin zgłoszenia wadliwej operacji	do 13 miesięcy od obciążenia	UUP art. 44
Odpowiedź banku na reklamację	15 dni roboczych, wyjątkowo 35 dni roboczych z uzasadnieniem	UUP art. 15a

Jak złożyć skuteczną reklamację i jakie dowody dołączyć?

W reklamacji jasno wskaż, że kwestionujesz autoryzację i żądasz przywrócenia rachunku do stanu sprzed obciążenia w trybie UUP.

W tytule użyj: „Reklamacja: nieautoryzowana transakcja (UUP art. 46)”. W treści ułóż sprawę jak raport: lista sporów, oś czasu, co zablokowałeś, jakie masz dowody, czego żądasz, na jakiej podstawie. Poproś o uzasadnienie na trwałym nośniku, a przy odmowie o wskazanie podstawy prawnej i faktycznej, w tym ewentualnego zarzutu rażącego niedbalstwa.

Lista transakcji: kwota, waluta, data, godzina, kanał, identyfikator, opis, odbiorca.
Zrzuty ekranu z historii oraz powiadomień push/SMS/e-maili.
Dowody blokad: potwierdzenia zastrzeżenia karty, wyłączenia BLIK, zmian limitów.
Ślady dostępu: logi sesji, lista urządzeń zaufanych, historia logowań (jeżeli bank je pokazuje).

Porada, która realnie skraca spór: zrób jeden plik PDF z nagłówkiem „Oś czasu + dowody”, a w nim: (1) lista transakcji, (2) chronologia, (3) załączniki. Banki często rozpatrują szybciej, gdy materiał jest kompletny i nie trzeba dopytywać.

Ostrzeżenie: nie instaluj „aplikacji wsparcia” z linku SMS ani na prośbę rozmówcy. To jeden z najczęstszych mechanizmów przejęcia telefonu i bankowości.

Co warto żądać od banku jako materiału dowodowego:

Poproś o informacje, które pokazują, czy i jak doszło do autoryzacji: zastosowanie silnego uwierzytelnienia, metoda autoryzacji, dane sesji i urządzenia, logi ryzyka oraz uzasadnienie, dlaczego systemy banku nie zatrzymały nietypowej operacji.

Co zrobić, gdy to ja autoryzowałem przelew oszustowi (APP scam)?

W APP scam zatwierdzasz operację pod wpływem manipulacji, dlatego bank często uznaje ją za autoryzowaną. Wynik sporu zależy od tego, jak wyglądała zgoda, ostrzeżenia i reakcja banku na sygnały ryzyka.

APP scam to scenariusz „na pracownika banku”, „na bezpieczeństwo konta”, „na kuriera”, w którym sprawca prowadzi rozmowę tak, abyś sam zatwierdził operację w aplikacji. W praktyce najczęściej działa podejście równoległe: reklamacja antyfraud + żądanie logów + zgłoszenia do instytucji.

Argumentacja antyfraud: wskaż, że operacja była nietypowa (kwota, odbiorca, nowe urządzenie, zmiana wzorca) i systemy banku powinny reagować.
Wadliwość zgody: opisz, w jaki sposób zostałeś wprowadzony w błąd, jakich sformułowań użyto, jakie „polecenia” dostałeś.
Żądanie dowodów: logi autoryzacji, informacje o ostrzeżeniach, analiza ryzyka transakcji po stronie banku.
Działania równoległe: zawiadomienie o podejrzeniu przestępstwa, zgłoszenie do CERT, wniosek do Rzecznika Finansowego przy odmowie.

**Nieautoryzowana transakcja a APP scam: różnice w praktyce**
Cecha	Nieautoryzowana (UUP art. 46)	APP scam (autoryzacja podstępem)
Co się stało?	Ktoś użył instrumentu płatniczego bez Twojej zgody.	Zatwierdziłeś operację po manipulacji.
Co do zasady po zgłoszeniu	przywrócenie rachunku do końca następnego dnia roboczego, z wyjątkami	brak automatycznego zwrotu, oceniane są okoliczności i działania banku
Ryzyko po stronie klienta	do 50 EUR przed zgłoszeniem, bez rażącego niedbalstwa	często większa ekspozycja, jeśli bank uzna pełną autoryzację
Strategia	zgłoszenie, reklamacja, dowody, żądanie informacji o autoryzacji	reklamacja antyfraud, żądanie logów, RF, policja, CERT

Bank odrzucił reklamację, co dalej krok po kroku?

Po odmowie nie kończysz sprawy, tylko doprecyzowujesz podstawę odmowy i uruchamiasz ścieżkę z Rzecznikiem Finansowym.

Rozbierz odmowę na czynniki: czy bank twierdzi, że było SCA/autoryzacja, czy zarzuca rażące niedbalstwo, czy powołuje się na podejrzenie oszustwa po Twojej stronie.
Poproś o doprecyzowanie: jakie konkretne fakty przesądzają o autoryzacji i na czym bank opiera zarzut rażącego niedbalstwa.
Wniosek o interwencję do Rzecznika Finansowego: dołącz reklamację, odpowiedź banku i dowody; wskaż oś sporu i żądanie.
Postępowanie polubowne: przy sporach o logi i ocenę staranności bywa skuteczne.
Pozew cywilny: najczęściej ostateczność, ale w sprawach o wysokie kwoty bywa realnym rozwiązaniem, jeżeli materiał dowodowy jest mocny.

Wskazówka: jeżeli bank używa ogólników („autoryzacja została wykonana poprawnie”), poproś o konkrety: metoda autoryzacji, identyfikator urządzenia, data dodania urządzenia zaufanego, ślad zmiany limitów, ślad zlecenia przelewu.

Jak przywrócić bezpieczeństwo: hasła, limity, alerty, monitoring?

Robisz reset bezpieczeństwa: hasła, urządzenia zaufane, limity i alerty tak, aby kolejna próba była widoczna natychmiast.

Zmień hasła do banku, poczty i komunikatorów, włącz 2FA lub biometrię, usuń nieznane sesje.
Usuń stare urządzenia zaufane, ponownie aktywuj aplikację bankową na zaufanym urządzeniu.
Ustaw niskie limity na przelewy, BLIK i płatności kartą, włącz alerty push/SMS dla każdej operacji.
Włącz Alerty BIK, rozważ zastrzeżenie PESEL i kontroluj, kto sprawdzał status.
Przez co najmniej 30 dni monitoruj rachunek i e-mail, sprawdź reguły przekazywania i przekierowania.

Zastrzeżenie PESEL: od 01.06.2024 r. instytucje finansowe mają obowiązek weryfikować, czy PESEL jest zastrzeżony przy zawieraniu m.in. umowy kredytu lub pożyczki, co ogranicza ryzyko wyłudzeń na Twoje dane.

Jak nie dopuścić do powtórki: higiena cyfrowa, passkeys, bezpieczny BLIK?

Najlepiej działają trzy rzeczy: aktualizacje, silne logowanie (2FA, biometria, passkeys) oraz limity z alertami.

Aktualizuj system i aplikacje, instaluj wyłącznie z oficjalnych sklepów, ogranicz uprawnienia aplikacji.
Używaj menedżera haseł, unikalnych haseł i passkeys, nie zatwierdzaj „logowań testowych”.
BLIK: trzymaj blokadę lub niskie limity, a kod generuj dopiero w chwili użycia.
Płatności online: 3D Secure, w nieznanych sklepach karta wirtualna z niskim limitem.

Przykład obliczeń (hipotetyczny kurs):

Strata 1 500 zł, hipotetyczny kurs 1 EUR = 4,30 zł, wtedy 50 EUR = 215 zł. Do chwili zgłoszenia odpowiadasz co do zasady do 215 zł, o ile nie zarzucono Ci rażącego niedbalstwa.

Checklista krok po kroku:

Blokujesz kanały i instrumenty, zastrzegasz kartę pod 828 828 828, prosisz o numer sprawy i potwierdzenie.
Kompletujesz dowody: historia, zrzuty, potwierdzenia, e-mail/SMS/push, logi sesji.
Składasz reklamację: wskazujesz nieautoryzowanie i żądasz przywrócenia rachunku, bank odpowiada zwykle w 15 dni roboczych, wyjątkowo do 35 dni roboczych.
Zgłaszasz incydent na incydent.cert.pl i składasz zawiadomienie o podejrzeniu przestępstwa.
Włączasz Alerty BIK, rozważasz zastrzeżenie PESEL, ustawiasz limity i alerty na każdą operację.

FAQ – najczęściej zadawane pytania

Czy bank zwróci pieniądze za nieautoryzowaną transakcję i kiedy?

Co do zasady tak, bank ma obowiązek przywrócić rachunek do stanu sprzed obciążenia niezwłocznie, najpóźniej do końca następnego dnia roboczego po zgłoszeniu, z wyjątkami m.in. przy zgłoszeniu po terminie lub przy uzasadnionym, należycie udokumentowanym podejrzeniu oszustwa po stronie zgłaszającego.

Jaka jest moja odpowiedzialność finansowa przed zgłoszeniem?

Co do zasady do równowartości 50 EUR, a po zgłoszeniu 0 zł, o ile nie doszło do działania umyślnego lub rażącego niedbalstwa.

Ile mam czasu na zgłoszenie błędnej lub nieautoryzowanej operacji?

Do 13 miesięcy od obciążenia rachunku. W praktyce działaj natychmiast, bo liczy się możliwość blokady kolejnych operacji i świeżość dowodów.

Co jeśli sam zatwierdziłem przelew oszustowi (APP scam)?

Składasz reklamację z argumentacją antyfraud i żądaniem logów oraz informacji o autoryzacji. Równolegle zgłaszasz sprawę do CERT i organów ścigania, a przy odmowie korzystasz z interwencji Rzecznika Finansowego. Wynik zależy od tego, czy zgoda była świadoma oraz jak bank zareagował na sygnały ryzyka.

Czy chargeback zastępuje reklamację w banku?

Nie. Chargeback to procedura kartowa i zwykle biegnie równolegle. Termin zgłoszenia zależy od powodu sporu, w praktyce często spotyka się 120 dni, ale szczegóły potwierdź w swoim banku.

Jak zgłosić cyberoszustwo do CERT Polska i po co?

Zgłaszasz przez formularz incydent.cert.pl. CERT analizuje zgłoszenia i wspiera blokowanie złośliwych domen oraz schematów ataków, co może ograniczyć dalsze straty Twoje i innych użytkowników.

Czy zastrzeżenie PESEL ogranicza ryzyko wyłudzeń na kredyt?

Tak. Od 01.06.2024 r. instytucje finansowe mają obowiązek weryfikować status zastrzeżenia przy zawieraniu m.in. umów kredytu lub pożyczki, co utrudnia wyłudzenia na Twoje dane.

Słowniczek pojęć

UUP: ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, która reguluje m.in. odpowiedzialność za nieautoryzowane transakcje.

PSD2: Payment Services Directive 2, dyrektywa UE dotycząca usług płatniczych, wdrożona w Polsce m.in. przez przepisy UUP.

SCA: Strong Customer Authentication, silne uwierzytelnienie klienta, które banki stosują przy wielu operacjach.

APP scam: Authorized Push Payment scam, oszustwo, w którym klient zatwierdza operację po manipulacji sprawcy.

Chargeback: procedura kartowa reklamowania transakcji u wydawcy karty, niezależna od trybu UUP.

SIM swap: przejęcie numeru telefonu (karty SIM) w celu przechwytywania SMS-ów i autoryzacji.

Dalszy krok: jeżeli z rachunku bez Twojej wiedzy lub zgody zniknęły pieniądze, zrób blokadę, zgłoś nieautoryzowaną transakcję, złóż reklamację i równolegle zabezpiecz dowody. Jeżeli to APP scam, złóż reklamację z argumentacją antyfraud i przygotuj się na ścieżkę eskalacji po odmowie.

Źródła

Aktualizacja artykułu: 26 lutego 2026 r.
Autor: Jacek Grudniewski

Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/

Artykuł ma charakter informacyjny i nie stanowi porady finansowej, prawnej ani inwestycyjnej. Decyzje podejmujesz na własną odpowiedzialność. Treść nie uwzględnia Twojej indywidualnej sytuacji, dlatego przed działaniem skonsultuj się ze specjalistą. Nie gwarantuję pełnej aktualności i kompletności informacji ani nie odpowiadam za skutki decyzji podjętych na ich podstawie. Artykuł może zawierać linki afiliacyjne bez dodatkowego kosztu dla Ciebie.