Stanowisko w sprawie interpretacji przepisów ustawy z 19 sierpnia 2011 r. o usługach płatniczych w zakresie dotyczącym nieautoryzowanych transakcji płatniczych

Podstawa prawna działania:

Stosownie do treści art. 31a ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2021 r. poz. 275) Prezes Urzędu Ochrony Konkurencji i Konsumentów (dalej: "Prezes UOKiK") może wydać i ogłosić wyjaśnienia i interpretacje mające istotne znaczenie dla stosowania przepisów w sprawach objętych zakresem działania Prezesa UOKiK. Działając na tej podstawie, Prezes UOKiK przedstawia pogląd w sprawie interpretacji art. 46 ust. 1 w zw. z art. 40 ust. 1, art. 45 ust. 1 i 2 oraz art. 46 ust. 3 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2021 r. poz. 1907, dalej również "u.u.p."). Jednocześnie należy zaznaczyć, że Prezes UOKiK nie posiada kompetencji do wiążącej wykładni przepisów prawa powszechnie obowiązującego, stąd prezentowane stanowisko należy odczytywać jako interpretację powyższych przepisów przez Prezesa UOKiK.

Stanowisko Prezesa UOKiK:

Artykuł 46 ust. 1 u.u.p. należy rozumieć w ten sposób, że obowiązek zwrotu płatnikowi kwoty transakcji płatniczej powstaje po stronie dostawcy w momencie zgłoszenia dostawcy usług płatniczych przez płatnika, że nie autoryzował danej transakcji płatniczej. Dostawca usług płatniczych jest obowiązany niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po zgłoszeniu, do dokonania zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza.

Wyjątkiem od tej zasady są sytuacje, w których: dostawca usług płatniczych posiada uzasadnione i udokumentowane podejrzenie, że zgłoszenie płatnika stanowi próbę oszustwa i dokona zgłoszenia w tym zakresie organom ścigania lub gdy od dnia dokonania kwestionowanej przez płatnika transakcji upłynęło więcej niż 13 miesięcy.

Podejrzenie dostawcy usług płatniczych, że płatnik doprowadził do nieautoryzowanej transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 u.u.p., nie stanowi przesłanki do odmowy zwrotu płatnikowi kwoty nieautoryzowanej transakcji. W takim przypadku dostawca usług płatniczych może wystąpić względem płatnika z roszczeniem o zapłatę. Jeżeli jednak płatnik nie zgadza się z oceną dostawcy usług płatniczych co do dopuszczenia się rażącego niedbalstwa, ostateczna ocena tych okoliczności (i tym samym odpowiedzialności płatnika za taką transakcję) powinna być dokonana przez sąd.

Pojęcie nieautoryzowanej transakcji płatniczej

Kwestią kluczową jest w pierwszej kolejności ustalenie, czym jest autoryzacja i w jakim przypadku transakcja może zostać uznana za nieautoryzowaną. Przepisy u.u.p. nie zawierają definicji

"nieautoryzowanej transakcji", natomiast definiują w art. 40 ust. 1 pojęcie "transakcji autoryzowanej". W związku z powyższym a contrario, jako transakcję nieautoryzowaną należy rozumieć taką, która nie została autoryzowana.

Zgodnie z art. 40 ust. 1 u.u.p. transakcję płatniczą uważa się za autoryzowaną jedynie wówczas, gdy płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.

Nie należy przy tym utożsamiać pojęcia "autoryzacji" z "uwierzytelnieniem". Zgodnie z definicją zawartą w art. 2 pkt 33b u.u.p., uwierzytelnienie jest procedurą umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających.

Na autoryzację składają się zatem łącznie 2 elementy - po pierwsze zgoda płatnika na dokonanie transakcji, po drugie prawidłowe uwierzytelnienie, mające na celu potwierdzenie tożsamości płatnika, tj. w praktyce wykonanie określonych czynności technicznych w sposób przewidziany w umowie pomiędzy dostawcą a płatnikiem. Aby stwierdzić autoryzację transakcji, niezbędne jest wykazanie wystąpienia łącznie dwóch powyższych przesłanek. Wykazanie wystąpienia tylko jednej z nich nie stanowi wykazania autoryzacji transakcji płatniczej i w konsekwencji transakcję taką należy uznać za nieautoryzowaną.

Warto przy tym wyjaśnić, że powyższy przepis stanowi implementację art. 64 dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającej dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającej dyrektywę 2007/64/WE (dalej: PSD2).

Wspomniany art. 64 PSD2 w ust. 1 stanowi, że "Państwa członkowskie zapewniają, aby transakcję płatniczą uznawano za autoryzowaną tylko pod warunkiem udzielenia przez płatnika zgody na wykonanie transakcji płatniczej. Transakcja płatnicza może być autoryzowana przez płatnika przed wykonaniem transakcji płatniczej lub, jeżeli płatnik i dostawca usług płatniczych tak uzgodnili, po jej wykonaniu." Osobno natomiast, w ust. 2 tego artykułu PSD2, wskazuje się, że "Udzielenie zgody na wykonanie jednej transakcji płatniczej lub kilku transakcji płatniczych odbywa się w sposób uzgodniony pomiędzy płatnikiem a dostawcą usług płatniczych. Zgody na wykonanie transakcji płatniczej można również udzielić za pośrednictwem odbiorcy lub dostawcy świadczącego usługę inicjowania płatności.". Kluczowym elementem, pozwalającym na stwierdzenie prawidłowej autoryzacji, jest zatem na gruncie prawa unijnego - którego w tym przypadku implementację stanowi ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych - udzielenie przez płatnika zgody na wykonanie określonej transakcji płatniczej.

Obowiązki dostawcy usług płatniczych w związku z wystąpieniem nieautoryzowanej transakcji płatniczej

Zgodnie z art. 46 ust. 1 u.u.p., z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą

został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą.

Powyższy przepis stanowi implementację art. 73 ust. 1 dyrektywy PSD2, który stanowi, że "Państwa członkowskie zapewniają, aby - bez uszczerbku dla art. 71 - w przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych płatnika dokonywał na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej, bezzwłocznie, a w każdym razie nie później niż do końca następnego dnia roboczego, po odnotowaniu danej transakcji lub po otrzymaniu stosownego zgłoszenia, z wyjątkiem sytuacji gdy dostawca usług płatniczych płatnika ma uzasadnione podstawy, by podejrzewać oszustwo, i poinformuje na piśmie o tych podstawach odpowiedni organ krajowy. W stosownych przypadkach dostawca usług płatniczych płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Obejmuje to również zapewnienie, by data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie była późniejsza od daty obciążenia tą kwotą.".

Jak już wskazano uprzednio, na autoryzację składają się dwa elementy - zgoda płatnika i prawidłowe uwierzytelnienie. W przypadku uwierzytelnienia, aby było ono prawidłowe, musi być dokonane w sposób przewidziany w umowie pomiędzy dostawcą usług płatniczych a płatnikiem. Odnośnie do zgody na wykonanie transakcji płatniczej należy wskazać, że płatnik składając dostawcy usług płatniczych zgłoszenie nieautoryzowanej transakcji płatniczej tym samym składa oświadczenie, że nie wyraził zgody na dokonanie danej transakcji. Tym samym obowiązek dostawcy usług płatniczych powstaje z chwilą otrzymania przez niego zgłoszenia płatnika, gdyż jest to moment, w którym dowiaduje się on o braku autoryzacji danej transakcji. Od tego momentu jest zatem liczony termin na wywiązanie się przez dostawcę usług płatniczych z obowiązku zwrotu kwoty transakcji nieautoryzowanej, o którym mowa w art. 46 ust. 1 u.u.p.

Odpowiedzialność płatnika za wystąpienie nieautoryzowanej transakcji płatniczej

Kwestią odrębną od obowiązku zwrotu kwoty nieautoryzowanej transakcji płatniczej jest ewentualna odpowiedzialność płatnika za wystąpienie tej transakcji.

Zgodnie z art. 46 ust. 3 u.u.p. "Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.".

W tym miejscu wymaga wyjaśnienia, że art. 42 ww. aktu prawnego konstytuuje obowiązki płatnika w zakresie zabezpieczenia swoich danych uwierzytelniających i obowiązku zgłoszenia dostawcy usług płatniczych wszelkich incydentów związanych z ich utratą lub niepowołanym dostępem osób trzecich do tych danych. Przepis ten stanowi implementację art. 69 dyrektywy PSD2.

Ustawodawca posługuje się przy tym w art. 46 ust. 3 u.u.p. sformułowaniem "rażące niedbalstwo". Powyższe wynika z brzmienia art. 74 ust. 1 dyrektywy PSD2, zgodnie z którym płatnik ponosi wszelkie straty związane z nieautoryzowanymi transakcjami płatniczymi, jeżeli płatnik poniósł je, działając w nieuczciwych zamiarach lub dopuszczając się celowego lub rażącego zaniedbania co najmniej jednego z obowiązków określonych w art. 69.

Należy w tym zakresie odnieść się również do motywu 72 dyrektywy PSD2 (zdania 1-2), który stanowi:

"Aby ocenić ewentualne zaniedbanie lub rażące zaniedbanie ze strony użytkownika usług płatniczych, należy uwzględnić wszystkie okoliczności. Fakt i stopień domniemanego zaniedbania powinny być zasadniczo oceniane zgodnie z prawem krajowym. O ile jednak pojęcie zaniedbania oznacza niedopełnienie obowiązku dochowania należytej staranności, rażące zaniedbanie powinno oznaczać więcej niż zwykłe zaniedbanie i odnosić się do postępowania odznaczającego się znaczącym stopniem niedbalstwa; na przykład przechowywanie danych uwierzytelniających stosowanych do autoryzacji transakcji płatniczej w pobliżu instrumentu płatniczego, w formie jawnej i łatwo rozpoznawalnej dla stron trzecich (...).".

Stanowisko to znajduje odzwierciedlenie również w orzecznictwie sądów powszechnych. Można w tym miejscu wskazać np. wyrok Sądu Rejonowego Łódź-Śródmieście z dnia 7 września 2017 r. (sygn. akt: I C 249/16), w którym to orzeczeniu sąd stwierdził jak poniżej:

"Rażące niedbalstwo (culpa lata), o którym mowa między innymi w art. 45 ust. 2 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (tekst jedn.: Dz. U. z 2021 r. poz. 1907) jest kwalifikowaną postacią winy nieumyślnej. Oznacza zatem wyższy jej stopień niż w przypadku zwykłego niedbalstwa, leżący już bardzo blisko winy umyślnej (culpa lata dolo aequiparatur). Wykładnia pojęcia rażącego niedbalstwa powinna uwzględniać kwalifikowaną postać braku zwykłej staranności w przewidywaniu skutków. Konieczne jest zatem stwierdzenie, że podmiot, któremu taką postać winy chce się przypisać, zaniedbał takiej czynności zachowującej chronione dobro przed zajściem zdarzenia powodującego szkodę, której niedopełnienie byłoby czymś absolutnie oczywistym w świetle doświadczenia życiowego dostępnego każdemu przeciętnemu uczestnikowi obrotu prawnego i w sposób wprost dla każdego przewidywalny mogło doprowadzić do powstania szkody. Rażące niedbalstwo zachodzi bowiem tylko wtedy, gdy stopień naganności postępowania drastycznie odbiega od modelu właściwego w danych warunkach zachowania się dłużnika.".

W praktyce zatem w sytuacji, w której płatnik zaprzecza, że dokonał autoryzacji danej transakcji i wskazuje, że np. padł ofiarą oszustwa, ocena, czy zachowanie płatnika cechowało się rażącym niedbalstwem, wymaga przeprowadzenia rzetelnej i wnikliwej analizy okoliczności konkretnej sprawy.

Przepisy u.u.p. nie uprawniają przy tym dostawcy usług płatniczych do dokonywania oceny stopnia niedbalstwa działania lub zaniechania płatnika. Podejrzenie dostawcy, że zachowanie płatnika mogło cechować się rażącym niedbalstwem nie stanowi zatem podstawy do odmowy dokonania zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza. W przypadku gdy zwrot kwoty płatnikowi jeszcze nie nastąpił, dostawca usług płatniczych, jeżeli dokonał odpowiednich ustaleń, powołując się na treść art. 46 ust. 3, powinien poinformować płatnika o swoich ustaleniach i o tym, że w jego ocenie zwrot kwoty transakcji jest niezasadny. Nie może on jednak odmówić zwrotu kwoty, jeżeli płatnik w dalszym ciągu go żąda. W takim przypadku dostawca usług płatniczych po dokonaniu zwrotu może wystąpić z roszczeniem o zapłatę wobec płatnika. Podobna sytuacja ma miejsce w przypadku, gdy dostawca usług płatniczych dokona ww. ustaleń już po dokonaniu zwrotu kwoty transakcji płatnikowi.

Zwolnienie dostawcy usług płatniczych z obowiązku zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza

W ocenie Prezesa UOKiK zgodnie z art. 46 ust. 1 wyłącznie w dwóch sytuacjach - wskazanych w treści art. 46 ust. 1 u.u.p. - dostawca usług płatniczych jest zwolniony z obowiązku zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza.

Pierwszym z wyjątków jest wskazany w art. 46 ust. 1 u.u.p. - art. 44 ust. 2 u.u.p. Zgodnie z art. 44 ust. 2 u.u.p., jeżeli użytkownik nie dokona powiadomienia, o którym mowa w ust. 1, w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana,

roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają.

Kolejnym przypadkiem, w którym dostawca usług płatniczych nie ma obowiązku zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza, jest sytuacja, w której dostawca usług płatniczych ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw.

Przedmiotowy wyjątek również został wprost wskazany w treści art. 46 ust. 1 u.u.p. Wymaga przy tym wyjaśnienia, że powyższy przepis należy czytać łącznie z motywem 71 zdanie 2 dyrektywy PSD2, w którym wskazano, że: "Jeżeli jednak zachodzi duże prawdopodobieństwo nieautoryzowanej transakcji wynikającej z działania użytkownika usług płatniczych w nieuczciwych zamiarach, a podejrzenie to opiera się na obiektywnych podstawach zgłoszonych odpowiedniemu organowi krajowemu, przed dokonaniem zwrotu na rzecz płatnika dostawca usług płatniczych powinien być w stanie przeprowadzić w rozsądnym terminie dochodzenie.".

W tym miejscu należy podkreślić, że zatem nie każda nieautoryzowana transakcja płatnicza dokonana na skutek oszustwa (np. ze strony osoby trzeciej) może stanowić podstawę do odmowy zwrotu przez dostawcę kwoty transakcji, której autoryzacji płatnik zaprzecza. Wyłącznie w sytuacji, w której to działanie samego płatnika w ocenie dostawcy usług płatniczych jest działaniem w nieuczciwych zamiarach, dostawca usług płatniczych ma podstawy do odmowy zwrotu kwoty nieautoryzowanej transakcji, której autoryzacji płatnik zaprzecza. Co więcej, odmowa taka może nastąpić jedynie, jeżeli wiąże się z dokonaniem przez dostawcę usług płatniczych zgłoszenia podejrzenia oszustwa ze strony płatnika organom ścigania.

Natomiast jeśli nieautoryzowana transakcja płatnicza dokonana jest przez osobę trzecią, dostawcy usług płatniczych nie przysługuje prawo do odmowy zwrotu kwoty takiej transakcji płatnikowi. W takiej sytuacji dostawca usług płatniczych może dokonać oceny, czy i w jakim stopniu płatnik przyczynił się do takiej transakcji. Jeśli w wyniku ustaleń dostawca usług płatniczych poweźmie podejrzenie, że to płatnik doprowadził do niej w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 - wówczas powołując się na art. 43 ust. 3 u.u.p. po uprzednim dokonaniu zwrotu kwoty takiej transakcji może wystąpić do płatnika z roszczeniem o zapłatę.

Brak jest natomiast podstawy prawnej do odmowy zwrotu przez dostawcę płatnikowi kwoty nieautoryzowanej transakcji płatniczej w ustawowym terminie w sytuacji, w której dostawca wykazuje jedynie, że w przypadku danej transakcji miało miejsce prawidłowe uwierzytelnienie. Nie stanowi również takiej podstawy samo w sobie wykazanie, że dana transakcja była autoryzowana przez płatnika, jeżeli nie wiąże się ono z dokonaniem organom ścigania zgłoszenia podejrzenia oszustwa ze strony płatnika.

W przypadku braku możliwości wykazania prawidłowego uwierzytelnienia, odpowiedzialność za wystąpienie nieautoryzowanej transakcji płatniczej spoczywa na dostawcy usług płatniczych. Samo w sobie wykazanie uwierzytelnienia nie stanowi natomiast jednocześnie wykazania autoryzacji ani też tego, że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Oceny powyższej okoliczności, jak już wskazano w części "Odpowiedzialność płatnika za wystąpienie nieautoryzowanej transakcji płatniczej", dokonuje sąd, w oparciu o całokształt zebranego materiału dowodowego, oceniając zasadność roszczenia dostawcy usług płatniczych o zapłatę skierowanego przeciwko płatnikowi.

Odmiennie natomiast kształtuje się sytuacja, w której to dostawca usług płatniczych dokonuje ustalenia, że dana transakcja była autoryzowana, tj. zgodnie z definicją autoryzacji określoną w art. 40 ust. 1 u.u.p., że płatnik wyraził zgodę na jej dokonanie, ustalenie takie może stanowić uzasadnioną podstawę do podejrzenia próby oszustwa ze strony płatnika, jeżeli zgłasza on brak autoryzacji transakcji i żąda od dostawcy usług płatniczych zwrotu kwoty tej transakcji. W takiej sytuacji, dostawca usług płatniczych pod warunkiem dokonania zgłoszenia powyższego podejrzenia organom ścigania, może odmówić zwrotu płatnikowi kwoty transakcji, której autoryzacji płatnik zaprzecza. Zgłoszenie podejrzenia oszustwa organom ścigania ma skutek zawieszający i w przypadku ustalenia przez właściwe organy, że płatnik nie dopuścił się próby oszustwa, dostawca usług płatniczych jest zobowiązany do zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza, na podstawie złożonego uprzednio przez płatnika zgłoszenia.

Roszczenie dostawcy względem płatnika i ciężar dowodu

W pierwszej kolejności należy wskazać, że w sytuacji, w której płatnik zgłasza dostawcy usług płatniczych, że nie autoryzował danej transakcji płatniczej, zgodnie z art. 45 ust. 1 u.u.p. "Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.".

Zgodnie z art. 45 ust. 2 ww. aktu prawnego "Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.".

Prawidłowa interpretacja powyższych przepisów jest kluczowa dla ustalenia jakie okoliczności faktyczne dostawca usług płatniczych jest obowiązany wykazać, występując z roszczeniem wobec płatnika, aby roszczenie to mogło zostać uznane za zasadne.

Występując z roszczeniem wobec płatnika po dokonaniu zwrotu kwoty transakcji, której autoryzacji płatnik zaprzecza, dostawca może oprzeć swoje roszczenie - w zależności od ustaleń dokonanych po zwrocie płatnikowi kwoty transakcji - de facto na dwóch podstawach faktycznych.

Jedną z nich jest twierdzenie, że transakcja była autoryzowana, a zatem w ogóle nie wystąpiła nieautoryzowana transakcja płatnicza i zwrot kwoty był w takiej sytuacji niezasadny. Aby roszczenie dostawcy usług płatniczych mogło w takiej sytuacji zostać uznane za zasadne, musi on udowodnić autoryzację tej transakcji. Wynika to ze wskazanego uprzednio art. 45 ust. 1 w zw. z ust. 2 u.u.p. Należy podkreślić, że to dostawca usług płatniczych w takiej sytuacji wywodzi skutki prawne tego twierdzenia. Biorąc pod uwagę, że zgodnie z definicją transakcji autoryzowanej zawartą w art. 40 ust. 1 u.u.p., aby wykazać autoryzację niezbędne jest wykazanie zarówno zgody płatnika na dokonanie transakcji, jak i prawidłowego uwierzytelnienia. Konsekwencję powyższego stanowi zatem art. 45 ust. 2 u.u.p., który dodatkowo precyzuje, że wykazanie przez dostawcę usług płatniczych zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana.

Powyższe znajduje potwierdzenie w orzecznictwie sądów powszechnych. W tym miejscu przytoczyć można np. Wyrok Sądu Okręgowego w Warszawie - XXVII Wydział Cywilny Odwoławczy z dnia 11 sierpnia 2021 r. (sygn. akt: XXVII Ca 1352/21), w którym to sąd stwierdził jak poniżej:

"Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika, ciąży na dostawcy, czyli na profesjonaliście, nawet jeśli to użytkownik występuje z roszczeniem, twierdząc, że nie on autoryzował transakcji. Fakt zarejestrowanego użycia instrumentu płatniczego, czyli - należy przyjąć - użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika. W przypadku zgłoszenia przez użytkownika transakcji, które obciążają jego rachunek płatniczy i które były prawidłowo autoryzowane, czyli zlecone i zrealizowane zgodnie z przewidzianą procedurą, a które użytkownik wskazuje jako przez niego nieautoryzowane, dostawca musi udowodnić fakt autoryzacji transakcji przez użytkownika. Jednak dostawca musi przywołać inne dowody niż sam fakt prawidłowego skorzystania z procedur autoryzacji przewidzianych umową. Dostawca może przytoczyć dowody wykazujące, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji.".

Drugą z podstaw roszczenia dostawcy usług płatniczych może stanowić twierdzenie, że to płatnik, umyślnie lub w wyniku rażącego niedbalstwa - doprowadził do wystąpienia nieautoryzowanej transakcji płatniczej. W takiej sytuacji dostawca usług płatniczych nie neguje, że transakcja była nieautoryzowana, nie spoczywa zatem na nim ciężar dowodowy w tym zakresie. Musi on jednak wykazać, że działanie płatnika, które doprowadziło do wystąpienia nieautoryzowanej transakcji płatniczej, istotnie było umyślne lub cechowało się rażącym niedbalstwem. Dodatkowo konieczne jest wykazanie przez dostawcę usług płatniczych prawidłowego przebiegu procesu uwierzytelnienia. Również w przypadku roszczenia dostawcy o zapłatę opartego na przedmiotowej podstawie faktycznej, to dostawca usług płatniczych wywodzi skutki prawne tego twierdzenia, przy czym analogicznie jak w przypadku twierdzenia o autoryzacji, art. 45 ust. 2 u.u.p. wyraźnie stanowi, że ciężar dowodu spoczywa na dostawcy usług płatniczych. Dodatkowo art. 45 ust. 2 precyzuje, że wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.