- Sąd potwierdził, że obowiązek należytego zabezpieczenia pieniędzy klienta w sieci jest obowiązkiem banku – komentuje adwokat Iwo Gabrysiak. 

Sąd Apelacyjny zajmował się sprawą klienta, który po zalogowaniu się do internetowego systemu na oficjalnej stronie banku, oznaczonej „bezpieczną” zieloną kłódką, zobaczył komunikat o konieczności zainstalowania aplikacji na telefonie. Miała ona zwiększyć bezpieczeństwo transakcji, więc ją zainstalował. Potem okazało się, że było to złośliwe oprogramowanie, które powodowało przekierowanie sms-ów wysyłanych przez bank z kodami autoryzacyjnymi. Zamiast na telefon klienta banku trafiały do hakerów. Ci w ciągu niewiele ponad dwóch godzin przelali z rachunku ponad 200 tys. zł. na kilka różnych kont należących do osób trzecich. 

Czytaj również: Unia chce walczyć z nowymi sposobami okradania kont bankowych >>

Klient domagał się od banku 178 685 tys. zł wraz ustawowymi odsetkami - część kwoty bank już mu zwrócił. Twierdził, że pieniądze te bez jego wiedzy i zgody zostały wypłacone wskutek działań nieznanych hakerów. To oni zlecili kilkanaście przelewów na rzecz podstawionych osób. Żaden z nich nie był autoryzowany przez niego. Dlatego jego zdaniem to na banku spoczywał obowiązek uzupełnienia pierwotnego stanu stosowanie do art. 46 ustawy o usługach płatniczych jaki wypłacenie ich na podstawie art. 725 kodeksu cywilnego. Bank jednak odmówił zwrotu i sprawa trafiła do sądu.

Bez winy po stronie klienta

Sąd Okręgowy w Warszawie zasądził powodowi żądaną kwotę. SO ustalił, że w dniu, w którym hakerzy zaatakowali konto klienta, zadzwonił do niego pracownik banku w celu potwierdzenia jednego  przelewu. Wówczas klient zalogował się na swoje konto i stwierdził, że wykonane zostały przelewy, których sam nie autoryzował. Co więcej, nie otrzymał wiadomości sms z kodami autoryzacyjnymi. W rozmowie z przedstawicielem banku podkreślił  więc, że transakcje te miały miejsce bez jego autoryzacji. Klient złożył w tym samym dniu zawiadomienie o popełnieniu przestępstwa. Jednak do czasu zakończenia przez SO  postępowania sprawa nie została zakończona. Klient zablokował przelew pozostałych środków i złożył reklamację. Bank odmówił zwrotu utraconych pieniędzy. Twierdził, że zlecenia były składane przy użyciu loginu i hasła i potwierdzane jednorazowymi hasłami sms. Zostały więc właściwie autoryzowane. Ponadto dostęp do konta miała żona klienta, która mogła przekazać login i hasło do konta osobom trzecim. Sąd jednak nie dopatrzył się po stronie powoda winy umyślnej lub rażącego niedbalstwa. Nie znalazł także związku przyczynowego między korzystaniem przez małżonkę z rachunku powoda a jego opróżnieniem. SO uznał więc, że bank ma obowiązek uzupełnić rachunek o żądaną kwotę stosownie do art. 46 ust. 1 ustawy o usługach płatniczych. Zgodnie z nim autoryzowanie transakcji musi pochodzić od płatnika, a nie osoby, która podstępnie pozyskała dane. Bank nie zgodził się z takim rozstrzygnięciem i złożył apelację.

Bank zwrócił część pieniędzy, czym przyznał się do odpowiedzialności

Bank zarzucił w niej, że SO bezkrytycznie uznał na podstawie zeznań klienta, że małżonka nie udostępniła nikomu loginu i hasła. Bank podkreślał też, że nigdy wcześniej nie wysyłał takich komunikatów, a zatem klient powinien się wykazać ostrożnością. Przede wszystkim według banku doszło do autoryzacji transakcji. SA  podzielił jednak stanowisko SO. Uznał, że jego rozstrzygnięcie było oparte na poprawnej ocenie dowodów. Co więcej SA wskazał, że sugestia banku jakoby to żona udostępniła hasło i login hakerom jest nielogiczna, a nawet obraźliwa. SA nie zgodził się też z tym, że klient autoryzował przelewy.  Żaden sms nie pochodził bowiem od niego, ale od hakerów. Bank zaś nie wykazał, że autoryzacji dokonał klient. Co więcej bank potwierdził, że autoryzacji dokonały osoby trzecie, a część pieniędzy, w wyniku podjętych przez klienta i bank działań, udało się odzyskać. I zdaniem SA to właśnie świadczy o tym, że bank uznał swoją odpowiedzialność. Na banku zatem spoczywa obowiązek zwrócenia całej kwoty nieautoryzowanych przelewów wraz z odsetkami. Według SA ponadto bank również powinien być traktowany jak zaatakowany przez hakerów, bo komunikat o konieczności instalowania złośliwego oprogramowania podłożono na jego stronie.

Ustawa o usługach płatniczych. Komentarz

Anna Zalcewicz

Sprawdź  

- Orzeczenie sądu potwierdza, że obowiązek należytego zabezpieczenia naszych finansów w sieci leży po stronie banku – mówi Iwo Gabrysiak, adwokat, wspólnik zarządzający Gabrysiak i Wspólnicy, pełnomocnik klienta banku. - Podkreślił to również Sąd Najwyższy. W wyroku z 18 stycznia 2018 roku, (sygn. akt V CSK 141/17) słusznie zauważył, że skoro do utraty pieniędzy doszło w wyniku przestępstwa popełnionego przez osobę trzecią, która korzystała z niewłaściwego zabezpieczenia przez bank świadczenia usługi, nie można mówić o rażącym niedbalstwie w świetle przepisów ustawy o usługach płatniczych.

Takich spraw będzie coraz więcej

Od początku działalności Rzecznika Finansowego, czyli października 2015 r. trafiło do niego około 260 wniosków o interwencję w związku z nieautoryzowanymi transakcjami.  - Niestety widzimy, że na dziś tylko mniej więcej w co piątej sprawie po naszej interwencji bank zmienia zdanie – mówi Marcin Jaworski z biura Rzecznika Finansowego. -  W pozostałych przypadkach trzeba dochodzić swoich praw w sądzie. Na szczęście dla klientów pojawiają się kolejne wyroki, które przypominają bankowcom, że to oni muszą udowodnić klientowi, że to on autoryzował taką transakcję, albo doprowadził do jej realizacji umyślnie lub wskutek rażącego niedbalstwa - podkreśla Jaworski.

Sądy Apelacyjny w Warszawie wyroku z 19 lipca 2018 r. również uznał, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo spoczywa na na banku (sygn. V ACa 823/17)

Zasada, zgodnie z którą ryzyko odpowiedzialności z tytułu przeprowadzenia nieautoryzowanej transakcji płatniczej spoczywa w całości na banku, została wprowadzona przez unijną dyrektywę PSD regulującą kwestię usług płatniczych i jest ona powtórzona w polskiej ustawie o usługach płatniczych.

Jaworski dodaje, że jeśli chodzi o mechanizm oszustwa, to najczęściej są to nieautoryzowane transakcje polegające na płatności kartą czy kradzieży pieniędzy z konta. Ale problem może dotknąć też tych, którzy nie mają zbyt wielu pieniędzy na koncie czy karcie. - Przestępcy zaciągają w systemach transakcyjnych pożyczki, korzystając z uproszczonych procedur jego udzielania w ramach serwisu transakcyjnego - tłumaczy Jaworski.  - Niestety obserwujemy skandaliczną praktyką niektórych banków, wobec takich osób. Banki z jednej strony odmawiają przyjęcia odpowiedzialności do czasu zakończenia śledztwa, ale z drugiej żądają od klienta regularnych spłat zaciągniętego przez przestępców kredytu - mówi Marcin Jaworski.

Trzeba być ostrożnym

Łukasz Bucki, prawnik w kancelarii Gabrysiak i Wspólnicy dodaje, że trzeba jednak  pamiętać, ze obowiązek należytej dbałości o nasze dane wynika nie tylko z naszej umowy z bankiem, ale również z samej ustawy o usługach płatniczych. Jako klienci, powinniśmy pamiętać, aby nikomu nie udostępniać swych danych, czyli haseł, loginów, kodów autoryzacyjnych. Same hasła powinny być możliwie jak najsilniejsze.  Warto również zatroszczyć się, aby zarówno oprogramowanie antywirusowe na naszych urządzeniach, jak i samo oprogramowanie były aktualne.

Wyrok Sądu Apelacyjnego w Warszawie z 28 października 2018 r., sygn. V ACa 823/17