Prawo w biznesie
SA: Haker włamał się na rachunek klienta, bank odda pieniądze

SA: Haker włamał się na rachunek klienta, bank odda pieniądze

Katarzyna Żaczkiewicz-Zborska

Prawo cywilne

Orzeczenia

Data dodania: 01.08.2023

Bank ponosi odpowiedzialność za atak hakerski na konto swojego klienta. Pozwany bank nie wykonał należycie umowy prowadzenia rachunku powodowej spółki. Środki pieniężne na nim zgromadzone nie zostały należycie zabezpieczone – orzekł Sąd Apelacyjny w Białymstoku. Ale brak przełamania zabezpieczeń pozwanego banku nie mogły uwolnić banku od odpowiedzialności – dodał sąd II instancji.

Tego rodzaju problemy zdarzają się coraz częściej klientom banków. Hakerzy wykradają pieniądze z kont bankowych, posługując się danymi: hasłem i numerem klienta.

Powód w pozwie skierowanym przeciwko bankowi domagał się zapłaty 76 tys. zł wraz z ustawowymi odsetkami za opóźnienie do dnia zapłaty. Żądał także zwrotu kosztów postępowania.

Atak hakerski spowodowany zaniedbaniem?

Powód twierdził, że padł ofiarą ataku hakerskiego, w wyniku którego dokonano nieautoryzowanych przez niego transakcji płatniczych i wyprowadzenia środków z jego rachunku bankowego, prowadzonego w pozwanym banku.

Zdarzenie miało miejsce 15 marca 2016 r., o godz. 14, gdy z rachunku powoda dokonano przelewu 297 836 zł. Tego samego dnia, kilkanaście minut później, wypłacono 87 980 zł. Dwa dni później powód złożył reklamację do pozwanego, że przelewy nie zostały autoryzowane. W odpowiedzi na reklamację bank wskazał, że w momencie jej otrzymania nie miał możliwości zabezpieczenia wypływu środków. Bank podał, że oba przelewy zostały wykonane z tego samego adresu IP komputera, z którego kilka minut wcześniej wykonano przelewu w kwocie 9369,65 zł, a który nie był reklamowany.

Pozwany wnosił o oddalenie powództwa na koszt powoda. Wskazał, że to powód (dyrektor powodowej spółki) swoim nagannym i lekkomyślnym zachowaniem lub zaniedbaniem sam przyczynił się do przejęcia danych i dokonania tej transakcji.

Podał nadto, że po ujawnieniu, że przelewy mogły być zrealizowane w wyniku przestępstwa, nie zbagatelizował sprawy a niezwłocznie podjął stosowne działania.

Uwzględnienie powództwa

Wyrokiem z 23 grudnia 2021 r. Sąd Okręgowy w Białymstoku zasądził od pozwanego na rzecz powoda kwotę 76 tys. zł wraz z odsetkami ustawowymi za opóźnienie. Sąd I instancji ocenił powództwo na gruncie art. 415 k.c. oraz art. 471 k.c. i uznał, że zasługiwało na uwzględnienie.

Prokuratura Okręgowa w Warszawie umorzyła śledztwo w sprawie z uwagi na niewykrycie sprawcy przestępstwa.

Dopiero w styczniu 2021 r. bank podał, że jego system wskazał możliwe zagrożenie infekcją wirusa urządzenia powoda.

Sąd nie podzielił zarzutu przedawnienia podniesionego przez pozwanego. Wskazał, że zarówno w przypadku odpowiedzialności deliktowej jak i kontraktowej roszczenia przedawniają się z upływem trzech lat.

Transakcje były podejrzane

Sąd Okręgowy za niezasadne uznał stanowisko pozwanego, wedle którego obie transakcje nie wzbudzały podejrzeń, nie różniły się od dokonywanych wcześniej i autoryzowanych przez powoda, jak chociażby transakcje do ZUS.

Sąd podkreślił, że również z przeprowadzonego w sprawie dowodu z opinii biegłego z zakresu ekonomii i informatyki wynika, że operacje realizowane w bankowości internetowej na danych dostępowych powoda różniły się od realizowanych wcześniej. Bo do systemu, w którym zalogowany był użytkownik na danych dostępowych powód po parudziesięciu sekundach logował się z innego IP użytkownika na tych samych danych dostępowych. Sytuacja taka miała miejsce o 9:50:23 i 9:50:52 oraz o 13:55:47 i 13:56:12. Wprowadzone przelewy na kwoty 297 tys. zł i 87 tys. 980 zł były w wysokości nie występującej na przestrzeni ostatniego roku.

Bank nie wyjaśnił sytuacji

Sąd Okręgowy miał także na uwadze, że prezes powodowej spółki po każdej z nieudanych prób zalogowania się do systemu zgłaszał te problemy pracownikowi pozwanego, który jednak nie zrobił nic, aby wyjaśnić tę sytuację i nie dokonał wglądu do rachunku powoda.

W ocenie sądu wysoce prawdopodobne jest, że to zaniechanie pracownika banku umożliwiło transfer przestępczych poleceń przelewów i wstrzymało decyzję co do zablokowania tych transakcji.

Sąd nie podzielił też zarzutu pozwanego, jakoby to powód przyczynił się do powstania przedmiotowej szkody. Wskazał, że powoda nie może obciążać fakt, że nieustalony sprawca przełamał zabezpieczenia do jego komputera oraz eTokena.

Czytaj też: Gdy urzędnik pracuje w domu, hakerowi łatwiej wejść do urzędu

Biorąc to wszystko pod uwagę, Sąd Okręgowy wywiódł, że za szkodę powoda odpowiada pozwany bank, który nie wykonał należycie umowy prowadzenia rachunku bankowego powodowej spółki. Środki pieniężne na nim zgromadzone nie zostały należycie zabezpieczone. Zatem pomiędzy szkodą a nienależytym wykonaniem zobowiązania istnieje adekwatny związek przyczynowy. Spełnione zatem zostały wszystkie przesłanki z art. 471 k.c. i na tej podstawie uwzględniono powództwo w całości.

Sąd wskazał zarazem, że bank zaniechał podjęcia działań związanych z ostrzeżeniem klienta i wyjaśnieniem jego sytuacji, w momencie kiedy ten miał problemy z logowaniem. Apelację od tego wyroku wywiódł pozwany.

Nowość

Nowość

Gwarancje bankowe i ubezpieczeniowe

Barbara Andrzejuk, Izabela Heropolitańska
Sprawdź

Apelacja banku oddalona

Sąd Apelacyjny za prawidłowe uznał dokonane przez sąd I instancji ustalenia faktyczne. Poza tym - podnoszone w apelacji okoliczności co do braku przełamania zabezpieczeń pozwanego banku nie mogły uwolnić skarżącego od odpowiedzialności wobec powoda z tytułu zwrotu środków przelanych z rachunku tego ostatniego bez jego zgody.

Nietrafne są także zarzuty pozwanego, że powód przyczynił się do powstania szkody poprzez niezgłoszenie skarżącemu podejrzenia ataku hakerskiego niezwłocznie po jego stwierdzeniu. Dlatego, że:

po pierwsze zauważyć należy, że to nie mogło zapobiec szkodzie, skoro objęte sporem przelewy zostały już zrealizowane;
po drugie, materiał dowodowy nie daje podstaw do przypisania powodowej spółce zwłoki w zgłoszeniu ataku, przy czym czas ten, w ocenie Sądu Apelacyjnego, liczyć należy od chwili stanowczego stwierdzenia, że do takiego ataku doszło, a nie od chwili nabrania przez powoda niepotwierdzonych podejrzeń w tym przedmiocie;
po trzecie zaś, bank nie podjął nawet próby wykazania, że zgłoszenie mu przez powodową spółkę ataku hakerskiego już kolejnego dnia po dokonaniu wzmiankowanych przelewów przyczyniłoby się do ograniczenia rozmiarów szkody, której doznał jego powód.

Sąd Apelacyjny w Białymstoku uznał, że zachodzi przewidziany w art. 443 k.c. zbieg odpowiedzialności kontraktowej z odpowiedzialnością deliktową. Przy czym, przesłanki odpowiedzialności pozwanego banku z obu tych podstaw zostały wykazane, a przedawnienie roszczenia z żadnej z tych podstaw nie zaistniało.

Wyrok Sąd Apelacyjny w Białymstoku z 14 czerwca 2023 r., sygn. akt I AGa 36/22

Czytaj też w LEX: Bezprawne pobieranie pieniędzy z bankomatu w orzecznictwie sądów >

Poznaj LEX Kompas Orzeczniczy, który zawiera ponad 2400 gotowych analiz orzeczeń w formie linii orzeczniczych >

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.

Prawo cywilne

Orzeczenia

Data dodania: 2023-08-01

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome

Czytaj także

UODO ukarał firmę, która nie zabezpieczyła się właściwie przed atakiem hakerów

Administracja publiczna RODO

Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków jednym z powodów nałożenia przez UODO administracyjnej kary pieniężnej w wysokości ponad 47 tys. zł.

Renata Krupa-Dąbrowska

19.07.2023

Hakerzy atakują w wakacje, ale można zmniejszyć ryzyko cyberataków w firmie

Nowe technologie Małe i średnie firmy

Liczba cyberataków phishingowych wzrasta w sezonie urlopowym. Nie tylko letnie rozkojarzenie pracowników sprzyja hakerom. Znaczenie mają też ryzykowne praktyki związane z cyberbezpieczeństwem. Jednym ze sposobów na aktualizację wiedzy o zagrożeniach wśród osób zatrudnionych w organizacji są szkolenia w zakresie cyberbezpieczeństwa.

Ret

18.07.2023

Bank odda klientowi pieniądze wyprowadzone z konta przez hakerów

Finanse

Skoro transakcje nie były autoryzowane przez właściciela rachunku, bank musi oddać pieniądze i to wraz z odsetkami. Tak uznał Sąd Apelacyjny w Warszawie. By było inaczej bank musi udowodnić, że do transakcji doszło z winy klienta lub jego rażącego niedbalstwa.

Jolanta Ojczyk

17.12.2018