SN: Kto odpowiada za atak hakerski na rachunek firmy
Obowiązkiem banku jest zapewnienie klientom bezpieczeństwa depozytów przy należytej staranności. Jednak bank nie byłby w stanie wykryć złośliwego oprogramowania i przeciwdziałać jego skutkom – wskazał Sąd Najwyższy i podał, że sądy niezasadnie przyjęły, że BOŚ był zobowiązany do wprowadzenia dodatkowych środków bezpieczeństwa w postaci wymogu autoryzacji zmian w szablonie płatności. Nie miało to oparcia ani w umowie, ani w ówczesnych przepisach prawa.
Do komputera firmowego Zygmunta M. włamał się haker i przelał na swoje konto ok. 600 tys. złotych. Wcześniej zainstalował zainfekowane wirusem oprogramowanie. W konsekwencji Bank Ochrony Środowiska, gdzie były zdeponowane środki finansowe, został pozwany przez przedsiębiorcę Zygmunta M. o zapłatę 250.954 zł jako że kwotę ponad 400 tys. złotych udało się odzyskać w toku postępowania karnego. Powód zarzucił bankowi nienależytą staranność w zabezpieczeniu pieniędzy firmy zgromadzonych na rachunku bankowym.
Sąd I instancji, Sąd Okręgowy w Warszawie XXVI Wydział Gospodarczy w wyroku z 26 kwietnia 2022 r. uznał częściowo żądanie powoda. Zasądził od pozwanego BOŚ na rzecz Zygmunta M. 200.954,21 zł wraz z odsetkami ustawowymi za opóźnienie, liczonymi od 11 lutego 2017 r. do dnia zapłaty, a w pozostałym zakresie oddalił powództwo.
Sąd I instancji uznał powództwo Zygmunta M. w 80 procentach, oddalając je w 20 procentach. Sąd przyjął że powód w 20 procentach przyczynił się do powstania szkody. Dlatego, że dostęp do komputera firmowego nie był właściwie zabezpieczony i umożliwiał dostęp osobom trzecim.
Zobacz też LEX News: Oszustwo inwestycyjne a odpowiedzialność banku >
Apelacja banku
Sąd II instancji - Sąd Apelacyjny w Warszawie oddalił apelację Banku Ochrony Środowiska od wyroku sądu I instancji.
W tej sytuacji bank wniósł skargę kasacyjną. Zarzuty skargi kasacyjnej sporządzonej przez przez adwokat Natalię Grzelak, która reprezentowała bank wraz z radcą prawnym Anną Pietrzak, Partnerem w Kancelarii BWHS Wojciechowski Springer i Wspólnicy sp. k. i radcą prawnym Bartoszem Libudzkim, zmierzały do wykazania naruszenia prawa bankowego, nieprawidłowego i niedostatecznego określenia przez sądy obu instancji stopnia zawinienia oraz związku przyczynowego pomiędzy szkodą a zachowaniem obu stron umowy rachunku bankowego.
Zobacz też w LEX: Nieautoryzowane transakcje płatnicze - rozkład odpowiedzialności, najnowsze orzecznictwo TSUE oraz sądów powszechnych >
SN uchyla wyrok: staranność banku
Sąd Najwyższy w Izbie Cywilnej 9 kwietnia 2026 r. uchylił wyrok i przekazał sprawę do ponownego rozpoznania Sądowi Apelacyjnemu w Warszawie. Jak wskazał sędzia sprawozdawca, Mariusz Łodko, obowiązek dochowania szczególnej staranności wynikający z art. 50 Prawa bankowego w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych stanowi wyraz oparcia rachunku bankowego na zasadzie zaufania między bankiem a klientem. Wynika z tego powinność dbania o powierzone środki.
Zobacz też LEX News: Rażące niedbalstwo vs. obowiązki banku - Opinia Rzecznika Generalnego TSUE z 05.03.2026 r. w sprawie C-70/25 (Tukowiecka) >
- Zapewnienie bezpieczeństwa depozytów jest jednym z najważniejszych obowiązków banku – mówił sędzia Łodko. – Jest to zatem pozakontraktowy obowiązek banku zapewnienia posiadaczowi rachunku bezpieczeństwa przechowywanych środków. Uwzględniając zawodowy charakter działalności prowadzonej przez strony i specyfikę związaną z przechowywaniem środków pieniężnych i dokonywaniem rozliczeń, ten podwyższony miernik staranności nie kreuje obowiązków wynikających z umowy. I biorąc pod uwagę art. 56 kodeksu cywilnego, należy uwzględnić, że czynność prawna wywołuje nie tylko skutki w niej wyrażone, ale także wynikające ze zwyczaju, zasad współżycia, a także ustawy, to w ocenie SN sądy obu instancji niezasadnie przyjęły, że do zakresu obowiązków pozwanego było wprowadzenie dodatkowego wymogu autoryzacji zmian danych odbiorcy przelewu na szablonie zdefiniowanym - dodał sędzia.
Czytaj też w LEX: Phishing – próba odtworzenia reguły odpowiedzialności na podstawie przykładów praktycznych >
W umowie nie było dodatkowej autoryzacji
Jak wskazał SN – taki pozytywny obowiązek potwierdzenia opisanej czynności, której brak mógł doprowadzić do uszczuplenia rachunku, mógł być kreowany na wskazanej przez sądy podstawie, jeżeli nie miało to uzasadnienia w umowie stron. Określone przez sądy meriti standardy bezpieczeństwa i autonomicznie ustalony poziom ochrony nie nakładały na bank obowiązku dodatkowej autoryzacji. Nawet jeśli parę miesięcy później faktycznie taka czynność miała miejsce: w systemie informatycznym bank wprowadził dodatkowe zabezpieczenie do obsługi rachunku bankowego powoda.
- Nie wszystkie zdarzenia da się przewidzieć w umowie – podkreślił sędzia Łodko, - Umowa określała jak należy postępować przy wykonywaniu przelewów i określała też możliwość wprowadzenia przelewu zdefiniowanego (to zapisany w bankowości elektronicznej szablon płatności, który umożliwia szybkie wysyłanie pieniędzy bez ponownego wypełniania danych. Jest to bezpieczne rozwiązanie, ponieważ jednorazowa autoryzacja (hasło SMS/token) następuje tylko przy tworzeniu szablonu, a kolejne przelewy są bezhasłowe – przyp. redakcji). – Nie zwalniało to w ocenie sądu także z zachowania wymogu staranności przy realizacji przelewu – podkreślił SN.
Czytaj też w LEX: Przegląd wybranego orzecznictwa w sprawach nieautoryzowanych transakcji płatniczych w latach 2021–2024 >
SN podkreślił, że doszło do nieprawidłowej reakcji pracowników banku na zgłoszenie nieprawidłowości już pierwszego dnia. – Bank powinien podjąć działania bardziej zdecydowane. Dlatego, że zalecenie obserwacji rachunku, w sytuacji, gdy klient zgłasza zastrzeżenie, że na rachunku znajdują się przelewy, które nie były zlecane odbiorcy, który nie był znany – jest zachowaniem nieprawidłowym.
Czytaj też w LEX: Cywilnoprawne aspekty odpowiedzialności dostawcy usług płatniczych w przypadku stwierdzenia przestępstwa phishingu >
Opinia radcy prawnej Anny Pietrzak
Sądy niezasadnie przyjęły, że BOŚ był zobowiązany do wprowadzenia dodatkowych środków bezpieczeństwa w postaci wymogu autoryzacji zmian w szablonie płatności – nie miało to oparcia ani w umowie, ani w ówczesnych przepisach prawa powszechnie obowiązującego. Nie ma zatem racjonalnego wyjaśnienia dla uznania przez sądy, że po stronie BOŚ istniał taki obowiązek – Sąd Najwyższy podzielił naszą argumentację w tym zakresie, która powołaliśmy w skardze kasacyjnej.
SN uznał, że zasadne były więc zarzuty skargi kasacyjnej, zmierzające do wykazania nieprawidłowego i niedostatecznego określenia przez sądy obu instancji stopnia zawinienia oraz związku przyczynowego pomiędzy szkodą a zachowaniem obu stron umowy rachunku bankowego. Sąd Najwyższy zwrócił przy tym uwagę na to, że powód był podmiotem profesjonalnym, prowadzącym działalność gospodarczą, a więc również ten aspekt nie powinien umykać sądom rozpoznającym sprawę.
W przekonaniu Sądu Najwyższego, Sąd Apelacyjny nie rozważył też dostatecznie stopnia przyczynienia się powoda do zaistniałej szkody, a ten stopień określony na 20 procent jest zdecydowanie zbyt niski. Ponadto w kontekście zawinienia banku Sąd Najwyższy wskazał, że bank nie byłby w stanie wykryć złośliwego oprogramowania i przeciwdziałać jego skutkom.
Wyrok Izby Cywilnej Sądu Najwyższego z 9 kwietnia 2026 r., sygnatura akt II CSKP 1144/23
Czytaj też w LEX:
- Kradzież karty płatniczej a kradzież karty bankomatowej (art. 278 § 1a k.k.) oraz posłużenie się skradzioną kartą płatniczą w transakcji zbliżeniowej w świetle orzecznictwa >
- Prawnokarne aspekty smishingu i CLI spoofingu >
- Transakcja nieautoryzowana z perspektywy prawnokarnej - kwalifikacja prawna dokonania tzw. płatności zbliżeniowej za pomocą cudzej karty płatniczej >
