SN: Kto odpowiada za atak hakerski na rachunek firmy

Do komputera firmowego Zygmunta M. włamał się haker i przelał na swoje konto ponad 250 tys. złotych. Wcześniej zainstalował zainfekowane wirusem oprogramowanie. W konsekwencji Bank Ochrony Środowiska, gdzie były zdeponowane środki finansowe, został pozwany przez przedsiębiorcę Zygmunta M. o zapłatę 250.954 zł. Powód zarzucił bankowi nienależytą staranność w zabezpieczeniu pieniędzy firmy zgromadzonych na rachunku bankowym.

Sąd I instancji, Sąd Okręgowy w Warszawie XXVI Wydział Gospodarczy w wyroku z 26 kwietnia 2022 r. uznał częściowo żądanie powoda. Zasądził od pozwanego BOŚ na rzecz Zygmunta M. 200.954,21 zł wraz z odsetkami ustawowymi za opóźnienie, liczonymi od 11 lutego 2017 r. do dnia zapłaty, a w pozostałym zakresie oddalił powództwo.

Sąd I instancji uznał powództwo Zygmunta M. w 80 procentach, oddalając je w 20 procentach. Sąd przyjął że powód w 20 procentach przyczynił się do powstania szkody. Dlatego, że dostęp do komputera firmowego nie był właściwie zabezpieczony i umożliwiał dostęp osobom trzecim.

Apelacja banku

Sąd II instancji - Sąd Apelacyjny w Warszawie oddalił apelację Banku Ochrony Środowiska od wyroku sądu I instancji.

W tej sytuacji bank wniósł skargę kasacyjną. Zarzuty skargi kasacyjnej sporządzonej przez radcę prawnego Annę Pietrzak, adwokat Natalię Grzelak oraz radcę prawnego Bartosza Libudzkiego z Kancelarii BWHS Wojciechowski Springer i Wspólnicy sp. k. zmierzały do wykazania nieprawidłowego i niedostatecznego określenia przez sądy obu instancji stopnia zawinienia oraz związku przyczynowego pomiędzy szkodą a zachowaniem obu stron umowy rachunku bankowego.

SN uchyla wyrok: staranność banku

Sąd Najwyższy w Izbie Cywilnej 9 kwietnia 2026 r. uchylił wyrok i przekazał sprawę do ponownego rozpoznania Sądowi Apelacyjnemu w Warszawie. Jak wskazał sędzia sprawozdawca, Mariusz Łodko, obowiązek dochowania szczególnej staranności wynikający z art. 50 Prawa bankowego w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych stanowi wyraz oparcia rachunku bankowego na zasadzie zaufania między bankiem a klientem. Wynika z tego powinność dbania o powierzone środki.

- Zapewnienie bezpieczeństwa depozytów jest jednym z najważniejszych obowiązków banku – mówił sędzia Łodko. – Jest to zatem pozakontraktowy obowiązek banku zapewnienia posiadaczowi rachunku bezpieczeństwa przechowywanych środków. Uwzględniając zawodowy charakter działalności prowadzonej przez strony i specyfikę związaną z przechowywaniem środków pieniężnych i dokonywaniem rozliczeń, ten podwyższony miernik staranności nie kreuje obowiązków wynikających z umowy. I biorąc pod uwagę art. 56 kodeksu cywilnego, należy uwzględnić, że czynność prawna wywołuje nie tylko skutki w niej wyrażone, ale także wynikające ze zwyczaju, zasad współżycia, a także ustawy, to w ocenie SN sądy obu instancji niezasadnie przyjęły, że do zakresu obowiązków pozwanego było wprowadzenie dodatkowego wymogu autoryzacji zmian danych odbiorcy przelewu na szablonie zdefiniowanym - dodał sędzia.

W umowie nie było dodatkowej autoryzacji

Jak wskazał SN – taki pozytywny obowiązek potwierdzenia opisanej czynności, której brak mógł doprowadzić do uszczuplenia rachunku, mógł być kreowany na wskazanej przez sądy podstawie, jeżeli nie miało to uzasadnienia w umowie stron. Określone przez sądy meriti standardy bezpieczeństwa i autonomicznie ustalony poziom ochrony nie nakładały na bank obowiązku dodatkowej autoryzacji. Nawet jeśli parę miesięcy później faktycznie taka czynność miała miejsce: w systemie informatycznym bank wprowadził dodatkowe zabezpieczenie do obsługi rachunku bankowego powoda.

- Nie wszystkie zdarzenia da się przewidzieć w umowie – podkreślił sędzia Łodko, - Umowa określała jak należy postępować przy wykonywaniu przelewów i określała też możliwość wprowadzenia przelewu zdefiniowanego (to zapisany w bankowości elektronicznej szablon płatności, który umożliwia szybkie wysyłanie pieniędzy bez ponownego wypełniania danych. Jest to bezpieczne rozwiązanie, ponieważ jednorazowa autoryzacja (hasło SMS/token) następuje tylko przy tworzeniu szablonu, a kolejne przelewy są bezhasłowe – przyp. redakcji). – Nie zwalniało to w ocenie sądu także z zachowania wymogu staranności przy realizacji przelewu – podkreślił SN. 

SN podkreślił, że doszło do nieprawidłowej reakcji pracowników banku na zgłoszenie nieprawidłowości już pierwszego dnia. – Bank powinien podjąć działania bardziej zdecydowane. Dlatego, że zalecenie obserwacji rachunku, w sytuacji, gdy klient zgłasza zastrzeżenie, że na rachunku znajdują się przelewy, które nie były zlecane odbiorcy, który nie był znany – jest zachowaniem nieprawidłowym.

Opinia radcy prawnej Anny Pietrzak

Sądy niezasadnie przyjęły, że BOŚ był zobowiązany do wprowadzenia dodatkowych środków bezpieczeństwa w postaci wymogu autoryzacji zmian w szablonie płatności – nie miało to oparcia ani w umowie, ani w ówczesnych przepisach prawa powszechnie obowiązującego. Nie ma zatem racjonalnego wyjaśnienia dla uznania przez sądy, że po stronie BOŚ istniał taki obowiązek – Sąd Najwyższy podzielił naszą argumentację w tym zakresie, która powołaliśmy w skardze kasacyjnej.

SN uznał, że zasadne były więc zarzuty skargi kasacyjnej, zmierzające do wykazania nieprawidłowego i niedostatecznego określenia przez sądy obu instancji stopnia zawinienia oraz związku przyczynowego pomiędzy szkodą a zachowaniem obu stron umowy rachunku bankowego. Sąd Najwyższy zwrócił przy tym uwagę na to, że powód był podmiotem profesjonalnym, prowadzącym działalność gospodarczą, a więc również ten aspekt nie powinien umykać sądom rozpoznającym sprawę.

W przekonaniu Sądu Najwyższego, Sąd Apelacyjny nie rozważył też dostatecznie stopnia przyczynienia się powoda do zaistniałej szkody, a ten stopień określony na 20 procent jest zdecydowanie zbyt niski. Ponadto w kontekście zawinienia banku Sąd Najwyższy wskazał, że bank nie byłby w stanie wykryć złośliwego oprogramowania i przeciwdziałać jego skutkom.

Wyrok Izby Cywilnej Sądu Najwyższego z 9 kwietnia 2026 r., sygnatura akt II CSKP 1144/23