Historia zaczęła się, gdy klientka banku otrzymała SMS straszący odłączeniem prądu i wzywający do uregulowania zaległego rachunku za energię elektryczną. Ponieważ faktycznie miała zaległości, nie była tym zdziwiona. Nie zwróciła uwagi, że podany w SMS-ie link do strony służącej płatności miał domenę .sv, właściwą dla Salwadoru i widniała w nim nazwa firmy energetycznej PGE, podczas gdy prąd sprzedaje jej inna firma - Enea.
Kliknięcie w link przenosiło na stronę e-płatności, na której należało wybrać logo swojego banku. Klientka przeniosła się na witrynę do złudzenia przypominającą witrynę bankowości elektronicznej, chociaż przy adresie www nie było widocznej kłódki świadczącej o bezpiecznym połączeniu. Podała wszystkie dane potrzebne do zalogowania się do konta. Na ekranie telefonu pojawiał się formularz płatności, w którym należało wpisać trzycyfrowy kod służący aktywacji bankowej aplikacji mobilnej na innym urządzeniu. Użytkowniczka przeszła i ten krok, podając kod przekazany telefonicznie przez system bankowy, mimo ostrzeżenia, by tego kodu nigdzie nie podawać.
Dopiero po czasie okazało się, że kobieta padła ofiarą phishingu – internetowego oszustwa, w którym przestępcy podają się za instytucję godną zaufania, np. bank. Nieostrożnie wpisując kolejne poufne dane na fałszywej stronie bankowości elektronicznej, klientka umożliwiła oszustom dostęp do swojego konta. W ciągu kilku godzin wypłacono z niego ponad 58 tys. zł oszczędności i zaciągnięto pożyczki na ok. 32 tys. zł. Postępowanie w prokuraturze wykazało, że na konto pokrzywdzonej logowano się z Rosji i innych nieustalonych miejsc, a pieniądze trafiały m.in. do obywateli Azerbejdżanu, Białorusi i Uzbekistanu, częściowo posługujących się nieprawdziwymi danymi. Część śladów przestępstwa stracono bezpowrotnie, bo zarówno policjanci, jak i bank, poradzili kobiecie przywrócić telefon do ustawień fabrycznych.
Reklamacja składana w banku nie przyniosła efektu, a śledztwo nie doprowadziło do ustalenia sprawców. Kobieta pozwała więc bank o zapłatę przeszło 58 tys. zł bezprawnie pobranych z jej rachunku.
Bank zapłacić nie zamierzał. Podniósł, że „pozew ma na celu przerzucenie na niego negatywnych skutków ekonomicznych rażącego niedbalstwa powódki”. Argumentował, że kobieta „wielokrotnie poważnie naruszyła reguły ostrożnościowe obchodzenia się z instrumentem płatniczym”. Wyliczał, że co najmniej dziewięciokrotnie naruszyła ciążące na niej obowiązki.
Sąd dwóch instancji: nie było rażącego niedbalstwa
Rozpatrujący powództwo Sąd Rejonowy w Poznaniu (sygn. akt I C 209/22) orzekł, że nie zaszły przesłanki, które zwolniłyby bank z odpowiedzialności.
- Po pierwsze, klientka nie autoryzowała transakcji w rozumieniu art. 40 ust. 1 ustawy o usługach płatniczych, tj. nie wyraziła zgody na jej wykonanie w sposób przewidziany w umowie rachunku.
- Po drugie, bank nie udowodnił, że klientka umyślnie doprowadziła do nieautoryzowanej transakcji, albo umyślnie lub wskutek rażącego niedbalstwa dopuściła się naruszenia obowiązków.
Zobacz w LEX: Rażące niedbalstwo użytkownika usług płatniczych >
Skoro transakcja była nieautoryzowana, a działaniom powódki nikt nie przypisuje umyślności, kluczowa okazała się odpowiedź na pytanie, czy niedbalstwo było rażące. I sąd stwierdził, że nie. Przypomniał, że rażące niedbalstwo (culpa lata) jest kwalifikowaną postacią winy nieumyślnej. Mamy z nim do czynienia – jak stwierdził w przeszłości Sąd Najwyższy – gdy stopień naganności postępowania drastycznie odbiega od modelu właściwego zachowania się w danych warunkach.
Czytaj też w LEX: Phishing – próba odtworzenia reguły odpowiedzialności na podstawie przykładów praktycznych >
W ocenie sądu w rozpatrywanym stanie faktycznym taka sytuacja nie zaszła. Klientka posługiwała się narzędziami aprobowanymi przez bank, według ustalonej przez niego procedury.
Tak naprawdę powódka w swoim przekonaniu korzystała ze strony banku i działała w zaufaniu do wyświetlanych tam poleceń. Co więcej, identycznie jak ona postępowałby także każdy inny klient banku - stwierdził sąd.
Jak ocenił, nazwa przedsiębiorstwa energetycznego w linku do płatności nie była zauważalna na pierwszy rzut oka, imitacja strony bankowej była łudząco podobna do oryginału, a wiedza na temat różnic między nimi nie jest powszechna. - Zachowaniu powódki można postawić zarzut nienależytej staranności, jednakże nie w stopniu rażącym - podsumował sąd.
I stwierdził, że to bank „powinien stworzyć pewny i bezpieczny system płatniczy, eliminujący możliwość dostępu dla osób nieuprawnionych”. - W kontrolowanej sprawie bank, mimo posiadanych zasobów personalnych i rzeczowych, nie sprostał jednak temu zadaniu, wobec czego za niedopuszczalną należało uznać następczą próbę przerzucenia odpowiedzialności na powódkę – uzasadniał.
Zobacz w LEX: Zakres obowiązków konsumenta w przypadku domagania się zwrotu nieautoryzowanej transakcji płatniczej >
Wyrok zapadł w 2024 r. i wzbudził duże zainteresowanie. Jak poinformował Prawo.pl pełnomocnik powódki Jacek Szymański, adwokat, wspólnik w kancelarii Szymański Wyjatek, 1 kwietnia 2026 r. sąd drugiej instancji oddalił apelację banku, co oznacza, że prokonsumenckie orzeczenie jest już prawomocne.
- Wyrok, który uzyskała nasza klientka, potwierdza kierunek, który w orzecznictwie zarysowuje się coraz wyraźniej, a mianowicie, że samo prawidłowe uwierzytelnienie transakcji nie oznacza autoryzacji. Sąd przyjął również, zgodnie z proponowaną przez nas argumentacją, że model oszustwa nie uzasadniał przyjęcia, że klientka działała rażąco niedbale - co musiałoby skutkować oddaleniem powództwa - komentuje mec. Szymański.
Klient kontra bank: sądy nie są jednolite
Jak dodaje pełnomocnik powódki, w innej sprawie jego kancelaria uzyskała nieprawomocny, korzystny dla klientki wyrok przeciw innemu bankowi, do którego dane logowania udało się wyłudzić poprzez podszycie się za pracownika działu bezpieczeństwa. - I w tym wypadku, przy znacznych różnicach w zakresie stanu faktycznego konkluzje sprowadzały się do tego, że nie doszło do skutecznej autoryzacji oraz że wobec skomplikowanego modelu oszustwa nie sposób przypisać klientce rażącego niedbalstwa - dodaje Jacek Szymański.
Czytaj też w LEX: Odpowiedzialność wydawcy karty płatniczej za nieautoryzowane transakcje kartą płatniczą >
Marcin Malinowski, adwokat w Gardocki i Partnerzy Adwokaci i Radcowie Prawni, uważa, że przepisy ustawy o usługach płatniczych są z istoty prokonsumenckie, zaś ostatnie orzeczenia pokazują, jaka jest praktyka ich stosowania w realiach coraz bardziej wyrafinowanych oszustw.
- Z doświadczenia widać, że takich spraw jest coraz więcej, a ich wspólnym mianownikiem jest jedno: klient zazwyczaj nie działa z zamiarem wyrządzenia sobie szkody, lecz w przekonaniu, że współpracuje z bankiem lub innym zaufanym podmiotem - często sądząc wręcz, że pomaga zapobiec kradzieży. O skali, wyrafinowaniu i profesjonalizmie tych przestępstw najlepiej świadczy to, że postępowania karne bardzo często kończą się umorzeniem z powodu niewykrycia sprawców - komentuje mec. Malinowski. - W efekcie sądy nie stosują prostego schematu „kliknął - ponosi konsekwencje” i starając się ustalać rzeczywisty stan faktyczny: czy klient rzeczywiście wiedział, co robi, czy działał świadomie oraz w jakich okolicznościach doszło do zdarzenia. Bez tego trudno przecież mówić o ważnej autoryzacji czy skutecznym oświadczeniu woli - dodaje.
Daniel Bednarczyk, adwokat w LAWSPECTIVE Litwiński Valirakis Radcowie Prawni, uczula jednak, że w sprawach nieautoryzowanych transakcji płatniczych statystycznie zarówno banki, jak i klienci mają porównywalne szanse na wygraną.
Zobacz w LEX: Nieautoryzowane transakcje płatnicze - rozkład odpowiedzialności, najnowsze orzecznictwo TSUE oraz sądów powszechnych >
- Oś sporu w tego typu sprawach stanowi ocena, czy zachowanie klienta można zakwalifikować jako rażące niedbalstwo w rozumieniu przepisów ustawy o usługach płatniczych. Pojęcie to ma charakter nieostry, co powoduje, że rozstrzygnięcia są silnie uzależnione od okoliczności konkretnej sprawy oraz osobistych doświadczeń sędziego – zwraca uwagę. W jego ocenie orzecznictwo nie jest jednolite, a w ostatnim czasie można wręcz zaobserwować wzrost liczby rozstrzygnięć korzystnych dla banków
- Oczywiście, nie każda sprawa kończy się wygraną konsumenta. Granica istnieje, choć jest dość płynna -mówi mec. Malinowski. - Tam, gdzie pojawia się element świadomego ryzyka - na przykład chęć szybkiego wzbogacenia się (np. zamiar inwestycji w kryptowaluty i w związku z tym przekazania dostępu oszustom - nawet nieświadome - lub co gorsza ujawnienia loginu i hasła), łatwowierność, lekkomyślność tudzież „okazja” szybkiego zysku, która od początku powinna budzić wątpliwości - sądy potrafią odmówić ochrony. Ale to są raczej wyjątki niż reguła w sprawach typowo phishingowych – dodaje.
Czytaj też w LEX: Przegląd wybranego orzecznictwa w sprawach nieautoryzowanych transakcji płatniczych w latach 2021–2024 >
Mec. Bednarczyk zwraca zaś uwagę, że odmiennie kształtuje się sytuacja w sprawach dotyczących zawarcia umowy kredytu w warunkach oszustwa. - W takich przypadkach sądy coraz częściej przyjmują, że pomimo formalnego spełnienia wymogów technicznych, po stronie klienta brak było woli zawarcia umowy. Prowadzi to do wniosku, że umowa kredytu nie została skutecznie zawarta, a klient nie jest zobowiązany do spłaty rat - mówi. - W tym zakresie można dostrzec wyraźną tendencję prokonsumencką, polegającą na nadaniu prymatu ochronie rzeczywistej woli klienta nad technicznie poprawnym zawarciem umowy kredytu - dodaje.
----------------------------------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
