W sprawach dotyczących oszustw płatniczych banki bardzo często podnoszą jeden podstawowy argument: skoro klient sam wpisał numer rachunku, sam zlecił przelew i sam go autoryzował, to bank nie może odpowiadać za szkodę. W wielu przypadkach ten argument będzie trafny. Nie oznacza to jednak, że jest trafny zawsze.
Trzeba bowiem odróżnić odpowiedzialność banku za samo wykonanie przelewu od odpowiedzialności banku za własne, wcześniejsze lub późniejsze zaniechania, które umożliwiły wykorzystanie rachunku do przestępstwa.
Jeżeli płatnik zleca przelew na określony numer rachunku bankowego, bank zasadniczo wykonuje transakcję według tzw. unikatowego identyfikatora, czyli właśnie numeru rachunku. W tym sensie przelew może być wykonany prawidłowo: środki trafiają na rachunek wskazany przez klienta, a sama transakcja jest autoryzowana. Nie wyklucza to jednak pytania, czy bank odbiorcy prawidłowo wykonał własne obowiązki jako instytucja finansowa.
W praktyce chodzi przede wszystkim o obowiązki wynikające z ustawy AML, czyli ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. AML to skrót od angielskiego Anti-Money Laundering. W Polsce pod tym pojęciem rozumie się w szczególności obowiązki banków dotyczące identyfikacji klienta, weryfikacji jego tożsamości, ustalenia beneficjenta rzeczywistego, oceny celu i charakteru relacji gospodarczej, bieżącego monitorowania transakcji, reagowania na transakcje nietypowe, zawiadamiania Generalnego Inspektora Informacji Finansowej oraz — w określonych sytuacjach — blokowania rachunku lub wstrzymywania transakcji.
Dlaczego sama autoryzacja przelewu nie zawsze zamyka sprawę?
W aktualnym orzecznictwie przyjmuje się, że bank nie ma ogólnego obowiązku sprawdzania, czy nazwa odbiorcy wpisana w poleceniu przelewu zgadza się z rzeczywistym posiadaczem rachunku. Sąd Najwyższy w wyroku II CSKP 966/23 wskazał, że bank prowadzący rachunek płatnika przekazuje środki na rachunek wskazany w zleceniu „bez względu” na inne informacje, takie jak nazwa lub nazwisko odbiorcy. Sąd Najwyższy podkreślił też, że banki co do zasady nie odpowiadają za skutki wskazania nieprawidłowego numeru rachunku odbiorcy, a ich obowiązki sprowadzają się do pomocy w odzyskaniu środków, o ile środki te nadal znajdują się na rachunku niewłaściwego odbiorcy.
Podobnie wypowiedział się Sąd Apelacyjny w Warszawie. Wskazał, że art. 64 prawa bankowego nie stanowi źródła dodatkowego obowiązku sprawdzania zgodności numeru rachunku beneficjenta z jego nazwą, a wymaganie od banku takiej weryfikacji oznaczałoby żądanie staranności nadzwyczajnej, niewynikającej z przepisów prawa.
Te orzeczenia mają bardzo duże znaczenie. Pokazują, że nie wystarczy napisać w pozwie: „bank powinien był zauważyć, że nazwa odbiorcy nie zgadza się z numerem rachunku”. Taka argumentacja najczęściej nie wystarczy. Sprawa przeciwko bankowi odbiorcy musi być oparta inaczej: nie na samym wykonaniu przelewu, lecz na delikcie własnym banku, czyli na tym, że bank nie dochował obowiązków związanych z identyfikacją klienta, oceną ryzyka, monitoringiem rachunku albo reakcją na podejrzane przepływy.
Sprawa z Katowic: dlaczego sąd zasądził odszkodowanie?
W jednej ze spraw rozpoznanych przez Sąd Okręgowy w Katowicach poszkodowany przedsiębiorca dokonał przelewów na rachunek wskazany przez oszustów podszywających się pod jego kontrahenta. Przelewy były zlecone przez samego poszkodowanego i autoryzowane. Formalnie więc nie była to sprawa o nieautoryzowaną transakcję płatniczą.
Mimo to sąd zasądził odszkodowanie od banku odbiorcy. Dlaczego?
Kluczowe było to, że sąd nie oceniał sprawy wyłącznie przez pryzmat tego, czy płatnik sam wpisał numer rachunku. Sąd badał, czy bank odbiorcy prawidłowo wykonał własne obowiązki wynikające z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
W tej sprawie środki miały stanowić zapłatę w relacji gospodarczej między przedsiębiorcami. Zamiast jednak trafić na rachunek rzeczywistego kontrahenta, zostały skierowane na rachunek osoby, której sytuacja i sposób korzystania z rachunku powinny wzbudzić podwyższoną czujność banku. Sąd zwrócił uwagę m.in. na wątpliwości dotyczące prawidłowości identyfikacji i weryfikacji klienta banku, charakter rachunku, przepływy środków oraz opóźnioną reakcję banku na podejrzane okoliczności.
Istotne było również to, co działo się po wpływie pieniędzy. Środki były dalej transferowane i wypłacane. Sąd uznał, że rachunek został wykorzystany w sposób typowy dla rachunku służącego do wyprowadzenia pieniędzy pochodzących z oszustwa. W takich realiach obowiązki banku nie ograniczają się do biernego zaksięgowania wpływu i umożliwienia wypłat. Bank jako instytucja obowiązana ma reagować na transakcje nietypowe, wysokokwotowe, nieadekwatne do profilu klienta lub wskazujące na możliwość wykorzystania rachunku do przestępstwa.
Co szczególnie ważne, sąd przyjął, że bank nie wykazał należycie, aby prawidłowo zrealizował swoje obowiązki AML. Nie wystarczyło ogólne powołanie się na posiadanie procedur. W procesie cywilnym istotne jest to, czy procedury zostały realnie zastosowane wobec konkretnego klienta i konkretnej transakcji.
Wniosek z tej sprawy jest bardzo istotny: nawet jeżeli poszkodowany sam zlecił i autoryzował przelew, bank odbiorcy może odpowiadać, jeżeli jego własne zaniedbania przy otwarciu rachunku, monitoringu klienta lub reakcji na podejrzane transakcje pozostają w adekwatnym związku przyczynowym ze szkodą.
Sprawa z Piotrkowa: odpowiedzialność banku odbiorcy mimo autoryzowanego przelewu
Podobny mechanizm pojawił się w sprawie rozpoznanej przez Sąd Okręgowy w Piotrkowie Trybunalskim. Tam poszkodowany podmiot został nakłoniony do przelania 5.000.000 zł na rachunek wskazany przez oszusta. Przelew był autoryzowany i wykonany na rachunek wskazany w dyspozycji. Sąd nie przypisał odpowiedzialności bankowi płatnika za samo wykonanie przelewu według numeru rachunku.
Inaczej oceniono jednak sytuację banku odbiorcy.
Rachunek, na który trafiło 5.000.000 zł, był prowadzony dla spółki, której profil działalności, historia rachunku i faktyczna aktywność gospodarcza nie uzasadniały takiej transakcji. Sąd zwrócił uwagę, że bank odbiorcy miał instrumenty pozwalające ocenić, czy wpływ tak wysokiej kwoty odpowiada profilowi klienta. Mógł i powinien sprawdzić, czym klient się zajmuje, jakie ma obroty, czy prowadzi realną działalność i czy transakcja ma gospodarcze uzasadnienie.
Znaczenie miało również to, że środki po wpływie na rachunek były szybko transferowane dalej. Taki mechanizm — wysoki wpływ, brak związku z realnym profilem klienta, szybkie dalsze przelewy lub wypłaty — jest klasycznym sygnałem ostrzegawczym. Sąd uznał, że bank odbiorcy nie potraktował tej transakcji jako transakcji nietypowej i nie podjął wystarczających działań wyjaśniających.
W tej sprawie bardzo ważna była opinia biegłego. Wynikało z niej, że bank powinien był rozpoznać wysokokwotową transakcję jako nietypową i podwyższonego ryzyka. Biegły wskazywał także na znaczenie danych zbieranych w procedurze „poznaj swojego klienta” — jeżeli bank nie dysponuje prawidłowo wprowadzonymi danymi o kliencie, np. o jego obrotach, system monitorujący może nie rozpoznać transakcji jako nietypowej. To z kolei obciąża bank, a nie poszkodowanego.
Sąd zasądził odszkodowanie od banku odbiorcy, choć jednocześnie uwzględnił przyczynienie się poszkodowanego. To bardzo ważna różnica. Sąd nie powiedział, że poszkodowany działał idealnie. Uznał jednak, że jego nieostrożność nie wyłącza całkowicie odpowiedzialności banku, jeżeli bank również naruszył własne obowiązki i naruszenia te przyczyniły się do powstania albo zwiększenia szkody.
Co łączy sprawy z Katowic i Piotrkowa?
Obie sprawy pokazują, że sądy mogą zasądzać odszkodowania od banku odbiorcy mimo autoryzacji przelewu przez płatnika. Warunkiem jest jednak prawidłowe ustawienie sprawy.
Nie chodzi o twierdzenie, że bank miał automatycznie porównać nazwę odbiorcy z numerem rachunku. Nie chodzi też o prosty zarzut: „bank założył rachunek oszustowi”. Chodzi o wykazanie konkretnego ciągu zdarzeń:
najpierw pojawiają się okoliczności ostrzegawcze, następnie po stronie banku powstaje obowiązek pogłębionej weryfikacji lub reakcji, bank tego obowiązku nie wykonuje albo wykonuje go za późno, a w konsekwencji środki zostają przyjęte, wypłacone, przelane dalej lub nie zostają w porę zablokowane.
W takich sprawach odpowiedzialność banku wynika nie z samego przelewu, ale z tego, że rachunek bankowy został wykorzystany jako narzędzie przestępstwa, a bank — mimo obowiązków AML — nie zareagował tak, jak powinien zareagować profesjonalista.
Dla przeciwwagi: przykład sprawy przegranej przez poszkodowanego
Dla równowagi warto wskazać inną sprawę rozpoznaną przez Sąd Okręgowy w Katowicach. Tam również doszło do oszustwa polegającego na podszyciu się pod kontrahenta i wskazaniu fałszywego rachunku bankowego. Poszkodowany przedsiębiorca sam zlecił przelew, sam wpisał numer rachunku i autoryzował transakcję. Następnie domagał się odszkodowania od banku odbiorcy, twierdząc, że bank nie powinien był dopuścić do otwarcia i wykorzystania rachunku przez oszusta.
Powództwo zostało jednak oddalone.
Dlaczego? Przede wszystkim sąd uznał, że powód nie wykazał konkretnego naruszenia po stronie banku. Bank przedstawił dokumenty dotyczące otwarcia rachunku, identyfikacji klienta, weryfikacji dokumentów rejestrowych, beneficjenta rzeczywistego i monitoringu. Rachunek był prowadzony dla formalnie istniejącego podmiotu, ujawnionego w rejestrach. Sąd uznał, że sam fakt późniejszego wykorzystania rachunku do oszustwa nie dowodzi jeszcze, że bank wadliwie otworzył rachunek albo naruszył obowiązki AML.
Duże znaczenie miało również zachowanie poszkodowanego. W korespondencji pojawiły się sygnały ostrzegawcze: zmieniony adres e-mail, informacja o nowym rachunku, rozbieżności dotyczące siedziby kontrahenta, brak niezależnej telefonicznej weryfikacji zmiany rachunku. Sąd uznał, że to po stronie poszkodowanego wystąpiła daleko idąca nieostrożność.
Ta sprawa pokazuje drugą stronę problemu. Bank odbiorcy nie odpowiada automatycznie za każdą szkodę wyrządzoną przez oszusta. Jeżeli bank wykaże, że prawidłowo przeprowadził identyfikację klienta, stosował środki bezpieczeństwa finansowego, monitorował rachunek i zareagował po uzyskaniu informacji o podejrzeniu oszustwa, a powód nie wskaże konkretnych uchybień, powództwo może zostać oddalone.
Co wynika z orzecznictwa Sądu Najwyższego?
Na tle takich spraw trzeba pamiętać o dwóch równoległych liniach argumentacji.
Pierwsza linia, niekorzystna dla poszkodowanych, dotyczy samego wykonywania przelewów. Sąd Najwyższy w wyroku II CSKP 966/23 wyraźnie wskazał, że banki nie odpowiadają za transakcje wykonane zgodnie z numerem rachunku wskazanym przez płatnika, a obowiązek zapewnienia bezpieczeństwa środków na rachunku bankowym dotyczy przede wszystkim posiadacza tego rachunku, nie zaś osoby trzeciej, która wpłaca środki na cudzy rachunek.
Druga linia, korzystna dla koncepcji odpowiedzialności banku, dotyczy deliktu własnego banku. W wyroku III CK 661/04 Sąd Najwyższy przyjął, że wadliwa obsługa rachunku bankowego, polegająca na umożliwieniu lub tolerowaniu przestępczej działalności, może stanowić czyn niedozwolony banku. Sąd Najwyższy pisał tam o wadliwym funkcjonowaniu obsługi rachunku jako o podstawie odpowiedzialności deliktowej banku z art. 415 k.c.
W praktyce oznacza to, że pozew przeciwko bankowi odbiorcy nie powinien być budowany na tezie: „bank wykonał przelew na zły rachunek”. Znacznie mocniejsza jest teza: „bank dopuścił do wykorzystania prowadzonego przez siebie rachunku do przestępstwa, ponieważ nie wykonał należycie obowiązków identyfikacyjnych, kontrolnych, monitoringowych i reakcyjnych”.
Znaczenie przygotowania sprawy przed wniesieniem pozwu
Tego typu sprawy wygrywa się albo przegrywa często jeszcze przed napisaniem pozwu. Kluczowe jest przygotowanie materiału dowodowego i strategii.
Trzeba odtworzyć pełną oś czasu: kiedy poszkodowany otrzymał fałszywą dyspozycję, kiedy zlecił przelew, kiedy środki wpłynęły na rachunek odbiorcy, kiedy zostały przelane dalej lub wypłacone, kiedy bank został poinformowany o oszustwie, kiedy zawiadomiono organy ścigania, kiedy doszło do blokady rachunku i jaka kwota była jeszcze możliwa do zabezpieczenia.
Trzeba też od początku wiedzieć, jakie dokumenty będą potrzebne: dokumentacja KYC, dane z procedury „poznaj swojego klienta”, historia rachunku, alerty transakcyjne, decyzje analityków AML, informacje o zawiadomieniach do GIIF, procedury wewnętrzne banku, dokumenty dotyczące otwarcia rachunku i dane o dalszych przepływach środków.
Bez takiego przygotowania sprawa może zostać sprowadzona przez bank do prostego argumentu: „klient sam wpisał numer rachunku i sam zaakceptował przelew”. Z takim argumentem trudno wygrać, jeżeli pozew nie pokazuje konkretnego deliktu banku odbiorcy.
Nieautoryzowane transakcje Katowice
Autoryzowany przelew nie wyklucza odpowiedzialności banku odbiorcy. Wyklucza natomiast prostą argumentację, że bank odpowiada tylko dlatego, iż pieniądze trafiły na rachunek wskazany przez oszusta.
Bank odbiorcy może odpowiadać wtedy, gdy naruszył własne obowiązki wynikające z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, prawa bankowego lub ogólnych zasad należytej staranności profesjonalisty, a naruszenia te pozostają w adekwatnym związku przyczynowym ze szkodą.
Bank takiej odpowiedzialności nie poniesie, jeżeli powód nie wykaże konkretnych uchybień, bank udowodni prawidłowe zastosowanie procedur, a szkoda wynika przede wszystkim z decyzji płatnika podjętej bez należytej weryfikacji informacji otrzymanych od oszusta.
Najważniejszy wniosek jest więc praktyczny: w sprawach przeciwko bankowi odbiorcy nie wystarczy opisać oszustwa. Trzeba udowodnić, że bank miał obowiązek zareagować, mógł zareagować, nie zrobił tego prawidłowo, a przez to pieniądze zostały utracone.