Na pierwszy rzut oka sprawa wydaje się prosta. Klient zleca przelew na wskazany przez siebie rachunek, bank wykonuje dyspozycję zgodnie z numerem konta, a więc działa prawidłowo. Takie przekonanie dobrze koresponduje z podstawową logiką ustawy o usługach płatniczych, zgodnie z którą o prawidłowym wykonaniu transakcji decyduje przede wszystkim unikatowy identyfikator, czyli numer rachunku odbiorcy. Skoro więc rachunek wskazany w zleceniu był prawidłowy, można by zakładać, że po stronie banku nie ma miejsca na odpowiedzialność.
Tymczasem omawiany wyrok pokazuje, że taka ocena bywa zbyt uproszczona. Sąd uznał, że bank może ponosić odpowiedzialność odszkodowawczą mimo tego, że formalnie wykonał przelew zgodnie z dyspozycją klienta. O wyniku sprawy nie zdecydowały bowiem przepisy o technicznym wykonaniu transakcji płatniczej, lecz obowiązki banku jako instytucji obowiązanej na gruncie przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.
To właśnie jest najciekawszy element tego rozstrzygnięcia.
Nie miało tu większego znaczenia, że klient sam wpisał numer rachunku i że bank nie „pomylił się” przy realizacji przelewu. Kluczowe okazało się coś innego: czy bank, widząc podejrzane okoliczności otwarcia rachunku oraz późniejszego przepływu środków, dochował wymaganej staranności wynikającej z prawa bankowego i ustawy AML. Sąd odpowiedział na to pytanie przecząco.
Sprawa dotyczyła klasycznego oszustwa związanego z podmianą danych do płatności. Przedsiębiorca, pozostający w stałych relacjach handlowych ze swoim kontrahentem, otrzymał informację o nowym rachunku do zapłaty za rzeczywiste zamówienie. Wiadomość wyglądała wiarygodnie, nawiązywała do istniejącej relacji gospodarczej, a do niej dołączono dokumenty dotyczące płatności. W konsekwencji środki zostały przelane na rachunek prowadzony w polskim banku. Jak się później okazało, rachunek nie należał do rzeczywistego kontrahenta, lecz do osoby wykorzystującej skradziony dokument tożsamości.
Bank bronił się w sposób typowy dla tego rodzaju sporów. Wskazywał, że wykonał przelewy zgodnie z numerem rachunku podanym przez klienta, nie miał obowiązku badać zgodności danych odbiorcy z numerem konta, a odpowiedzialność za błędne wskazanie rachunku nie może obciążać dostawcy usług płatniczych. Taka argumentacja, rozpatrywana wyłącznie z perspektywy ustawy o usługach płatniczych, rzeczywiście może wydawać się przekonująca.
Sąd spojrzał jednak na sprawę szerzej.
W uzasadnieniu wyroku zaakcentowano, że bank nie jest jedynie „technicznym wykonawcą” dyspozycji płatniczych. Jest również instytucją obowiązaną, na której ciążą szczególne obowiązki związane z identyfikacją klienta, oceną ryzyka, monitorowaniem relacji gospodarczych oraz reagowaniem na transakcje mogące mieć związek z praniem pieniędzy. W tym sensie poprawne wykonanie samego przelewu nie wyczerpuje jeszcze wszystkich obowiązków banku.
Sąd przyjął, że w tej sprawie zawiodły właśnie mechanizmy bezpieczeństwa. Po pierwsze, bardzo krytycznie ocenił sposób weryfikacji posiadacza rachunku, na który wpłynęły środki. Z ustaleń wynikało, że rachunek został otwarty dla osoby posługującej się francuskim paszportem, który później okazał się dokumentem pochodzącym z kradzieży. Sąd zwrócił uwagę, że skoro bank sam twierdził, iż nie ma realnych możliwości zweryfikowania autentyczności takiego dokumentu, to nie powinien był traktować tego jako argumentu zwalniającego, lecz raczej jako sygnał do zachowania dalej idącej ostrożności. W uzasadnieniu wybrzmiała wręcz teza, że skoro weryfikacja klienta nie była możliwa w sposób dostateczny, bank powinien był rozważyć odmowę nawiązania relacji albo zastosować wzmożone środki bezpieczeństwa.
Po drugie, sąd zwrócił uwagę na sam charakter rachunku i operacji. Na koncie nie było typowej aktywności gospodarczej, za to pojawił się nagły wpływ bardzo dużych kwot, po którym środki zostały szybko transferowane dalej i częściowo wypłacane. Takie zachowania rachunku, w ocenie sądu, powinny były zostać potraktowane jako wyraźny sygnał alarmowy. Tymczasem bank nie wykazał, aby zareagował odpowiednio wcześnie i skutecznie.
Po trzecie, sąd negatywnie ocenił moment zawiadomienia GIIF. Z uzasadnienia wynika, że pomiędzy wpływem środków a formalnym zawiadomieniem upłynął istotny czas. W realiach tej sprawy sąd uznał, że nie można mówić o działaniu „niezwłocznym”. To zaś miało znaczenie, bo przepisy AML przewidują nie tylko obowiązek raportowania, ale także określone działania wstrzymujące lub zabezpieczające. Innymi słowy, sam fakt późniejszego zgłoszenia sprawy nie wystarczył do uwolnienia banku od odpowiedzialności.
Bardzo interesujące jest to, że sąd nie dał się przekonać argumentowi, iż klient sam powinien był zachować większą ostrożność. Można oczywiście powiedzieć, że przedsiębiorca, otrzymując informację o zmianie rachunku kontrahenta, zwłaszcza na rachunek prowadzony w innym państwie niż dotychczasowy partner biznesowy, powinien dokładniej sprawdzić taką zmianę. Jednak sąd podszedł do tej kwestii pragmatycznie. Zauważył, że klient działał w zaufaniu do wieloletniego kontrahenta, a wiadomość dotyczyła rzeczywistej umowy i rzeczywistych dokumentów. W takim układzie nie można automatycznie przyjmować, że to wyłącznie po stronie klienta leżało ryzyko całego oszustwa.
Co więcej, sąd podkreślił, że skoro sam bank, dysponujący ustawowymi instrumentami kontroli i profesjonalnym zapleczem compliance, nie zapobiegł wykorzystaniu rachunku do działań przestępczych, to trudno oczekiwać, aby klient w zwykłym toku działalności rozpoznał oszustwo z większą skutecznością niż instytucja finansowa.
To rozstrzygnięcie warto czytać nie jako podważenie zasad ustawy o usługach płatniczych, lecz jako przypomnienie, że odpowiedzialność banku może wynikać z innego źródła niż samo wadliwe wykonanie transakcji. W tej sprawie nie chodziło o to, że bank źle zrealizował przelew w sensie operacyjnym. Chodziło o to, że wcześniej dopuścił do otwarcia podejrzanego rachunku, a później nie zareagował z należytą starannością na transakcje noszące cechy prania pieniędzy lub oszustwa.
To rozróżnienie jest kluczowe.
W praktyce oznacza ono, że bank może obronić się skutecznie przed zarzutem nieprawidłowego wykonania usługi płatniczej, a jednocześnie przegrać spór odszkodowawczy oparty na przepisach kodeksu cywilnego, prawa bankowego i ustawy AML. Są to bowiem dwa różne porządki prawne. Jeden dotyczy poprawności wykonania dyspozycji płatniczej, drugi zaś bezpieczeństwa obrotu finansowego i obowiązków prewencyjnych instytucji finansowej.
Wyrok ma istotne znaczenie dla praktyki sporów z bankami. Pokazuje, że w sprawach dotyczących oszustw „na zmianę rachunku”, „na fakturę” czy szerzej business email compromise nie należy zatrzymywać analizy na pytaniu, czy bank wykonał przelew zgodnie z numerem rachunku. Niekiedy ważniejsze może być pytanie, czy bank prawidłowo zidentyfikował swojego klienta, właściwie ocenił ryzyko, monitorował rachunek i wdrożył procedury AML w sposób realny, a nie wyłącznie formalny.
Z perspektywy pełnomocników procesowych to cenna wskazówka. W podobnych sprawach punkt ciężkości może zostać przesunięty z ustawy o usługach płatniczych na odpowiedzialność deliktową banku za własne zaniechania. Właśnie tam może otworzyć się przestrzeń do wykazania bezprawności, winy i związku przyczynowego.
Najkrócej mówiąc, bank nie przegrał dlatego, że błędnie wykonał przelew. Przegrał dlatego, że sąd uznał, iż nie dopełnił obowiązków, które miały zapobiec wykorzystaniu systemu bankowego do oszustwa i wyprowadzenia środków. A to różnica fundamentalna.