Pani Grażyna posiadała w pewnym banku rachunek oszczędnościowo- rozliczeniowy
z dostępem do bankowości elektronicznej, ale korzystała z niej sporadycznie. Przelewy zazwyczaj zlecała osobiście podczas wizyty w oddziale banku.
Pewnego dnia Pani Grażyna podjęła decyzję, że spróbuje wykonać przelew zdalnie zamiast udać się do oddziału. Wobec tego wpisała w wyszukiwarkę nazwę banku i wybrała pierwszy wynik, który się wyświetlił. Wyświetliła się fałszywa strona, identyczna ze stroną banku, w którym konto posiadała Pani Grażyna. Na stronie wyświetlił się komunikat o konieczności potwierdzenia logowania SMS-em, dla „zapewnienia bezpieczeństwa”. Po kliknięciu na ikonę logowania została skierowana na fałszywą stronę logowania, gdzie wprowadziła login i hasło i kliknęła na ikonę logowania. W tej chwili cyberprzestępca otrzymał dane logowania Pani Grażyny i natychmiast zalogował się na prawdziwej stronie banku i ustawił nowego odbiorcę zaufanego. Bank przesłał wiadomość SMS z kodem weryfikacyjnym. Pani Grażyna wprowadziła kod na fałszywej stronie, przez co cyberprzestępca mógł wprowadzić ten kod na prawdziwej stronie banku, przez co zatwierdzono nowego odbiorcę zaufanego. Następnie Pani Grażyna została przekierowana na prawdziwą stronę banku i później się z niej wylogowała. Następnego dnia cyberprzestępca posiadając dane do logowania Pani Grażyny zlecił wykonanie dwóch przelewów, które nie musiały być już autoryzowane kodem SMS, gdyż poprzedniego dnia odbiorca został dodany do zaufanych. Z uwagi na to, że Pani Grażyna nie zlecała tych przelewów ani nawet nie wiedziała o nich są one nieautoryzowanymi transakcjami płatniczymi.
Następnego dnia pracownik banku poinformował Panią Grażynę, że jej rachunek bankowy został zablokowany, ponieważ dokonano na nim nieprawidłowych transakcji i wyprowadzono pieniądze z konta. Pani Grażyna padła ofiarą phishingu- przestępstwa polegającego się na podszywaniu się pod inną osobę bądź instytucję (tutaj bank) celem uzyskania poufnych danych.
Dokonując oceny prawnej sąd oparł się na przepisach Kodeksu cywilnego (KC) oraz ustawy o usługach płatniczych (UUP). Na podstawie art. 725 KC przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych. Zgodnie
z art. 46 ust. 1 UUP w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika (bank) jest obowiązany niezwłocznie zwrócić płatnikowi (Pani Grażynie) kwotę nieautoryzowanej transakcji płatniczej albo, w przypadku, gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Dodatkowo, to na dostawcy spoczywa obowiązek udowodnienia, że transakcja była autoryzowana (art. 45 UUP).
Bank w toku postępowania wskazywał, że Pani Grażyna dopuściła się rażącego niedbalstwa, dzięki czemu zwolniłby się z odpowiedzialności na podstawie art. 46 ust 3 UUP. Bank argumentował to tym, że Pani Grażyna powinna była zauważyć, że strona banku jest fałszywa. Sąd I instancji nie dał wiary tym twierdzeniom i orzekł, że bank obowiązany jest zwrócić kwoty nieautoryzowanych transakcji, gdyż Pani Grażyna miała uzasadnione przekonanie, że znajduje się na prawdziwej stronie banku.
Sąd II instancji dodatkowo podkreślił, że ofiarę cyberprzestępstwa padła nie tylko Pani Grażyna, co dodatkowo wskazywało na to, że nie dopuściła się ona rażącego niedbalstwa a fałszywa strona była praktycznie nie do odróżnienia. Sąd II instancji zwrócił także uwagę na zaawansowany wiek Pani Grażyny i związane z tym mniejszą wiedzę w zakresie korzystania z Internetu oraz zagrożeń z tym związanych i ocenił jej zachowanie, jako zaledwie nieostrożne, lecz nie rażąco niedbałe. Sąd II instancji potwierdził ustalenia sądu I instancji i ponownie podkreślił, że Pani Grażyna mogła uznać, że znajdowała się na prawdziwej stronie banku. Mając na względzie powyższe sąd II instancji oddalił apelację banku i musiał on zwrócić Pani Grażynie całość skradzionych przez cyberprzestępców środków.
Źródło: Wyrok Sądu Okręgowego w Katowicach z dnia 25 marca 2021 r. (sygn. akt: IV Ca 199/20)