Wyrokiem z dnia 21 grudnia 2018 r. Sąd Okręgowy w Olsztynie zasądził od pozwanego banku kwotę 97 210 zł z odsetkami ustawowymi za opóźnienie oraz zwrotu kosztów procesu. Sprawa trafiła jednak do Sądu Apelacyjnego.
Źródło: wyrok Sądu Apelacyjnego w Białymstoku z dnia 3 października 2019 r. (sygn. akt I ACa 228/19)
Pewnego dnia klient próbował zalogować się na swoje konto. Po sprawdzeniu, czy połączenie jest bezpieczne, podając login i hasło oraz przepisując treść znajdującą się w okienku z obrazkiem, skutecznie zalogował się na swoje konto. Po zalogowaniu uzyskał dostęp do serwisu oraz informacji, takich jak stan konta czy ostatnie transakcje. Chwilę później, na jego monitorze został wyświetlony komunikat, że z powodu „przebudowy” strony musi on podać kod z karty kodów kreskowych (kodów numerycznych z tzw. „zdrapki”), albowiem w przeciwnym razie wykonanie przelewów w ciągu najbliższych 7 dni zostanie przez bank zablokowane. Komunikatu tego nie można było wyłączyć ani ominąć. Klient sądząc, iż skoro poprawnie zalogował się na swoje konto, wpisał konieczny kod. Chwilę później strona zawiesiła się, po czym wyświetlono komunikat o czasowej niemożliwości dostępu do systemu. Wtedy klient uznał, że z powodu przebudowy Bank czasowo uniemożliwił wykonywanie transakcji. Okazało się, że w tym czasie nastąpiła seria ataków hackerskich, dzięki którym nieustalone osoby trzecie wyprowadziły z konta klientów ponad 90 000 zł.
Kilka dni później pracownicy banku X skontaktowali się z właścicielami rachunku celem potwierdzenia przelewów na znaczne kwoty. Klienci zaprzeczyli, jakoby dokonywali jakichkolwiek transakcji oraz zażądali zablokowania konta. Podczas tych rozmów żaden z pracowników banku nie poinformował klientów o wyprowadzeniu środków z ich rachunku– mimo wiedzy o tym już w tamtej chwili. W związku z tym klienci żyli w przeświadczeniu, że doszło jedynie do próby zaboru ich środków. Pomimo to, zgodnie z sugestiami pracownika banku X, klienci zanieśli posiadany przez siebie komputer do serwisu, dokonując reinstalacji systemu operacyjnego. Tego samego dnia bank X dokonał zawiadomienia o podejrzeniu popełnienia przestępstwa, w dalszym ciągu nie informując o tym swoich klientów. Dopiero kilka dni później, gdy klientka udała się do oddziału X, aby odblokować konto dowiedziała się o nieautoryzowanych transakcjach. Dodatkowo, okazało się, że pomimo wyraźnej dyspozycji, jej konto nigdy nie zostało zablokowane. Niestety, pomimo złożenia reklamacji, nie została ona uwzględniona przez bank, zmuszając tym samym klientów do złożenia powództwa.
Jak podkreślił Sąd, podstawę odpowiedzialności banku w tym zakresie stanowią przepisy ustawy o usługach płatniczych, na podstawie której dostawca usług płatniczych (bank) ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika, czyli posiadacza konta. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika i prawidłowo zapisana w systemie oraz że nie miała na nią wpływu awaria, ani inna usterka spoczywa zaś na dostawcy tego użytkownika (art. 45 ust. 1 ustawy). Transakcję płatniczą uważa się natomiast za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą (art. 40 ust. 1 ustawy).
Wartym podkreślenia jest, że w ocenie Sądu nie udowodniono, aby powodowie doprowadzili do nieautoryzowanej transakcji płatniczej umyślnie lub wskutek rażącego niedbalstwa. Bank X nie udowodnił bowiem, iż zalecał powodom używanie konkretnego sprzętu, zabezpieczenia, konserwacji czy wykorzystywanie metod ochrony przed atakami hackerskimi. Dodatkowo strona przez którą powód udostępnił swoje dane, była bliźniaczo podobna do tej oryginalnej.
Ciekawym elementem tego postępowania jest reinstalacja oprogramowania komputera powodów. Działanie to usunęło wiele informacji, co uniemożliwiło rozstrzygnięcie, czy komputer powoda został zawirusowany złośliwym oprogramowaniem lub oprogramowaniem wyłudzającym dane. Jednocześnie, zostało to dokonane na polecenie pracownika banku X. Powołany w tej sprawie biegły potwierdził powyższe oraz orzekł, że w sprawie nie było możliwe rozstrzygnięcie, czy w momencie dokonywania nieautoryzowanych transakcji komputer powodów wspierany był przez aktualne i legalne oprogramowanie. Nie było też danych, pozwalających na ustalenie czy we wskazanym okresie komputer ten chroniony był zabezpieczeniami przed nieuprawnionym dostępem osób trzecich.
Sąd Apelacyjny potwierdził zatem słuszność wyroku I instancji i oddalił apelację, zasądzając koszty na rzecz powodów.