W omawianej sprawie, klient banku żądał zapłaty przez bank 85 000,00 zł wyprowadzonych z jego rachunku bankowego przez przestępców. Sąd Apelacyjny oddalając apelację banku stwierdził, że mimo nieświadomego udostępnienia przestępcom dostępu do rachunku, w tym umożliwienia dodania odbiorcy zaufanego klient nie autoryzował transakcji, a ryzyko dokonania wypłaty do rąk osoby nieuprawnionej nadal spoczywa na banku.
Źródło: wyrok Sądu Apelacyjnego w Warszawie z dnia 24 maja 2018 r. w sprawie VI ACa 217/17
W dniu zdarzenia będącego przedmiotem sprawy miał problemy z poprawnym wylogowaniem się z systemu transakcyjnego banku, gdyż strona internetowa wykazywała oznaki „zawieszenia się”. Powód logował się do serwisu transakcyjnego banku tylko z jednego prywatnego laptopa, na którym miał zainstalowane aktualne oryginalne oprogramowanie antywirusowe. Klient nigdy nikomu osobiście nie udostępniał hasła, telefonu ani laptopa, z których korzystał logując się do serwisu internetowego banku.
Podczas jednego z logowań, na stronie banku wyświetlił się komunikat z informacją o zmianie formatu konta i prośbą o potwierdzenie zmiany kodem sms – jednocześnie poszkodowany otrzymał wiadomość sms z kodem autoryzującym, który przepisał na wyświetloną stronę internetową wyglądającą jak strona logowania do serwisu transakcyjnego banku. Po tej operacji nie miał problemu, by ponownie zalogować się do swojej bankowości elektronicznej w pozwanym banku.
Po kolejnym zalogowaniu się do systemu bankowości internetowej klient banku stwierdził, że zlikwidowane zostały wszystkie jego lokaty bankowe, a z rachunku przelano środki w łącznej kwocie 85 000,00 zł na nieznany klientowi rachunek bankowy.
W tym samym dniu, niezwłocznie po stwierdzeniu faktu utraty środków z rachunku poszkodowany poinformował telefonicznie bank o zaistniałej sytuacji, a także udał się osobiście do oddziału banku gdzie stwierdził, że wśród zdefiniowanych zaufanych odbiorców uprawnionych do otrzymywania przelewów z konta powoda bez konieczności potwierdzania przelewów kodem sms, znajduje się nieznany poszkodowanemu odbiorca (kontrahent). Powód nigdy nie dodawał wskazanego kontrahenta do listy odbiorców zaufanych, ani nie otrzymał z Banku informacji sms weryfikującej osobnym kodem wykonanie takiej czynności.
Klient powiadomił o zaistniałym zdarzeniu organy ścigania, które ustaliły adresy IP, z których logowano się w dniu zdarzenia do bankowości elektronicznej powoda. Ustalono także, że sprawca, używał prawdopodobnie programu maskującego IP działającego na zasadzie wskazywania nieprawdziwego adresu IP komputera, którym się posługiwał.
Przed tym zdarzeniem bank nie informował swoich klientów o zagrożeniach związanych z komunikatem o zmianie formatu konta, tj. o zagrożeniu takimi sposobami działania hakerów, jakie zastosowali oni w przypadku poszkodowanego klienta.
Sądy obu instancji uznały roszczenie klienta za uzasadnione i zasądziły na jego rzecz kwotę 85 000,00 zł wraz z odsetkami.
Podstawą do tych wyroków w pierwszej kolejności był na art. 725 kodeksu cywilnego, na mocy którego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych. Sąd odwołał się do poglądu, że zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku.
Ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową.
Równoległą podstawą odpowiedzialności banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 r. Zgodnie z art. 46 ust. 1 tej ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank jest zobowiązany obowiązany niezwłocznie zwrócić klientowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku gdy klient korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.
Jeżeli jednak klient doprowadził do transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, jakie ma wobec banku, odpowiada on za nieautoryzowane transakcje płatnicze w pełnej wysokości.
Poszkodowany w omawianej sprawie w sposób niezamierzony i nieświadomy, a więc niezawiniony, dopuścił się naruszenia jednego ze swoich obowiązków ciążących na nim z mocy art. 42 ust. 2 ustawy o usługach płatniczych, za co nie może ponosić odpowiedzialności, więc jego roszczenie było w pełni uzasadnione.
Adwokat, Członek Okręgowej Izby Adwokackiej w Katowicach
Absolwentka Wydziału Prawa i Administracji Uniwersytety Śląskiego. Specjalizuje się w prawie cywilnym, w tym rodzinnym i prawie gospodarczym. Doświadczenie w zakresie prawa zamówień publicznych oraz prawa autorskiego zdobywała prowadząc obsługę prawną oddziału Telewizji Polskiej SA.