Ustawa o usługach płatniczych pozwala na odzyskanie środków skradzionych z rachunku bankowego. Regulacja ta faworyzuje jednak sytuację konsumenta – co zatem w przypadku, gdy wyprowadzone pieniądze należały do spółki?
Źródło: Wyrok Sądu Apelacyjnego w Białymstoku z dnia 5 kwietnia 2019 r. (sygn. akt I AGa 176/18)
Pracownik pewnej spółki przy dokonywaniu przelewu na rzecz kontrahenta, skorzystał z opcji „kopiuj zlecenie”, edytując jedynie pola związane z kwotą i tytułem przelewu. Niestety, w polu numeru rachunku bankowego odbiorcy został podstawiony inny, nieznany powodowi numer. Następnie użytkownik zaakceptował zlecenie za pomocą jednorazowego hasła, co doprowadziło do wyprowadzenia niemal 114 000 euro. Jak się okazało, na komputerze użytkownika ujawniono złośliwe oprogramowanie, które spowodowało podmianę numeru rachunku odbiorcy.
Pozwany bank podnosił, że przelew został zlecony po poprawnym zalogowaniu przy pomocy prawidłowego loginu i hasła, a także szablonu płatności aktywowanego za pomocą jednorazowego kodu. Dodatkowo, funkcja „kopiuj zlecenie” umożliwia zmianę danych, o czym pracownik powinien wiedzieć i zweryfikować ich poprawność przed akceptacją. Z tego powodu bank odmówił zwrotu wyprowadzonych pieniędzy.
Jak ustalił Sąd Okręgowy powództwo podlegało uwzględnieniu na podstawie art. 471 KC oraz art. 725 KC. Podniesiono, że orzecznictwo narzuca na banku bardzo wymagające wymagania dotyczące staranności zachowań przy wykonywaniu ich zobowiązań.
Sąd Okręgowy wskazał, że sam fakt prawidłowego logowania, wykorzystania opcji „kopiuj zlecenie” i potwierdzenie jednorazowym hasłem z podstawionym w międzyczasie przez przestępców numerem rachunku odbiorcy, nie świadczy bezsprzecznie o fakcie autoryzowania transakcji. Powód nigdy nie udostępniał nikomu danych uprawniających do korzystania z systemu bankowości elektronicznej. Przy dokonywaniu transakcji działał w błędnym, ale usprawiedliwionym przekonaniu, że realizuje przelew na rzecz swego rzeczywistego kontrahenta.
Sąd orzekł, że wyprowadzenie pieniędzy przez osoby trzecie było możliwe z uwagi na nienależyte zabezpieczenie systemu internetowego banku. Jak oceniono, nienależyte wykonywanie umowy polegało na dostarczeniu powodowi takiego systemu do obsługi internetowych transakcji dokonywanych na tym rachunku, który umożliwił podstawienie numeru rachunku bankowego przestępcy bez udziału użytkownika. Opcja „kopiuj zlecenie” przelewu winna ułatwiać ponowne dokonanie transakcji, jednakże z uwzględnieniem należytych norm bezpieczeństwa. Zatem powinna ona udostępniać jedynie edycję pól niezwiązanych z numerem rachunku i nazwą odbiorcy, lub ewentualnie wyraźnie podkreślać dokonaną zmianę w tym polu.
SA potwierdził interpretację SO wskazując także na Dyrektywę 2007/64/WE Parlamentu Europejskiego i Rady z dnia 13.11.2007 roku w sprawie usług płatniczych w ramach rynku wewnętrznego. Do celów tej Dyrektywy należało zapewnienie zmniejszenia ryzyka i konsekwencji nieautoryzowanych lub nieprawidłowo wykonanych usług płatniczych z punktu widzenia użytkownika usług płatniczych.
Co odróżnia zatem tę sytuację spółki od sytuacji konsumenta? Ustawa o usługach płatniczych – podobnie jak wiele innych ustaw – szczególną ochroną otacza głównie osoby fizyczne. Jak stanowi art. 33 wskazanej ustawy, dostawca i użytkownik niebędący konsumentem mogą uzgodnić, że przepisów art. 34, art. 35-37, art. 40 ust. 3 i 4, art. 45, art. 46 ust. 2-5, art. 47, art. 48, art. 51 oraz art. 144-146 nie stosuje się w całości lub w części oraz mogą uzgodnić inny niż określony w art. 44 ust. 2 termin powiadomienia dostawcy o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych. Z tego względu banki często w swoich umowach zawierają klauzule dotyczące wyłączenia różnych przepisów – podobnie jak miało to miejsce w powyższym przypadku. Może to prowadzić do sytuacji, w której spółka ma utrudnione zadanie w odzyskaniu swoich pieniędzy. Nie jest to oczywiście niemożliwe, warto jednak wiedzieć, które przepisy zostały wyłączone, jakie są tego skutki i co zrobić, by nie miało to wpływu na zakończenie sprawy.
Absolwentka prawa na Wydziale Prawa i Administracji oraz komunikacji promocyjnej i kryzysowej na Wydziale Filologicznym Uniwersytetu Śląskiego.
telefon: +48 575 255 091
e-mail: a.warmuzinska@pirozek.pl