Portal Orzeczeń Sądu Okręgowego w Olsztynie

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 25 października 2024 r.

Sąd Okręgowy w Olsztynie I Wydział Cywilny

w składzie następującym:

Przewodniczący:	Sędzia Krystian Szeląg
Protokolant:	Sekretarz sądowy Kamila Lobert-Bruździak

po rozpoznaniu w dniu 18 października 2024 r. w Olsztynie

na rozprawie

sprawy z powództwa M. K. (1)

przeciwko (...) Bank (...) Spółka Akcyjna z siedzibą w W.

o zapłatę

I.  zasądza od pozwanej (...) Bank (...) Spółka Akcyjna z siedzibą w W. na rzecz powoda M. K. (1) kwotę 100.000,00 PLN (sto tysięcy złotych) wraz z ustawowymi odsetkami za opóźnienie od dnia 24 maja 2023 roku do dnia zapłaty;

II.  zasądza od pozwanej na rzecz powódki kwotę 13.400,00 złotych wraz z ustawowymi odsetkami za opóźnienie od dnia uprawomocnienia się orzeczenia do dnia zapłaty, tytułem zwrotu kosztów procesu;

III.  nakazuje ściągnąć od pozwanej (...) Bank (...) Spółka Akcyjna z siedzibą w W. na rzecz Skarbu Państwa – Sądu Okręgowego w Olsztynie kwotę 1.938,50 złotych tytułem wydatków postępowania poniesionych tymczasowo przez Skarb Państwa na poczet części wynagrodzenia biegłego sądowego.

UZASADNIENIE

Powód M. K. (1) pozwem z dnia 12.06.2023 r. (data wpływu), wobec pozwanego (...) S.A. z siedzibą w W. wniosła o:

1.  zasądzenie od pozwanego na rzecz powoda kwoty 100.000,00 złotych wraz z ustawowymi odsetkami za opóźnienie od dnia 24 maja 2023 r. do dnia zapłaty;

2.  zasądzenie od pozwanego na rzecz powoda kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego wg stawki minimalnej wraz z ustawowymi odsetkami za opóźnienie w zapłacie liczonymi od dnia uprawomocnienia się orzeczenia, którym je zasądzono do dnia zapłaty.

W uzasadnieniu powódka M. K. (1) podała, że w dniu 17 maja 2023 r. wykonywała zlecenia bankowego ze swojego telefonu komórkowego – numer (...). Następnie około godz. 14.00 została przekierowana do strony banku (...) S.A. w którym posiada dwa rachunki bankowe. Wyświetlona strona w żadnym stopniu nie odbiegała od oryginalnej strony wskazanego Banku i nic nie mogło wzbudzić na ten czas u powódki podejrzeń oszustwa. W wyniku przejęcia bez wiedzy i zgody powódki dostępu do jej kont bankowych doszło w bardzo krótkim czasie do szeregu identycznych nieautoryzowanych transakcji poleceń przelewów w kwotach po 5.000 złotych, na łączną kwotę 100.000,00 złotych dla nieznanych numerów kont bankowych obcych dla niej osób. Powódka nie otrzymała kodu aktywacyjnego na swój telefon i to wzbudziło u niej podejrzenia. Następnie w ciągu zaledwie 30 minut od zlecenia bankowego- pierwszej nieautoryzowanej transakcji, powódka za pośrednictwem swojej mamy – B. K. zablokowała oba rachunki w Oddziale w N. oraz osobiście w oddziale pozwanego banku przy ul. (...) w O.. Zastrzegła tym samym również swój dowód osobisty.

W tym samym dniu powódka złożyła zawiadomienie o popełnieniu przestępstwa w Komendzie Miejskiej Policji w O.. Obecnie toczy się postępowanie przygotowawcze o sygn.. akt 4020-4.Ds. (...)..2023. Powódka w dalszej kolejności złożyła do pozwanego banku reklamację wnosząc o zwrot kwoty 100.000,00 złotych na podstawie przepisu art. 46 ust. 1 ustawy o usługach płatniczych. Ostateczną decyzją z dnia 24 maja 2023 r. pozwany nie uznał reklamacji i odmówił wypłaty roszczenia wskazując, że zlecenia zostały zrealizowane po zalogowaniu się danymi powódki poprawnie autoryzowanymi. W pisemnych motywach pozwu powódka zaprzeczyła kategorycznie aby udostępniała komukolwiek kody uwierzytelniające przelewy albowiem ich w ogóle nie otrzymała. W konsekwencji brak jest na gruncie sprawy możliwości, aby przypisać jej rażące niedbalstwo o którym mowa w przepisie art. 42 ustawy o usługach płatniczych.

(pozew k. 4-10.).

W odpowiedzi na pozew, pozwany Bank (...) S.A. z siedzibą w W. wniósł o oddalenie powództwa w całości jako bezzasadnego oraz o zasądzenie na jego rzecz zwrotu kosztów zastępstwa procesowego wg norm przepisanych.

W uzasadnieniu podniósł, że powód w żaden sposób nie wykazał, aby do zawarcia umowy doszło bez jego wiedzy. Powód formułując pozew nie przedłożył żadnych dowodów potwierdzających, że oświadczenie woli związane z dokonywaniem czynności bankowych złożone w postaci elektronicznej nie podchodziło od niego. Pozwany podniósł, że nie ponosi odpowiedzialności za brak staranności powoda w kontekście dbałości o własne interesy finansowe. Brak dbałości wywodzić należy bowiem z niezachowania należytej staranności w sytuacji żądania od niego czynności nietypowej, polegającej na podaniu dobrowolnym indywidualnych danych uwierzytelniających do logowania przestępcy, który wykonał operację prawdopodobnie przez fałszywą stronę banku. Tym samym powódka przekroczyła elementarne zasady staranności. W ocenie pozwanego postępowanie polegające na podaniu przez Wnioskodawczynie poufnych indywidualnych danych uwierzytelniających oraz kodu aktywacyjnego stanowi naruszenie obowiązku o którym mowa w art. 42 ustawy o usługach płatniczych, będącego skutkiem rażącego niedbalstwa, co zgodnie z art. 46 § 3 ustawy o usługach płatniczych skutkuje pełną odpowiedzialnością Wnioskodawczyni za przedmiotowe transakcje.

(odpowiedź na pozew k. 69-84).

Sąd ustalił następujący stan faktyczny:

Powódka M. K. (1) jest wieloletnim klientem Banku (...) S.A. z siedzibą w W..

Wymieniona posiada dwa rachunki: jeden rozliczeniowy o nr (...) oraz drugi oszczędnościowy nr (...).

(okoliczność bezsporna, a nadto dowód: umowa k. 52-54, umowa k. 43- 51, przesłuchanie powódki k. 213-214 ).

W dniu 17 maja 2023 r. powódka M. K. (1) za pośrednictwem platformy/portalu (...) P. zamieściła ogłoszenie - ofertę sprzedaży butów damskich marki M. K. (2), rozmiar 40. Zainteresowanie zakupem pary butów zgłosiła telefonicznie, a następnie poprzez komunikatory M. i W.’s up - jedna z klientek tego portalu, posługującą się profilem (...). Wymieniona zaproponowała, żeby powódka zapakowała przedmiot transakcji, a ona wyśle kuriera InPost’u po odbiór przesyłki. Zgodnie z ustaleniami stron to powódka miała ponieść koszty przesyłki towaru do kupującej. Rozmówczyni przesłała na należący do powódki numer telefonu link do strony InPostu w celu uiszczenia płatności za przesyłkę. Powódka kliknęła w załączony link i zaczęła wypełniać dane. Aplikacja przekierowała ją na stronę banku, powódka zalogowała się do aplikacji i dokonała płatności za transport kurierski przesyłki. Nic nie wzbudziło wątpliwości powódki odnośnie bezpieczeństwa transakcji. Zgodnie z uprzednimi ustaleniami stron, po dokonaniu płatności powódka zrobiła zrzut ekranu telefonu komórkowego (tzw. screen”), a następnie przesłała go, zainteresowanej kupnem, celem potwierdzenia płatności za transport przesyłki. Po wysłaniu potwierdzenia powódka straciła kontakt z wymienioną klientką.

W momencie logowania doszło do przejęcia telefonu powódki przez dzwoniącą wraz z dostępem do aplikacji (...).

W wyniku tego działania w dniu 17.05.2024 r. w godzinach od 14:07 do 14:37 nieustaleni dotychczas sprawcy posługujący się danymi: L. K. i T. D. dokonali m.in łącznie 20 przelewów wychodzących z rachunku powódki o numerze (...): każdy po 5.000 złotych, tj. w łącznej kwocie 100.000,00 złotych.

(okoliczności bezsporne, a nadto dowód: zestawienie operacji k. 57-58, dokumenty zawarte w aktach Prokuratury Rejonowej O.-P. w O. sygn.. 4020.4 Ds. (...).2023 k. 1-183, przesłuchanie powódki k. 213-214.).

Powódka M. K. (1) bezpośrednio po utracie kontaktu z rzekomą kupującą zorientowała się, że mogła stać się ofiarą przestępstw phishingu i oszustwa. Wymieniona ponownie zalogowała się do aplikacji pozwanego banku i zauważyła, że z jej konta dokonywane są przelewy wychodzące, których nie była w stanie wówczas zablokować. Powódka natychmiast pobiegła do oddziału pozwanego banku położonego przy ul. (...) w O.. W międzyczasie wymieniona próbowała również skontaktować się telefonicznie z pracownikiem pozwanego banku. Podobne próby w oddziale banku pozwanego w N. podejmowała równocześnie matka powódki – B. K., jako pełnomocnik do rachunku powódki. W konsekwencji powyższych działań na wniosek powódki oba konta zostały zablokowane przez pracowników pozwanego, został również zastrzeżony numer dowodu osobistego powódki. Powódka złożyła również wówczas stosowną reklamację w oddziale pozwanego banku, żądając zwrotu pieniędzy będących przedmiotem nieautoryzowanych przez nią transakcji bankowych.

W odpowiedzi z dnia 18 maja 2023 r. pozwany Bank nie uznał reklamacji powódki. Z pisemnych motywów odpowiedzi wynikało, że przelewy z dnia 17.05.2023 r. były zlecone po zalogowaniu o godz. 14:02 danymi powódki w serwisie (...) z urządzenia IP (...). Dyspozycje te były potwierdzone narzędziem autoryzacyjnym należącym do powódki.

W dniu 19 maja 2023 r. powódka za pośrednictwem swojego profesjonalnego pełnomocnika na podstawie art. 46 ust. 1 ustawy o usługach płatniczych wystosowała do pozwanego wezwanie do zwrotu nieautoryzowanych transakcji płatniczych w łącznej kwocie 100.000,00 złotych.

W odpowiedzi na powyższe, pismem z dnia 23.05.2023 r. pozwany bank poinformował powódkę, że nie uznaje reklamacji i nadal podtrzymuje stanowisko wyrażone w piśmie z dnia 18.05.2023 r..

(okoliczności bezsporne, a nadto dowód: odpowiedzi banku k. 34-35, 36-37 wezwanie do zwrotu – k. 40-42, przesłuchanie powódki k. 213-214 )

Na skutek złożenia przez powódkę w dniu 17 maja 2023 r. zawiadomienia o możliwości popełnienia przestępstwa, Komenda Miejska Policji w O. w dniu 1 czerwca 2023 r., (pod nadzorem Prokuratury Rejonowej O.-P. w O. sygn.. 4020.4 Ds. (...).2023) wszczęła dochodzenie w sprawie zaistniałego w dniu 17 maja 2023 r. w nieustalonym miejscu, za pośrednictwem sieci Internet, w celu osiągnięcia korzyści majątkowej, bez upoważnienia wpływając na automatyczne przetwarzanie danych informatycznych konta prowadzonego w (...) Bank (...) na rzecz M. K. (1), doprowadzenia M. K. (1) do niekorzystnego rozporządzenia mieniem w postaci pieniędzy w kwocie łącznej 100.000 złotych poprzez wprowadzenie jej w błąd co do zamiaru wywiązania się z warunków umowy kupna-sprzedaży wystawionych przez nią butów na portalu ogłoszeniowym F. M. i konieczności podania danych w celu zatwierdzenia zakupu i przesyłki kurierskiej, tj. o przestępstwo określone w art. 287§1 k.k.. Postępowanie nadal jest w toku.

(okoliczność bezsporna, a nadto dowód: zawiadomienie k. 39, postanowienie o wszczęciu dochodzenia k. 45 w aktach Prokuratury Rejonowej O.-P. w O. sygn.. 4020.4 Ds. (...).2023, przesłuchanie powódki k. 213-214 )

Powódka M. K. (1) na gruncie sprawy padła ofiarą ataku phishingowego w celu wyłudzenia środków z konta bankowego.

(...) klasy (...) ( (...)) oraz (...) ( (...)) powinny analizować wszelkie anomalia historyczne czy sekwencje wydarzeń typowe dla prób działań przestępczych w celu ich uniknięcia. Błyskawiczne wypłacenie środków, zaciągnięcie zobowiązania stanowiło przesłankę do możliwej interwencji Banku.

Działanie systemu zabezpieczeń pozwanego na gruncie sprawy było poprawne, a pozwany posiadał poprawne zabezpieczenia.

Powódka prawdopodobnie poprzez przekazanie danych identyfikacyjnych atakującym umożliwiła przeprowadzenie ataku. Powódka nie udostępniła tych danych celowo, a została przez osoby trzecie zmanipulowana i wprowadzona w błąd.

(dowód: opinia biegłego k. 211-237)

Sąd zważył, co następuje:

Powództwo jest zasadne i zasługiwało na uwzględnienie w całości.

W realiach sprawy sporne pomiędzy stronami były w zasadzie dwie kwestie: po pierwsze, czy powódka udostępniła, czy też nie udostępniła sprawcom kodów sms uwierzytelniających transakcje w ramach aplikacji (...) oraz po drugie, czy zachowanie to stanowiło rażące niedbalstwo w naruszeniu obowiązków wynikających z art. 42 ust. 1-2 ustawy, w rozumieniu przepisu art. 45 ustawy o usługach płatniczych.

Podstawę ustaleń faktycznych stanowiły wymienione dokumenty, których treść ani autentyczność nie była kwestionowana przez strony oraz wiarygodne wyjaśnienia powódki M. K. (1), które były spójne, logiczne, konsekwentne i pobawione sprzeczności oraz znajdowały potwierdzenie w pozostałych dowodach. Co istotne dla dalszych rozważań powódka na każdym etapie postępowania kategorycznie zaprzeczyła, aby przekazywała sprawcom zdarzenia kody dostępowe sms do aplikacji (...) uwierzytelniające/autoryzujące transakcje płatnicze w systemie bankowym. Przyznała jedynie, że przekazała sprawcom dowód uiszczenia płatności za transport przesyłki kurierskiej. Powyższe dowody były wystarczające dla oceny stanowisk i żądań stron.

Sąd dopuścił ponadto dowód z pisemnych zeznań świadków K. P. (k. 162-164v.), B. H. (k.166-167), P. C. (k.173-178), B. K. (k. 180-184) . Co prawda nie sposób odmówić zeznaniom świadków przymiotu wiarygodności, jednakże w ocenie Sądu zeznania te nie miały istotnego znaczenia dla rozstrzygnięcia w sprawie.

Sąd dopuścił także dowód z opinii biegłego z zakresu informatyki, oprogramowania i techniki komputerowej M. M., który w sposób wyczerpujący opisał najbardziej prawdopodobną sekwencję wydarzeń w dniu 17 maja 2023 r.. Wydana opinia w sposób jasny, pełny i kategoryczny potwierdziła fakt, iż powódka M. K. (1) na gruncie sprawy padła ofiarą ataku socjotechnicznego -phishingowego przeprowadzonego przez nieustalonych dotychczas sprawców. Przedmiotowa opinia nie była przy tym kwestionowana przez żadną ze stron.

Badanie materiału dowodowego potwierdziły schemat zachowań powoda i pozwanej, jako przypadek ataku socjotechnicznego. Oględziny danych technicznych potwierdziły przedstawioną w aktach sekwencję wydarzeń oraz potwierdziły, że pozwana wykorzystała metody zabezpieczenia transakcji (numer klienta, hasło, kod sms) uznawane jako bezpieczne podczas dokonywania transakcji w systemie bankowości elektronicznej. Wykorzystanie chęci powódki do przeprowadzenia transakcji sprzedaży butów a portalu F. zapoczątkowało proces przesłania fałszywego linku do fałszywej strony i przechwycenie danych do dalszego wykorzystania.

Biegły opisał w opinii, iż model ataku phishingowego wykorzystuje połączenie inżynierii społecznej z informatycznymi metodami kompromitacji danych. Pierwszym elementem algorytmu jest przygotowanie specjalnie spreparowanej wiadomości, która powinna wyglądać jak prawdziwy komunikat. Są to także rozmowy telefoniczne z fikcyjnymi konsultantami. Celem takiej rozmowy jest zmanipulowanie atakowanego, aby uzupełnił dane do logowania na podstawionej stronie, zainstalował oprogramowanie szpiegujące lub wykonał inne czynności, które mogą służyć do działań szkodliwych.

Na podstawie art. 235 ² §1 pkt 2 k.p.c. pominięto wnioski dowodowe powoda zgłoszone w piśmie procesowym z dnia 3 października 2024 r. oraz na rozprawie głównej w dniu 18 października 2024 r. (k. 273-274). Sąd uznał, iż zgromadzony w sprawie materiał dowodowy w pełni pozwala na prawidłowe rozpoznanie sprawy, w związku z czym powyższy ww. dowody uznano za nieistotne dla ostatecznego rozstrzygnięcia.

Na wstępie i dla porządku poczynionych rozważań wskazać należy, że w niniejszej sprawie zastosowanie znajdują przepisy ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych (tekst jednolity: Dz. U. z 2022r. poz. 2360).

Stosownie do art. 42 § 1 ww. ustawy, użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany: 1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz 2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. Z kolei w § 2 ustawodawca przewidział, iż w celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

Natomiast art. 45 przywołanej ustawy odwraca reguły dowodowe wynikające z treści art. 6 k.c., przerzucając ciężar dowodzenia, że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej lub dopuścił się naruszenia obowiązków na dostawcę usług. Zatem, to pozwany winien był wykazać, że powód umyślnie lub na skutek rażącego niedbalstwa dopuścił się naruszenia obowiązków wynikających z art. 42 ust. 1-2 ustawy.

Ocena, czy zachodzi wypadek rażącego niedbalstwa wymaga uwzględnienia obiektywnego stanu zagrożenia oraz kwalifikowanej postaci braku zwykłej staranności w przewidywaniu skutków, a więc uwzględnienia staranności wymaganej od działającej osoby oraz okoliczności, w których doszło do zaniechania pożądanych zachowań z jej strony. „Rażące niedbalstwo” to coś więcej niż brak zachowania zwykłej staranności w działaniu. Wykładnia tego pojęcia powinna zatem uwzględniać kwalifikowaną postać braku zwykłej lub podwyższonej staranności w przewidywaniu skutków działania. Chodzi tu o takie zachowanie, które graniczy z umyślnością (vide: wyrok Sądu Najwyższego z dnia 29 stycznia 2009 roku sygn. akt V CSK 291/08). Rażące niedbalstwo można zatem przypisać w wypadku nieprzewidywania szkody jako skutku zaniechania określonego działania, o ile doszło do przekroczenia podstawowych, elementarnych zasad staranności (vide: wyrok Sądu Okręgowego we Wrocławiu z dnia 8 października 2018 roku sygn. akt II Ca 1353/17, publ. LEX nr 2636997).

Zgodnie natomiast z przepisem art 46 ustawy o usługach płatniczych:

1. Z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą.

1a. W przypadku gdy transakcja płatnicza jest inicjowana za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej, dostawca prowadzący rachunek niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej oraz, w stosownych przypadkach, przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.

1b. Jeżeli dostawca świadczący usługę inicjowania transakcji płatniczej odpowiada za dokonanie nieautoryzowanej transakcji płatniczej, na wniosek dostawcy prowadzącego rachunek, niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia danej transakcji lub doręczenia wniosku, rekompensuje mu poniesione straty lub zwraca kwoty zapłacone w wyniku dokonania przez niego zwrotu na rzecz płatnika, w tym kwotę nieautoryzowanej transakcji płatniczej. Przepis art. 45 ust. 1a stosuje się odpowiednio.

1c. Roszczenia, o których mowa w ust. 1b, nie wyłączają roszczeń wynikających z umowy zawartej między płatnikiem a dostawcą prowadzącym rachunek lub umowy zawartej między płatnikiem a dostawcą świadczącym usługę inicjowania transakcji płatniczej oraz z przepisów prawa właściwego dla tych umów.

2. Płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 50 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem:

1) posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub

2) przywłaszczenia instrumentu płatniczego.

2a. Przepisu ust. 2 nie stosuje się, w przypadku gdy:

1) płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej, z wyjątkiem przypadku gdy płatnik działał umyślnie, lub

2) utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy płatnika lub podmiotu świadczącego na jego rzecz usługi, o których mowa w art. 6 pkt 10.

3. Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.

4. Po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 płatnik nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że płatnik doprowadził umyślnie do nieautoryzowanej transakcji.

4a. W przypadku gdy dostawca płatnika nie wymaga silnego uwierzytelniania użytkownika, płatnik nie ponosi odpowiedzialności za nieautoryzowane transakcje płatnicze, chyba że działał umyślnie. W przypadku gdy odbiorca lub dostawca odbiorcy nie akceptują silnego uwierzytelniania użytkownika, odpowiadają oni za szkody poniesione przez dostawcę płatnika.

5. Jeżeli dostawca, wbrew obowiązkowi, o którym mowa w art. 43 ust. 1 pkt 3, nie zapewnia odpowiednich środków umożliwiających dokonanie w każdym czasie zgłoszenia, o którym mowa w art. 42 ust. 1 pkt 2, płatnik nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że płatnik doprowadził umyślnie do nieautoryzowanej transakcji.

6. Przepisów ust. 1-5 nie stosuje się do pieniądza elektronicznego, jeżeli dostawca płatnika nie ma możliwości zablokowania instrumentu płatniczego lub rachunku płatniczego.

Z kolei zgodnie z przepisem art. 47 ustawy o usługach płatniczych:

1. Płatnik może żądać od swojego dostawcy zwrotu kwoty autoryzowanej transakcji płatniczej zainicjowanej przez odbiorcę lub za jego pośrednictwem, która została już wykonana, jeżeli:

1) w momencie autoryzacji nie została określona dokładna kwota transakcji płatniczej oraz

2) kwota transakcji płatniczej jest wyższa niż kwota, jakiej płatnik mógł się spodziewać, uwzględniając rodzaj i wartość wcześniejszych transakcji płatnika, postanowienia jego umowy ramowej i istotne dla sprawy okoliczności.

2. Na żądanie dostawcy płatnik jest obowiązany przedstawić okoliczności faktyczne wskazujące na spełnienie warunków określonych w ust. 1.

3. Zwrot obejmuje pełną kwotę wykonanej transakcji płatniczej. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą.

4. W odniesieniu do poleceń zapłaty płatnik posiada bezwarunkowe prawo do otrzymania zwrotu w terminach określonych w art. 48.

5. Dla wykazania spełnienia warunku, o którym mowa w ust. 1 pkt 2, płatnik nie może powoływać się na przyczyny związane z wymianą waluty, jeżeli do ustalenia kursu walutowego został zastosowany referencyjny kurs walutowy, uzgodniony z jego dostawcą.

6. Umowa ramowa płatnika i jego dostawcy może stanowić, że płatnik nie ma prawa do zwrotu kwoty autoryzowanej transakcji zainicjowanej przez odbiorcę, gdy:

1) płatnik udzielił zgody na wykonanie transakcji płatniczej bezpośrednio swojemu dostawcy oraz

2) informacja o przyszłej transakcji płatniczej została dostarczona płatnikowi przez dostawcę lub odbiorcę, w uzgodniony sposób, na co najmniej 4 tygodnie przed terminem wykonania zlecenia lub była udostępniana płatnikowi przez dostawcę lub odbiorcę, w uzgodniony sposób, przez okres co najmniej 4 tygodni przed terminem wykonania zlecenia.

Przenosząc powyższe teoretyczne uwagi na grunt realiów niniejszej sprawy, należy z całą mocą stwierdzić, iż nie sposób uznać, aby powódka M. K. (1) umyślnie naruszyła obowiązki wskazane w art. 42 ust. 1-2 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych, czy też dopuściła się rażącego niedbalstwa. Co prawda, przeprowadzone w sprawie postępowanie dowodowe wykazało, iż powódka prawdopodobnie udostępniła nieustalonym osobom trzecim swoje dane identyfikacyjne – jak wskazał biegły – wskutek tzw. ataku phishingowego, niemniej uczyniła to w sposób nieświadomy. Powódka nie zdawał sobie sprawy, że nie rozmawia z potencjalnym nabywcą, lecz oszustem. Powódka mogła pozostawać w błędnym, aczkolwiek usprawiedliwionym przekonaniu, iż rzeczywiście rozmawia z osobą zainteresowaną zakupem butów, a schemat i przebieg zdarzenia odpowiadał na gruncie sprawy zarówno typowym transakcjom przeprowadzanym na portalu (...) P., jak również odpowiadał przebiegowi typowego ataku socjotechnicznego. Nieświadomość powódki wyłącza zaś możliwość oceny jej zachowania w kategorii umyślnego naruszenia obowiązków czy też zachowania w ramach „rażącego niedbalstwa”, a fakt, iż udostępnienie niektórych danych przez powódkę i podjęcie przez nią dalszych działań polegających m.in. na zalogowaniu się do aplikacji bankowej i uiszczenie kosztów przesyłki kurierskiej, były reakcjami powódki na precyzyjnie przygotowaną i zorganizowaną akcję przestępczą. Zachowanie powódki co najwyższej można ocenić jako niezbyt rozważne.

Zauważyć przy tym należy, że powódka M. K. (1) jeszcze tego samego dnia, natychmiast po utracie kontaktu z rzekomym kupującym biegiem udała się do najbliższego oddziału banku pozwanego w celu zablokowania kont i zastrzeżenia dowodu osobistego. Z kolei bezpośrednio po uzyskaniu informacji od pracownika pozwanego banku odnośnie dokonanych z konta powódki przelewów wychodzących na łączną kwotę 100.000,00 złotych, zgłosiła tę okoliczność właściwym organom ścigania. Względy te również nie pozwalają w ocenie Sądu na przypisanie powódce rażącego niedbalstwa. Na gruncie sprawy podjęła ona bowiem słuszne czynności mające na celu wyjaśnienie zaistniałej sytuacji. Oceny tej nie zmienia okoliczność, że z punktu widzenia systemu informatycznego Banku (...) S.A. z siedzibą w W. transakcje płatnicze wykonana z konta powódki w dniu 17 maja 2023 roku – co wykazała opinia biegłego sądowego – były przeprowadzone poprawnie i nie doszło do złamania zabezpieczeń banku, które również działały wówczas prawidłowo.

W tym kontekście z całą mocą należy jeszcze raz podkreślić, że art. 45 ustawy o usługach płatniczych odwraca reguły dowodowe wynikające z treści art. 6 k.c., przerzucając ciężar dowodzenia, że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej lub dopuścił się naruszenia obowiązków na dostawcę usług. Zatem, to pozwany na gruncie sprawy winien był wykazać, że powódka umyślnie lub na skutek rażącego niedbalstwa dopuściła się naruszenia obowiązków wynikających z art. 42 ust. 1-2 ustawy. Zaoferowany przez pozwanego na gruncie sprawy materiał dowody wskazują wyłącznie na prawdopodobieństwo przekazania swoich danych osobowych przez powódkę sprawcom przestępstwa phishingu. Należy stwierdzić, że uprawdopodobnienie zaś nie jest tym samym co udowodnienie zaistnienia na gruncie rzeczy rażącego niedbalstwa po stronie powódki. Konsekwencje zaś tego zaniedbania nie mogą na gruncie sprawy obciążać strony powodowej, biorąc w szczególności pod uwagę kategoryczne w tym zakresie wyjaśnienia powódki, która zaprzeczyła powyższemu. Skoro zatem w realiach sprawy pozwany nie podołał ciężarowi dowodowemu przewidzianemu w art. 45 uup i nie udowodnił w sposób niewątpliwy, że powódka na skutek rażącego niedbalstwa naruszyła obowiązku wynikające z art. 42 ustawy to tym samym żądanie zapłaty zgłoszone w pozwie zasługiwało na uwzględnienie w całości. Skoro bowiem powódce nie można przypisać winy umyślnej w doprowadzeniu do wyprowadzenia środków z rachunku bankowego, na którym były zdeponowane, ani też „rażącego niedbalstwa”, to na pozwanym spoczywał obowiązek jego uzupełnienia do pierwotnego stanu. Zastosowanie będzie miał w tym przypadku art. 46 ust. 1 ustawy o usługach płatniczych, zgodnie z którym: z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą. Zgodzić się należy także ze stanowiskiem wyrażonym przez Sąd Apelacyjny w Warszawie z 19 lipca 2018 r., sygn. akt I ACa 348/17, w którym wskazał, iż „ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową”.

Przepis ten odnosi się do transakcji polegających na wypłacie lub transferze środków pieniężnych, z kolei transakcja nieautoryzowana oznacza transakcję płatniczą, na którą płatnik nie wyraził zgody w sposób przewidziany w umowie między płatnikiem a jego dostawcą.

Natomiast, zgodnie z art. 50 ust. 2 ustawy Prawo bankowe bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Powyższe oznacza w szczególności, że bank ponosi ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną (wyrok Sądu Okręgowego w Warszawie z 17.4.2023 r., XXV C 324/22, L.).

Zgodnie z treścią art. 725 k.c. przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych. Zawarcie umowy rachunku bankowego powoduje, że środki pieniężne posiadacza przechodzą na własność banku. Mimo braku jednoznacznego sformułowania w odkreślonych przepisach ustawy, w doktrynie i w orzecznictwie powszechny i w zasadzie niekontrowersyjny jest pogląd, że bank uzyskuje własność deponowanych pieniędzy. Jak wskazał m.in. Sąd Apelacyjny w Krakowie w wyroku z dnia 5 lutego 2014 r., sygn. I ACa 917/12 (LEX nr 1540886), umowa rachunku bankowego jest oparta na konstrukcji depozytu nieprawidłowego (art. 845 k.c.), co oznacza, że bank nabywa własność wniesionych środków pieniężnych, a posiadacz rachunku bankowego nabywa roszczenie o zwrot sumy pieniężnej wynikającej z postanowień umowy łączącej klienta z bankiem. Sąd w składzie rozpoznającym niniejszą sprawę w całości podziela przy tym stanowisko Sądu Najwyższego wyrażone w wyroku z dnia 28 października 2005 roku w sprawie o sygn. akt II CK 174/05, iż czynność prawna podjęta w celu przestępczym jest nieważna (vide: wyrok Sądu Najwyższego z dnia 28 października 2005 roku sygn. akt II CK 174/05, publ. OSNC 2006/9/149). Nie powinno bowiem budzić wątpliwości, iż czynność prawna w postaci wyprowadzenia środków z konta powódki w ramach 20 przelewów wychodzących została podjęta nie przez M. K. (1), ale przez osoby trzecie w celu uzyskania korzyści majątkowej kosztem powódki i była ukierunkowana na popełnienie przestępstwa oszustwa - phishingu z art. 287 k.k..

Wszelkie rozliczenia pomiędzy powódką i pozwanym powinny odbyć się zatem na zasadzie art. 405 i nast. k.c., które przewidują obowiązek zwrotu korzyści uzyskanych kosztem innej osoby. Skoro bowiem podstawa tych świadczeń została uznana za nieważną i sprzeczną z prawem, świadczenia te są świadczeniami nienależnymi w rozumieniu art. 410 k.c. Zatem łączna kwota 100.000,00 zł, która w dniu 17 maja 2023 r. została wyprowadzona przez hakerów z konta powódki w ramach przelewów wychodzących stanowi świadczenie nienależne i podlega zwrotowi.

Powódka żądał zasądzenia odsetek ustawowych od dnia 24 maja 2023 r. i takie żądanie jest uzasadnione. Sąd był przy tym związany żądaniem pozwu. W art. 46 ust. 1 ustawy o usługach płatniczych ustawodawca przewidział, iż dostawca płatnika zobowiązany jest niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej. Powódka zgłosiła podejrzenie, iż doszło do przejęcia jej konta, w dniu 17 maja 2024 r., w tym też dniu dokonała zgłoszenia o możliwości popełnienia przestępstwa. Pozwany winien był tego samego dnia zwrócić powodowi utracone środki na jego konto bankowe.

Mając na uwadze powyższe, w punkcie I wyroku zasądzono od pozwanego na rzecz powódki kwotę 100.000,00 zł wraz z ustawowymi odsetkami za opóźnienie od dnia 24 maja 2023 r. do dnia zapłaty – zgodnie z żądaniem pozwu.

O kosztach procesu orzeczono na podstawie art. 98 k.p.c. poprzez obciążanie pozwanego obowiązkiem ich zwrotu na rzecz powoda w całości. Koszty procesu po stronie powodowej obejmowały, opłatę od pozwu (5.000 zł), zaliczkę na poczet wynagrodzenia biegłego z zakresu informatyki (3.000 zł), wynagrodzenie pełnomocnika (adwokat) w stawce wynikającej z § 2 pkt 6 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (5.400 zł). Łącznie powód poniósł koszty procesu w wysokości 13.400,00 zł i taką kwotę należało zasądzić na jego rzecz wraz z ustawowymi odsetkami za opóźnienie od dnia uprawomocnienia się orzeczenia do dnia zapłaty (pkt II wyroku).

W punkcie III Sąd nakazał ściągnąć od pozwanego kwotę 1.938,50 złotych tytułem wydatków postępowanie poniesionych tymczasowo przez Skarb Państwa na poczet części wynagrodzenia biegłego sądowego.

sędzia Krystian Szeląg