W omawianej sprawie, klient banku żądał zapłaty przez bank 85 000,00 zł wyprowadzonych z jego rachunku bankowego przez przestępców. Sąd Apelacyjny oddalając apelację banku stwierdził, że mimo nieświadomego udostępnienia przestępcom dostępu do rachunku, w tym umożliwienia dodania odbiorcy zaufanego klient nie autoryzował transakcji, a ryzyko dokonania wypłaty do rąk osoby nieuprawnionej nadal spoczywa na banku.
Jak doszło do nieautoryzowanej transakcji?
W dniu zdarzenia będącego przedmiotem sprawy klient miał problemy z poprawnym wylogowaniem się z systemu transakcyjnego banku, gdyż strona internetowa wykazywała oznaki „zawieszenia się”. Klient logował się do serwisu transakcyjnego banku tylko z jednego prywatnego laptopa, na którym miał zainstalowane aktualne oryginalne oprogramowanie antywirusowe. Klient nigdy nikomu osobiście nie udostępniał hasła, telefonu ani laptopa, z których korzystał logując się do serwisu internetowego banku.
Podczas jednego z logowań, na stronie banku wyświetlił się komunikat z informacją o zmianie formatu konta i prośbą o potwierdzenie zmiany kodem sms – jednocześnie poszkodowany otrzymał wiadomość sms z kodem autoryzującym, który przepisał na wyświetloną stronę internetową wyglądającą jak strona logowania do serwisu transakcyjnego banku. Po tej operacji nie miał problemu, by ponownie zalogować się do swojej bankowości elektronicznej w pozwanym banku.
Po kolejnym zalogowaniu się do systemu bankowości internetowej klient banku stwierdził z przerażeniem, że zlikwidowane zostały wszystkie jego lokaty bankowe, a z rachunku przelano środki w łącznej kwocie 85 000,00 zł na nieznany klientowi rachunek bankowy.
W tym samym dniu, niezwłocznie po stwierdzeniu faktu utraty środków z rachunku poszkodowany poinformował telefonicznie bank o zaistniałej sytuacji, a także udał się osobiście do oddziału banku, gdzie stwierdził, że wśród zdefiniowanych zaufanych odbiorców uprawnionych do otrzymywania przelewów z konta powoda bez konieczności potwierdzania przelewów kodem sms, znajduje się nieznany poszkodowanemu odbiorca. Klient banku nigdy nie dodawał wskazanego kontrahenta do listy odbiorców zaufanych, ani nie otrzymał z Banku informacji sms weryfikującej osobnym kodem wykonanie takiej czynności.
Poszkodowany powiadomił o zaistniałym zdarzeniu organy ścigania, które ustaliły adresy IP, z których logowano się w dniu zdarzenia do bankowości elektronicznej powoda. Ustalono także, że sprawca, używał prawdopodobnie programu maskującego IP działającego na zasadzie wskazywania nieprawdziwego adresu IP komputera, którym się posługiwał.
Przed tym zdarzeniem bank nie informował swoich klientów o zagrożeniach związanych z komunikatem o zmianie formatu konta, tj. o zagrożeniu takimi sposobami działania hakerów, jakie zastosowali oni w przypadku poszkodowanego klienta.
Sądy obu instancji uznały roszczenie klienta za uzasadnione i zasądziły na jego rzecz kwotę 85 000,00 zł wraz z odsetkami. Sądy odwołały się do poglądu, że zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku.
Ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową.
Podstawą odpowiedzialności banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 r. Zgodnie z nią, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank ma obowiązek niezwłocznie zwrócić klientowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku gdy klient korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.
Poszkodowany w omawianej sprawie w sposób niezamierzony i nieświadomy, a więc niezawiniony, dopuścił się naruszenia jednego ze swoich obowiązków ciążących na nim z mocy ustawy o usługach płatniczych, za co nie może ponosić odpowiedzialności, więc jego roszczenie było w pełni uzasadnione.
Źródło: wyrok Sądu Apelacyjnego w Warszawie z dnia 24 maja 2018 r. w sprawie VI ACa 217/17