Pewien bank wymagał potwierdzania przelewu za pomocą jednorazowych haseł, ostrzegał swoich klientów oraz posiadał stosowne zabezpieczenia, jednakże mimo to, z konta jego klientki zostały skradzione pieniądze.
W omawianej sprawie klientka banku zatwierdzała przelewy internetowe za pomocą jednorazowych haseł, które odbierała w oddziale Banku w formie papierowej. Listę przechowywała najczęściej w domu w szufladzie. Hasła z listy wykorzystywane były jedynie do autoryzacji transakcji, a nie w celu identyfikacji klientów. Jak wynikało z okoliczności, w banku dostęp do tych haseł uzyskiwał jedynie klient – posiadacz listy.
W dniu dokonania oszustwa powódka dziewięciokrotnie bezskutecznie usiłowała zalogować się na swoje konto. Następnego dnia próbowała ponownie – jednakże z takim samym rezultatem. Poszkodowana kilkukrotnie podawała poprawny login oraz hasło, czasem strona wymagała także wpisania hasła z listy haseł jednorazowych. Pomimo starań powódki, strona zawieszała się i nie można było uzyskać połączenia z bankiem – co udało się dopiero po 2 dniach. Jak się okazało, w czasie, gdy klientka banku nie mogła zalogować się na swoje konto, z jej rachunku zniknęła kwota ponad 19 000 zł. Klientka natychmiastowo zgłosiła sprawę w banku i na policji, jednakże skradzione pieniądze zostały już wypłacone. Okazało się również, że w tym samym okresie pojawiły się również inne przypadki zniknięcia pieniędzy z kont klientów pozwanego banku wskutek przelewów wykonanych z wykorzystaniem haseł z list haseł jednorazowych, znajdujących się w posiadaniu tych klientów. Pomimo powyższych okoliczności, bank odmówił zwrotu skradzionej kwoty swojej klientce.
Zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych oraz postanowieniami regulaminu, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank ma obowiązek niezwłocznie zwrócić klientowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku gdy klient korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.
Sąd rejonowy stwierdził, że klientce banku nie można przypisać zgody ani woli wykonania transakcji, oraz że nie można jej również zarzucić umyślnego doprowadzenia do nieautoryzowanych transakcji płatniczych. Wprawdzie klientka udostępniła osobom nieuprawnionym dane z listy haseł jednorazowych, czego nie powinna czynić, jednak nie nastąpiło to w okolicznościach świadczących o rażącym niedbalstwie z jej strony. Jak wynikało z okoliczności sprawy, do zainfekowania komputera klienta może dojść w sposób podstępny, lecz prosty, np. przez kliknięcie przez użytkownika w zdjęcie na ekranie czy otwarcie załącznika e-maila.
Sąd okręgowy potwierdził, że klientka banku udostępniła kody jednorazowe i inne dane w sposób niezamierzony i nieświadomy. Podkreślono także, że wymagane przez ustawę rażące niedbalstwo jest kwalifikowaną postacią winy nieumyślnej. Działanie klienta, które można zakwalifikować jako rażące niedbalstwo, leży zatem bardzo blisko winy umyślnej. Jak podkreślił sąd, rażące niedbalstwo mogłoby mieć miejsce, gdyby klient banku ,,całkowicie świadomie” udostępnił kody jednorazowe innej osobie, bądź przechowywał wrażliwe dane w sposób umożliwiający dostęp osób trzecich, dlatego sądy obu instancji uwzględniły roszczenie klientki banku w całości.
Źródło: Wyrok Sądu Okręgowego w Łodzi z dnia 22 marca 2016 r. (sygn. akt III Ca 24/16