Jeden ze wspólników spółki jawnej próbował zalogować się na rachunek bankowy spółki. W trakcie logowania został poproszony o podanie numeru klienta, a następnie wpisał indywidualne hasło użytkownika.
Po wpisaniu obu tych informacji na stronie internetowej banku pojawił się komunikat o trwających pracach modernizacyjnych i konieczności potwierdzenia danych użytkownika. W tym celu strona internetowa wygenerowała kod, co wspólnik potraktował jako procedurę bezpieczeństwa. Po zalogowaniu okazało się jednak, że z rachunku zniknęło ponad 75 tysięcy złotych.
Kradzież środków została zgłoszona w banku, niemal natychmiast, z żądaniem blokady rachunku, podobnie jak zawiadomienie o popełnieniu przestępstwa na Policji.
Analiza komputera wykazała, że został zainfekowany złośliwym oprogramowaniem. Wirus działał w ten sposób, że osobie korzystającej z bankowości elektronicznej, tuż po zalogowaniu pojawiał się komunikat wymuszający podanie hasła. W ten sposób cyberprzestępca wszedł w posiadanie narzędzi do autoryzacji transakcji (numeru klienta i hasła).
Kilka miesięcy wcześniej bank informował o działaniu innego wirusa, który atakował klientów Banku, by wyłudzić ich dane.
Sąd pierwszej instancji uznał, że wina leży po stronie spółki, gdyż wspólnicy nie zachowali ostrożności w zabezpieczeniu danych do logowania, a bank informował wcześniej o ryzyku wyłudzenia przez wirusa.
Sąd drugiej instancji nie podzielił tego stanowiska i zasądził od banku na rzecz wspólników zwrot skradzionych 75 tysięcy złotych, pomniejszonych o równowartość 150 euro.
Zgodnie z regulaminem świadczenia usług bankowych i kodeksem spółek handlowych, klientem banku nie jest jeden ze wspólników, a spółka jawna reprezentowana przez wspólników, przy czym każdy ze wspólników może działać samodzielnie w imieniu spółki. Spółce, a więc de facto obu wspólnikom, przysługiwał jeden numer identyfikacyjny i hasło. Skoro tak, to nie można było jednego ze wspólników uznać za osobę nieuprawnioną do dostępu do serwisu transakcyjnego. Co za tym idzie, samego faktu logowania przez jednego ze wspólników, nie można utożsamiać z niedbalstwem w zabezpieczeniu danych do logowania.
Wspólnicy spełnili obowiązek niezwłocznego zgłoszenia nieuprawnionego użycia oraz podjęli niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu. Korzystali z komputera z programem antywirusowym i nie udostępnili instrumentu płatniczego osobom nieuprawnionym. Nie może być mowy o uchybieniu przez Wspólników obowiązkowi przechowywania instrumentu płatniczego z zachowaniem należytej staranności.
Klient banku odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie, albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków. Skoro wspólnicy nie uchybili żadnemu z obowiązków (zabezpieczenia środka płatniczego i niezwłocznego zgłoszenia takiego stanu), to nie mogą ponosić tego negatywnych konsekwencji, poza przewidzianą ustawą równowartością 50 euro (wcześniej, tak jak w tej sprawie 150 euro).
Nie można uznać też, że wspólnicy utracili środki pieniężne w kwocie 75 tysięcy złotych wskutek autoryzowanej transakcji płatniczej, bo taką transakcją jest tylko ta, na którą klient banku wyraził zgodę w sposób przewidziany w umowie między nim, a jego dostawcą. Wspólnicy nie wyrazili przecież zgody na transakcję, która dokonana została wskutek nieuprawnionego użycia przez nieustaloną osobę instrumentu płatniczego, pozyskanego od niej przestępstwem.
Sąd poruszył również inny ciekawy wątek. Zasadą jest, że to na banku wydającym instrument płatniczy, spoczywa obowiązek zapewnienia, że indywidualne dane uwierzytelniające nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu (art. 43 ust. 1 pkt 1 u.u.p.). W tej jednak sprawie to nie bank zawinił, nie zapewniając odpowiedniej ochrony indywidualnego zabezpieczenia instrumentu płatniczego, lecz nieznany sprawca pozyskał dane uwierzytelniające wspólników, zapewniając sobie nieuprawniony dostęp do komputera wspólników – jednak nawet to nie zwolniło banku z obowiązku zwrotu środków.
Artykuł został przygotowany w oparciu o wyrok Sądu Apelacyjnego w Katowicach z 8.10.2019, V AGa 404/18.