Sąd: „Jeśli transakcje zostały zrealizowane bez zgody płatnika oraz w okolicznościach, za które nie ponosi on odpowiedzialności, a następnie płatnik dokonał zgłoszenia wystąpienia nieautoryzowanych transakcji, to na dostawcy ciąży obowiązek zwrotu kwot nieautoryzowanych transakcji. Jeśli jednak do nieautoryzowanych transakcji płatnik doprowadził umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia swoich obowiązków (o których mowa w art. 42 ustawy o usługach płatniczych), wówczas to on, a nie dostawca odpowiada za nieautoryzowane transakcje.”
Pozew przeciwko bankowi
Pan Karol złożył przeciwko bankowi pozew, w którym żądał m.in. o zasądzenia kwoty 85.000 zł.
W uzasadnieniu wskazał, że podstawą jego żądania jest art. 46 ust. 1 ustawy o usługach płatniczych, ponieważ doszło do nieautoryzowanej transakcji płatniczej, przez co w drodze działań przestępczych hakerzy wyprowadzili z jego rachunku bankowego środki pieniężne w wysokości 85.000 zł.
Pan Karol wskazał, że sprawcy przejęli kontrolę nad Jego komputerem, ustanowili na jego koncie użytkownika zaufanego poprzez wysłanie na jego telefon w formie wiadomości sms, komunikatu imitującego wiadomość od banku. Sms był w szacie graficznej łudząco podobny do wiadomości przesyłanych przez bank, w konsekwencji użytkownik nie był w stanie zorientować się, że komunikat nie jest autentyczny. Wprowadzony w błąd, zdecydował o akceptacji zmiany formatu konta, jednak sms okazał się wyłudzeniem kodu autoryzacyjnego, co doprowadziło w konsekwencji do ustanowienia przez hakerów użytkownika zaufanego.
Nieautoryzowane transakcje
Po ustanowieniu użytkownika zaufanego, sprawcy dokonali szeregu transakcji, które nie wymagały już autoryzacji. Były one przeprowadzane bez świadomości i wiedzy pana Karola, który o ich zaistnieniu dowiedział się dopiero po zalogowaniu się na konto. Pan Karol podkreślił, że dochował należytej staranności w korzystaniu z serwisu transakcyjnego banku. Przede wszystkim był wyłącznym użytkownikiem swojego loginu i hasła do internetowego konta – nie udostępniał ich osobom postronnym. Dotyczy to także telefonu oraz komputera. Nadto na komputerze zainstalowany miał program antywirusowy. O nieautoryzowanych transakcjach zawiadomił niezwłocznie pozwany bank i policję. Nadmienił też, że Sąd wydał prawomocny wyrok, na mocy którego uznał oskarżonego za winnego popełnienia zarzucanego mu czynu polegającego na złamaniu zabezpieczeń elektronicznych do konta bankowego prowadzonego dla pokrzywdzonego, a następnie dodaniu swojego konta jako zidentyfikowany odbiorca, skąd po zerwaniu lokat związanych z kontem pokrzywdzonego przelał pieniądze na swoje konto zabierając w celu przewłaszczenia pieniądze w kwocie 85.000 zł.
W odpowiedzi na pozew bank wniósł o oddalenie powództwa w całości. W uzasadnieniu podał, że w dniu 14 stycznia 2014 r. po dokonaniu prawidłowego logowania do systemu dodano zdefiniowanego zaufanego kontrahenta, przy czym operacja ta została zatwierdzona prawidłowym kodem sms, wysłanym na numer wskazany przez pana Karola. Po dokonaniu kolejnego prawidłowego logowania do systemu w tym dniu zerwano trzy lokaty na łączną kwotę 70.000 złotych oraz dokonano trzech przelewów z rachunku powoda na rzecz zdefiniowanego uprzednio kontrahenta odpowiednio na kwotę 15.000 złotych oraz dwa przelewy na kwoty po 35.000 złotych. Każdego logowania dokonano przy użyciu unikalnego loginu pana Karola i unikalnego hasła wybranego przez pana Karola. W związku z tym – w ocenie banku – zostały one wykonane zgodnie z wymogami ustalonymi przez strony. Bank nie odnotował w tym czasie żadnych awarii ani innych defektów systemu bankowości elektronicznej, a w konsekwencji zlecenie zostało wykonane zgodnie z dyspozycją.
Wyrok sądu
Sąd zobowiązał bank do zwrotu środków panu Karolowi. Oparł się przy tym m.in. na poniższych argumentach.
Zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku, gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Jeżeli jednak płatnik doprowadził do nieautoryzowanej transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42, odpowiada on za nieautoryzowane transakcje płatnicze w pełnej wysokości (art. 46 ust. 3).
Pan Karol w sposób niezamierzony i nieświadomy, a więc niezawiniony, dopuścił się naruszenia jednego ze swoich obowiązków ciążących na nim z mocy art. 42 ust. 2 ustawy o usługach płatniczych, za co nie może ponosić odpowiedzialności na podstawie art. 46 ust. 3 cytowanej ustawy.
Bank dopuścił się opóźnienia w zwrocie zasądzonej wyrokiem kwoty, dlatego panu Karolowi należały się odsetki w wysokości ustawowej. W myśl art. 46 ust. 1 ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej „niezwłocznie”.