Czy bank odpowiada za przelewy z rachunku klienta — „autoryzowane” przez oszusta, który wykradł dane do logowania?

A skoro kilka dni temu było o tym, że użycie skradzionej bezstykowej karty płatniczej to kradzież z włamaniem, dziś czas na kilka akapitów o tym kto odpowiada za wyczyszczenie rachunku klienta — jeśli sam sobie zainstalował jakieś malware, dzięki któremu oszuści dostali się na jego konto. Słowem: czy odpowiedzialność banku za nieautoryzowane transakcje jest wyłączona w przypadku tego rodzaju zaniedbań po stronie posiadacza rachunku?


odpowiedzialność banku nieautoryzowane transakcje

To jedyny obrazek, który mi pozostał po ś.p. MultiBanku. Obecne mBankowe wodotryski niegodne są rzutu ekranu


 

wyrok Sądu Apelacyjnego w Łodzi z 10 marca 2017 r. (sygn. akt I ACa 1174/16)
Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub, że została wykonana prawidłowo spoczywa na dostawcy. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez płatnika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzowanie transakcji przez płatnika albo okoliczności wskazujących na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego obowiązków o których mowa jest w art. 42 ustawy z 2011 r. o usługach płatniczych.

Sprawa dotyczyła odpowiedzialności banku za nieautoryzowane transakcje — przelewy i płatności kartami — wskutek których doszło do wyprowadzenia pieniędzy z rachunku klienta.
Rzecz zaczęła się podczas logowania się do systemu bankowości elektronicznej MultiBanku (dziś mBank): klientowi wyświetlił się komunikat o konieczności zainstalowania w telefonie oprogramowania e-Security i podania swego numeru telefonu, a to „w celu poprawy jakości i bezpieczeństwa”. Okienko z komunikatem nie dało się zamknąć — dopóki użytkownik nie postąpił w sposób wskazany w instrukcji…

Następnego dnia z rachunków wykonano kilka przelewów na kwotę ok. 100 tys. złotych, a po kolejnych dwóch dniach jeszcze 8 przelewów z karty kredytowej po 1 tys. złotych każdy. Żadna z tych transakcji nie była autoryzowana przez osobę uprawnioną (łącznie naliczono ich ok. 30).

art. 42 ust. 1 ustawy o usługach płatniczych
Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.

Ustalono, że zainstalowany przez klienta w telefonie kod powodował, że esemesy autoryzacyjne nie docierały na jego telefon, lecz były odbierane przez oszustów. Dane niezbędne do operacji wykradł trojan, który zainfekował komputer, zatem z punktu widzenia informatycznego nie doszło do przełamania systemu komputerowego MultiBanku. Z perspektywy banku zarówno identyfikacja klienta jak i autoryzacja transakcji przebiegły zgodnie z procedurą, uwzględniono więc reklamację w odniesieniu do operacji kartą — ale bank nie oddał pieniędzy przelanych z konta, zatem klient wniósł pozew do sądu.

Sąd prawomocnie uwzględnił roszczenia klientów i nakazał zwrot 103 tys. złotych: obowiązkiem banku jako dostawcy usług płatniczych jest zapewnienie, iż dzięki indywidualnemu zabezpieczeniu instrument płatniczy nie jest dostępny dla osób nieupoważnionych (art. 43 pkt 1 ustawy o usługach płatniczych). Użyte przez bank zabezpieczenia warunki te spełniały.

art. 43 ustawy o usługach płatniczych
1. Dostawca wydający instrument płatniczy jest obowiązany do:
1) zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu,
2) niewysyłania niezamówionego instrumentu płatniczego, z wyjątkiem sytuacji, w których instrument płatniczy otrzymany przez użytkownika podlega wymianie,
3) zapewnienia stałej dostępności odpowiednich środków pozwalających użytkownikowi na dokonanie zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 lub wystąpienie z wnioskiem o odblokowanie albo zastąpienie zablokowanego instrumentu płatniczego nowym na podstawie art. 41 ust. 4,
4) zapewnienia procedur pozwalających na udowodnienie dokonania zgłoszenia, o którym mowa w art. 42 ust. 1 pkt 2, na wniosek złożony przez użytkownika w terminie 18 miesięcy od dnia dokonania zgłoszenia oraz
5) uniemożliwienia korzystania z instrumentu płatniczego po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2.
2. Dostawca ponosi ryzyko związane z wysłaniem płatnikowi instrumentu płatniczego lub jego indywidualnych zabezpieczeń.

Na kliencie natomiast ciąży obowiązek korzystania z instrumentu płatniczego w sposób zgodny z umową oraz obowiązek zgłaszania utraty, kradzieży oraz nieuprawnionego użycia instrumentu płatniczego; w tym celu użytkownik ma obowiązek przechowywać instrument z zachowaniem należytej staranności i nie udostępniać go osobom nieuprawnionym (art. 42 ust. 1-2 uup). Powód uchybił tej powinności, ale uczynił to w sposób niezamierzony i nieświadomy — zatem jego odpowiedzialność za nieautoryzowane transakcje (a to wskutek uchybień) ograniczona jest do kwoty 150 euro (art. 46 ust. 2 uup).

Jednakże w ocenie sądu zakwestionowane transakcje nie zostały autoryzowane w rozumieniu art. 40 ust. 1 uup — bo posiadacz rachunku nie wyraził na nie zgody, a w dodatku momentalnie powiadomił o zdarzeniu policję i dostawcę usług płatniczych. Do przyjęcia odpowiedzialności klienta nie wystarczy samo potwierdzenie dokonania transakcji, zaś na banku spoczywa obowiązek wykazania (art. 6 kc) prawidłowej autoryzacji transakcji przez klienta.

Jako dowód, iż to klient zlecił transakcję, nie wystarczy sam fakt użycia instrumentu płatniczego — bank powinien udowodnić, że po stronie klienta doszło, umyślnie bądź wskutek rażącego niedbalstwa, do naruszenia obowiązków w zakresie zabezpieczenia dostępu do systemu. Tymczasem bank nie stawiał użytkownikom żadnych wymagań jeśli chodzi o sprzęt lub oprogramowanie, zaś do zainfekowania komputera doszło w sposób podstępny, którego użytkownik nie posiadający wiedzy z zakresu informatyki nie mógł przewidzieć.

W przypadku nagłego wykonania niespotykanych wcześniej przelewów oraz operacji kartami — zwłaszcza jeśli w tym czasie ofiarami cyberprzestępców padło wielu innych klientów — bank powinien przedsięwziąć dodatkowe środki ostrożności, np. wymagać odrębnych potwierdzeń, czego jednak nie uczynił (obowiązek taki wynika z art. 50 ust. 2 prawa bankowego). Nie można przy tym powoływać się na publikowane na stronie internetowej ostrzeżenia przed oszustwami — choćby dlatego, że bank nie wykazał, że ostrzeżenia te zostały zaprezentowane stronie powodowej…

Z tego względu bank został zobowiązany do zwrotu pieniędzy wyprowadzonych przez oszustów, z odliczeniem 150 euro, bo do takiej kwoty odpowiada klient na podstawie art. 42 ust. 2 uup.

Zamiast komentarza: zanim odezwą się fanfary i radosne okrzyki hulaj dusza, piekła nie ma! —  zwracam uwagę na istotne niuanse, które mogą sprawić, że na pozór podobny spór w przypadku innego klienta skończy się diametralnie inaczej…

  • keiran

    Tu na korzyść klienta z pewnością działa to, że bank nie zadzwonił z pytaniem: „czy na pewno chcesz wydać te sto tysięcy?”. Ale mimo wszystko nie wydaje mi się to dobry wyrok, takie promowanie niedbalstwa. To trochę tak jakby ktoś popełnił przestępstwo i się tłumaczył, że nie wolno.

  • Z perspektywy czasu — dziś wszyscy wiemy, że są takie przekręty — to może być niedbalstwo. Ale być może 4 lata temu nie każdy to wiedział.

    Zresztą tak samo niedbalstwo można zarzucać bankowi. Dawniej przy nieco grubszej płatności kartą kredytową Citi w ciągu 2 minut miałem telefon („czy to pan?”). Później się nie zdarzało, ale inna sprawa, że grubszych kwot tamtą kartą nie wydaję.

  • gordon.shumway

    Nawiązując do tematu sprzed kilku dni dotyczącego użycia skradzionej bezstykowej karty płatniczej, które wg SN jest kradzieżą z włamaniem – to tym razem okazuje się, że wgranie komuś trojana i pobranie z jego konta ok. 100 tys zł. kradzieżą z włamaniem nie jest.
    Bo „Dane niezbędne do operacji wykradł trojan, który zainfekował komputer” oraz „z punktu widzenia informatycznego nie doszło do przełamania systemu komputerowego MultiBanku.”

    No to teraz trzeba kupić popcorn i czekać na orzeczenie SN…
    Bo kasacji bank pewnie nie odpuści w tej sprawie (ze względu na kwotę sporu, a przede wszystkim nowatorską zasadę podziału odpowiedzialności między klienta i bank, które bez kasacji mogyłby się utrwalić).

  • Cóż, nie od dziś wiadomo, że w niby podobnych orzeczeniach można znaleźć dalece niepodobne spostrzeżenia ;-) Natomiast nie mogę się zgodzić z tym, że nawet jeśli doszło do przełamania zabezpieczenia (bo rzeczywiście doszło), to odpowiedzialność za to powinien ponosić klient.

    Myślę, że jednak bank też powinien ponosić odpowiedzialność — jeśli nawet nie za to, że jego system nie jest odporny na ZNANE BANKOWI zagrożenie, to że nie wprowadza w takim czasie dodatkowych „manualnych” środków bezpieczeństwa.

  • gordon.shumway

    Nie było moim zamiarem kwestionowanie odpowiedzialności banku chociaż określenie, że jest niemal 100% (licząc kwotowo) jest już dyskusyjne. No chyba, że klient nie miał w ogóle możliwości decyzji co do np. zdefiniowania limitów transakcji, czy obligatoryjnego potwierdzania transakcji przez sms – bo bank takowych mechanizmów mu udostępnił.

    Raczej chciałem wskazać na podobieństwo posługiwania się przejętą kartą bezstykową oraz przejętym komputerem. Bo z mojej perspektywy w obydwu przypadkach faktycznie nie przełamano zabezpieczeń po stronie banku, bo posłużono się narzędziem które było w dyspozycji klienta i które zostało przejęte przez złodzieja (zostawiając już na boku rozważania o tym czy przejęcie było z włamaniem lub bez).

  • Transakcje były potwierdzane esemesem, jednak trojan spowodował, że esemesy szły do oszustów — klient ich w ogóle nie dostawał, a nie logując się na konto, nie miał w polu widzenia wypływających pieniędzy.

    Z perspektywy banku mogło nie dojść do przełamania — jak rozumiem jest to opis taktyki procesowej „nie było przełamania, nasz system jest nie do ruszenia, to błąd klienta, który dał się złapać na lep malware”.

  • Marcin Gryszkalis

    Uściślając „esemesy autoryzacyjne nie docierały na jego telefon, lecz były odbierane przez oszustów.” – sms docierał na telefon ale był przechwytywany przez malware i nie pokazywał się właścicielowi telefonu. Z tego powodu google od Androida 4.4
    (premiera – październik 2013) zmieniło sposób działania uprawnień do SMS-ów dla aplikacji – zwykłe aplikacje mogą mieć prawo do czytania smsów (które zostały odebrane) i otrzymywania powiadomienia o tym, że sms przyszedł – natomiast nie mogą ich „przechwytywać” – tak, żeby nie były widoczne.

  • Marcin Gryszkalis
  • Marcin Gryszkalis

    Tak sobie myślę, że cały problem wynika z tego, że ani sąd ani klienci nie rozumieją „jak to wszystko działa”. Przecież nikt chyba nie próbuje uzyskać odszkodowania od producenta samochodu za to, że niewystarczająco zabezpieczył samochód i złodziejowi udało się go ukraść – a w przypadku banku oczekuje się, że „coś zrobi” i automagicznie jednoznacznie odróżni sytuację, kiedy klient podaje hasło i kiedy złodziej podaje hasło… (piszę „jednoznacznie” bo przecież prawie nikt nie chce korzystać z usług banku, który każdą operację będzie potwierdzał telefonicznie)