A skoro kilka dni temu było o tym, że użycie skradzionej bezstykowej karty płatniczej to kradzież z włamaniem, dziś czas na kilka akapitów o tym kto odpowiada za wyczyszczenie rachunku klienta — jeśli sam sobie zainstalował jakieś malware, dzięki któremu oszuści dostali się na jego konto. Słowem: czy odpowiedzialność banku za nieautoryzowane transakcje jest wyłączona w przypadku tego rodzaju zaniedbań po stronie posiadacza rachunku?
wyrok Sądu Apelacyjnego w Łodzi z 10 marca 2017 r. (sygn. akt I ACa 1174/16)
Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub, że została wykonana prawidłowo spoczywa na dostawcy. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez płatnika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzowanie transakcji przez płatnika albo okoliczności wskazujących na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego obowiązków o których mowa jest w art. 42 ustawy z 2011 r. o usługach płatniczych.
Sprawa dotyczyła odpowiedzialności banku za nieautoryzowane transakcje — przelewy i płatności kartami — wskutek których doszło do wyprowadzenia pieniędzy z rachunku klienta.
Rzecz zaczęła się podczas logowania się do systemu bankowości elektronicznej MultiBanku (dziś mBank): klientowi wyświetlił się komunikat o konieczności zainstalowania w telefonie oprogramowania e-Security i podania swego numeru telefonu, a to „w celu poprawy jakości i bezpieczeństwa”. Okienko z komunikatem nie dało się zamknąć — dopóki użytkownik nie postąpił w sposób wskazany w instrukcji…
Następnego dnia z rachunków wykonano kilka przelewów na kwotę ok. 100 tys. złotych, a po kolejnych dwóch dniach jeszcze 8 przelewów z karty kredytowej po 1 tys. złotych każdy. Żadna z tych transakcji nie była autoryzowana przez osobę uprawnioną (łącznie naliczono ich ok. 30).
art. 42 ust. 1 ustawy o usługach płatniczych
Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
Ustalono, że zainstalowany przez klienta w telefonie kod powodował, że esemesy autoryzacyjne nie docierały na jego telefon, lecz były odbierane przez oszustów. Dane niezbędne do operacji wykradł trojan, który zainfekował komputer, zatem z punktu widzenia informatycznego nie doszło do przełamania systemu komputerowego MultiBanku. Z perspektywy banku zarówno identyfikacja klienta jak i autoryzacja transakcji przebiegły zgodnie z procedurą, uwzględniono więc reklamację w odniesieniu do operacji kartą — ale bank nie oddał pieniędzy przelanych z konta, zatem klient wniósł pozew do sądu.
Sąd prawomocnie uwzględnił roszczenia klientów i nakazał zwrot 103 tys. złotych: obowiązkiem banku jako dostawcy usług płatniczych jest zapewnienie, iż dzięki indywidualnemu zabezpieczeniu instrument płatniczy nie jest dostępny dla osób nieupoważnionych (art. 43 pkt 1 ustawy o usługach płatniczych). Użyte przez bank zabezpieczenia warunki te spełniały.
art. 43 ustawy o usługach płatniczych
1. Dostawca wydający instrument płatniczy jest obowiązany do:
1) zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu,
2) niewysyłania niezamówionego instrumentu płatniczego, z wyjątkiem sytuacji, w których instrument płatniczy otrzymany przez użytkownika podlega wymianie,
3) zapewnienia stałej dostępności odpowiednich środków pozwalających użytkownikowi na dokonanie zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 lub wystąpienie z wnioskiem o odblokowanie albo zastąpienie zablokowanego instrumentu płatniczego nowym na podstawie art. 41 ust. 4,
4) zapewnienia procedur pozwalających na udowodnienie dokonania zgłoszenia, o którym mowa w art. 42 ust. 1 pkt 2, na wniosek złożony przez użytkownika w terminie 18 miesięcy od dnia dokonania zgłoszenia oraz
5) uniemożliwienia korzystania z instrumentu płatniczego po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2.
2. Dostawca ponosi ryzyko związane z wysłaniem płatnikowi instrumentu płatniczego lub jego indywidualnych zabezpieczeń.
Na kliencie natomiast ciąży obowiązek korzystania z instrumentu płatniczego w sposób zgodny z umową oraz obowiązek zgłaszania utraty, kradzieży oraz nieuprawnionego użycia instrumentu płatniczego; w tym celu użytkownik ma obowiązek przechowywać instrument z zachowaniem należytej staranności i nie udostępniać go osobom nieuprawnionym (art. 42 ust. 1-2 uup). Powód uchybił tej powinności, ale uczynił to w sposób niezamierzony i nieświadomy — zatem jego odpowiedzialność za nieautoryzowane transakcje (a to wskutek uchybień) ograniczona jest do kwoty 150 euro (art. 46 ust. 2 uup).
Jednakże w ocenie sądu zakwestionowane transakcje nie zostały autoryzowane w rozumieniu art. 40 ust. 1 uup — bo posiadacz rachunku nie wyraził na nie zgody, a w dodatku momentalnie powiadomił o zdarzeniu policję i dostawcę usług płatniczych. Do przyjęcia odpowiedzialności klienta nie wystarczy samo potwierdzenie dokonania transakcji, zaś na banku spoczywa obowiązek wykazania (art. 6 kc) prawidłowej autoryzacji transakcji przez klienta.
Jako dowód, iż to klient zlecił transakcję, nie wystarczy sam fakt użycia instrumentu płatniczego — bank powinien udowodnić, że po stronie klienta doszło, umyślnie bądź wskutek rażącego niedbalstwa, do naruszenia obowiązków w zakresie zabezpieczenia dostępu do systemu. Tymczasem bank nie stawiał użytkownikom żadnych wymagań jeśli chodzi o sprzęt lub oprogramowanie, zaś do zainfekowania komputera doszło w sposób podstępny, którego użytkownik nie posiadający wiedzy z zakresu informatyki nie mógł przewidzieć.
W przypadku nagłego wykonania niespotykanych wcześniej przelewów oraz operacji kartami — zwłaszcza jeśli w tym czasie ofiarami cyberprzestępców padło wielu innych klientów — bank powinien przedsięwziąć dodatkowe środki ostrożności, np. wymagać odrębnych potwierdzeń, czego jednak nie uczynił (obowiązek taki wynika z art. 50 ust. 2 prawa bankowego). Nie można przy tym powoływać się na publikowane na stronie internetowej ostrzeżenia przed oszustwami — choćby dlatego, że bank nie wykazał, że ostrzeżenia te zostały zaprezentowane stronie powodowej…
Z tego względu bank został zobowiązany do zwrotu pieniędzy wyprowadzonych przez oszustów, z odliczeniem 150 euro, bo do takiej kwoty odpowiada klient na podstawie art. 42 ust. 2 uup.
Zamiast komentarza: zanim odezwą się fanfary i radosne okrzyki hulaj dusza, piekła nie ma! — zwracam uwagę na istotne niuanse, które mogą sprawić, że na pozór podobny spór w przypadku innego klienta skończy się diametralnie inaczej…