A skoro niedawno było o prostackim spamie — dziś kilka zdań o tym czy klient jest sam sobie winien jeśli pozwolił oszustowi, który uzyskał dostęp do jego konta bankowego, przelać pieniądze? Czy jednak są okoliczności, w których bank może ponosić odpowiedzialność za phishing? (wyrok Sądu Najwyższego z 18 stycznia 2018 r., V CSK 141/17).
Spór dotyczył odpowiedzialności banku za wyczyszczenie konta z pieniędzy przy użyciu spreparowanego systemu transakcyjnego. Podczas próby zalogowania się kobieta otrzymała komunikat o przebudowie strony, a po dwóch dniach, kiedy już udało się zalogować, na koncie brakowało 60 tys. złotych — okazało się, że 2 minuty po pierwszej (nieudanej) próbie ktoś przelał pieniądze na rachunek jakiejś spółki, a dzień później wypłacił je w gotówce. Sprawą (która była elementem większej akcji) zajęły się organy ścigania, ale chociaż podejrzanych było 134 osób, nie ustalono sprawców procederu.
Zdaniem powódki bank powinien zwrócić wyprowadzoną kwotę, ponieważ nie wychwycił, że przy phishingu wykorzystano komputer o innym adresie IP, a poza tym nie potwierdzono telefonicznie, iż zamierza ona zlecić przelew na całość zgromadzonych środków.
art. 42 ustawy o usługach płatniczych
1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.
Sąd I powództwo oddalił, wychodząc z założenia, że nawet podwyższona staranność nie nakłada na bank obowiązku weryfikacji adresów IP, z których korzystają klienci, ani też potwierdzać zamiaru wykonania przelewu. To raczej powódce można zarzucać zachowanie niezgodne z zasadami bezpieczeństwa przy korzystaniu z bankowości elektronicznej.
Skuteczna okazała się apelacja powódki: ryzyko wypłaty z rachunku bankowego do rąk osoby nieuprawnionej (art. 725 kc) obciąża bank także w przypadku dostępu do konta przez internet, zwłaszcza, że operacja nie była autoryzowana w rozumieniu przepisów o usługach płatniczych, bo została wykonana przez osobę nieuprawnioną. Jeśli bank uważa, że klientka umyślnie doprowadziła do transakcji płatniczej lub umyślnie lub przez rażące niedbalstwo naruszyła obowiązki (art. 42 uup), to okoliczność tę musi udowodnić, a nie poprzestawać na przypuszczeniach (art. 45 uup).
Zdaniem sądu bank nieprawidłowo zabezpieczył system, skoro pozwolił na cztery nieudane próby logowania — bo już drugi błąd powinien blokadą dostępu — a przeciwnym wypadku ma obowiązek zwrócić kwotę nieautoryzowanej transakcji (art. 46 uup).
art. 45 ustawy o usługach płatniczych
1. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika.
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.
Sąd Najwyższy przypomniał, że uprawniony użytkownik ma obowiązek korzystać z instrumentu płatniczego zgodnie z umową, przechowywać instrument płatniczy w bezpieczny sposób oraz zgłaszać każdy incydent (utratę, kradzież, nieuprawniony dostęp). W sprawie nie jest jednak sporne, iż to nie powódka naruszyła zasady bezpieczeństwa — wszakże do przelewu z rachunku doszło wskutek popełnienia przestępstwa przez osobę trzecią, która skorzystała z niewłaściwych środków zabezpieczających stosowanych przez bank — zatem odpowiedzialność za wyprowadzenie pieniędzy ponosi bank.
Do wykazania, iż operacja była autoryzowana prawidłowo nie wystarczy użycie zarejestrowanego instrumentu płatniczego (w tym przypadku tokena, ale dotyczy to także autoryzacji przy pomocy esemesów przesyłanych na telefon klienta) — bank musi udowodnić, że istnieją inne okoliczności potwierdzające, że transakcję autoryzował płatnik, lub też, że celowo zaniedbał on swoim obowiązkom w zakresie bezpieczeństwa.
Takich dowodów bank w sprawie nie przedstawił, zatem orzeczenie sądu II instancji było prawidłowe, zatem SN oddalił skargę kasacyjną.
Q.E.D.