Na tutejszych łamach czas na kolejne ciekawe orzeczenie traktujące o odpowiedzialności banku za phishing — czyli czy można się domagać zwrotu nieautoryzowanej transakcji płatniczej jeśli klient widział, że coś nie gra i chyba nawet podejrzewał, że staje się ofiarą phishingu — ale jednak potwierdził to, czego oczekiwali od niego przestępcy. Słowem: czy takie zachowanie nie jest wystarczające do przyjęcia, iż mamy do czynienia z rażącym niedbalstwem po stronie klienta banku? (nieprawomocny wyrok Sądu Okręgowego w Warszawie z 12 maja 2018 r., sygn. akt I C 566/17).
Klient wystąpił przeciwko bankowi z pozwem o zwrot kwoty 107 tys. złotych tytułem nieautoryzowanych transakcji płatniczych z jego rachunku bankowego — przelewów, którymi przestępcy wyprowadzili pieniądze z jego konta.
Zaczęło się od wyświetlonego po zalogowaniu do systemu bankowości elektronicznej komunikatu (identycznego z tymi, które zwykle wyświetlał bank), w myśl którego wzrastająca ilość nieuczciwych operacji wymaga dodatkowego ubezpieczenia. Klient dwukrotnie próbował ominąć tę informację, jednak system wywołał funkcję utworzenia użytkownika zaufanego, wraz z automatycznym wysłaniem esemesa z kodem potwierdzającym („Operacja nr 3 z dn. 03-06-2015 Definicja odbiorcy i przelewu zdef. Z rach.(…) na rach. (…)”).
Ostrożny klient wylogował się z konta, ale po ponownym zalogowaniu sytuacja się powtórzyła; za trzecim razem przepisał kod, autoryzując w ten sposób operację polegającą na utworzeniu zaufanego odbiorcy zaufanego (tj. takiego, do którego wysłanie przelewu nie wymaga dodatkowego potwierdzenia).
Kolejnego dnia z jego rachunku ktoś wykonał cztery przelewy do owego zaufanego odbiorcy — operacje zostały wykonane przez „hakerów używających dane identyfikacyjne i hasło powoda pozyskane przy wykorzystaniu szpiegowskiego oprogramowania zainstalowanego na komputerze z którego korzystał powód, za pośrednictwem podstawionej witryny internetowej” (do infekcji doszło metodą „na kuriera”) — zaś pieniądze zostały przelane na rachunek należący do osoby trzeciej (zapewne słupa).
Klient dowiedział się o tych przelewach po kolejnych 5 dniach, od razu złożył w banku reklamację (nieuwzględniona), a także złożył na policji zawiadomienie o przestępstwie (postępowanie się toczy).
art. 40 ust. 1 ustawy o usługach płatniczych
Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. (…)
Bank wniósł o oddalenie powództwa: wyłączną odpowiedzialność za operacje powinien ponosić powód, który w 100% przyczynił się do powstania szkody, a to przez to, że swoim działaniem umożliwił przestępcom kradzież środków z konta. Nie można banku obarczać odpowiedzialnością za brak należytej staranności klienta, który bezrefleksyjnie potwierdził czynność, która słusznie wzbudziła jego podejrzenia.
Sąd w znacznej mierze uwzględnił roszczenia powoda. Na banku spoczywa obowiązek zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego jakim jest internetowy system dostępu do rachunku bankowego, nie są dostępne innym osobom, niż uprawniony użytkownik (art. 43 ust. 1 pkt 1 uup) — który powinien korzystać z instrumentu w sposób zgodny z umową oraz podejmować wszelkie niezbędne środki zapobiegające naruszeniu zabezpieczeń, a także niezwłocznie zgłaszać wszelkie przypadki utraty, kradzieży, przywłaszczenia albo nieuprawnionego dostępu do instrumentu płatniczego (art. 42 ust. 1-2 uup).
Ze zgromadzonych dowodów wynika, że bank wywiązał się ze swoich obowiązków, natomiast klient — umożliwiając osobom nieuprawnionym, w sposób niezamierzony i nieświadomy dostęp do swego konta — uchybił obowiązkom wynikającym z ustawy.
art. 45 ust. 1 i 2 ustawy o usługach płatniczych
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę (…)
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.
Jednakże nie oznacza to, że transakcję można uznać za autoryzowaną w rozumieniu ustawy o usługach płatniczych (art. 40 ust. 1 uup). Z okoliczności wynika, że operacje zostały wykonane wbrew wiedzy i woli powoda, zaś do utworzenia zaufanego odbiorcy doszło wskutek przestępstwa, co oznacza, iż są to transakcje nieautoryzowane (a potwierdza to natychmiastowe złożenie reklamacji i zawiadomienie organów ścigania).
Ciężar dowodu, iż operacja była autoryzowana przez klienta spoczywa na banku (art. 45 ust. 1 uup), jednak do udowodnienia tej okoliczności nie wystarczy wykazanie, iż użyto instrumentu płatniczego (art. 45 ust. 2 uup) — w takim przypadku bank musi wykazać inne okoliczności potwierdzające, że klient celowo autoryzował taką operację, albo że choćby wskutek rażącego niedbalstwa dopuścił się naruszenia choćby jednego z obowiązków określonych w art. 42 uup.
Tymczasem w ocenie sądu powód miał prawo być przekonany, że komunikat, który był identyczny jak wcześniejsze komunikaty banku, pochodzi od jego banku; a skoro próbował go dwukrotnie obejść, to oznacza, że nie podszedł do sprawy bezrefleksyjnie — jednak fakt, że informacja wracała, przekonał go o prawdziwości wiadomości. Bank nie ostrzegał wcześniej o tego rodzaju zagrożeniach ze strony cyberprzestępczości czy działaniu zorganizowanej grupy przestępczej, która uzyskuje dostęp do kont klientów. (Z przedstawionych przez stronę pozwaną dowodów nie można wnioskować kiedy i jakie dokładnie treści ostrzeżeń były publikowane przez bank — jednak kampanie informacyjne były chyba nieskuteczne, skoro nawet zawnioskowany przez bank świadek potwierdził, że ofiarą procederu było mnóstwo klientów).
W przypadku wykazania, iż operacja nie była autoryzowana przez użytkownika — bank nie wykazał żadnej okoliczności zwalniającej go z odpowiedzialności za wykonanie nieautoryzowanych dyspozycji — obowiązkiem dostawcy (banku) jest zwrócić kwoty skradzione w ten sposób (art. 46 ust. 1 uup), z pomniejszeniem jednak równowartości 150 euro, za które odpowiada klient (art. 46 ust. 2 uup, od kilku tygodni odpowiedzialność płatnika ograniczona jest do kwoty 50 euro).
Zamiast komentarza: myślę, nie da się ukryć, że obowiązujące przepisy bardzo ale to bardzo stoją po stronie klientów banków — cóż jednak przepisy, jeśli sądy wydają się jeszcze bardziej zaostrzać warunki ich ewentualnej odpowiedzialności. To jest oczywiście kwestią interpretacji, ale czy faktycznie można przyjąć, że użytkownik, który widząc, że coś nie gra, przypuszczając, że jest ofiarą phishingu, próbuje pozbyć się problemu — aż w końcu się poddaje i akceptuje utworzenie zaufanego odbiorcy — nie dopuścił się rażącego niedbalstwa? (Inna sprawa, że utworzenie takiego odbiorcy nie oznacza jeszcze akceptacji dla przelania tam wszystkich pieniędzy — przecież mogę mieć ustalonego odbiorcę w postaci operatora telefonicznego, co nie oznacza, że ktoś może przelać tam kilka tysięcy złotych.)