A teraz coś z całkiem innej beczki: czy przelew wykonany przez hakera — na konto zdefiniowane przez samego klienta jako zaufany odbiorca — może być traktowany jako transakcja nieautoryzowana? Czy jednak fakt potwierdzenia ustanowienia zaufanego odbiorcy oznacza, że klient dopuścił się niedbalstwa, za które bank nie może ponosić odpowiedzialności? (wyrok Sądu Apelacyjnego w Warszawie z 24 maja 2018 r., sygn. akt VI ACa 217/17).
Klient pozwał swój bank o zwrot 85 tys. złotych — kwoty wyprowadzonej z jego rachunku przez hakera, któremu udało się podstawić stronę internetową udającą serwis transakcyjny banku i ustanowić zaufanego odbiorcę przelewów (dokonanie przelewów na „zaufany” rachunek nie wymagało dodatkowego potwierdzenia esemesem).
Zdaniem powoda dochował on należytej staranności w korzystaniu z serwisu transakcyjnego (nie podawał osobom postronnym hasła lub loginu, nie udostępniał telefonu lub komputera), a skoro sąd prawomocnie uznał hakera winnym przestępstwa (art. 279 par. 1 i art. 267 par. 1 kk), to feralne operacje nie były zamierzone, nie można też zarzucać mu rażącego niedbalstwa — doszło więc do transakcji nieautoryzowanych w rozumieniu art. 45 uup, za które odpowiedzialność ponosi bank.
W ocenie banku skoro do każdego logowania użyto oryginalnego loginu i hasła, to operacje zostały wykonane w sposób ustalony przez strony, zatem przelewy poszły zgodnie z wydaną dyspozycją. W systemie bankowym nie było awarii lub innego defektu, który uzasadniałby przyjęcie odpowiedzialności strony pozwanej — a bank wielokrotnie informował klientów o zasadach bezpieczeństwa przy korzystaniu z instrumentu płatniczego jakim jest konto bankowości internetowej.
Co więcej skoro wyrok karny zobowiązuje sprawcę do zwrotu poszkodowanemu kwoty, którą ukradł, to uwzględnienie powództwa doprowadziłoby do możliwości skorzystania z podwójnego tytułu wykonawczego — przez co klient odzyskałby podwójną kwotę, którą utracił.
art. 45 ustawy o usługach płatniczych
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. (…)
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.
Sąd prawomocnie uwzględnił żądanie i zasądził od pozwanego banku zwrot utraconych pieniędzy.
Zapewnienie bezpieczeństwa depozytów jest jednym z najważniejszych obowiązków banku rzutujących na jego wiarygodność, zatem każda próba interpretacji postanowień zawartych we wzorcach umownych zmierzające do zaniżenia standardów bezpieczeństwa pieniędzy mogą być oceniane jako zachowania sprzeczne z dobrymi obyczajami i celem umowy o prowadzenie rachunku bankowego (art. 725 kc). Stąd też ryzyko wypłaty środków do rąk osoby nieuprawnionej przez wydanie dyspozycji przez osobę nieuprawnioną obciąża bank, nawet jeśli transakcja została wykonana poprzez system bankowości internetowej.
Reguła ta została potwierdzona w przepisach ustawy o usługach płatniczych, z mocy których na banku jako dostawcy ciąży obowiązek zapewnienia, że indywidualne zabezpieczenia rachunku nie są dostępne dla innych osób (art. 43 uup), podczas gdy klient ma obowiązek korzystać z instrumentu płatniczego w sposób zgodny z umową i zgłaszać utratę, kradzież lub nieuprawnione użycie, a także bezpiecznie przechowywać instrument płatniczy (art. 42 uup).
Tak rozumianym obowiązkom bank sprostał, zaś klient uchybił, umożliwiając dostęp do konta osobom nieuprawnionym, a to poprzez podanie kodu autoryzacyjnego na spreparowanej stronie internetowej. Czynności te zostały przeprowadzone poprawnie — a jednak nie można ich uznać za transakcje autoryzowane w rozumieniu ustawy.
Transakcję płatniczą można uznać za autoryzowaną jeśli płatnik wyraził zgodę na jej wykonanie w sposób przewidziany w umowie z dostawcą — tymczasem sporna operacja została wykonana bez zgody (woli) klienta, o czym niezwłocznie powiadomił policję i bank. W przypadku nieautoryzowanej operacji dostawca płatnika ma obowiązek niezwłocznie zwrócić mu utraconą kwotę (art. 46 ust. 1 uup).
Ciężar dowodu, iż transakcja płatnicza była autoryzowana spoczywa na banku, do czego jednak nie wystarcza wykazanie użycia zarejestrowanego instrumentu płatniczego (art. 45 uup) — dostawca musi udowodnić inne okoliczności wskazujące, że to płatnik autoryzował taką operację lub że można mu zarzucać umyślne doprowadzenie do nieautoryzowanej operacji płatniczej, lub też iż umyślnie lub wskutek rażącego niedbalstwa dopuścił się do naruszenia obowiązku wskazanego w art. 42 uup.
art. 46 ust. 1 ustawy o usługach płatniczych
Z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą.
Udostępnienie hakerowi danych niezbędnych do zalogowania się w banku i wykonania przelewu nie jest okolicznością przesądzającą o niedbałości klienta: powód zawsze korzystał z własnego laptopa i własnego telefonu, których nikomu nie udostępniał. Utrata kontroli nad pieniędzmi zaczęła się od zawieszającej się strony banku, przy kolejnej próbie zalogowania klientowi wyświetlił się komunikat o „zmianie formatu konta” i prośba o akceptację zmiany kodem — o takim zagrożeniu bank zaczął informować dopiero kilkanaście dni po przekręcie. Oznacza to, że powód dopuścił do nieautoryzowanej transakcji w sposób niezamierzony i nieświadomie, co wyklucza przypisanie mu odpowiedzialności (art. 46 ust. 3 uup).
Klientowi nie można też zarzucać, że nie sprawdził treści esemesa, na podstawie którego został ustanowiony stały odbiorca: treść wiadomości przesłanej przez bank brzmiała „Operacja dot. odbiorcy nazwa: (…)”, co na pewno nie sugeruje ustanowienia nowego odbiorcy zaufanego.
Nie można też od klienta żądać wiedzy o najnowszych metodach stosowanych przez hakerów, skoro nie wiedział o nich nawet bank — a nawet jeśli wiedział, to informował dopiero później.
Nałożeniu na bank obowiązku zwrotu pieniędzy wyprowadzonych przez hakera nie stoi na przeszkodzie równoległy obowiązek naprawienia szkody przez sprawcę — gdyby bowiem klientowi udało się ściągnąć pieniądze od przestępcy, bank będzie mógł bronić się zarzutem na drodze powództwa przeciwegzekucyjnego. Skądinąd nawet wydanie wyroku skazującego nie oznacza, że poszkodowany pieniądze odzyska — bo skazana została osoba bezdomna (zapewne słup).
Na marginesie: w uzasadnieniu orzeczenia można znaleźć ciekawe rozważania dotyczące kwestii nienależytej ochrony komputera programem antywirusowym (zarzuty apelacji dotyczyły m.in. tego, że powód sam przyznał, że na komputerze miał i taki program, i wirusa), więc bank próbował przekonywać, że to wskazuje, iż klient nie podjął niezbędnych środków w celu zabezpieczenia sprzętu (co ma dowodzić rażącego niedbalstwa). Okoliczności te nie zostały ustalone, bo po wpadce powód sformatował dysk komputera — tu sąd wypomina bankowi, że chociaż wiedział o sytuacji, nie dążył do zabezpieczenia dowodów, zatem obecnie nie może gołosłownie zarzucać braku stosowania programu antywirusowego. Co więcej skutki infekcji jako wiadomości specjalne wymagają badania przez biegłego (o co bank nie wnioskował) — finalnie pozwoliło to sądowi na konkluzję, iż „nie można przyjąć, że została dowiedziona przez pozwanego nienależyta ochrona komputera powoda oprogramowaniem antywirusowym” (zwłaszcza, że bank nie nakładał na klientów obowiązku stosowania takiego oprogramowania).
Jestem natomiast ciekaw jak wyglądałoby rozstrzygnięcie, gdyby jednoznacznie stwierdzono, iż klient nie stosował oprogramowania antywirusowego — czyli czy sąd uznałby to za brak „niezbędnych środków” w rozumieniu art. 42 ust. 2 uup?