Czy jest nieautoryzowaną transakcją przelew z konta bankowego potwierdzony esemesem wysłanym na numer telefonu zmieniony przez oszusta? Czy w takim przypadku bank musi zwrócić klientowi wyprowadzone pieniądze — czy może zwolnić się z odpowiedzialności, jeśli zmiana numeru komórki nastąpiła w sposób zgodny z procedurami, po weryfikacji osoby dzwoniącej, co oznacza, że bankowi nie można zarzucać winy? (wyrok Sądu Apelacyjnego w Warszawie z 19 lipca 2018 r., sygn. akt I ACa 348/17).
Spór dotyczył odpowiedzialności banku za wyprowadzenie pieniędzy z rachunku klienta — po udanej zmianie numeru telefonu komórkowego służącego do potwierdzania operacji w systemie bankowości internetowej.
Skok na kasę zaczął się od trzech nieudanych prób zalogowania i zablokowaniu dostępu do systemu transakcyjnego. W tym samym czasie do banku zadzwoniła osoba podająca się za klientkę i zleciła zmianę numeru telefonu służącego do autoryzacji operacji. Po podaniu identyfikatora i telekodu oraz udzieleniu prawidłowych odpowiedzi na pytania kontrolne („numer PESEL, nazwisko panieńskie matki, imię ojca i miejsce urodzenia”) konsultantka ręcznie („z uwagi na pojawiające się problemy z systemem”) wpisała nowy numer telefonu. Na komórkę klientki został wysłany esemes potwierdzający zmianę danych (ta jednak odczytaną dopiero po kilku godzinach informację zignorowała jako „kolejny „błąd systemu”). (Ustalone przez bank procedury nie obejmowały potwierdzania zmiany poprzez kontakt na wcześniejszy numer telefonu w przypadku zmiany danych, taki mechanizm stosowano wyłącznie przy odblokowywaniu kanału dostępu).
Po zmianie numeru telefonu wszystko poszło już łatwo: oszust ustalił nowe hasło do systemu transakcyjnego, a po kolejnych kilkudziesięciu sekundach z rachunku bankowego wyszedł przelew na 128 tys. złotych (operacja została potwierdzona kodem wysłanym na nowy telefon klientki, pieniądze trafiły na konto założone przez słupa, którego tożsamość udało się ustalić — ale tożsamość osób, które całą operację przeprowadziły jest nieznana).
Do sądu trafił pozew, w którym klientka zażądała zwrotu środków wyprowadzonych przez oszusta z jej rachunku bankowego.
art. 46 ust. 1 ustawy o usługach płatniczych
Z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. (…)
Sąd prawomocnie uwzględnił pozew o zwrot pieniędzy wyprowadzonych z rachunku bankowego.
Właścicielem środków zgromadzonych na koncie bankowym jest bank (art. 725 kc), który może nimi obracać czasowo, jednak z obowiązkiem zwrotu na żądanie posiadacza rachunku (art. 726 kc). W konsekwencji posiadaczowi przysługuje wobec banku wierzytelność każdocześnie wymagalna, do wysokości stanu konta — co oznacza, że wyłudzenie mienia stanowiącego własność banku nie oznacza wyrządzenia szkody klientowi, który nadal może żądać zaspokojenia wierzytelności.
Sporna transakcja była nieautoryzowana w rozumieniu przepisów ustawy o usługach płatniczych, ponieważ nie została potwierdzona przez posiadacza rachunku bankowego. Bank zaś nie może zwolnić się z tej odpowiedzialności, nawet jeśli dochował należytej staranności przy wypłacie na rzecz osoby nieuprawnionej
Co więcej bank nie może w regulaminie wyłączyć lub ograniczyć swej odpowiedzialności za pieniądze klientów: postanowienia regulaminu wyłączające odpowiedzialność banku za szkody powstałe wskutek okoliczności niezawinionych przez bank jako mniej korzystne dla klienta są nieważne (art. 8 uup, por. wyrok SA w Warszawie z 23 października 2012 r., sygn. akt VI ACa 552/12).
art. 8 ustawy o usługach płatniczych
1. Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego nie mogą być mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy, chyba że ustawa stanowi inaczej.
2. Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy są nieważne; zamiast nich stosuje się odpowiednie przepisy ustawy.
Stąd też ryzyko wypłaty do rąk osoby nieuprawnionej obciąża bank także w przypadku korzystania przez klienta z bankowości elektronicznej, zaś w przypadku naruszenia przez bank obowiązków w zakresie zabezpieczenia środków („gdyby zabezpieczenia transakcji elektronicznych stosowane przez pozwany Bank były właściwe”, nie doszłoby do nieautoryzowanej transakcji; skądinąd podobnych przypadków w pozwanym banku było więcej), ma on obowiązek zwrócić klientowi pieniądze wyprowadzone z jego konta (art. 46 uup).
W sprawie były przesłanki sugerujące, ze ktoś chce dokonać zmian w zabezpieczeniach konta powódki i trzykrotne nieudane logowania, następnie zmiany hasła i numeru konta w krótkim czasie nie wzbudziły podejrzeń banku, że coś nieprawidłowego dzieje się na koncie powódki. Jeśli już zatem stawiać którejkolwiek ze stron zarzut rażącego naruszenia swoich obowiązków, to należałoby się zastanowić, dlaczego bank nie zareagował w takiej sytuacji.
Nie sposób także klientce przypisać naruszenia obowiązków w zakresie zabezpieczenia dostępu do instrumentu płatniczego — do logowania używała wyłącznie własnego komputera, z legalnym i regularnie aktualizowanym systemem operacyjnym „W.” oraz aktualnym oprogramowaniem antywirusowym. Nikomu też nie udostępniła danych do logowania (ID i hasła nie znał nawet mąż). Nie wiadomo w jaki sposób oszust wszedł w posiadanie danych niezbędnych do zmiany numeru telefonu w systemie — stąd też nie można przypisywać powódce przyczynienia się do powstania szkody (a jeśli bank chce zgłosić taki zarzut, to musi go uzasadnić, art. 6 kc).
Niefrasobliwością było zignorowanie przez klientkę przesłanej informacji o zmianie numeru telefonu („zmiana numeru telefonu ma tak duże znaczenie dla obsługi rachunku bankowego, że dochowując należytej staranności, nie można ignorować tego typu informacji, nawet jeżeli jest podejrzenie, że stanowi ona „błąd systemu”) — w takim przypadku należy zgłosić reklamację — jednak skoro wyprowadzenie pieniędzy zajęło kilka minut, a klientka odczytała wiadomość dopiero po kilku godzinach (zaś nikt „nie ma obowiązku ciągłego sprawdzania poczty elektronicznej” [sic!]), to brak działania i tak nie miał związku z dokonaniem nieautoryzowanej transakcji — za którą klient może odpowiadać wyłącznie gdyby naruszył ustawowe obowiązki umyślnie lub wskutek rażącego niedbalstwa (art. 42 uup)