Czy bank ponosi odpowiedzialność za wyczyszczenie rachunku klienta przez oszusta — jeśli klient nie reagował na niepokojące esemesy wysyłane z systemu?

Tutejsze łamy pełne są opisów orzeczeń przesądzających o odpowiedzialności banku za włamanie na konto klienta będące efektem phishingu, socjotechniki lub innych sprytnych zabiegów. Dziś zatem kolejny ciekawy przypadek: czy zignorowanie ostrzeżeń przez klienta banku, który dostaje esemesy informujące go o nieznanych operacjach, może być potraktowane jako naruszenie ustawowych obowiązków? Czy bank będzie odpowiadał za utratę pieniędzy klienta, jeśli nie doszło do włamania do systemu? Czy bank ma obowiązek profilowania użytkowników i reagowania w przypadku niestandardowej operacji? Czy ewentualne uchylenie się od odpowiedzialności przez bank może wynikać z faktu, że użytkownik bankowości elektronicznej korzysta z darmowego programu antywirusowego, który być może nie jest tak dobry jak płatny? (wyrok Sądu Apelacyjnego w Warszawie z 30 sierpnia 2018 r., sygn. akt VI ACa 509/17).


Zignorowanie ostrzeżeń klienta banku

Zignorowanie ostrzeżeń przez klienta banku może skutkować jego odpowiedzialnością za wyczyszczenie jego konta z pieniędzy — bank nie może ponosić konsekwencji za niefrasobliwość swoich klientów


Spór dotyczył odpowiedzialności banku za wyprowadzenie pieniędzy z rachunku firmowego klienta (łącznie 7 przelewów na kwotę 137 tys. złotych).

Feralnego dnia nieznany sprawca zalogował się na konto klienta i złożył dyspozycję utworzenia nowego szablonu odbiorcy; klient otrzymał esemesa autoryzacyjnego, ale zignorował go, bo uznał, iż jest to codzienna informacja o saldzie konta; kodu nie użył i nikomu nie przekazał — a jednak hasło zostało wykorzystane do wykonania operacji. Po kilkunastu minutach klient sam zalogował się do banku i wykonał zaplanowane przez siebie operacje (co ciekawe korzystał z tego samego adresu IP co oszust). Kilka godzin później zaczęła się operacja wyprowadzania środków do zdefiniowanego odbiorcy (oszust najprawdopodobniej raz się pomylił, bo klient dostał esemesa z kodem do autoryzacji przelewu, ale znów go zignorował).

Klient zauważył, że z jego rachunku zginęły pieniądze dopiero wieczorem, zatem złożył reklamację w banku i zawiadomienie o popełnieniu przestępstwa — bank reklamację odrzucił wskazując, że nie ponosi odpowiedzialności za skutki korzystania z zainfekowanego komputera, zaś przeciwko beneficjentowi przelewów (najprawdopodobniej był to słup) wniesiono akt oskarżenia z art. 278 par. 1 kk.

art. 42 ust. 1-2 ustawy o usługach płatniczych (w brzmieniu aktualnym)
1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

Sąd zauważył, iż żadna z operacji nie polegała na przełamaniu zabezpieczeń systemu bankowego, zaś wszystkie logowania odbywały się z użyciem jego osobistego ID i hasła — co oznacza, iż bankowi nie można zarzucać naruszenia obowiązków w zakresie bezpieczeństwa zgromadzonych środków (art. 43 ust. 1 pkt 1 uup, art. 50 ust. 2 pr.bank.), a przynajmniej powód nie udowodnił okoliczności pozwalających przypisać ową odpowiedzialność (art. 46 ust. 3 uup). Odpowiedzialności banku nie można wywieść także z faktu, że nie zablokował automatycznie dostępu do konta ze względu na niestandardowe operacje — owszem, poszkodowany nigdy nie zlecał ani ustanowienia zaufanych odbiorców, ani przelewów natychmiastowych, ale już nie potwierdził się jego zarzut, że nigdy wcześniej suma dziennych przelewów nie przekraczała 20 tys. złotych (zwłaszcza, że łączne miesięczne obroty na rachunku sięgały kilku milionów).

W konsekwencji oznacza to, że to powód nie wywiązał się z obowiązków nieudostępnienia instrumentu płatniczego osobom nieuprawnionym i nie podjął niezbędnych kroków w celu przeciwdziałania naruszeniom bezpieczeństwa urządzeń, przy użyciu których logował się do banku. Sąd negatywnie ocenił korzystanie z bezpłatnego programu antywirusowego („taki rodzaj programów, niezależnie od tego iż nie jest przeznaczony dla firm, to nie zapewnia należytej ochrony antyphishingowej i antywirusowej”) a także to, że powód potrafił nic powiedzieć o systemach antyspamowych i zaporze firewall (obowiązek stosowania takich zabezpieczeń nakładał nań regulamin bankowy), a komputer przechowywał w pracy, czyli miejscu, gdzie dostęp do sprzętu miało wiele osób. Za okoliczność obciążającą uznano także także to, że kwartał później sprzedał komputer i tablet, z którego korzystał feralnego dnia, co uniemożliwiło zbadanie sprzętu — zaś niezależnie od tego, że nie ustalono w jaki sposób sprawca użył tego samego adresu IP i w jaki sposób uzyskał dostęp do („doskonale zabezpieczonej”, jak ocenił biegły) komórki powoda, to jednak bank nie może ponosić odpowiedzialności za transakcje wykonane zgodnie z ustalonymi procedurami.

art. 45 ust. 1 i 3 ustawy o usługach płatniczych (w brzmieniu aktualnym)
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

To raczej klient wykazał się dużą niefrasobliwością: zignorował otrzymane esemesy, chociaż ich treść powinna wzbudzić jego podejrzenia — gdyby zawiadomił bank o podejrzanych komunikatach (taki obowiązek wynika z art. 42 ust. 1 pkt 2 uup), może udałoby się je zablokować, a co najmniej rozważać odpowiedzialność banku za zaniedbania.

Sąd stwierdził, że brak dowodu na przełamanie zabezpieczeń bankowych pozwala na ustalenie, iż nie doszło do „włamania” do systemu po stronie banku — zaś bank nie ma obowiązku zapewnienia zabezpieczeń indywidualnych dla systemów komputerowych płatników oraz do analizy danych wychodzących z komputerów klientów pod kątem działań przestępczych — takich powinności nie nakłada nań ani prawo bankowe, ani ustawa o usługach płatniczych, ani też nie można ich wywieść z art. 355 par. 2 kc.

Finalnie oznacza to, że pozwany bank skutecznie — zgodnie z zasadami rozkładu ciężaru dowodów wynikających z art. 45 uup — wykazał, iż to powód autoryzował utworzenie nowego szablonu płatności (skutek dla kolejnych przelewów wynikał z art. 40 ust. 1 uup), co wyklucza zarówno odpowiedzialność ex contractu (art. 471 kc), jak i ex delicto (art. 415 kc), zatem powództwo zostało oddalone w całości.

Zamiast komentarza: rzecz jasna wyrok jest prawidłowy, zaś to, co można odbierać za niuans — bank musi przeciwdziałać włamaniom do własnego systemu, ale nie może odpowiadać za skutki ew. włamania na sprzęt klienta lub innego nieuprawnionego użycia instrumentu po stronie klienta — wcale niuansem nie jest.
Najważniejszy jednak morał brzmi: nie olewajcie dziwnych komunikatów, nawet jeśli wydają się absurdalne — zignorowanie ostrzeżeń przez klienta banku może oznaczać faktyczne przejęcie odpowiedzialności za takie oszustwo (inna sprawa, że mnie i tak zastanawia użycie tego samego adresu IP zakończenia sieci — co może wskazywać, że przekrętu dopuścił się jakiś insider).

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

20 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze