Czy posiadacz rachunku bankowego ponosi odpowiedzialność za pożyczki zaciągnięte przez inną osobę, bez wiedzy i zgody klienta, przy użyciu danych dostępowych do systemu bankowości internetowej? Jeśli tym oszustem jest córka klienta, zaś dane do logowania do konta zostały przekazane całkowicie dobrowolnie — ale w całkowicie innym celu? Czy jednak w takim przypadku klient ponosi odpowiedzialność ze względu na naruszenie obowiązków w zakresie bezpieczeństwa systemu transakcyjnego? (wyrok Sądu Okręgowego w Świdnicy z 26 listopada 2019 r., II Ca 798/19).

Orzeczenie wydano w wytoczonej przez prokuratora (!) sprawie o ustalenie nieistnienia kilku umów kredytu gotówkowego — zawartych podstępnie przez córkę klientki, która uzyskała dostęp do systemu bankowości elektronicznej swej matki, co pozwoliło jej pobrać pożyczki a konto posiadaczki konta (por. „Udostępniła córce loginy i hasła, ale nie zapłaci za “rażące niedbalstwo” (wyrok)” w Niebezpieczniku).
Zaczęło się od tego, że klientka banku poprosiła swoją córkę o pomoc w obsłudze bankowości elektronicznej, udostępniając jej w tym celu dane niezbędne do logowania. Córka korzystając z dostępu do rachunku bankowego wzięła w imieniu matki — oczywiście bez jej wiedzy i zgody (nie chodzi też o pełnomocnictwo) — siedem kredytów gotówkowych i kartę kredytową, zadłużając matkę na przeszło 40 tys. złotych. Ten proceder trwał 3 lata, po czym matka się zorientowała, że coś nie gra i zgłosiła sprawę na policję (okazało się, że córka wzięła na matkę, ojca, siostry, męża i zięcia wiele innych pożyczek — łącznie córce postawiono 102 zarzuty z art. 286 kk i art. 287 kk).
Zdaniem banku odpowiedzialność klientki powinna wynikać z faktu, że udzieliła — świadomie i dobrowolnie — swej córce-oszustce dostępu do bankowości elektronicznej, z naruszeniem obowiązku ochrony danych uwierzytelniających (art. 42 uup), a także nie zawiadomiła banku o uzyskaniu dostępu do rachunku przez osobę trzecią i wykonaniu nieautoryzowanych transakcji (art. 44 uup) — skutkiem czego jest zwolnienie banku z odpowiedzialności za zawarte umowy.
Sąd prawomocnie uwzględnił powództwo: zgromadzone dowody niezbicie potwierdzają, że sporne umowy nie zostały zawarte przez matkę, lecz przez jej córkę, która wykorzystała dane osobowe matki bez jej zgody i wiedzy. Tymczasem zawarcie umowy wymaga złożenia przez obie strony zgodnych oświadczeń woli — skoro to nie klientka złożyła oświadczenia o zamiarze zawarcia umowy, to do jej zawarcia dojść nie mogło. Skuteczność złożonego oświadczenia wymaga, by jego autorem była osoba, która ma zamiar dokonać czynności prawnej — tymczasem matka nie udzieliła dostępu do konta internetowego córce w celu zaciągnięcia pożyczek, ani też nie udzieliła jej pełnomocnictwa, zatem zawarte umowy nie mogą jej obciążać.
Jako bezpodstawny oceniono zarzut banku, iż kobieta powinna ponosić odpowiedzialność ze względu na brak należytej staranności w zabezpieczeniu instrumentu płatniczego (konta bankowego) przed dostępem ze strony osób nieuprawnionych. Sporne operacje nie były transakcjami płatniczymi w rozumieniu ustawy o usługach płatniczych — córka nie wyprowadzała pieniędzy z rachunków matki, lecz zaciągała umowy kredytowe — wykluczone jest przeto zastosowanie przepisów o odpowiedzialności klienta za niedopełnienie obowiązków w zakresie bezpieczeństwa systemu transakcyjnego.
Dla jasności: ustalenie nieistnienia kredytów nie oznacza, że pobite gary — owszem, naiwna i niefrasobliwa klientka nie będzie musiała nic oddawać (skoro nie zawarła umów, to nie jest zobowiązana do zwrotu pieniędzy), ale przecież zwrócić nienależnie pobrane kwoty będzie musiała sama córka-oszustka. Nie wykluczałbym natomiast odpowiedzialności deliktowej: wprawdzie udostępniając dane do logowania matka nie miała na celu wyrządzenia bankowi szkody, ale przecież do zastosowania art. 415 kc wystarczy wina polegająca na niezachowaniu należytej staranności — no a przecież nie ma wątpliwości, że naruszyła ona pewne obowiązki ustawowe i umowne (wynikające z regulaminu bankowego).