Czy klient, który padł ofiarą phishingu — dał się nabrać na wiadomość o „dopłacie” po zakupach w internecie, a w rzeczywistości ustanowił zaufanego odbiorcę, przez co stracił pieniądze z konta bankowego — może domagać się od banku zwrotu skradzionych środków? Czy jednak bank ponosi odpowiedzialność za nieautoryzowaną transakcję płatniczą, a więc nie za taką, która w istocie została zaakceptowana przez klienta?
wyrok Sądu Okręgowego w Warszawie z dnia 11 sierpnia 2021 r. (XXVII Ca 1352/21)
Ciężar udowodnienia, że transakcja była autoryzowana przez użytkownika, ciąży na dostawcy, czyli na profesjonaliście, nawet jeśli to użytkownik występuje z roszczeniem, twierdząc, że nie on autoryzował transakcji. Fakt zarejestrowanego użycia instrumentu płatniczego, czyli — należy przyjąć — użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika. W przypadku zgłoszenia przez użytkownika transakcji, które obciążają jego rachunek płatniczy i które były prawidłowo autoryzowane, czyli zlecone i zrealizowane zgodnie z przewidzianą procedurą, a które użytkownik wskazuje jako przez niego nieautoryzowane, dostawca musi udowodnić fakt autoryzacji transakcji przez użytkownika.
Orzeczenie dotyczyło odpowiedzialności banku za trzy przelewy, które zostały wykonane z konta klienta, przy użyciu danych do logowania do systemu transakcyjnego, lecz bez wiedzy i zgody posiadacza rachunku.
art. 42 ust. 2 ustawy o usługach płatniczych
(…) użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.
Login i hasło do systemu zostały wykradzione w drodze phishingu: klient otrzymał informację o konieczności dopłaty za jakieś zakupy, kliknął w link, zalogował się do podstawionego przez oszustów systemu, rzekomą płatność autoryzował przepisując kod z esemesa (była to „autoryzacja nowego odbiorcy”) — jeszcze tego samego dnia z jego konta wyszły trzy przelewy na łączną kwotę 45 tys. złotych. Klient złożył w banku reklamację, która jednak została odrzucona, zaś sprawa trafiła do sądu.
Sąd I instancji przypomniał, iż co do zasady to bank ponosi odpowiedzialność za nieautoryzowaną transakcję płatniczą, chyba że doszło do niej wskutek błędów klienta — umyślnego lub będące skutkiem rażącego niedbalstwa naruszenia obowiązków w zakresie zachowaniu bezpieczeństwa danych uwierzytelniających.
Sytuacja, w której sam klient podaje przestępcom swoje dane do logowania i potwierdza operację oznacza brak zachowania należytej staranności (art. 355 par. 1 kc). Bank cały czas prawidłowo informował na swojej stronie internetowej o wszelkich zagrożeniach, więc wystarczało przestrzegać zaleceń, nie doszło też do złamania zabezpieczenia systemu bankowości elektronicznej. Do nieautoryzowanego przelewu nie doszło także wskutek nieszczelności systemów bezpieczeństwa, zatem nieostrożny klient nie może domagać się zwrotu pieniędzy wykradzionych wskutek jego własnych zaniedbań.
art. 45 ust. 1 ustawy o usługach płatniczych
Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
Odmienne zapatrywania miał sąd odwoławczy: kluczem do rozstrzygnięcia sporu jest ustalenie czy zakwestionowane przelewy można uznać za transakcje autoryzowane przez klienta (pamiętając, iż autoryzacja to „oświadczenie woli użytkownika składane z zamiarem i świadomością wywołania określonych skutków prawnych, tj. dokonania transakcji płatniczej”). Sposób wyrażenia tej zgody może być różny, zależny od sposobu zlecania wykonania usługi (w oddziale, na papierze, przez internet), zaś płatnika obciążają operacje prawidłowo autoryzowane, jak i nieautoryzowane, ale tylko pod warunkiem możliwości przypisania mu winy.
art. 46 ust. 1 ustawy o usługach płatniczych
Z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. (…)
Nie można jednak pomijać, iż ciężar dowodu prawidłowości autoryzacji transakcji płatniczej obciąża dostawcę, toteż to nie użytkownik musi przedstawić dowód, że do operacji doszło wskutek phishingu — to bank ma obowiązek wykazać, że klient dopuścił się jakiegoś uchybienia — zaś jako dowód prawidłowości autoryzacji transakcji nie wystarczy przy tym fakt, że w przypadku objętych reklamacją operacji został użyty instrument płatniczy przypisany klientowi (por. „Czy bank odpowiada za przelewy z rachunku klienta — „autoryzowane” przez oszusta, który wykradł dane do logowania?”). Jeśli jednak klientowi nie można przypisać odpowiedzialności, bank ma obowiązek niezwłocznie zwrócić całą kwotę nieautoryzowanej transakcji.
Działania klienta nie były nieprawidłowe, lecz niewątpliwie nie można mu przypisać umyślności lub rażącego niedbalstwa — reakcja na otrzymaną, tuż po zakupie w portalu internetowym, wiadomość o konieczności dopłaty nie oznacza świadomego udostępnienia oszustom identyfikatora, hasła lub innych danych. Owszem, doszło do potwierdzenia pierwszej operacji (było nią zapewne ustanowienie zaufanego odbiorcy), jednak kolejnej przelewy — te, które posłużyły do wyprowadzenia pieniędzy z jego rachunku — nie były autoryzowane w rozumieniu przepisów.
W ocenie sądu prowadzi to do konkluzji, iż odpowiedzialność za nieautoryzowaną transakcję płatniczą nie leży po stronie oszukanej ofiary phishingu, lecz banku, który jako podmiot profesjonalny obciążają istotne obowiązki w zakresie bezpieczeństwa (art. 43 uup, art. 50 ust. 3 pr.bank.) — a mimo to nie zapewnił, by indywidualne zabezpieczenia instrumentu płatniczego nie były dostępne dla osób postronnych („gdyby bowiem zabezpieczenia transakcji elektronicznych stosowane przez pozwanego były właściwe, nie doszłoby do dokonania na rachunku powoda transakcji przez nieuprawnione do tego osoby”). W konsekwencji prawomocnym wyrokiem nakazano zwrot kwoty 45 tys. złotych (oraz blisko 7,5 tys. złotych kosztów za obie instancje.
Tytułem komentarza: coraz częściej dochodzę do przekonania, że może i słuszne przepisy są coraz częściej niesłusznie interpretowane. Raz, że chyba nie da się powiedzieć, że w 2019 r. klient banku nie mógł zapoznać się z informacjami o przekręcie „na dopłatę” — jeśli ktoś sobie tego nie wziął do serca, czy aby można mu nie przypisać rażącego niedbalstwa. Dwa, że rzekoma dopłata została potwierdzona kodem przesłanym w esemesie, którego treść wskazywała, iż jest to „autoryzacja nowego odbiorcy” — czy to nie jest rażące niedbalstwo? Trzy, że sąd w uzasadnieniu dywaguje, że skoro ciężar dowodu obciąża dostawcę, do czego oczywiście nie wystarczy sam fakt prawidłowego zastosowania procedury — konieczny jest dowód, że płatnik „płatnik umyślnie doprowadził do nieautoryzowanej transakcji (np. przekazał kartę i PIN członkowi rodziny) albo wskutek rażącego niedbalstwa naruszył jeden z obowiązków określonych w art. 42 uup, czyli nie przechowywał informacji w sposób zapewniający bezpieczeństwo” — co jest praktycznie awykonalne (bank musiałby non-stop szpiegować swych klientów) — ale dlaczego u licha nie wystarczy wykazać, że klient przepisuje jak leci?