Obowiązkiem banku jest wdrożyć takie rozwiązania, by pieniądze klientów były bezpieczne; obowiązkiem klientów jest przestrzegać tych środków bezpieczeństwa. Czy zatem dodanie swojej karty do usługi płatności mobilnych oszusta, który dzięki temu wyciągnął pieniądze z rachunku klienta, oznacza naruszenie zasad bezpieczeństwa? Czy jednak można przyjąć, że to bank nie dopracował dostatecznie swoich systemów, skoro phishing był możliwy? Kto więc ponosi odpowiedzialność za takie transakcje i czy poszkodowany klient może żądać od banku zwrotu swoich pieniędzy? (wyrok Sądu Okręgowego w Gliwicach z 6 lipca 2022 r., III Ca 264/22).
Sprawa zaczęła się od zamieszczenia przez mężczyznę w internetowym serwisie OLX oferty sprzedaży używanych butów za 10 złotych. Towar szybko wzbudził zainteresowanie kupującego, który poprzez Łocap poprosił o jego pilną wysyłkę, dla ułatwienia podsyłając odnośnik do odpowiedniego formularza (wyklikać kod, podać kwotę „10 złotych”, pójść do paczkomatu)… Dość rzec, że się okazało, że kupujący był oszustem i w ten sposób udało mu się dodać kartę bankomatową sprzedającego do aplikacji Apple Pay, dzięki czemu mógł płacić za swe zakupy (łącznie w ten sposób wydał 19,5 tys. zł z rachunku swej ofiary).
Złożona w mBanku reklamacja została odrzucona: klient wydał dyspozycję dodania karty do aplikacji Apple Pay, odblokowanie iPhona przy pomocy Face ID lub Touch ID i użycie karty zapisanej w aplikacji Apple Pay oznacza zgodę na obciążenie rachunku, zatem wszystkie płatności zostały prawidłowo autoryzowane przy użyciu urządzenia mobilnego z zarejestrowanym (nieskradzionym) instrumentem płatniczym. Przekazanie oszustowi danych karty wystarczających do obciążania rachunku cudzymi płatnościami stanowi rażące niedbalstwo, za które pełną odpowiedzialność ponosi klient.
art. 22 pkt 33b ustawy o usługach płatniczych
uwierzytelnianie — procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających;
art. 40 ust. 1 uup
Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.
art. 46 ust. 3 uup
Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków [zapobieżenia naruszenia indywidualnych danych uwierzytelniających, nieudostępniania instrumentu płatniczego osobom nieuprawnionym].
Sprawa trafiła do sądu, który przypomniał, że zgodnie z ustawą o usługach płatniczych bank (dostawca) może wykonać transakcję płatniczą wyłącznie pod warunkiem jej autoryzacji przez klienta (płatnika). Skoro więc przechowywane w banku pieniądze stanowią własność banku, acz z obowiązkiem zwrotu na każde żądanie klienta, to ryzyko wypłaty lub dokonania rozliczenia na podstawie dyspozycji nieuprawnionej obciąża bank. Stąd też ciąży na nim m.in. powinność zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne osobom postronnym — koresponduje z tym nałożony na klientów obowiązek podejmowania wszelkich środków w celu zabezpieczenia indywidualnych danych uwierzytelniających oraz nieudostępniania danych do logowania osobom nieuprawnionym. Natomiast w przypadku nieautoryzowanej transakcji płatniczej dostawca ma obowiązek niezwłocznie zwrócić pieniądze (chyba że ma uzasadnione i udokumentowane podstawy przypuszczać, że klient dopuścił się oszustwa). Ciężar dowodu, iż płatność nie była autoryzowana spoczywa na banku, przy czym jako dowód, iż klient dokonał autoryzacji nie wystarczy wykazać, że użyto wydanej mu karty (art. 45 uup).
Odnosząc powyższe rozważania do przebiegu zdarzeń sąd podkreślił, że powód buty sprzedawał, zatem jest alogiczne i niewytłumaczalne dlaczego próbował za nie zapłacić i wpisał kwotę 10 zł, a następnie podał oszustowi dane z otrzymanego esemesa, który wyraźnie mówił czego rzecz dotyczy („Wprowadź kod aby potwierdzić aktywacje karty nr xxx w Apple Pay”; tu warto dodać, że powód sam już wcześniej był użytkownikiem tej usługi, a więc powinien znać i rozpoznać ten mechanizm). W konsekwencji można mu zarzucać rażące niedbalstwo (culpa lata) — kwalifikowaną postać winy nieumyślnej polegającą na braku wymaganej (zwykłej) staranności w przewidywaniu skutków swego działania. Klient banku powinien mieć świadomość, że podanie danych karty płatniczej na fałszywej, podesłanej przez oszusta, stronie internetowej i zatwierdzenie operacji polegającej na dodaniu karty do mobilnej aplikacji Apple Pay stanowi naruszenie obowiązków w zakresie zabezpieczenia indywidualnych danych uwierzytelniających (art. 42 uup).
Stwierdzając, iż dodanie swej karty płatniczej do usługi mobilnych płatności stanowiło ze strony klienta rażące niedbalstwo, który dał złowić się na phishing, a więc to on sam ponosi odpowiedzialność za nieautoryzowaną transakcję płatniczą, sąd prawomocnie oddalił roszczenia wobec banku (przegrana kosztowała stronę powodową dodatkowe 5,4 tys. zł).
Tytułem komentarza: nie będę ukrywał, że w świetle wcześniejszego orzecznictwa ten wyrok jawi mi się jako orzeźwiający głos rozsądku: użytkownik powinien się starać, czytać ze zrozumieniem i myśleć o tym co robi — nie powinien domagać się od innych rekompensaty za własne rażące błędy. W tym przypadku było prościej, ponieważ powód sam korzystał z płatności mobilnych na swoim iPhonie, a więc nie mógł powiedzieć „ja się nie znam”, ja jednak czekam na odwrócenie (ostatnio lansowanego przez UOKiK) trendu, że „może i to zrobił, ale nie taki był jego zamiar”, wiec daj mu.