Ciężar dowodu, że transakcja była prawidłowo autoryzowana przez klienta, spoczywa na banku

A skoro niedawno było o tym, że dodanie swojej karty do usługi Apple Pay phishera może być traktowane jako rażące niedbalstwo, dziś czas na kilka akapitów o tym, że to na banku spoczywa ciężar dowodu, że autoryzacja transakcji płatniczej została prawidłowo dokonana przez klienta — przeto klient co do zasady nie musi niczego wykazywać.

wyrok Sądu Okręgowego w Olsztynie z 28 stycznia 2022 r. (V Ga 328/21)
Ciężar udowodnienia, że transakcja była autoryzowana przez użytkownika, ciąży na dostawcy, czyli na profesjonaliście, nawet jeśli to użytkownik występuje z roszczeniem, twierdząc, że nie on autoryzował transakcji.

Orzeczenie dotyczyło odpowiedzialności banku za przełamanie informatycznych zabezpieczeń systemu transakcyjnego i dokonania nieautoryzowanej transakcji, wskutek czego z rachunku firmowego klienta zniknęło 29 tys. zł.
Zdaniem banku roszczenia były bezzasadne, ponieważ żadnego włamania na konto nie było, do logowania doszło przy użyciu prawidłowego loginu użytkownika, zaś przelewy zostały wykonane w oparciu o potwierdzony przez klienta szablon płatności.

Sąd I instancji ustalił, że spornego dnia córka powoda (i jego pracowniczka) wykonywała przelewy do kontrahentów, płatności były dodawane do koszyka, w tym cykliczny przelew 29 tys. zł za paliwo, który jednak trafił na inne konto (za te pieniądze oszust natychmiast nakupował sobie kleptowalut). Po kilku miesiącach stacja paliw upomniała się o zapłatę, a płatnik złożył reklamację w banku; dość rzec, że się okazało, że jego komputer był zainfekowany jakimś malware podmieniającym numer konta przy dodawaniu predefiniowanego odbiorcy. Nie doszło zatem do naruszenia systemu bankowego, zaś cały dramat rozegrał się wyłącznie w komputerze poszkodowanego…
…co oznacza, że doszło do wykonania nieautoryzowanej transakcji płatniczej, za którą pełną odpowiedzialność ponosi bank (który najwyraźniej nie dopełnił obowiązku dołożenia szczególnej staranności w przechowywaniu pieniędzy klientów), a więc musi zwrócić całą kwotę (z odsetkami

art. 40 ust. 1 ustawy o usługach płatniczych
Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.

art. 45 ustawy o usługach płatniczych
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

W apelacji od tego wyroku bank podtrzymał, że powodowi można zarzucać rażące niedbalstwo — ponieważ nie zabezpieczył prawidłowo swego komputera, a w dodatku nie sprawdził parametrów przelewu — zaś inna interpretacja oznacza, że odpowiedzialność dostawcy jest właściwie nieograniczona.

Sąd odwoławczy nie podzielił tych argumentów: dostawca usługi płatniczej może dokonać transakcji wyłącznie pod warunkiem jej autoryzacji przez klienta, zaś w przypadku wykonania operacji nieautoryzowanej ponosi odpowiedzialność za jej wykonanie i musi zwrócić klientowi pieniądze (przy czym dowód, iż doszło do prawidłowej autoryzacji, obciąża dostawcę). Odpowiedzialność banku wyklucza wyłącznie umyślność działania lub rażące niedbalstwo (rozumiane jako kwalifikowana forma winy nieumyślnej, a oceniane przez pryzmat art. 355 par. 1 kc), prowadzące do naruszenia podstawowych obowiązków w zabezpieczeniu danych uwierzytelniających. Powód miał zainstalowany darmowy aktualny program antywirusowy, zatem biorąc pod uwagę, że regulamin bankowy nie określał rodzaju oprogramowania i nie wykluczał programów darmowych, należy przyjąć, iż zabezpieczenie spełniało wymogi. Jednakże nawet antywirus nie zapobiegł zainfekowaniu przez malware, co oznacza, że doszło do przełamania zabezpieczenia jego komputera — nie doszło natomiast do przełamania zabezpieczeń systemu bankowego…
…co tak czy inaczej oznacza, iż bank, na którym spoczywa obowiązek dowodowy, nie wykazał, iżby transakcja została prawidłowo autoryzowana: autoryzacja wymaga zgody na konkretną operację, a przecież zgodą klienta ta akurat płatność nie była objęta (świadczy o tym już sam fakt, że klient natychmiast zgłosił reklamację i zawiadomił policję o przestępstwie). Ba, w świetle dowodów (lub też raczej ich braku) nie sposób także stwierdzić, że klient dopuścił się rażącego niedbalstwa w zabezpieczeniu danych uwierzytelniających (bo i dowodem na tę okoliczność nie może być sam w sobie fakt użycia instrumentu płatniczego) — co oznacza, że bank powinien był zwrócić klientowi całą kwotę najpóźniej w kolejnym dniu roboczym (art. 46 uup).

Dostawca może przytoczyć dowody wykazujące, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji albo wskutek rażącego niedbalstwa naruszył jeden z obowiązków określonych w art. 42 ustawy o transakcjach płatniczych [sic!] czyli nie przechowywał informacji w sposób zapewniający bezpieczeństwo.

Zamiast komentarza: przyznam, że troszkę nie rozumiem jakim cudem prawidłowo zrozumiana zasada — iż ciężar dowodu, że autoryzacja transakcji płatniczej była prawidłową zgodą płatnika — mogła doprowadzić sąd do takiej interpretacji stanu faktycznego. Zobaczmy to jeszcze raz: klient niewątpliwie miał zainfekowany komputer, zaś podmiana numeru rachunku nastąpiła w jego urządzeniu (nie po stronie banku) — jeśli to nie jest dowód, że coś było nie tak z podjęciem niezbędnych środków służących zapobieżeniu naruszenia indywidualnych danych uwierzytelniających (art. 42 ust. 2 uup), to coś tu nie gra.(Nb. w uzasadnieniu pojawił się niezły lapsus: iż biegły (z zakresu oprogramowania, systemów, sieci) potwierdził, że prawidłowa autoryzacja nie miała miejsca z uwagi na „brak winy” powoda — no ja bardzo przepraszam, ale biegły nie jest od oceny winy, a ten biegły nawet nie jest kwalifikowany nawet do wypowiadania się o woli i zamierzeniach klienta).

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

49 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
49
0
komentarze są tam :-)x