Utrwalone orzecznictwo podpowiada, że bank ponosi odpowiedzialność za phishing i kradzież pieniędzy z konta klienta. Pojawiają się jednak argumenty, że dyrektywa PSD2 została źle przetłumaczona i implementowana, ze szkodą dla dostawców usług. Czy użytkownik, który bez namysłu przepisuje kody dotyczące innej transakcji, niż zlecał, nie powinien później mieć pretensji do banku, lecz do siebie? Czy zatem autoryzacja przez klienta oszukańczych transakcji powinna być traktowana jako przyczynienie się do powstania szkody?
wyrok Sądu Najwyższego z 15 września 2023 r. (II CSKP 1013/22)
Wykazanie uwierzytelnienia transakcji płatniczej nie jest równoznaczne z wykazaniem jej autoryzacji.
Sprawa zaczęła się w 2018 r. od przechwycenia, przez nieustaloną osobę, przy użyciu podstawionej strony banku, loginu i hasła do systemu bankowości elektronicznej i wyprowadzenia z rachunku firmowego kwoty ok. 77,7 tys. zł. Klient złożył reklamację dotyczącą kradzieży pieniędzy z jego rachunku, acz bank jej nie uznał, zatem spór trafił do sądu.
Sąd prawomocnie stwierdził, iż wprawdzie przekazanie oszustowi przez klienta kodów otrzymanych w esemesach umożliwiło wyprowadzenie pieniędzy, jednak w takim przypadku nie można mówić o rażącym niedbalstwie. Nawet jeśli poszkodowany miał ogólną wiedzę nt. różnych hakerskich sztuczek (phishingach, fałszywych stronach internetowych, etc.), to jednak klient banku nie będący profesjonalistą nie można od niego wymagać prawidłowego rozpoznania każdego zagrożenia — zwłaszcza, że nie jest niczym dziwnym, że w przypadku problemów z zalogowaniem się bank wysyła różne dodatkowe esemesy (dla jasności: rzecz miała miejsce przed wdrożeniem dyrektywy PSD2). Skoro więc właścicielem zgromadzonych na rachunku pieniędzy jest bank, który ma obowiązek zwrotu środków na żądanie klienta — i ponosi odpowiedzialność za wypłatę dokonaną na podstawie dyspozycji osoby nieuprawnionej — to roszczenie zwrotu jest zasadne.
W skardze kasacyjnej od tego orzeczenia bank powołał się na błędne tłumaczenie (a może implementację?) art. 72 ust. 1 dyrektywy 2015/2366, w której wyraz „authenticated” przełożono na „autoryzowana”, podczas gdy w istocie chodzi o „uwierzytelnienie”, wskutek czego jest błąd w treści art. 45 ust. 1 uup (por. Michał Masłowski, „Otwarta bankowość. Aspekty prawno-finansowe”, s. 139-141). Biorąc zatem pod uwagę, że klient potwierdził każdą z operacji prowadzących do wyprowadzenia pieniędzy — można co najmniej mówić o przyczynieniu się do powstania szkody.
art. 45 ust. 1 i 2 ustawy o usługach płatniczych
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.
art. 46 ust. 1 i 3 uup
1. Z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej (…).
3. Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.
art. 355 kodeksu cywilnego
§ 1. Dłużnik obowiązany jest do staranności ogólnie wymaganej w stosunkach danego rodzaju (należyta staranność).
§ 2. Należytą staranność dłużnika w zakresie prowadzonej przez niego działalności gospodarczej określa się przy uwzględnieniu zawodowego charakteru tej działalności.
Odnosząc się do tych argumentów Sąd Najwyższy przyznał, że różnica między autoryzacją i uwierzytelnieniem jest istotna: autoryzacja oznacza zgodę na wykonanie transakcji płatniczej (jej potwierdzenie), natomiast uwierzytelnienie jest procedurą umożliwiającą bankowi weryfikację tożsamości użytkownika. Biorąc za dobrą monetę tezę o błędzie, należałoby przyjąć, iż umożliwienie zalogowania się przez nieuprawnioną osobę i przekazanie kodów autoryzacyjnych oznacza uwierzytelnienie się użytkownika, przez co operacje należałoby uznać za autoryzowane (zwłaszcza, że w treści esemesa była wyraźna informacja o modyfikacji odbiorcy zaufanego)… co o tyle nie ma znaczenia, że nie jest sporne (a więc nie wymaga dowodu), iż klient użył kodów w celu zalogowania się do systemu, a nie w celu autoryzacji przyszłych przelewów poprzez dodanie odbiorcy zaufanego. Nie można też nie zauważać, że przelew do zaufanego odbiorcy — niewymagające dodatkowej autoryzacji, nieograniczone kwotą lub rodzajem beneficjenta (np. do opłat cyklicznych za prąd, telefon, etc.) jest rozwiązaniem wygodnym, acz niebezpiecznym dla klientów — a jeśli bank decyduje się na takie ułatwienia, to powinien też pomyśleć o dodatkowych zabezpieczeniach…
…co w ocenie SN nie wyklucza innych rozważań: czy klient który przepisuje kody, dopuścił się niestaranności lub nawet rażącego niedbalstwa? Na ile bezmślna autoryzacja oszukańczych transakcji może być traktowana jako przyczynienie się do powstania szkody — skutkującego miarkowaniem wysokości odszkodowania (acz pamiętając o głosach doktryny, iż odpowiedzialność z art. 46 ust. 1 uup nie jest odpowiedzialnością odszkodowawczą)?
A ponieważ sąd niższej instancji nie przeanalizował tych okoliczności w sposób należyty, SN uchylił zaskarżony wyrok i zwrócił sprawę do ponownego rozpoznania w apelacji.