Czy klient banku odpowiada za wyłudzenie przez oszustów pożyczki na dane klienta? Jeśli dał się namówić na zainstalowanie w swym sprytfonie aplikacji umożliwiającej wykradzenie danych do konta? Czy jednak w takim przypadku to bank ponosi odpowiedzialność za nieautoryzowaną transakcję płatniczą? A przy okazji: czy spłacając nienależny dług należy zastrzec, że czyni się to pod przymusem i będzie się oczekiwać jego zwrotu? (prawomocny wyrok Sądu Rejonowego w Bydgoszczy z 27 października 2023 r., XIV C 2013/22).
Sprawa zaczęła się w kwietniu 2022 r. od telefonu z banku i rozmowy, podczas której konsultant powiedział klientce, że doszło do włamania na jej konto i wyłudzenia przez oszusta pożyczki w kwocie 30 tys. zł. Mężczyzna polecił zainstalować aplikację służącą do sprawdzenia bezpieczeństwa rachunku; kobieta „…zainstalowała aplikację, którą pobrała ze strony AppStore” (zapewne chodzi o jakiś program do zdalnej obsługi urządzenia) i zaczęła wykonywać polecenia rzekomego pracownika banku, ale w pewnym momencie coś ją tknęło, więc poszła do oddziału bankowego, gdzie się okazało, że rzeczywiście akurat wzięła pożyczkę przez internet (na kwotę 45,1 tys. zł, po potrąceniu prowizji na jej rachunek przelano 35,9 tys. zł), a pieniądze są właśnie wypłacane z bankomatu w Irlandii.
Oszustom udało się wypłacić 10 tys. zł, kobieta odstąpiła od umowy pożyczki, jednakże jej reklamacja nie została uwzględniona, zatem klientka spłaciła dług — ale pozwała bank o zwrot kwoty nieautoryzowanej transakcji płatniczej.
Zdaniem banku roszczenia były o tyle bezzasadne, że umowę pożyczki zawarto przy wykorzystaniu znanych tylko klientce danych (numer konta, hasło, kod autoryzacyjny), wypłata została autoryzowana przy użyciu danych jej własnej karty płatniczej (numeru, daty ważności, kodu CVV i potwierdzona w aplikacji, do której dostęp powinien mieć tylko użytkownik). Poszkodowana dobrowolnie przekazała wszystkie informacje niezidentyfikowanej osobie, a więc świadomie doprowadziła do naruszenia ustawowych obowiązków w zakresie zapewnienia bezpieczeństwa indywidualnych danych uwierzytelniających (art. 42 ustawy o usługach płatniczych). Oznacza to, że kobieta dopuściła się rażącego niedbalstwa, wskutek czego dostawca jest całkowicie zwolniony z odpowiedzialności.
(Pozostawione w uzasadnieniu okruszki pozwalają stwierdzić, iż pozwanym bankiem był Bank Pekao S.A., a nierozważną klientką była 22-letnia studentka.)
Odnosząc się do argumentów stron sąd przypomniał, iż co do zasady to dostawca (bank) ponosi odpowiedzialność za wykonanie nieautoryzowanej przez użytkownika transakcji płatniczej (por. „Klient nie odpowiada za skutki nieautoryzowanego przelewu bankowego, nawet jeśli dostrzegał, że może być ofiarą phishingu”). Jednakże art. 46 ust. 1 uup dotyczy wyłącznie przechowywanych przez bank pieniędzy wpłaconych przez klienta i nie odnosi się do wyłudzonej pożyczki udzielonej przez bank („rachunek powódki był jedynie narzędzie służącym nieustalonej osobie do wyłudzenia kwoty pożyczki od pozwanego banku. Tym samym oszust nie uszczuplił środków pieniężnych zdeponowanych przez powódkę na rachunku bankowym, tylko wykorzystał jej rachunek jako „narzędzie” do wyłudzenia środków pieniężnych od banku”; od siebie bym dodał, że zaciągnięcie pożyczki nie jest chyba transakcją płatniczą w rozumieniu art. 2 pkt 29 uup). W konsekwencji powódka nie może żądać zwrotu pieniędzy na podstawie przepisów o odpowiedzialności dostawcy za nieautoryzowane transakcje płatnicze…
…skoro jednak nie ma wątpliwości, że wyłudzenie pożyczki na dane klienta było możliwe wskutek działań oszustów, a oświadczenia woli o zawarciu umowy nie złożyła powódka, to taka umowa jest nieważna…
…a skoro kobieta spłaciła dług z nieważnej pożyczki, to istnieje możliwość rozstrzygnięcia sporu w oparciu o inną podstawę prawną: zwrotu bezpodstawnego wzbogacenia uzyskanego wskutek otrzymania przez bank świadczenia nienależnego — dokonanego na podstawie nieważnej czynności prawnej (art. 410 par. 2 kc). Wszakże klientka nie tylko nie miała obowiązku oddawać pieniędzy, których nie pożyczyła, ale też spłacając nieistniejący dług kierowała się podpowiedzią pracownika banku, że w ten sposób uniknie egzekucji i odsetek — zaś spełniając swe świadczenie zastrzegła żądanie zwrot, zatem niewątpliwie może domagać się owych 10 tys. zł (art. 411 pkt 1 kc).
Niezależnie od tego zdaniem sądu klientce nie sposób przypisać niedbalstwa, a zwłaszcza rażącego niedbalstwa: wbrew temu, co twierdzi bank, nie udostępniła oszustom danych do logowania i numerów karty płatniczej, lecz informacje te zostały pozyskane przy wykorzystaniu zainstalowanej przez nią aplikacji. Tymczasem bank nie informował wyraźnie o tym, że możliwe wyłudzenie pożyczki na dane klienta przy wykorzystaniu takiej aplikacji, a nawet jeśli, to zamieszczenie ogólnej informacji jedynie na stronie internetowej banku nie jest wystarczające. Sęk bowiem w tym, że skoro oszuści stosują nowe tricki, to banki powinny starać się zachować odporność na takie metody — albowiem skoro
to pozwany [bank] opracował zasady działania bankowości elektronicznej, które pozwoliły nieustalonej osobie na wyłudzenie od niego znacznej kwoty. W związku z powyższym to pozwany winien ponieść negatywne konsekwencje nieszczelności tego systemu.
Sumarycznie w wydanym (i prawomocnym) wyroku sąd nakazał zwrot kwoty 10 tys. zł z odsetkami od dnia doręczenia wezwania do zapłaty.