A skoro niedawno było o tym, że instytucja finansowa odpowiada za przyjęcie sfałszowanej dyspozycji wypłaty z rachunku, dziś czas na kilka zdań o tym, czy pracownikowi banku powinna się zapalić czerwona lampka, jeśli klientem chce zostać starsza osoba, która nie posiada — wymaganego do założenia konta — telefonu komórkowego i adresu poczty elektronicznej? Czy nieopaczna zgoda na pomoc nieporadnemu klientowi przez osobę postronną może tworzyć ryzyko dla bezpieczeństwa środków? Czy sytuacja, w której osoba trzecia „użycza” — za zgodą banku — swojego numeru telefonu do założenia konta oznacza bezprawne udzielenie dostępu do danych uwierzytelniających?
wyrok Sądu Najwyższego z 30 kwietnia 2024 r. (II CSKP 1089/23)
Ocena rażącego zaniedbania ze strony użytkownika usług płatniczych winna uwzględnić wszystkie okoliczności. Powyższe wymaga również uwzględnienia przestrzegania przez dostawcę obowiązków wynikających z art. 43 ustawy o usługach płatniczych w związku z wydaniem instrumentu płatniczego.
opis stanu faktycznego:
- sprawa zaczęła się od sprzedaży nieruchomości przez — starszego, nie posiadającego telefonu komórkowego i nie posługującego się adresem poczty elektronicznej (a także najprawdopodobniej nie posiadającego konta bankowego) — mężczyznę;
- przy transakcji mąż kupującej namówił sprzedającego, żeby przyjął zapłatę (240 tys. zł) przelewem na rachunek w banku, a ponieważ sprzedający konta nie miał, udzielił mu pomocy: poszedł z nim do banku, pomógł wypełnić papiery, zaoferował się, że można podać jego numer komórki;
- po kilku tygodniach pomocny kolega pomógł starszemu panu jeszcze raz: poszedł z nim do banku zaktualizować dane teleadresowe (wszakże po sprzedaży domu się przeprowadził), przy okazji dopisując istniejący adres listelowy oraz zmieniając numer telefonu przypisany do konta;
- (rzecz miała miejsce w 2013 r., więc karta SIM była anonimowa, jednak jak się później okazało powiązana z jakże pomocnym kolegą, który miał też pod swoją kontrolą skrzynkę email);
- jak łatwo się domyślać chodziło o uzyskanie dostępu do pieniędzy ze sprzedaży nieruchomości: wkrótce „pomocny” wykorzystał dane uwierzytelniające do zalogowania się na konto i przelał z niego 71 tys. zł na rachunek założony „na słupa”, a następnie wypłacił środki z bankomatu (za co obaj zostali skazani — „słup” za pomocnictwo);
art. 42 ust. 2 ustawy o usługach płatniczych
[…] użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.
art. 43 ust. 1 pkt 1 uup
Dostawca wydający instrument płatniczy jest obowiązany do:
1) zapewnienia, że indywidualne dane uwierzytelniające nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu […]
art. 46 ust. 1 i 3 uup
1. […] w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej […]
3. Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.
- zaś do sądu trafił pozew przeciwko bankowi o zwrot kwoty zagarniętej przez oszusta;
- (w tzw. międzyczasie starszy pan umarł, bank został przejęty, w trybie przymusowej restrukturyzacji, przez Bankowy Fundusz Gwarancyjny — formalnie spór toczyli następcy ich prawni);
orzeczenie sądu:
- sąd uznał, że z dowodów wynika, że klient wnosił wyłącznie o zmianę adresu zamieszkania, ale nie zlecał zmiany numeru telefonu i adresu email przypisanego do konta;
- mało tego: jeśli bank zauważył, że klient nie jest sam w sobie ogarnąć indywidualnych zabezpieczeń dostępu do instrumentu płatniczego — a nie jest, ponieważ nie ma nawet komórki i do wszystkiego potrzebuje pomocnika — to nie powinien z nim ani zawierać umowy, ani wykonywać dyspozycji zmiany danych uwierzytelniających;
- stwierdzając, iż zgoda banku na pomoc nieporadnemu klientowi obejmującą podanie cudzych danych autoryzacyjnych oznacza niedopełnienie ustawowych obowiązków, ergo wyprowadzenie pieniędzy przez oszusta stanowiło nieautoryzowaną transakcję płatniczą, za którą klient nie odpowiada, sąd prawomocnie nakazał zwrot całej sumy;
skarga kasacyjna:
- w skardze kasacyjnej BFG podkreślił, że do udostępnienia danych uwierzytelniających osobie nieuprawnionej doszło wskutek rażącego niedbalstwa klienta, przez co strona pozwana jest zwolniona od odpowiedzialności za szkodę wyrządzoną wskutek nieautoryzowanej transakcji płatniczej;
- wśród zarzutów pojawiły się także art. 60 kc i art. 65 kc, zatem polemika dotyczyła także skuteczności oświadczenia woli złożonego przez klienta;
wyrok SN:
- instrumentem płatniczym w rozumieniu ustawy o usługach płatniczych jest także sytem bankowości elektronicznej, („uzgodniony przez użytkownika i dostawcę zbiór procedur wykorzystywanych przez użytkownika do złożenia zlecenia płatniczego”), zatem obowiązki banku wynikające z wydawania instrumentu płatniczego odnoszą się także do zakładania konta;
- zgodnie z przepisami w przypadku sporu o prawidłowość autoryzacji transakcji płatniczej ciężar dowodu spoczywa na instytucji finansowej; okolicznością wyłączającą odpowiedzialność banku za przyjęcie do realizacji nieprawidłowo autoryzowanej operacji może być rażące zaniedbanie klienta, którego skutkiem jest ujawnienie poufnych danych uwierzytelniających;
- jednakże ocena stopnia zaniedbania uwzględniać całokształt okoliczności, a więc także sposób wywiązania się przez dostawcę z jego obowiązków, w tym postępowanie banku przy wydaniu instrumentu płatniczego;
- sęk w tym, że pracownik banku powinien był — widząc, że przychodzi do niego starsza osoba, nie posiadająca ani komórki, ani konta bankowego, troszkę nieporadna, korzystająca z pomocy osoby trzeciej, która to osoba podaje na umowie swój numer telefonu — wykazać się ponadprzeciętną ostrożnością; ba, dodatkowym uchybieniem była późniejsza zmiana danych kontaktowych mimo braku wyraźnej dyspozycji klienta i „przekierowanie” autoryzacji na oszusta;
- w sumie można powiedzieć, że już w skardze kasacyjnej sam bank przyznał, iż jego procedura zmiany danych niezbędnych do logowania do systemu transakcyjnego i zlecania płatności była sprzeczna z art. 43 ust. 1 uup — bo nie zapewniała braku dostępności do danych uwierzytelniających osobie postronnej (bo tak potraktowano słowa pracownika banku, iż poproszony o numer telefonu i listem klient „na chwilę wyszedł z boksu, poszedł kogoś zapytać o te dane, i po chwili wrócił wskazując zarówno konkretny numer telefonu komórkowego jak i konkretny adres email”);
- sumarycznie prowadzi to do konkluzji, że rażącego niedbalstwa dopuścił się nie klient, lecz bank — pozwalając na ujawnienie indywidualnych danych służących do uwierzytelnienia klienta;
- a skoro doprowadziło to do wykonania przelewu, to owa płatność miała charakter transakcji nieautoryzowanej, za którą w pełni odpowiada bank.
Stwierdzając, że zgoda na pomoc nieporadnemu klientowi ze strony osoby trzeciej nie może prowadzić do naruszenia bezpieczeństwa danych autoryzacyjnych pozwalających na dostęp do konta, SN oddalił skargę kasacyjną.