II C 334/16
-
Data orzeczenia:
-
Organ orzekający:
-
Wydział:
-
Skład sędziowski:
-
Protokolanci:Jakub Zieliński
Powołane przepisy:
Korekty wprowadzone przez SAOS:
Informacje o źródle orzeczenia:
- Link do źródła orzeczenia
-
Data publikacji:17-11-2017
-
Osoba publikująca:Aneta Krasuska
-
Korektor:Aneta Krasuska
Dodatkowe informacje:
-
Sprawy przywołane w treści orzeczenia:I ACa 917/12 I ACa 917/12 I ACa 917/12 I ACa 917/12 I ACa 917/12 V CSK 291/08 3 Ds 2711/13/VI II CKN 344/00 III CKN 393/98
Pełny tekst orzeczenia
Sygn. akt: II C 334/16
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 31 maja 2017 r.
Sąd Okręgowy w Warszawie – II Wydział Cywilny
w składzie:
Przewodniczący: SSO Małgorzata Mączkowska
Protokolant: Jakub Zieliński
po rozpoznaniu w dniu 31 maja 2017 r. w Warszawie
na rozprawie
sprawy z powództwa J. S.
przeciwko (...) spółce akcyjnej z siedzibą w W.
o zapłatę
I. zasądza od (...) spółki akcyjnej z siedzibą w W. na rzecz J. S. kwotę 178.685,55 zł (sto siedemdziesiąt osiem tysięcy sześćset osiemdziesiąt pięć złotych i pięćdziesiąt pięć groszy) wraz z ustawowymi odsetkami za czas opóźnienia od dnia 22 października 2013 r. do dnia zapłaty;
II. zasądza od (...) spółki akcyjnej z siedzibą w W. na rzecz J. S. kwotę 8.217 zł (osiem tysięcy dwieście siedemnaście złotych), tytułem zwrotu kosztów procesu.
SSO Małgorzata Mączkowska
Sygn. akt: II C 334/16
UZASADNIENIE
Powód J. S. pozwem z dnia 15 kwietnia 2016 r. wniósł o zasądzenie od (...) SA z siedzibą w W. kwoty 178.685,55 zł wraz z ustawowymi odsetkami od dnia 22 października 2013 r. do dnia zapłaty, a także o zasądzenie kosztów postępowania według norm przepisanych. W uzasadnieniu powód wskazał, że w pierwszych dniach października 2013 r. jego komputer, mimo działającego programu antywirusowego, padł ofiarą ataku hakerskiego, w wyniku którego hakerzy mogli logować się do systemu bankowości elektronicznej (...) podszywając się pod niego. Zaznaczył, że w dniu 8 października 2013 r. osoba nieuprawniona wykonała z jego rachunku bankowego prowadzonego przez (...) kilka przelewów na łączą kwotę 239.566 zł. Podniósł, że zdeponowanie środków na rachunku bankowym i niewydanie zlecenia ich wypłaty oznacza zobowiązanie banku do przechowywania środków i ich wypłaty na żądanie powoda. Powód wskazał także, że w dniu 27 października 2015 r. skierował do (...) reklamację, na którą uzyskał odpowiedź z opóźnieniem, co oznacza, że zgodnie z ustawą z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i Rzeczniku Finansowym, jego reklamacja powinna zostać rozpatrzona zgodnie z jego wolą (pozew – k. 2-8).
Pozwany (...) SA z siedzibą w W. wniósł o oddalenie powództwa w całości. Pozwany zaznaczył, że zgodnie z regulaminem powód ma obowiązek zainstalowania legalnego oprogramowania i programu antywirusowego oraz aktualizowanie go. Pozwany podniósł zarzut przyczynienia się powoda w stu procentach do powstania szkody poprzez niezachowanie należytej staranności w ochronie swoich danych, co doprowadziło do ich udostępnienia osobom nieuprawnionym, co z kolei umożliwiło wykonanie przedmiotowych przelewów. Zaznaczył, że działania hakerów były możliwe, gdyż oprogramowanie szpiegowskie było zainstalowane na komputerze, z którego korzystał powód. Zlecona operacja nie mogła podlegać jakiejkolwiek dodatkowej weryfikacji przez system banku, ponieważ nie istnieją żadne możliwości techniczne, aby przelew składany w taki sposób, mógł być wychwycony przez system informatyczny jakiegokolwiek banku jako przelew składany przez osobę nieuprawnioną, gdyż użyte hasła znane są tylko klientowi banku i to one są narzędziem autoryzacji. Pozwany podkreślił, że wielokrotnie ostrzegał klientów o możliwych atakach hakerskich (odpowiedź na pozew – k. 107-114).
W piśmie procesowym z dnia 26 sierpnia 2016 r. powód podkreślił, że w przypadku dokonania wypłaty pieniędzy na rzecz osoby nieuprawnionej, bank nie może uwolnić się do obowiązku wykonania zobowiązania względem posiadacza rachunku na tej podstawie, że wypłata osobie nieuprawnionej nastąpiła bez winy banku. Powód podkreślił także, że nie dopuścił się w zakresie ochrony danych do logowania rażącego niedbalstwa (pismo – k. 170-172).
W piśmie procesowym z dnia 19 grudnia 2016 r. pozwany podniósł, że powód poprzez zainstalowanie na telefonie komórkowym dodatkowego oprogramowania antywirusowego, które nie było pobrane ze strony internetowej banku, ani z żadnej innej strony polecanej przez bank, przyczynił się do powstania szkody (pismo – k. 201-202).
Sąd ustalił następujący stan faktyczny:
W dniu 22 czerwca 2001 r. J. S. zawarł z (...) SA z siedzibą w W. (poprzednio (...) Bank SA z siedzibą w W.) umowę o prowadzenie bankowych rachunków oszczędnościowych, w ramach której założył rachunek eKonto o numerze (...) oraz eMax o numerze (...) (umowa o prowadzenie bankowych rachunków oszczędnościowych – k. 23-24, 127; potwierdzenie otwarcia rachunku bankowego – k. 25, 128).
Zgodnie z § 41 Regulaminu otwierania i prowadzenia rachunków oszczędnościowo-rozliczeniowych i oszczędnościowych w (...) (dalej regulamin), posiadacz rachunku jest zobowiązany do należytego zabezpieczenia narzędzi i urządzeń, z których korzysta w celu uzyskania dostępu do Rachunku, w szczególności poprzez nie omijanie faktycznych zabezpieczeń urządzeń telekomunikacyjnych, zainstalowanie na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego, pobranie aplikacji mobilnej w sposób wskazany przez Bank, dokonywanie aktualizacji zainstalowanego na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego. Zabezpieczeniu bezpieczeństwa dyspozycji składanych na rachunku, zgodnie z § 38 regulaminu, służy identyfikacja posiadacza rachunku, autoryzacja transakcji płatniczych, czyli zgoda płatnika na wykonanie transakcji płatniczej oraz potwierdzenie złożenia dyspozycji przez posiadacza rachunku (regulamin – k. 129-131).
Klient (...), aby zalogować się do systemu bankowości elektronicznej musi dokonać autoryzacji za pomocą identyfikatora (loginu) i hasła, ustanowionego przez klienta. Bank nie zna hasła klienta, zna jego identyfikator. Logując się do systemu użytkownik wpisuje całe hasło (a nie tylko jego wybrane elementy). Wykonanie każdorazowej operacji na koncie bankowym wymaga autoryzacji transakcji dokonywanej, zależnie od metody autoryzacji wybranej przez klienta: poprzez kod wysyłany SMS-em lub kod z papierowej karty dostarczanej użytkownikowi. J. S. stosował autoryzację za pomocą kodów wysyłanych SMS-ami. SMS-y z kodami generuje bank za pomocą bramki SMS-owej i dostarcza za pomocą operatora telefonicznego (okoliczności bezsporne, zeznania świadka D. A. –k. 213-214; przesłuchanie powoda J. S. – k. 219-222).
W dniu 4 października 2013 r. J. S. wpłacił na swoje konto o numerze (...) kwotę 374.081,30 zł, pochodzącą z jego rachunku maklerskiego. Tego samego dnia J. S. przelał 380.000 zł z rachunku bieżącego na rachunek oszczędnościowy nr (...) (potwierdzenie wykonania przelewów z dnia 4 października 2013 r. – k. 26-27).
W pierwszych dniach października 2013 r. komputer J. S., mimo działającego legalnego programu antywirusowego, padł ofiarą ataku hakerskiego. Hakerzy uzyskali możliwość logowania się do systemu bankowości elektronicznej (...) podszywając się pod J. S..
Po tym jak komputer należący do J. S. został zawirusowany przez hakerów, w dniu 5 października 2013 r. J. S. zalogował się do (...) przez internet ze swojego komputera, na którym zainstalowane było legalne oprogramowanie antywirusowe. Po wpisaniu loginu i hasła, na oznaczonej zieloną kłódką świadczącą o bezpiecznym połączeniu, stronie (...), pojawił się komunikat o konieczności zainstalowania przez użytkownika konta aplikacji na telefonie komórkowym. Aplikacja miała służyć zwiększeniu bezpieczeństwa telefonu, na który przychodzą kody potwierdzające transakcje dokonywane online. W tym celu należało wpisać na ekranie, na stronie (...) model telefonu oraz jego numer. Po chwili na wskazany numer przyszedł sms z instrukcją do zainstalowania aplikacji. J. S. zastosował się do otrzymanych instrukcji i pobrał aplikację na telefon.
W rzeczywistości komunikat o konieczności zainstalowania aplikacji na telefonie komórkowym pochodził od hakera, podszywającego się pod bank. Oprogramowanie zainstalowane na telefonie J. S. posłużyło hakerowi przekierowaniu wszystkich wiadomości przychodzących na telefon klienta banku na numer hakera. Także przychodzące z banku (...)-y z kodami transakcyjnymi nie były widoczne dla klienta, ale były od razu przekierowywane na numer hakera (zeznania świadka D. A. – k. 213-214; przesłuchanie powoda J. S. – k. 219-222; protokół przesłuchania J. S. w postępowaniu przygotowawczym – 226-228; posiłkowo opinia z przeprowadzonych badań komputerowych z postępowania przygotowawczego– k. 173-190).
W dniu 8 października 2013 r. niezidentyfikowany sprawca dokonał bez wiedzy i zgody J. S. szeregu przelewów wewnętrznych z rachunku J. S. o numerze (...) na jego rachunek o numerze (...) na łączną kwotę 310.000 zł (potwierdzenia przelewów – k. 40-45).
Następnie tego samego dnia niezidentyfikowany sprawca dokonał ponownie bez wiedzy i zgody J. S. szeregu operacji na rachunku J. S. o numerze (...):
a) o godz. 10:35 przelewu wychodzącego na rachunek P. G. o numerze (...) w kwocie 19.970 zł;
b) o godz. 10:39 przelewu wychodzącego na rachunek K. D. o numerze (...) w kwocie 19.980 zł;
c) o godz. 11:21 przelewu wychodzącego na rachunek K. N. o numerze (...) w kwocie 19.978 zł;
d) o godz. 11:33 przelewu wychodzącego na rachunek R. T. o numerze (...) w kwocie 19.950 zł;
e) o godz. 12:00 przelewu wychodzącego na rachunek K. D. o numerze (...) w kwocie 19.980 zł;
f) o godz. 12:40 przelewu wychodzącego na rachunek P. G. o numerze (...) w kwocie 19.950 zł;
g) o godz.12:51 przelewu wychodzącego na rachunek E. Z. o numerze (...) w kwocie 19.948 zł;
h) o godz. 13:30 przelewu wychodzącego na rachunek K. D. o numerze (...) w kwocie 9.990 zł;
i) o godz. 13:44 przelewu wychodzącego na rachunek R. T. o numerze (...) w kwocie 19.970 zł;
j) o godz. 14:02 przelewu wychodzącego na rachunek K. N. o numerze (...) w kwocie 39.930 zł;
k) o godz. 14:08 przelewu wychodzącego na rachunek P. G. o numerze (...) w kwocie 9.950 zł;
l) o godz. 14:18 przelewu wychodzącego na rachunek B. M. o numerze (...) w kwocie 19.970 zł
Łączna kwota przelewów wykonanych z w/w rachunku bankowego J. S. w dniu 8 października 2013 r. wyniosła 239.566 zł (potwierdzenie przelewów – k. 28-39). Od przelewów wykonanych z rachunku J. S. została pobrana opłata za wykonanie przelewów w łącznej kwocie 420 zł.
Do zatwierdzenia powyższych przelewów posłużyły hasła jednorazowe w postaci wiadomości SMS wysłane na nr (...) (pismo – k. 48-50).
Przelew na kwotę 19.948 zł na konto E. Z. nie został zrealizowany z uwagi na podanie nieprawidłowego formatu rachunku (potwierdzenie przelewu otrzymanego – k. 47).
J. S. nie podawał nikomu loginu i hasła do swojego konta w (...). Znała je jedynie jego żona, która wykonywała przelewy z konta męża na swój rachunek w (...), nie używając do tego kodów przysyłanych SMS-ami z banku, gdyż przelewy na jej konto w (...) nie wymagały podania takich kodów. Żona nie udostępniała nikomu loginu i hasła do konta męża. Przelewów dokonywała jedynie z komputera domowego (przesłuchanie powoda J. S. – k. 219-222).
W dniu 8 października 2013 r., w godzinach popołudniowych pracownik (...) skontaktował się z J. S. w celu potwierdzenia dokonanych przelewów. J. S. zaprzeczył, jakoby zrealizował przelewy. Po uzyskaniu informacji od pracownika banku, zalogował się na swoje konto i stwierdził wykonanie przelewów, których nie zlecał i nie autoryzował. J. S. nie otrzymał w dniu 8 października 2013 r. na swój telefon komórkowy informacji z kodami potwierdzającymi transakcje (przesłuchanie powoda J. S. – k. 219-222).
W dniu 8 października 2013 r. J. S. złożył zawiadomienie o popełnieniu przestępstwa. Postępowanie przygotowawcze toczy się pod sygn. 3 Ds. 2711/13/VI i nie zostało dotychczas zakończone.
W toku postępowania przygotowawczego zostały przesłuchane osoby, na których rachunki przelano środki z rachunku J. S.. K. N., na którego zarejestrowano w marcu 2013 r. konto w Banku (...) o numerze (...) zeznał, że nie posiada takiego konta i nic nie wie o przelewie od J. S.. Poinformował, że pod koniec 2012 r. ukradziono mu dowód osobisty i prawo jazdy. Bank (...) złożył wyjaśnienia, że w dniu 8 października 2013 r. z konta założonego na dane K. N. dokonano wypłaty gotówki w banku na kwotę 4.620 euro oraz na kwotę 9.240 euro. Biorąc pod uwagę kurs sprzedaży euro obowiązujący w (...) w dniu 8 października 2013 r. wypłaty w całości skonsumowały przelewy z konta J. S. (protokół przesłuchania K. N. – k. 54; pismo – k. 55-56).
P. G., K. D., R. T. i B. M. krótko przed dniem 8 października 2013 r. odpowiedzieli na ogłoszenie o pracę zamieszczone w internecie przez E.. Pracodawca skontaktował się z nimi telefoniczne i zaproponował pracę polegającą na koordynowaniu dostaw. Jednym z obowiązków miało być pośredniczenie w przekazywaniu płatności za transport. W dniu 8 października 2013 r. P. G., K. D., R. T. i B. M. otrzymali telefoniczną informację, że na ich konta wpłynął środki, które muszą wypłacić i przekazać przez W. U. na Ukrainę, gdyż tam zepsuła się ciężarówka i trzeba ją naprawić. P. G., K. D. i R. T. przekazali środki pieniężne zgodnie z poleceniem. B. M. odmówił wypłacenia środków, udał się do banku (...). Po poinformowaniu o zdarzeniu, jego konto zostało zablokowane (protokoły przesłuchań w postępowaniu przygotowawczym P. G., K. D., R. T. i B. M. – k. 57-70).
Po uzyskaniu informacji od J. S., że nie dokonywał on żadnych przelewów w dniu 8 października 2013 r., (...) SA skontaktował się z bankiem (...). Bank (...) zablokował konta, na które trafiły środki z konta należącego do J. S.. Zablokowano 146,14 zł na koncie K. D., 600 zł na koncie P. G., 20.216,31 zł na kocie R. T. oraz 19.970 na koncie B. M.. Łącznie zwrócono na konto J. S. w (...) 40.932,45 zł (pismo – k. 55-56; potwierdzenie przelewu otrzymanego – k. 71-74).
Pismem z dnia 16 września 2015 r. J. S. wezwał (...) SA do zapłaty kwoty 179.105,60 zł. Bank odebrał wezwanie w dniu 22 września 2015 r. (wezwanie do zapłaty – k. 75-76; potwierdzenie nadania – k. 77; potwierdzenie odbioru – k. 78).
Pismem z dnia 27 października 2015 r. J. S. złożył reklamację dotyczącą wykonania przez (...) umowy o prowadzenie rachunków bankowych z dnia 22 czerwca 2001 r. J. S. zaznaczył, że w dniu 8 października 2013 r. środki w kwocie 178.658,60 zł zostały wypłacone z jego rachunku bankowego osobom nieuprawnionym, zaś bank pobrał opłaty za wykonane przelewy w wysokości 420 zł. J. S. odwołując się do wcześniej wysłanego wezwania do zapłaty z dnia 16 września 2015 r., na które nie otrzymał z banku odpowiedzi, zażądał rozpatrzenia reklamacji poprzez zapłatę kwoty 179.105,60 zł. Bank odebrał reklamację w dniu 29 października 2015 r. (reklamacja wraz z dowodem nadania i dowodem odbioru przez Bank – k. 79-82).
Pismem z dnia 30 listopada 2015 r. (...) poinformował J. S. o braku podstaw do zwrotu środków pieniężnych zgłoszonych jako operacje nieautoryzowane oraz o uznaniu reklamacji jako niezasadnej. Bank zaznaczył, że operacje na rachunku zostały wykonane przy wykorzystaniu identyfikatora, hasła do kanałów dostępu oraz jednorazowych haseł SMS, zatem zgodnie z § 34 pkt 1 Regulaminu otwierania i prowadzenia bankowych rachunków dla osób fizycznych w ramach bankowości detalicznej (...) SA (pismo – k. 83-87).
Wnioskiem z dnia 1 października 2015 r. J. S. zawezwał (...) SA do próby ugodowej w sprawie roszczenia majątkowego w wysokości 179.105,55 zł wraz z odsetkami od dnia 30 września 2015 r. do dnia zapłaty. Do zawarcia ugody nie doszło (wniosek o zawezwanie do próby ugodowej – k. 90; protokół z posiedzenia jawnego z dnia 25 listopada 2015 r. – k. 91).
Powyższy stan faktyczny Sąd ustalił na podstawie wyżej wskazanych dowodów w postaci dołączonych do akt dokumentów i ich odpisów, zeznań świadka D. A. oraz przesłuchania powoda J. S..
Sąd uznał za wiarygodne przedstawione dokumenty i ich odpisy. Żadna ze stron nie zgłosiła zarzutów co do autentyczności ani prawdziwości tych dokumentów, a Sąd nie znalazł podstaw do ich podważenia z urzędu. Sąd uznał za wiarygodne również zeznania świadka D. A. oraz powoda J. S..
Postanowieniem z dnia 1 marca 2017 r. Sąd oddalił wnioski pozwanego o zobowiązanie powoda do podania informacji i złożenia dokumentów dotyczących dowodu legalnego zakupu oprogramowania systemu operacyjnego oraz o dopuszczenie dowodu z opinii biegłego do spraw informatyki jako nieprzydatne do rozstrzygnięcia niniejszej sprawy, o czym będzie jeszcze mowa w dalszej części uzasadnienia (postanowienie – k. 219).
Sąd zważył, co następuje:
Powództwo jest zasadne w całości. Powód J. S. wnosił o zasądzenie od (...) SA z siedzibą w W. kwoty 178.685,55 zł wraz z ustawowymi odsetkami od dnia 22 października 2013 r. do dnia zapłaty, tytułem zwrotu środków pieniężnych, które znajdowały się na jego rachunku bankowym w (...), a które były przedmiotem nieautoryzowanych przez niego transakcji z dnia 8 października 2013 r.
Na wstępie należy zauważyć, że strony łączyła umowa rachunku bankowego. Zgodnie z art. 725 k.c., przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych.
Jak wskazał Sąd Apelacyjny w Krakowie w wyroku z dnia 5 lutego 2014 r., sygn. I ACa 917/12 (LEX nr 1540886), umowa rachunku bankowego jest oparta na konstrukcji depozytu nieprawidłowego (art. 845 k.c.), co oznacza że bank nabywa własność wniesionych środków pieniężnych, a posiadacz rachunku bankowego nabywa roszczenie o zwrot sumy pieniężnej wynikającej z postanowień umowy łączącej klienta z bankiem. Tym samym wszelkie operacje dokonywane na rachunku bankowym wbrew woli posiadacza rachunku nie obciążają tego posiadacza, a jedynie bank.
Podkreślić także należy, że bank zobowiązany na mocy umowy rachunku bankowego do przechowywania środków pieniężnych i wypłacania ich tylko posiadaczowi rachunku lub jego pełnomocnikowi - odpowiada na podstawie art. 471 k.c. za szkodę wynikłą z wypłaty osobie nieuprawnionej (tak wyrok Sądu Najwyższego z dnia 24 lutego 1999 r., sygn. III CKN 393/98, LEX nr 1214435).
Nie było sporne w niniejszej sprawie, że osoba nieuprawniona uzyskała dostęp do rachunku bankowego J. S. prowadzonego przez (...), w wyniku czego dokonała przelewów na rzecz osób trzecich w dniu 8 października 2013 r.
Pozwany podniósł jednak, że powód przyczynił się w stu procentach do powstania szkody poprzez niezachowanie należytej staranności w ochronie swoich danych, co doprowadziło do ich udostępnienia osobom nieuprawnionym, co z kolei umożliwiło wykonanie przelewów w dniu 8 października 2013 r. Zarzut ten uznać należy za niezasadny.
Stwierdzić należy, że ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Podstawę odpowiedzialności banku w tym zakresie stanowią normy prawne zawarte w ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. 2016.1572 j.t.).
Ustawa o usługach płatniczych przewiduje generalną zasadę, zgodnie z którą dostawca usług płatniczych, czyli bank, ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika, czyli posiadacza konta. Zgodnie z art. 46 ust. 1 powołanej ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Przy czym zgodnie z art. 2 pkt 22 ustawy, płatnikiem jest osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, której ustawa przyznaje zdolność prawną, składającą zlecenie płatnicze, natomiast dostawcą płatnika jest instytucja wymieniona w art. 4 ust. 2 ustawy. Na gruncie przedmiotowej sprawy będą to odpowiednio powód i pozwany.
W art. 45 powołanej ustawy wskazano, że ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika spoczywa na dostawcy tego użytkownika (ust. 1). Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 (ust. 2).
Przez pojęcie instrumentu płatniczego rozumie się zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego (art. 2 pkt 10 ustawy). Na gruncie przedmiotowej sprawy znaczenie ma druga cześć przedstawionej powyżej definicji, ponieważ w praktyce na pojęcie instrumentu płatniczego składa się logowanie za pomocą ustalonego wcześniej loginu klienta oraz hasła i wpisanie jednorazowego kodu SMS – po zdefiniowaniu szczegółów transakcji.
Wskazać należy, że wykazanie przez pozwanego, że bank stosuje odpowiednie systemy zabezpieczeń, a więc wykazanie staranności banku, nie uchyla jego odpowiedzialności z tytułu nieautoryzowanych transakcji. Dlatego też Sąd oddalił wnioski pozwanego na okoliczność wykazania prawidłowego działania systemu bankowego i prawidłowych zabezpieczeń, ponieważ wykazanie tych przesłanek nie ma wpływu na rozstrzygnięcie niniejszej sprawy.
W celu wykazania, że dana transakcja została przez płatnika autoryzowana należy wykazać jedną z trzech okoliczności określoną w zdaniu drugim art. 45 ust. 2 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych. W ocenie Sądu, okoliczności te nie zostały wykazane przez pozwanego, na którym spoczywa w tym zakresie ciężar dowodu.
Po pierwsze, bank może uwolnić się od obowiązku niezwłocznego zwrotu kwoty transakcji w przypadku wykazania, iż to osoba uprawniona do wykonywania operacji na tym rachunku była osobą, która dokonała autoryzacji. Zgodnie z art. 40 ust. 1 ustawy, transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgodnie z § 2 pkt 5 regulaminu, autoryzacja transakcji płatniczej przez płatnika to zgoda płatnika na wykonanie transakcji płatniczej.
Podkreślić należy, że jeżeli transakcja płatnicza jest autoryzowana, oznacza to, że zgodę na transakcję wyraził sam płatnik. Nie jest więc autoryzowaną taka transakcja, której dokonano przy użyciu instrumentu płatniczego należącego do płatnika i dokonano uwierzytelnienia, ale proces ten został dokonany bez zgody płatnika, np. gdy osoba trzecia poznaje (...) płatnika i transakcja przechodzi proces uwierzytelnienia przez jego poprawne wpisanie - dochodzi do zarejestrowanego użycia instrumentu płatniczego, nie dochodzi natomiast do autoryzacji - płatnik nie godzi się na daną transakcję.
Na gruncie przedmiotowej sprawy, w ocenie Sądu, brak jest podstaw do stwierdzenia, że J. S. wyraził zgodę na wykonanie przelewów w dniu 8 października 2013 r. na kwotę 239.566 zł. Powód stanowczo temu zaprzeczył, a sam pozwany nie kwestionował tej okoliczności. Podkreślić jednak należy, że transakcje z dnia 8 października 2013 r. były uwierzytelnione, ponieważ osoba nieuprawniona użyła loginu i hasła J. S. oraz kodów jednorazowych, ale transakcje nie zostały autoryzowane przez powoda, ponieważ J. S. nie wykonał ich.
Transakcje płatnicze zostały wykonane przy użyciu instrumentów, które miały identyfikować posiadacza rachunku bankowego. System bankowy pozwanego nie wykrył jakichkolwiek nieprawidłowości w zakresie użycia instrumentu płatniczego. Mając na uwadze powyższe regulacje, uznać należy, że transakcje przeprowadzone na koncie J. S. w dniu 8 października 2013 r. nie były autoryzowane przez powoda.
Przechodząc do kolejnych przesłanek, których udowodnienie zwolniłoby pozwany bank z odpowiedzialności, podkreślić należy, że (...) nie udowodnił, że powód jako płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy.
Należy wskazać, że zgodnie z art. 46 ust. 3 ustawy o usługach płatniczych, płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Przepis art. 46 ustawy o usługach płatniczych jest przepisem szczególnym, regulującym odpowiedzialność Banku w przypadku wystąpienia nieautoryzowanej transakcji płatniczej. Odpowiedzialność banku za taką transakcję jest uchylona w razie doprowadzenia do nieautoryzowanej transakcji przez klienta w sposób umyślny lub wskutek umyślnego albo stanowiącego rażące niedbalstwo naruszenia obowiązków, o których mowa w art. 42.
Podkreślić należy, że naruszenie obowiązków z art. 42 ustawy musi nastąpić umyślnie lub w skutek rażącego niedbalstwa. O winie płatnika można mówić wówczas, gdy zaistniałe zdarzenie (czyli wystąpienie nieautoryzowanych transakcji) nastąpiło wskutek okoliczności, za które ponosi on odpowiedzialność. W orzecznictwie Sądu Najwyższego ukształtował się pogląd, że „rażące niedbalstwo to coś więcej niż brak zachowania zwykłej staranności w działaniu. Chodzi tu o takie zachowanie, które graniczy z umyślnością” (wyrok Sądu Najwyższego z dnia 29 stycznia 2008 r., sygn. V CSK 291/08).
Zgodnie z art. 42 ust. 1 ustawy o usługach płatniczych, użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
Podkreślić należy, że nieautoryzowane operacje płatnicze zostały wykonane w dniu 8 października 2013 r., a system bankowy (...) nie wykrył jakichkolwiek nieprawidłowości w zakresie użycia instrumentu płatniczego. Nieznana osoba korzystając z wykradzionych przez siebie danych logowania oraz hasła SMS wykonała przelewy zewnętrzne bez wiedzy i zgody J. S..
Kluczowym dla kwestii zasadności przedmiotowego powództwa jest więc stwierdzenie, czy uzyskanie danych do logowania do sytemu bankowego przez nieznaną osobę wynikało z rażącego niedbalstwa J. S..
Zdaniem Sądu, powodowi nie można przypisać umożliwienia dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa. Podkreślić należy, że komputer powoda posiadał zainstalowane oprogramowanie antywirusowe. W ocenie Sądu, skorzystanie przez powoda z wyświetlonego podczas logowania na stronę (...) komunikatu polecającego użytkownikom „pobranie dodatkowego oprogramowania antywirusowego”, które spowodowało w dalszej kolejności zainfekowanie szkodliwym oprogramowaniem telefonu komórkowego, nie nosi cech rażącego niedbalstwa. Powód miał prawo pozostawać w przekonaniu, że komunikat wyświetlający się podczas logowania na stronę (...) pochodzi właśnie od (...) i służy uzyskaniu lepszych zabezpieczeń. Komunikat mówiący o potrzebie pobrania dodatkowego oprogramowania antywirusowego pojawiał się po wpisaniu adresu prawdziwej strony (...) i pojawieniu się tej strony. Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę.
W ocenie Sądu, na wiarę zasługiwały zeznania powoda, który wskazał, że jego żona wykonywała przelewy z jego konta, ale tylko na własny rachunek w (...). Okoliczność ta nie wskazuje na rażące niedbalstwo powoda, a ponadto nie zostało wykazane przez pozwanego, że możliwość dokonywania przelewów przez żonę powoda przyczyniła się w jakikolwiek sposób do zaatakowania komputera powoda przez hakerów. Brak jest zatem jakiegokolwiek związku przyczynowego pomiędzy wykonywaniem przez żonę powoda przelewów na jej konto a nieautoryzowanymi transakcjami z konta powoda.
Nie zostało wykazane ani nawet nie było podnoszone przez stronę pozwaną, żeby powód przekazał osobom trzecim swój login lub hasło do konta bankowego. Powód nie naruszył więc obowiązku wskazanego w art. 42 ust. 1 ustawy o usługach płatniczych.
Drugim z obowiązków określonych w art. 42, którego naruszenie w sposób określony w art. 45 ust. 2 powodowałoby uchylenie odpowiedzialności banku, polega na niezwłocznym zgłoszeniu dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenia utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. Podkreślić należy, że powód niezwłocznie po uzyskaniu informacji o nieautoryzowanych przelewach z jego rachunku w dniu 8 października 2013 r. zgłosił ten fakt mBankowi, następnie złożył zawiadomienie o możliwości popełnienia przestępstwa.
W niniejszej sprawie nie znajduje zastosowania art. 46 ust. 3 ustawy, gdyż powód nie naruszył obowiązków, o których mowa w art. 42 ustawy. Bezzasadne jest tym samym twierdzenie pozwanego, że powód przyczynił się do powstania szkody.
Mając na uwadze poczynione powyżej ustalenia, należy wskazać, że pozwany w żaden sposób nie wykazał zaistnienia którejkolwiek z przesłanek wyłączających jego odpowiedzialność w niniejszej sprawie. Nie ulega wątpliwości, że powód nie autoryzował przelewów z dnia 8 października 2013 r., nie doprowadził umyślnie do nieautoryzowanych transakcji płatniczych, ani nie dopuścił się do rażącego naruszenia obowiązków z art. 42 ust. 1 ustawy, gdyż dane potrzebne do logowania i wykonania przelewu zostały od niego uzyskane podstępnie przez podmiot nieuprawniony. W związku z tym, bank był zobowiązany do niezwłocznego przywrócenia obciążonego rachunku płatniczego do stanu, jaki istniałby, gdyby nie miały miejsca nieautoryzowane transakcje płatnicze, czego nie uczynił.
Zauważyć także należy, że jeszcze przed wejściem w życie ustawy o usługach płatniczych traktowano zobowiązanie banku z umowy rachunku bankowego jako mające charakter zobowiązania rezultatu, a nie starannego działania.
Powołać należy się w tym zakresie na wyrok Sądu Najwyższego z dnia 16 stycznia 2001 r., sygn. II CKN 344/00, zgodnie z którym z treści zobowiązań banku w ramach umowy rachunku bankowego wynika, że bank przyjmuje obowiązki depozytariusza, z którymi związana jest powinność zwrotu zgromadzonych na rachunku środków pieniężnych na każde żądanie posiadacza rachunku. W tym przedmiocie odpowiedzialność banku trwa aż do chwili, gdy nastąpi rzeczywiste spełnienie świadczenia, bowiem w zakresie zwrotu przechowywanych środków, zobowiązanie banku ma charakter zobowiązania rezultatu, a nie starannego działania. W przypadku dokonania wypłaty pieniędzy na rzecz osoby nieuprawnionej, bank nie może uwolnić się od obowiązku wykonania zobowiązania względem posiadacza rachunku, na tej podstawie, że spełnił wymagania co do zachowania należytej staranności (art. 355 KC). W takiej sytuacji uprawniony z umowy rachunku bankowego posiadacz rachunku zachowuje prawo żądania zwrotu przechowywanych środków, a ewentualna odpowiedzialność odszkodowawcza banku może tylko uzupełniać obowiązek wypłaty wkładu.
W związku z powyższym, zgodnie z art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. 2016.1572 j.t.), pozwany jest zobowiązany niezwłocznie zwrócić powodowi kwotę nieautoryzowanych transakcji płatniczych, która łącznie wyniosła 178.685,55 zł. Wysokość roszczenia, czyli wysokość przelanych i nie zwróconych środków, nie była przedmiotem sporu pomiędzy stronami.
W zakresie żądania zasądzenia odsetek, Sąd orzekł na podstawie art. 481 § 1 k.c., zgodnie z którym, jeżeli dłużnik opóźnia się ze spełnieniem świadczenia pieniężnego, wierzyciel może żądać odsetek za czas opóźnienia, chociażby nie poniósł żadnej szkody i chociażby opóźnienie było następstwem okoliczności, za które dłużnik odpowiedzialności nie ponosi. Zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych, pozwany miał obowiązek niezwłocznego zwrotu kwoty nieautoryzowanych transakcji. Przyjmuje się, że termin „niezwłocznie” oznacza termin realny, mający na względzie okoliczności miejsca i czasu. Mając na uwadze okoliczność, że już w dniu 8 października 2013 r. bank został poinformowany o nieautoryzowanych transakcjach na rachunku powoda, roszczenie odsetkowe zasługuje na uwzględnienie od daty żądanej w pozwie, czyli od dnia 22 października 2013 r.
Wskazać jeszcze należy, że powód powoływał się także na okoliczności, że w dniu 27 października 2015 r. skierował do (...) reklamację, na którą uzyskał odpowiedź z opóźnieniem, co oznacza, w jego ocenie, że zgodnie z ustawą z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i Rzeczniku Finansowym jego reklamacja powinna zostać rozpatrzona zgodnie z jego wolą.
Zgodnie z art. 8 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (Dz.U. 2016.892), w przypadku niedotrzymania terminu określonego w art. 6, a w określonych przypadkach terminu określonego w art. 7, reklamację uważa się za rozpatrzoną zgodnie z wolą klienta. Zgodnie zaś z art. 6 tej ustawy, bank powinien udzielić odpowiedzi na reklamację osoby fizycznej bez zbędnej zwłoki, jednak nie później niż w terminie 30 dni od dnia otrzymania reklamacji.
Istotnie w niniejszej sprawie termin rozpatrzenia reklamacji przez (...) nie został dotrzymany przez pozwanego, gdyż bank odebrał reklamację w dniu 29 października 2015 r., udzielił zaś odpowiedzi w dniu 1 grudnia 2015 r., to jest po 33 dniach. W ocenie Sądu, nie można zgodzić się jednak z powodem, że brak odpowiedzi na reklamację w terminie 30 dni stanowi uznanie roszczenia dochodzonego pozwem i powoduje automatyczną zasadność powództwa.
Podkreślić należy, że ustawa z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym wprowadza w art. 8 wyłącznie domniemanie prawne (wzruszalne), którego skutkiem jest przyjęcie fikcji prawnej, że reklamacja została uznana za rozpatrzoną zgodnie z wolą klienta. Innymi słowy, w takiej sytuacji podmiot rynku finansowego będzie mógł wykazać (w ewentualnym postępowaniu sądowym z pozwu klienta), iż nie istniały podstawy do wniesienia skutecznej reklamacji przez klienta, tzn. wskazane w reklamacji zastrzeżenia co do świadczonych przez podmiot rynku finansowego usług nie miały miejsca, ergo, że reklamacja była obiektywnie niezasadna. Wykazanie niezasadności reklamacji przez podmiot rynku finansowego powinno uwolnić go od odpowiedzialności. W niniejszej sprawie pozwany nie wykazał jednak niezasadności reklamacji powoda.
Mając na uwadze powyższe rozważania faktyczne i prawne, Sąd uznał powództwo za zasadne w całości.
Sąd orzekł o kosztach procesu na podstawie art. 98 k.p.c., zasądzając od pozwanego na rzecz powoda kwotę 8.217 zł stanowiącą koszty poniesione przez powoda w toku procesu, na które złożyły się: 1.000 zł - opłata sądowa od pozwu, 7.200 zł - wynagrodzenie pełnomocnika (ustalone na podstawie § 2 ust. 6 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz.U. 2015.1800) w zw. z § 2 rozporządzenia Ministra Sprawiedliwości z dnia 3 października 2016 r. zmieniającego rozporządzenie w sprawie opłat za czynności adwokackie (Dz.U. 2016.1668)) oraz 17 zł – opłata skarbowa od pełnomocnictwa.
SSO Małgorzata Mączkowska