Pełny tekst orzeczenia

Sygn. akt I C 1208/16

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 28 października 2018 roku

Sąd Okręgowy w Warszawie I Wydział Cywilny

w składzie następującym:

Przewodniczący: SSO Ewa Ligoń-Krawczyk

Protokolant: Katarzyna Maciaszczyk

po rozpoznaniu w dniu 28 października 2018 roku w Warszawie

na rozprawie

sprawy z powództwa K. K.

przeciwko (...) S.A. z siedzibą w W.

o zapłatę

I.  zasądza od (...) S.A. z siedzibą w W. w W. na rzecz K. K. kwotę 76.525,96 (siedemdziesiąt sześć tysięcy pięćset dwadzieścia pięć i 96/100) złotych wraz z ustawowymi odsetkami od dnia 11 lipca 2015 roku do dnia 31 grudnia 2015 roku i ustawowymi odsetkami za opóźnienie od dnia 1 stycznia 2016 roku do dnia zapłaty,

II.  oddala powództwo w pozostałym zakresie,

III.  zasądza od (...) S.A. z siedzibą w W. w W. na rzecz K. K. kwotę 8.062,66 (osiem tysięcy sześćdziesiąt dwa i 66/100) złotych tytułem zwrotu kosztów procesu.

UZASADNIENIE

Pozwem z dnia 15 czerwca 2016 roku K. K., zastępowany przez profesjonalnego pełnomocnika, wniósł przeciwko (...) S.A. o nakazanie przywrócenia prawidłowego stanu rachunku bankowego poprzez zwrot na rachunek powoda kwoty 77 150 zł, ewentualnie zasądzenie od pozwanego na rzecz powoda kwoty 77 150 zł. K. K. wniósł także o zasądzenie od powoda na rzecz pozwanego zwrotu kosztów sądowych w tym kosztów zastępstwa procesowego wg norm przepisanych.

W uzasadnieniu pozwu powód wskazał, że w dniu 10 czerwca 2015 roku w wyniku przełamania zabezpieczeń na rachunku bankowym powoda dokonano nieautoryzowanych transakcji płatniczych obciążających rachunek na łączną kwotę 77 150 zł. Powyższe zostało zgłoszone pozwanemu, jednakże na skutek jego opieszałości doszło do dwóch kolejnych nieautoryzowanych transakcji. Powód wezwał pozwanego do przywrócenia stanu rachunku, jednakże ten uzależnił rozpatrzenie sprawy od zakończenia postępowania prowadzonego przez organy ścigania ( pozew k. 2-5).

W odpowiedzi na pozew z dnia 13 lipca 2016 roku (...) Spółka Akcyjna z siedzibą w W., zastępowany przez profesjonalnego pełnomocnika, wniósł o oddalenie powództwa oraz zasądzenie kosztów zastępstwa procesowego według norm przepisanych oraz kwoty 17 zł uiszczonej tytułem opłaty skarbowej od pełnomocnictwa.

Pozwany potwierdził, że łączyła go z powodem umowa o prowadzenie bankowego rachunku oszczędnościowo-rozliczeniowego, zawarta w dniu 8 sierpnia 2005 roku. W ocenie pozwanego to powód swoim postępowaniem umożliwił przestępcom kradzież środków pieniężnych ze swojego rachunku bankowego, udostępniając dane logowania osobie trzeciej – pełnomocnikowi rodzajowemu. W czasie rozmowy telefonicznej pełnomocnika rodzajowego z pracownikiem banku, pełnomocnik oświadczył, iż ponieważ nie mógł się zalogować się do rachunku przy użyciu własnego identyfikatora zalogowała się na ID syna – powoda i stwierdziła brak środków na koncie. W związku z powyższym strona pozwana podniosła zarzut przyczynienia się powoda w stu procentach do powstania szkody. System bankowości elektronicznej pozwanego w dniu wykonywania operacji działał prawidłowo i nie był poddany żadnym atakom hakerskim, a stan zabezpieczeń był prawidłowy i skuteczny. Działania hakerów były możliwe bowiem na komputerze, z którego korzystał powód, zainstalowano oprogramowanie szpiegowskie, po uprzednim zainfekowaniu telefonu komórkowego. Pozwany bank wskazał, że już w maju 2013 roku informował o istniejącym zagrożeniu. Podniósł, iż należycie wywiązał się ze swoich obowiązków zapewnienia bezpieczeństwa dokonywanych operacji w ramach bankowości elektronicznej. Zdaniem banku skoro po stronie powoda doszło do rażącego niedbalstwa w zakresie ochrony danych wymaganych do logowania do systemu transakcyjnego, to brak jest podstaw do przypisania pozwanemu odpowiedzialności za poniesioną przez powoda szkodę ( odpowiedź na pozew k. 24-32).

W piśmie przygotowawczym z dnia 9 stycznia 2017 roku K. K. rozszerzył powództwo poprzez zażądanie zasądzenia od pozwanego na rzecz powoda w oparciu o art. 481 § 1 i 2 k.c. odsetek za opóźnienie w wysokości ustawowej liczonych od kwoty 77 150 zł od dnia 11 lipca 2015 roku do dnia zapłaty. Ponadto powód w piśmie wskazał, iż pozwany w żaden sposób nie wykazał, aby którekolwiek z działań powoda miało być umyśle lub też nosiło cechy rażącego niedbalstwa. Za takowe nie można uznać akcentowanych przez bank czynności powoda w postaci przekazania matce – pełnomocnikowi – loginu i hasła do rachunku bankowego. Powód posiada na swoim komputerze podstawowe zabezpieczenia antywirusowe, dokonuje ich aktualizacji i „czyści” komputer z wirusów, w związku z czym, nie naruszył żadnych postanowień umowy czy regulaminu. Zdaniem powoda to niewłaściwe działanie pozwanego banku doprowadziło do przejęcia środków z rachunku, albowiem po przejęciu tylko jednego hasła doszło do trzykrotnego przelewu znacznych sum ( pismo przygotowawcze k. 86-87).

Pozwany bank w piśmie przygotowawczym z dnia 2 lutego 2017 roku podtrzymał stanowisko, jak i wnioski zgłoszone w odpowiedzi na pozew. Odnosząc się do rozszerzenia powództwa w zakresie odsetek wskazał, że nie ma jakichkolwiek podstaw do przyjęcia, że odsetki za opóźnienie winny być liczone od dnia 11 lipca 2015 roku, albowiem zgodnie z regulaminem bank zajmuje stanowisko co do złożonej reklamacji po zakończeniu postępowania przez organy ścigania. Powód nie przedstawił bankowi postanowienia o zakończeniu dochodzenia, dlatego też bank nie zajął stanowiska co do reklamacji ( pismo przygotowawcze k. 90-91).

Do zamknięcia rozprawy strony nie modyfikowały swoich stanowisk sprawie.

Sąd Okręgowy ustalił następujący stan faktyczny:

K. K. zawarł z (...) S.A. umowę rachunku oszczędnościowo-rozliczeniowego nr (...). Pełnomocnikiem do rachunku bankowego powód ustanowił swoją matkę A. K. (1), która jako pełnomocnik dysponowała własnymi narzędziami autoryzacyjnymi przeznaczonymi do logowania do bankowości elektronicznej (...) ( bezsporne, dowód: umowa rachunku k. 53-55, zeznania A. K. (1) – 00:02:40-00:21:48 – protokół k. 123-124).

Zgodnie z § 24 Regulaminu otwierania i prowadzenia bankowych rachunków dla osób fizycznych w ramach bankowości detalicznej (...) S.A. obowiązującego od 8 kwietnia 2015 roku, zabezpieczeniu bezpieczeństwa dyspozycji składanych do rachunku służy Identyfikacja Użytkownika Rachunku i potwierdzenie złożenia dyspozycji przez Użytkownika Rachunku. Identyfikator przeznaczony jest wyłącznie dla Użytkownika Rachunku, nie może być ujawniany w żadnej formie, treści ani postaci osobom trzecim, w tym członkom rodziny, jest nadawany z zachowaniem procedur zapewniających zachowanie jego poufności z wykorzystaniem programów komputerowych. Hasło, hasła jednorazowe oraz numer PIN do aplikacji mobilnej: przeznaczone są wyłącznie do użytkownika rachunku, nie mogą być ujawniane w żadnej formie, treści ani postaci osobom trzecim, w tym członkom rodziny, nie są znane organom ani pracownikom banku, jak również innym podmiotom działającym na zlecenie banku, są nadawane z zachowaniem procedur zapewniających zachowanie ich poufności z wykorzystaniem programów komputerowych a uzyskanie informacji o jednym z nich nie pozwala na równoczesne uzyskanie informacji o innym. Użytkownik rachunku zobowiązany jest do podjęcia niezbędnych środków służących zapobieżeniu naruszeniu indywidualnych zabezpieczeń identyfikatora, hasła, haseł jednorazowych oraz numeru PIN do aplikacji mobilnej w szczególności zaś zobowiązany jest do przechowywania z zachowaniem należytej staranności, w tym do nie stosowania aplikacji i innych mechanizmów umożliwiających zapamiętywanie identyfikatora, hasła, haseł jednorazowych oraz numeru PIN do aplikacji mobilnej na komputerze, telefonie lub innym urządzeniu mobilnym za pośrednictwem którego użytkownik rachunku uzyskuje dostęp do rachunku ( dowód: regulamin k. 57)

Zgodnie z § 27 Regulaminu otwierania i prowadzenia bankowych rachunków dla osób fizycznych w ramach bankowości detalicznej (...) S.A. obowiązującego od 8 kwietnia 2015 roku, użytkownik jest zobowiązany do należytego zabezpieczenia narzędzi i urządzeń z których korzysta w celu uzyskania dostępu do rachunku w szczególności poprzez: nie omijanie fabrycznych zabezpieczeń urządzeń telekomunikacyjnych, zainstalowanie na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego, pobranie aplikacji mobilnej w sposób wskazany przez Bank za pośrednictwem strony internetowej banku oraz BOK, dokonywanie aktualizacji zainstalowanego na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego ( dowód: regulamin k. 57v).

Matka powoda – A. K. (1) na przełomie maja i czerwca 2015 roku dokonała zakupu nowego komputera, wyposażonego w program antywirusowy, służącego między innymi do korzystania z bankowości elektronicznej w (...). Poprzedni używany przez powoda i jego matkę komputer, z którego logowano się do systemu internetowego banku, również wyposażony był w zabezpieczenia antywirusowe. Programy antywirusowe były na bieżąco aktualizowane, posiadały aktualną bazę wirusów oraz skanowały komputer w poszukiwaniu zagrożenia ( dowód: zeznania A. K. (1) – 00:02:40-00:21:48 – protokół k. 123-124).

Po zalogowaniu się po godzinie 11.00 w dniu 10 czerwca 2015 roku na konto w pozwanym banku przez pełnomocnika rodzajowego A. K. (1) w celu dokonania transakcji przelewu, wyświetlił się komunikat zachęcających do ubezpieczenia transakcji, komunikat ten nie pochodził od banku, wyświetlił się w związku z zainstalowaniem się na komputerze powoda złośliwym oprogramowaniem. Komunikat miał na celu wyłudzenie haseł autoryzacyjnych wysyłanych klientowi na telefon komórkowy. Z systemu bankowego o godz. 11:38 został wysłany sms na numer (...) podany w systemie, z informacją o definicji odbiorcy zaufanego. Po wpisaniu kodu z smsa, w serwisie transakcyjnym banku został zarejestrowany na rachunku zaufany odbiorca, w związku z tym każdy kolejny przelew zlecony na ten rachunek nie wymagał autoryzacji. Jednocześnie złośliwe oprogramowanie pozwoliło na przejęcie danych identyfikacyjnych pełnomocnika rodzajowego w celu zalogowania się do konta w pozwanym banku. Po wylogowaniu się z systemu transakcyjnego nastąpiły kolejne logowania z użyciem poprawnego indentyfikatora i hasła pełnomocnika rodzajowego rachunku, gdzie dokonano trzech przelewów ( dowód: zeznania I. S. – 00:21:48-00:43:01 – protokół k. 124-125, zeznania A. K. (1) – 00:02:40-00:21:48 – protokół k. 123-124, 01:00:04-01:08:09 – protokół k. 163-163v, zestawienie k. 116). O godzinie 12.06 dokonano przelewu z konta powoda na konto prowadzone w pozwanym banku o nr (...), którego posiadaczem jest A. K. (2), kwoty 24.600 złotych, o godzinie 14:06 - 25.200 złotych, o godzinie 15:17 – 27.350 złotych. Użytkownik K. K. nie logował się w czasie wykonywania przelewów do serwisu bankowości elektronicznej klienta. ( akt sprawy postępowania karnego prowadzonego przez Prokuraturę Rejonową w Goleniowie sygn. akt (...): pismo k. 16, historia transakcji k. 18-19, postanowienie, pismo i historia operacji k. 24-26, zeznania A. K. (1) – 00:02:40-00:21:48 – protokół k. 123-124, zeznania I. S. – 00:21:48-00:43:01 – protokół k. 124-125)

Po dokonaniu nieautoryzowanych przelewów do serwisu bankowości elektronicznej (...) połączonego z rachunkiem bankowym K. K., w celu zlecenia przelewów, postanowiła zalogować się jego matka A. K. (1) za pomocą loginu i hasła nadanego jej jako pełnomocnikowi. Narzędzia dostępowe nie działały w związku z czym A. K. (1) poprosiła syna aby zalogował się na swoje konto. Po udanym logowaniu K. K. wraz z matką zauważyli, że z konta nr (...) znaczne kwoty pieniężne. Matka pozwanego w celu zabezpieczenia pozostałych na rachunku środków finansowych przelała je na konto drugiego syna i skontaktowała się około 15:53 z infolinią banku. Konsultant poinformował matkę powoda, iż jako pełnomocnik nie może konta zablokować. Ponownie po kilku minutach do banku zadzwonił powód w celu zablokowanie konta i złożenia reklamacji. Rozmowa powoda z pracownikiem banku trwała ponad godzinę w trakcie której kilkakrotnie przełączano rozmowę „od konsultanta do konsultanta”. W jej efekcie zablokowano konto powoda, zarejestrowano reklamację a na koniec pouczono powoda o konieczności zawiadomienia przez niego organów ścigania ( dowód: zeznania A. K. (1) – 00:02:40-00:21:48 – protokół k. 123-124, 01:00:04-01:08:09 – protokół k. 163-163v, nagranie rozmowy telefonicznej z konsultantem – 00:01:14-01:08:09 – protokół k. 163).

Po złożeniu reklamacji i poinformowaniu banku o nieautoryzowanych transakcjach, pracownik banku informuje o tym departamentem bezpieczeństwa banku w celu podjęcia próby zablokowania środków na konie beneficjenta, zanim reklamacja zostanie oficjalnie spisana. ( zeznania I. S. – 00:21:48-00:43:01 – protokół k. 124-125) W dniu 11 czerwca 2015 roku na koncie beneficjenta A. K. (2), na które zostały przelane środki z konta powoda saldo wyniosło 52.800 złotych. (historia operacji k. 24-26 akt sprawy postępowania karnego prowadzonego przez Prokuraturę Rejonową w Goleniowie sygn. akt (...)) Środki te na rzecz powoda nie zostały przez bank zabezpieczone. (okoliczność bezsporna) Zgłoszone w dniu 10 czerwca 2015 roku u pozwanego nieautoryzowane przelewy dokonane z rachunku bankowego powoda oraz reklamacja została zarejestrowana pod numerem (...) ( dowód: wiadomość e-mail k. 12).

(...) posiada odpowiednie zabezpieczenia systemu transakcyjnego i serwerów Banku. Pozwany bank nie posiada narzędzi oraz możliwości kontroli nieautoryzowanych transakcji dokonywanych z urządzeń elektronicznych należących do klienta. Z punktu widzenia banku identyfikacja klienta jak i autoryzacja akcji dodania klienta zdefiniowanego przebiegała zgodnie z procedurą. Logowanie do portalu bankowego nastąpiło przy użyciu prawidłowego loginu i hasła z wykorzystaniem szyfrowanego połączenia. Kod autoryzacji został wysłany wiadomością sms-ową na wskazany przez powoda numer telefonu zarejestrowany w bazie danych banku ( dowód: zeznania I. S. – 00:21:48-00:43:01 – protokół k. 124-125).

W serwisie bankowości elektronicznej (...) S.A. informował o zasadach bezpiecznego korzystania z serwisu internetowego banku oraz istniejących w sieci zagrożeniach w postaci złośliwego oprogramowania, wpływającego na późniejsze działanie przeglądarki internetowej klienta, za pośrednictwem komunikatów informujących o przestępczych działaniach oraz czerwonych pasków administracyjnych po zalogowaniu, pojawiały się czerwone paski o szerokości 3 cm na górnej części ekranu. U pełnomocnika i posiadacza tego rachunku pojawiły się 3 takie komunikaty w kwietniu, maju i po 12 czerwca 2015 roku. Bank zna ID klienta, ale nie zna jego hasła i bank nie jest w stanie go zidentyfikować, jest przesyłane do banku w formie „zahaszowanej”. ( dowód: zeznania I. S. – 00:21:48-00:43:01 – protokół k. 124-125, wydruki stron internetowych (...) k. 58-70). Informacje ostrzegawcze nie były łatwo dostępne i czytelne dla klientów banku. Znajdowały się w zakładkach strony internetowej banku, którą należało rozwinąć, by do nich dotrzeć ( dowód: wydruki stron internetowych (...) k. 58-70).

Powód w dniu 12 czerwca 2015 roku zgłosił przełamanie zabezpieczeń konta bankowego oraz kradzież pieniędzy w Komedzie Powiatowej Policji w G.. Pismem z dnia 17 czerwca 2015 roku Komenda Powiatowa Policji w G. poinformowała K. K. o wszczęciu dochodzenia w sprawie przestępstwa określonego w art. 267 § 1 k.k. w zb. z art. 278 § 1 k.k. w zw. z art. 12 k.k. ( dowód: protokół k. 3-4 akt I (...), pismo k. 15).

(...) S.A. w wiadomości z dnia 22 czerwca 2015 roku poinformował K. K. o zdjęciu blokady z rachunku bankowego oraz zamknięciu postępowania reklamacyjnego do czasu dostarczenia przez powoda dokumentu potwierdzającego zakończenie postępowania prowadzonego przez organy ścigania ( dowód: wiadomość e-mail. k. 14).

Pismem datowanym na dzień 4 września 2015 roku K. K. wezwał (...) S.A. do niezwłocznego, nie późniejszego niż 3 dni od otrzymania wezwania przywrócenia prawidłowego stanu rachunku bankowego ( dowód: pismo k. 16-17).

W odpowiedzi na pismo z dnia 4 września 2015 roku pozwany bank w piśmie z dnia 25 lutego 2016 roku odmówił realizacji roszczenia wskazując, że bank wznowi postępowanie reklamacyjne z chwilą dostarczenia przez klienta dokumentu świadczącego o zakończeniu postępowania prowadzonego przez organy ścigania ( dowód: pismo k. 18).

Postanowieniem z dnia 31 grudnia 2015 roku KPP G. umorzyła dochodzenie w sprawie nieuprawnionego przełamania w dniu 10 czerwca 2015 roku przez nieustalonego sprawcę w nieustalonym miejscu elektronicznego zabezpieczenia konta bankowego (...) i kradzieży pieniędzy na łączną kwotę 77 000 zł na szkodę K. K. wobec niewykrycia sprawcy przestępstwa ( dowód: postanowienie k. 20 akt I (...) ).

Powyższy stan faktyczny Sąd ustalił na podstawie okoliczności niespornych, jak również na podstawie dokumentów złożonych do akt sprawy oraz znajdujących się w aktach sprawy postępowania karnego, których prawdziwości strony nie kwestionowały, a brak było podstaw do ich kwestionowania przez Sąd z urzędu.

Podstawę ustaleń Sądu stanowiły również zeznania świadków zawnioskowanych przez strony A. K. (1) oraz I. S.. Sąd uznał za wiarygodne zeznania świadka A. K. (1) albowiem były jasne i konsekwentne i co do zasady korespondowały z pozostałym materiałem dowodowym zebranym w sprawie. Sąd nie dał jedynie wiary świadkowi w zakresie jego depozycji co do stanu konta beneficjenta w dniu 10 maja 2015 roku, albowiem stoją one w sprzeczności z dokumentami załączonymi do akt postępowania karnego.

Natomiast relacje świadka, zawnioskowanego przez stronę powodową, A. K. (1) zasługują na wiarę jedynie częściowo w takim zakresie w jakim pokrywają się one z pozostałym materiałem dowodowym zebranym w sprawie, w szczególności z dowodami z dokumentów i nagraniem rozmowy powoda i świadka z konsultantem banku nagranym na płycie CD. Relacje świadka co do okoliczności czasookresu skontaktowania się z bankiem za pośrednictwem infolinii, jak i dokonywanych przelewów nie są zbieżne z dokumentami jak i nagraniem rozmów telefonicznych, są niekonsekwentne, jak i niejasne, ale w ocenie sądu jest to wynikiem upływu czasu jak również dynamiki zdarzeń, tym samym brak jest podstaw do zdyskwalifikowania zeznań świadka w całości.

Na rozprawie w dniu 14 września 2018 roku Sąd postanowił oddalić wniosek o zobowiązanie strony pozwanej do złożenia historii operacji na rachunku A. K. (2) oraz procedury banku w zakresie zgłoszeń podejrzanych transakcji na rachunku innym niż dotyczącym zgłoszenia, albowiem okoliczności na jakie dowód miałby zostać dopuszczony, potwierdzają pozostałe dowody zebrane w sprawie – zeznania świadka I. S., jak i dowody z dokumentów zebrane w toku postępowania karnego, tym samym przeprowadzenie tego dowodu doprowadziłoby jedynie do nieuzasadnionego przedłużenia postępowania w sprawie.

Sąd pominął dowód zgłoszony przez stronę pozwaną z opinii biegłego z zakresu informatyki, posiadającego wiedzę z zakresu bankowości elektronicznej i bezpieczeństwa systemów informatycznych w bankach na okoliczność ustalenia, czy zabezpieczenia transakcji elektronicznych stosowane przez pozwanego w czerwcu 2015 roku odnoszące się do rachunku bankowego powoda były właściwe; czy pomimo stosowania przez bank nowoczesnych zabezpieczeń systemu informatycznego istnieje w praktyce możliwość zainstalowania oprogramowania szpiegowskiego i ataku hakerskiego na komputer powoda, której bank nie może zapobiec; sposobu, w jaki osoba, która zrealizowała kwestionowane przez powoda przelewy na jego szkodę miała dostęp do danych niezbędnych do wykonania na tym rachunku operacji, w tym identyfikatora i hasła do rachunku pozwalających na wykonanie kwestionowanych przez powoda przelewów z jego rachunku, albowiem okoliczności tych strona powodowa ostatecznie nie kwestionowała.

Sąd Okręgowy zważył, co następuje:

Powództwo zasługiwało na uwzględnienie w przeważającej części.

Zgodnie z treścią art. 725 k.c. przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz jeżeli umowa tak stanowi do przeprowadzania na jego zlecenie rozliczeń pieniężnych.

Zobowiązanie banku względem posiadacza rachunku kształtuje także regulacja zawarta w art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe, który stanowi że bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Zapewnienie zaś bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności. W tym zakresie na banku zawsze spoczywa obowiązek dołożenia wszelkich starań do zabezpieczenia wykonywanych zobowiązań, bowiem profesjonalny charakter jego działalności wymaga stosowania podwyższonego miernika staranności.

Ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Równoległą podstawą odpowiedzialności banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 roku, która przewiduje generalną zasadę, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Art. 46 ust. 1 powołanej ustawy przewiduje, że w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. W razie dokonania wypłaty osobie nieuprawnionej, poszkodowanym tą czynnością jest bowiem bank, a nie osoba, która zdeponowała środki na rachunku.

Zgodnie z treścią art. 45 ustawy o usługach płatniczych ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika, spoczywa na dostawcy tego użytkownika, przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego. Dostawca jest obowiązany bowiem udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 powołanej ustawy. Powyższa regulacja wprowadza domniemanie odpowiedzialności banku za każdą nieautoryzowaną transakcję i pozwany chcąc je obalić, musi udowodnić jedną z okoliczności enumeratywnie wymienionych w art. 46 ust. 2 ustawy o usługach płatniczych.

Z okoliczności sprawy wynika, iż powód nie autoryzował przedmiotowych transakcji, zostały one dokonane przez osoby trzecie wbrew wiedzy i woli powoda. Udostępnienie przez pełnomocnika rodzajowego za pośrednictwem podstawionej witryny internetowej swoich danych identyfikacyjnych oraz hasła osobom nieuprawnionym umożliwiło tym osobom zalogowanie się do konta powoda i dokonanie przestępstwa polegającego na przelaniu znajdujących się na rachunku powoda środków pieniężnych na inne konto bez jego wiedzy i woli. Czynności te z punktu widzenia systemu informatycznego banku zostały wykonane poprawnie przy wykorzystaniu właściwych narzędzi autoryzacyjnych. Mimo tego transakcji tych w ocenie sądu nie można uznać za transakcje autoryzowane w rozumieniu art. 40 ust. 1 ww. ustawy. Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie w sposób przewidziany umową. Powód nie wyraził zgody na wykonanie tych transakcji, o czym świadczy jego natychmiastowa reakcja po stwierdzeniu kradzieży, zabezpieczenie pozostałych środków poprzez ich przelanie na konto osoby trzeciej, telefoniczne powiadomienie pozwanego oraz zawiadomienie Policji o popełnieniu przestępstwa, wypełniając tym samym obowiązek o którym mowa w art. 44 ustawy.

Jak już wskazano, postępowanie dowodowe w sprawie wykazało, iż ani powód, ani jego matka, będąca pełnomocnikiem rodzajowym, nie dokonali, jak również nie wyrazili zgody na dokonanie trzech przelewów z dnia 10 czerwca 2015 roku obciążających rachunek o numerze (...) na łączną kwotę 77 150 zł na rzecz nieznanego stronie powodowej mężczyzny. Ponadto w ocenie Sądu, biorąc pod uwagę zgromadzony materiał dowodowy, powodowi nie można przypisać dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa, a tym bardziej działania umyślnego. Pozwany stał na stanowisku, że to powód swoim postępowaniem umożliwił przestępcom kradzież środków pieniężnych ze swojego rachunku bankowego, udostępniając dane logowania osobie trzeciej – pełnomocnikowi rodzajowemu. Ponadto w ocenie pozwanego działania hakerów były możliwe bowiem na komputerze, z którego korzystał powód zainstalowano oprogramowanie szpiegowskie, po uprzednim zainfekowaniu telefonu komórkowego. Odnosząc się do powyższych zarzutów wskazać trzeba, że pozwany nie udowodnił, że K. K. udostępnił swojej matce, własne dane logowania do systemu bankowości elektronicznej, a nawet jeśli by udostępnił to okoliczność ta nie miała żadnego związku z dokonanymi transakcjami przestępczymi. A. K. (1) będąc pełnomocnikiem rodzajowym powoda posiadała własne dane logowania do systemu bankowego i logowała się tylko i wyłącznie przy ich użyciu, i to te dane zostały wykorzystane przez osoby nieuprawnione, a nie dane właściciela rachunku. Zauważyć również należy, że każdorazowy komputer, z którego powód oraz jego matka logowali się do systemów banku przed i w dacie zdarzenia posiadał zainstalowane, jak również zaktualizowane oprogramowanie antywirusowe. Niewątpliwie w dniu 10 czerwca 2015 roku hakerzy dokonali przełamania zabezpieczeń rachunku bankowego, uzyskali dane wrażliwe pełnomocnika rodzajowego, jak również dodali do listy stałych zleceniobiorców osobę, na której konto zlecono z konta powoda trzy przelewy. Stało się tak ze względu na zainfekowanie szkodliwym oprogramowaniem komputera powoda, jednakże do powyższego nie doszło w wyniku rażącego niedbalstwa powoda czy jego pełnomocnika. Żadne oprogramowanie nie jest w stanie w 100% zapewnić bezpieczeństwa komputera i jego użytkownika przed wirusami i złośliwymi programami, albowiem może przecież dojść do sytuacji, w której baza wirusów programu antywirusowego nie będzie jeszcze zawierała definicji nowego wirusa zaszczepionego w urządzeniu użytkownika. Ponad to pełnomocnik rodzajowy reagując na komunikat o ubezpieczeniu transakcji miał prawo być przekonany, iż komunikat ten pochodzi od banku, ponieważ był identyczny jak komunikaty dotychczas przez bank generowane, komunikat pojawił się po poprawnym zalogowaniu się pełnomocnika do serwisu transakcyjnego banku, a wiadomość sms została przesłana na numer telefonu podany przez pełnomocnika bankowi do autoryzacji transakcji. Wcześniej brak było jasnych i na tyle częstych komunikatów i ostrzeżeń ze strony banku do których z łatwością mógł dotrzeć powód i jego pełnomocnik ostrzegających o nieuczciwych i nielegalnych praktykach, w tym o cyberprzestępczości czy działaniu zorganizowanej grupy przestępczej wymuszającej potwierdzenie zabezpieczenia transakcji, co prowadzi do przechwycenia danych umożliwiających dostęp do konta klienta.

W przekonaniu Sądu bank w dacie zdarzenia i wcześniej nie ostrzegał swoich klientów w sposób czytelny przed atakami hakerskimi, czy też złośliwym oprogramowaniem. Informacje zaznaczone drobnym drukiem lub też dostępne dopiero po przejściu przez zakładki strony internetowej nie były w ocenie Sądu wystarczająco jaskrawym i widocznym ostrzeżeniem dla klienta. Jak wynika z zebranego materiału dowodowego w sprawie powód ani jego pełnomocnik nie przekazali nikomu swojego loginu ani hasła do rachunku bankowego, bądź też otrzymywanych przez SMS kodów autoryzacyjnych. Dane te zostały przechwycone przez niezidentyfikowanego sprawcę wskutek działania na komputerze powoda szkodliwego oprogramowania. Z tych względów zdaniem sądu powód nie naruszył umyślnie lub z rażącym niedbalstwem obowiązku wskazanego w art. 42 ust. 2 ustawy o usługach płatniczych i zachował niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń instrumentu płatniczego. Działanie pełnomocnika które doprowadziło do zdefiniowania osoby na której zostały przelane środki z konta powoda nie było działaniem umyślnym, a niezamierzonym i nieświadomym, co wskazuje na niedbalstwo jednak w żadnym wypadku nie w stopniu rażącym. Należy przy tym wskazać, że powód oraz jego pełnomocnik spełnili wynikający z art. 42 ust. 1 pkt 2 i art. 44 ust. 1 ustawy o usługach płatniczych obowiązek niezwłocznego zawiadomienia banku o zaistnieniu nieautoryzowanej transakcji płatniczej.

Dodatkowo, zdaniem Sądu, nieuzasadnione byłoby zwolnienie pozwanego banku z odpowiedzialności, czy przyjęcie 100% przyczynienia się powoda, chociażby i z tej przyczyny, iż niewątpliwie już po zgłoszeniu kradzieży bank nie podjął natychmiast działań, które umożliwiłyby zablokowanie na koncie beneficjenta chociażby części przelanych środków, które na tym koncie były jeszcze dnia następnego, prowadząc opieszale procedurę weryfikacji i blokowania konta powoda przez prawie godzinę, kończąc rozmowę z powodem pouczeniem o konieczności zgłoszenia kradzieży organom ścigania.

Z tych wszystkich względów powództwo K. K. co do zasady zasługiwało na uwzględnienie.

Jednocześnie w oparciu o przepis art. 46 ust. 2 ww. ustawy zasadne było obniżenie należnej powodowi kwoty 77 150 zł o równowartość kwoty 150 € (624,03 zł), ustalonej przy zastosowaniu kursu średniego ogłoszonego przez NBP obowiązującego w dniu wykonania transakcji to jest z dnia 10 czerwca 2015 roku, gdzie kurs ten wynosił 4,1602 zł. Z treści art. 42 ust 2 ww. ustawy wynika, iż odpowiedzialność płatnika jest niezależna od jego winy i może być przypisana niezależnie od tego, czy dopuścił się naruszenia w wyniku rażącego niedbalstwa.

O odsetkach Sąd orzekł na podstawie art. 481 k.c., zgodnie z żądaniem pozwu. Zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych, pozwany miał obowiązek niezwłocznego zwrotu kwoty nieautoryzowanych transakcji. Powód złożył pozwanemu reklamację w dniu 10 czerwca 2015 roku i pomimo dalszych pism do niego kierowanych, reklamacji do dnia dzisiejszego nie uwzględnił, tym samy mając na uwadze datę zgłoszenia reklamacji – 10 czerwca 2015 roku, żądanie odsetek od daty wskazanej w pozwie jest w ocenie sądu w pełni uzasadnione, przyjmując okres 30 dni na zbadanie zarówno zdarzenia, jak i reklamacji.

Biorąc pod uwagę powyższe Sąd na podstawie przytoczonych przepisów orzekł jak w pkt I wyroku, oddalając powództwo w pozostałym zakresie w punkcie II wyroku, to jest co do kwoty stanowiącej równowartość 150 €.

O kosztach postępowania Sąd orzekł na podstawie art. 98 k.p.c., przy przyjęciu, iż powód wygrał proces w 99%. K. K. w przedmiotowej sprawie poniósł łączny koszt procesu w kwocie 8 217 zł, na który składają się opłata od pozwu w kwocie 1000 zł, opłata skarbowa od pełnomocnictwa w kwocie 17 złotych oraz wynagrodzenie profesjonalnego pełnomocnika w kwocie 7200 zł obliczone stosownie do § 2 pkt 6 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 roku w sprawie opłat za czynności radców prawnych w brzmieniu obowiązującym na datę wniesienia pozwu. Pozwany zaś poniósł łączny koszt procesu w kwocie 7 217 zł, na który składają się opłata skarbowa od pełnomocnictwa w kwocie 17 złotych oraz wynagrodzenie profesjonalnego pełnomocnika w kwocie 7200 zł obliczone stosownie do § 2 pkt 6 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 roku w sprawie opłat za czynności radców prawnych w brzmieniu obowiązującym na datę wniesienia pozwu. Tym samym biorąc pod uwagę wynik procesu powodowi należał się zwrot kosztów procesu od pozwanego w kwocie 8 062,66 zł ((8 2017 zł x 99%) – (7 217 zł x 1%) = 8 134,83 zł – 72,17 zł = 8 062,66 zł).

Mając na uwadze powyższe Sąd orzekł jak w wyroku.