Pełny tekst orzeczenia

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 15 grudnia 2016 roku

Sąd Okręgowy w Warszawie, XXV Wydział Cywilny

w składzie: Przewodniczący: SSR (del.) Michał Jakubowski

Protokolant: sekr. sąd. Aleksandra Mamrot

po rozpoznaniu na rozprawie w dniu 1 grudnia 2016 roku w Warszawie

sprawy z powództwa S. C.

przeciwko Bankowi (...) S.A. w W.

o zapłatę

orzeka

1.  Zasądza od pozwanego Banku (...) S.A. w W. na rzecz powoda S. C. kwotę 85.000 (osiemdziesiąt pięć tysięcy) złotych wraz ustawowymi odsetkami od tej kwoty od dnia 1 kwietnia 2015 roku do dnia 31 grudnia 2015 roku i z odsetkami ustawowymi za opóźnienie od tej kwoty od dnia 1 stycznia 2016 roku do dnia zapłaty.

2.  W pozostałym zakresie powództwo oddala.

3.  Zasądza od pozwanego Banku (...) S.A. w W. na rzecz powoda S. C. kwotę 7.867 (siedem tysięcy osiemset sześćdziesiąt siedem) złotych tytułem zwrotu kosztów procesu.

Sygn. akt XXV C 14/16

UZASADNIENIE

W dniu 1 kwietnia 2015 r. (data nadania korespondencji – k. 111) S. C. wniósł do Sądu Okręgowego w Częstochowie pozew o zapłatę przeciwko Bankowi (...) S.A. z siedzibą w W. (obecnie: Bank (...) S.A. z siedzibą w W.), żądając nakazania pozwanemu:

1.  uznania rachunku bankowego powoda nr (...) prowadzonego przez pozwanego, kwotą 15.000 zł tytułem przywrócenia środków na ww. rachunku, obciążonym wskutek nieautoryzowanej przez powoda transakcji płatniczej w dniu 14 stycznia 2014 r.,

2.  uznania rachunku bankowego powoda nr (...) prowadzonego przez pozwanego, kwotą 70.000 zł tytułem przywrócenia środków na ww. rachunku, obciążonym wskutek dwóch nieautoryzowanych przez powoda transakcji, możliwych poprzez uprzednią również nieautoryzowaną likwidację trzech lokat prowadzonych na rachunkach:

- (...) - lokata na kwotę 10.000 zł

- (...) - lokata na kwotę 50.000 zł

- (...) - lokata na kwotę 10.000 zł

3.  nie obciążania powoda odsetkami z powodu wynikłego z ww. transakcji zadłużenia, a także innymi kosztami związanymi z tymi transakcjami,

Nadto powód wniósł o zasądzenie od pozwanego na rzecz strony powodowej kosztów procesu według norm przepisanych wraz z kosztami zastępstwa procesowego, jak i opłatą od pełnomocnictwa 17 zł.

W uzasadnieniu powód wskazał, że materialną podstawą jego żądania jest art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. nr 199, poz. 1175 ze zm.), gdyż doszło w tym przypadku do nieautoryzowanej transakcji płatniczej, przez co w drodze działań przestępczych hakerzy wyprowadzili z jego rachunku bankowego środki pieniężne w wysokości 85.000 zł. Podkreślił, że sprawcy przejęli kontrolę nad komputerem powoda, ustanowili na jego koncie użytkownika zaufanego poprzez wysłanie na jego telefon w formie wiadomości sms, komunikatu imitującego wiadomość od banku. Sms był w szacie graficznej łudząco podobny do wiadomości przesyłanych przez bank, w konsekwencji użytkownik nie był w stanie zorientować się, że komunikat nie jest autentyczny. Wprowadzony w błąd, zdecydował o akceptacji zmiany formatu konta, jednak sms okazał się zwykłym wyłudzeniem kodu autoryzacyjnego, co doprowadziło w konsekwencji do ustanowienia przez hakerów użytkownika zaufanego o nazwie „eKonto". Po ustanowieniu użytkownika zaufanego, sprawcy dokonali szeregu transakcji, które nie wymagały już autoryzacji. Były one przeprowadzane bez świadomości i wiedzy powoda, który o ich zaistnieniu dowiedział się dopiero po zalogowaniu się na konto
w dniu 17 stycznia 2014 r. Powód podkreślił, że dochował należytej staranności
w korzystaniu z serwisu transakcyjnego banku. Przede wszystkim był wyłącznym użytkownikiem swojego loginu i hasła do internetowego konta - nie udostępniał ich osobom postronnym. Dotyczy to także telefonu oraz komputera. Nadto na komputerze zainstalowany był program antywirusowy E. (...) Antywirus. Podkreślił też, że o nieautoryzowanych transakcjach zawiadomił niezwłocznie pozwany bank. Nadmienił też, że w dniu 9 grudnia 2014 r. Sąd Rejonowy
w Z. II Wydział Karny w sprawie o sygn. II K 1053/14 wydał (prawomocny) wyrok zaoczny, na mocy którego uznał oskarżonego A. N. za winnego popełnienia zarzucanego mu czynu polegającego na złamaniu zabezpieczeń elektronicznych do konta bankowego (...) S.A. o nr (...) prowadzonego dla pokrzywdzonego S. C., a następnie dodaniu swojego konta jako zidentyfikowany odbiorca, skąd po zerwaniu lokat związanych
z kontem pokrzywdzonego przelał pieniądze na swoje konto zabierając w celu przewłaszczenia pieniądze w kwocie 85.000 zł na szkodę S. C.,
tj. przestępstwa z art. 279 § 1 kk i art. 267 § 1 kk w zw. z art. 11 § 2 kk. Już tylko na tej podstawie można stwierdzić – zdaniem powoda -, że zlikwidowanie lokat oraz pobranie środków z konta bankowego powoda nastąpiło bez jego wiedzy, a co najważniejsze nie było po jego stronie zamiaru, bądź chęci dokonania takich przesunięć majątkowych. Powołując się na ustawę o usługach płatniczych, powód wskazał także, że dla zwolnienia się z ponoszenia odpowiedzialności za nieautoryzowane transakcje, bank jest obowiązany wykazać przesłanki z art. 45 ust. 2 oraz art. 46 ust. 3, które w niniejszej sprawie nie zaistniały. W niniejszej sprawie nie można bowiem wskazywać na umyślność w zakresie dokonanych transakcji po stronie powoda. Niemożliwe jest także określenie podejmowanych przez niego zachowań, jako rażącego niedbalstwa. W tych okolicznościach wniósł
o uwzględnienie powództwa w całości (pozew, k. 2-11).

W odpowiedzi na pozew pozwany wniósł o oddalenie powództwa w całości oraz zasądzenie od powoda na rzecz pozwanego kosztów procesu oraz kosztów zastępstwa procesowego według norm przepisanych. W uzasadnieniu podał, że
w dniu 14 stycznia 2014 r. po dokonaniu prawidłowego logowania do systemu eBGŻ dodano zdefiniowanego zaufanego kontrahenta o nazwie „eKonto" o nr rachunku
(...) przy czym operacja ta została zatwierdzona prawidłowym kodem sms, wysłanym na numer wskazany przez powoda. Po dokonaniu kolejnego prawidłowego logowania do systemu eBGŻ w tym dniu zerwano trzy lokaty na łączną kwotę 70 000 złotych oraz dokonano trzech przelewów z rachunku powoda na rzecz zdefiniowanego uprzednio kontrahenta pod nazwą (...) odpowiednio na kwotę 15.000 złotych oraz dwa przelewy na kwoty po 35.000 złotych. Każdego logowania dokonano przy użyciu unikalnego loginu powoda i unikalnego hasła wybranego przez powoda. W związku z tym
– w ocenie pozwanego - zostały one wykonane zgodnie z wymogami ustalonymi przez strony. Bank nie odnotował w tym czasie żadnych awarii, ani innych defektów systemu bankowości elektronicznej, a w konsekwencji zlecenie zostało wykonane zgodnie z dyspozycją. Pozwany zwrócił także uwagę, że w wyroku z dnia 9 grudnia 2014 r. wydanym w sprawie o sygn. akt II K 1053/14, Sąd Rejonowy w Zawierciu
II Wydział Karny zobowiązał oskarżonego A. N. do naprawienia szkody poprzez zapłatę na rzecz pokrzywdzonego S. C. kwoty 85.000 zł
w terminie jednego miesiąca od uprawomocnienia się wyroku. W tych okolicznościach – zdaniem pozwanego - skoro powód dysponuje już prawomocnym wyrokiem karnym obejmującym całość szkody wyrządzonej powodowi z tytułu kwestionowanych przez niego transakcji, tj. 85.000 złotych, niniejsze powództwo powinno być oddalone, gdyż kwota zasądzona wyrokiem karnym pokrywa
w całości roszczenie główne powoda dochodzone od pozwanego niniejszym pozwem. Uwzględnienie powództwa, prowadziłoby natomiast do powstania dwóch tytułów egzekucyjnych obejmujących to samo roszczenie, a po nadaniu klauzuli wykonalności - dwóch tytułów wykonawczych. Mogłoby zatem dojść do dwukrotnego pokrycia szkody, poprzez ściągnięcie od dwóch różnych dłużników,
z dwóch tytułów wykonawczych, tej samej kwoty. Pozwany wskazał także, że wielokrotnie informował powoda o zasadach bezpieczeństwa dotyczących korzystania z instrumentu płatniczego. Co więcej, zgodnie z rozdziałem 16 § 11 umowy ramowej powód był zobowiązany do zapoznawania się z treścią komunikatów udostępnianych mu poprzez stronę internetową serwisu bankowości internetowej http://(...)Zdaniem pozwanego, na stronie tej wyświetlane są wyłącznie informacje dotyczące zasad bezpiecznego logowania do systemu, a po zalogowaniu w systemie (...), wyłącznie informacje związane z posiadanymi przez użytkownika produktami, w tym również komunikaty przesyłane przez bank. Dodatkowo pozwany wskazał, że od dnia zawarcia umowy rachunku zgodnie
z rozdziałem 16 § 8 ust. 1 pkt 2 umowy ramowej powód był zobowiązany do przechowywania udostępnionych mu zabezpieczeń w sposób uniemożliwiający osobom nieuprawnionym dostęp do nich, a zgodnie z rozdziałem 16 § 8 ust. 4 umowy ramowej w przypadku wejścia w posiadanie zabezpieczenia przez osobę nieuprawnioną, powód był zobowiązany do niezwłocznego przekazania bankowi dyspozycji zablokowania możliwości dalszego korzystania z (...) (w tym (...)) przy użyciu tego zabezpieczenia. Zdaniem strony pozwanej, bank dochował staranności jakiej można oczekiwać od profesjonalisty, na bieżąco reagując na pojawiające się zagrożenia w systemie bankowości internetowej oraz informując
o nich klientów w sposób przyjęty w zawartych z nimi umowach. Pozwany wskazał też, że to wyłącznie działania powoda, w szczególności jego rażące niedbalstwo
w zakresie dochowania zasad bezpieczeństwa korzystania z systemu bankowości internetowej - pomimo posiadanych informacji przekazanych jemu przez pozwanego, że bank nie wymaga instalowania żadnego dodatkowego oprogramowania - doprowadziły do realizacji transakcji na łączną kwotę 85 000 zł. Powód bowiem, pomimo zapoznania się z komunikatami banku, samodzielnie dokonał akceptacji wiadomości sms umożliwiającej wyłudzenie kodu sms wymaganego przy autoryzacji transakcji w systemie eBGZ. Nie ma przy tym znaczenia, zdaniem pozwanej, wygląd komunikatu (nawet jeżeli był „łudząco podobny do wiadomości wysłanych przez bank"), skoro bank ostrzegał uprzednio wielokrotnie swoich klientów, w tym powoda, o podejmowanych próbach przejęcia kontroli nad telefonami komórkowymi klientów w celu przechwycenia wiadomości SMS z kodami autoryzującymi oraz że bank w celu korzystania z bankowości internetowej nie wymaga od klientów instalowania na komputerach ani telefonach komórkowych żadnego dodatkowego oprogramowania ani certyfikatów. W tym stanie rzeczy, zdaniem pozwanego, nie trzeba być profesjonalistą w dziedzinie systemów informatycznych, czy zabezpieczeń takich systemów, aby uznać informację sms za próbę wyłudzenia, czy oszustwa. Z punktu widzenia pozwanego, kwestionowane przez powoda transakcje zostały przez niego autoryzowane
w sposób prawidłowy. Jednocześnie pozwany podkreślił, że przedstawiony przez powoda do pozwu dowód zakupu oprogramowania antywirusowego nie dowodzi, że program ten został zainstalowany i uruchomiony na komputerze powoda, na którym korzystał on z systemu bankowości eBGŻ oraz że oprogramowanie to posiadało aktualną bazę wirusów umożliwiającą wykrycie złośliwego oprogramowania. Jedynie bowiem spełnienie ww. warunków należy uznać za należyte zabezpieczenie przez powoda jego komputera w rozumieniu umownego obowiązku klienta przechowywania zabezpieczeń z zachowaniem należytej staranności oraz nieudostępniania ich osobom nieuprawnionym (rozdz. 16 § 8 ust. 1 pkt 5 Umowy ramowej). W tych okolicznościach, pozew winien być oddalony (odpowiedź na pozew, k. 114-129).

Postanowieniem z dnia 16 października 2015 r. Sąd Okręgowy
w Częstochowie stwierdził swoją niewłaściwość miejscową i przekazał sprawę do rozpoznania i rozstrzygnięcia Sądowi Okręgowemu w Warszawie (k. 190-191).

Pismem z dnia 24 listopada 2016 r. (data nadania - k. 271) powód sprecyzował żądanie pozwu wnosząc o:

-

zasądzenie od pozwanego na rzecz powoda kwoty 85.000 zł wraz z odsetkami ustawowymi od dnia 17 lutego 2014 r. do 31 grudnia 2015 r. oraz ustawowymi odsetkami za opóźnienie od 1 stycznia 2016 r. do dnia zapłaty, ewentualnie
w wypadku, uznania przez Sąd, iż brak jest przestanek do zasądzenie odsetek od dnia 17 lutego 2014 r. wniósł o zasądzenie odsetek ustawowych od dnia wniesienia pozwu,

-

zasądzenie od pozwanego na rzecz powoda zwrotu kosztów postępowania
w tym kosztów zastępstwa prawnego wg norm prawem przepisanych

(pismo procesowe powoda, k. 268-270).

Sąd ustalił następujący stan faktyczny.

W dniu 20 lipca 2010 r. powód S. C. zawarł z oddziałem pozwanego (wówczas działającym pod nazwą: Bank (...) S.A.
z siedzibą w W.) umowę o prowadzenie rachunków bankowych, o kartę płatniczą wydawaną do konta osobistego oraz o korzystanie z systemów bankowości telefonicznej i internetowej. Na podstawie ww. umowy, bank otworzył i prowadził konto osobiste powoda o nr rachunku (...), a poprzez dostęp do konta klient miał możliwość skorzystania z innych usług banku, w tym otwarcia lokat terminowych (umowa, k. 151-153; potwierdzenie otwarcia konta osobistego – k. 154; KRS spółki przejmowanej, k. 57-110; KRS następcy prawnego pozwanej, k. 132-149; okoliczności bezsporne).

Powód korzystał w pozwanym Banku z usług bankowości elektronicznej (okoliczność bezsporna).

Aby uzyskać dostęp do konta za pośrednictwem Internetu, klient pozwanego podaje dane identyfikacyjne, tj. pierwszą literę imienia i nazwiska oraz hasło. Do autoryzacji transakcji płatniczych konieczne jest natomiast podanie ponadto żądanego jednorazowego hasła (numerów identyfikacyjnych) przesyłanego drogą sms. Hasła jednorazowe nie są wykorzystywane w pozwanym Banku do identyfikacji klientów na etapie logowania, a jedynie do autoryzacji transakcji. Jedną z dostępnych usług w serwisie transakcyjnym Banku, jest możliwość dodania do konta użytkownika, tzw. zdefiniowanego zaufanego kontrahenta – wykonanie przelewu na rzecz takiego odbiorcy (kontrahenta) nie wymaga potwierdzenia transakcji kodem sms. Przy każdym innym odbiorcy (tzw. „niezaufanym”) transakcja przelewowa musi być potwierdzona specjalnym jednorazowym kodem sms, aby mogła dojść do skutku (okoliczności bezsporne).

Pozwany Bank zamieszcza na swoich stronach internetowych ostrzeżenia
o zagrożeniach w systemach bankowości internetowej, w tym dotyczących wirusów
i niebezpieczeństw związanych z ich instalowaniem. Ponadto informuje klientów, że nigdy nie wymaga instalowania na komputerach ani telefonach komórkowych żadnego dodatkowego oprogramowania lub certyfikatów. Ostrzeżenia są aktualizowane, gdy pojawia się bądź zmienia zagrożenie. Komunikaty wyświetlane są na stronie logowania lub wysyłane bezpośrednio do klienta i prezentowane już po zalogowaniu w jego skrzynce odbiorczej (wydruki komunikatów, k. 166 – 167 verte).

W dniu 14 stycznia 2014 r., powód logował się do internetowego systemu transakcyjnego Banku – na ten dzień posiadał u pozwanego trzy lokaty terminowe na kwoty odpowiednio: 10.000 zł, 50.000 zł oraz 10.000 zł, a nadto niewykorzystany limit kredytu odnawialnego w wysokości 10.000 zł oraz wolne środki na rachunku rozliczeniowym w wysokości 5.275 zł. W tym dniu miał problemy z poprawnym wylogowaniem się z systemu transakcyjnego Banku, gdyż strona internetowa wykazywała oznaki „zawieszenia się”. (okoliczności bezsporne; pismo powoda z dnia
20 stycznia 2014 r. adresowane do pozwanego, k. 20-21).

Powód logował się do serwisu transakcyjnego (eBGZ) tylko z jednego prywatnego laptopa. Sprzęt komputerowy miał zainstalowane aktualne oryginalne oprogramowanie antywirusowe firmy (...). Powód nigdy nikomu osobiście nie udostępniał hasła, telefonu ani laptopa, z których korzystał logując się do serwisu internetowego banku. Telefon komórkowy dedykowany do przesyłania kodów sms zawsze nosił przy sobie. Podczas jednego z logowań, na stronie logowania wyświetlił się komunikat z informacją o zmianie formatu konta i prośbą
o potwierdzenie zmiany kodem sms – jednocześnie otrzymał wiadomość sms
z kodem autoryzującym, który przepisał na wyświetloną stronę internetową wyglądającą, jak strona logowania do serwisu transakcyjnego pozwanego Banku. Po tym, nie miał problemu by ponownie zalogować się do swojego konta internetowego. (certyfikat programu antywirusowego – k. 53; zeznania powoda e-protokół
k. 219).

Po zalogowaniu się do systemu bankowości internetowej ((...)) w dniu
17 stycznia 2014 r. powód stwierdził, że zlikwidowane zostały wszystkie jego lokaty bankowe, a z rachunku przelano środki w łącznej kwocie 85.000 zł na nieznane powodowi konto o nr (...) (dowód: historia operacji na rachunku bankowym powoda, k. 18-19; wydruk z systemu(...)obrazujący aktywność na rachunku bankowym powoda – k. 169).

W tym samym dniu, niezwłocznie po stwierdzeniu, że lokaty terminowe zostały zerwane, a środki finansowe wyprowadzone z konta, powód poinformował telefonicznie Bank o zaistniałej sytuacji, a także udał się osobiście do oddziału Banku w Z., gdzie w obecności pracownika pozwanej - M. S. stwierdził, że wśród zdefiniowanych zaufanych kontrahentów uprawnionych do otrzymywania przelewów z konta powoda bez konieczności potwierdzania transakcji przelewowych kodem sms, znajduje się nieznany powodowi odbiorca (kontrahent)
o nazwie (...). Powód nigdy nie dodawał wskazanego kontrahenta do listy odbiorców zaufanych, ani nie otrzymał z Banku informacji sms weryfikującej osobnym kodem wykonanie takiej czynności. (zeznania powoda, e-protokół k. 219).

W dniu 17 stycznia 2014 r. powód powiadomił o zaistniałym zdarzeniu organy ścigania. W toku prowadzonego dochodzenia, ustalono adresy IP, z których logowano się w dniu 14 stycznia 2014 r. do konta powoda (k. 23 akt o sygn. II K 1053/14). Ustalono także, że sprawca, używał prawdopodobnie programu maskującego IP działającego na zasadzie wskazywania nieprawdziwego adresu IP komputera, którym się posługiwał (k. 54 i 60 akt o sygn. II K 1053/14). Rachunek
nr (...), na który przelano pieniądze wyprowadzone
z konta powoda, był prowadzony na rzecz A. N. – pieniądze z tego rachunku zostały ostatecznie wypłacone w Danii w wielu transzach po 10 000 koron duńskich (k. 50 i 53 akt o sygn. II K 1053/14).

W dniu 9 grudnia 2014 r. Sąd Rejonowy w Zawierciu II Wydział Karny
w sprawie o sygn. akt II K 1053/14 wydał (prawomocny obecnie) wyrok zaoczny, na mocy którego uznał oskarżonego A. N. za winnego popełnienia zarzucanego mu czynu polegającego na złamaniu zabezpieczeń elektronicznych do konta bankowego (...) S.A. o nr (...) prowadzonego dla pokrzywdzonego S. C., a następnie dodaniu swojego konta jako zidentyfikowany odbiorca, skąd po zerwaniu lokat związanych z kontem pokrzywdzonego przelał pieniądze na swoje konto zabierając w celu przewłaszczenia pieniądze w kwocie 85.000 zł na szkodę S. C.,
tj. przestępstwa z art. 279 § 1 kk i art. 267 § 1 kk w zw. z art. 11 § 2 kk. Ponadto, na podstawie art. 72 § 2 kk w wyroku zobowiązano oskarżonego do naprawienia szkody poprzez zapłatę na rzecz pokrzywdzonego S. C. kwoty 85.000 złotych w terminie jednego miesiąca od uprawomocnienia się wyroku (wyrok SR w Zawierciu – k. 141 w z k. 176 akt o sygn. II K 1053/14).

Przed zdarzeniami z dnia 14 stycznia 2014 r. Bank nie informował swoich klientów o zagrożeniach związanych z komunikatem o zmianie formatu konta,
tj. o zagrożeniu takimi sposobami działania hakerów, jakie zastosowali oni
w przypadku powoda. Komunikat na stronie Banku, dotyczący zagrożenia takimi sposobami nielegalnego pozyskiwania i wyłudzania danych, został zamieszczony dopiero dnia 3 lutego 2014 r. (niekwestionowane twierdzenia pozwu).

Ustalając powyższy stan faktyczny, Sąd oparł się na dowodach z zeznań powoda oraz z przedłożonych dokumentów znajdujących się w aktach niniejszej sprawy oraz załączonych aktach karnych, których treść nie była kwestionowana przez żadną ze stron. Zeznaniom powoda Sąd dał wiarę w całości, gdyż były logiczne, spójne, nie zawierały wewnętrznych sprzeczności, a nadto korespondowały z zebranym w sprawie pozostałym materiałem dowodowym w postaci dokumentów.

Sąd zważył, co następuje.

Powództwo zasługiwało na uwzględnienie.

Zgodnie z art. 725 k.c. przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych.

Zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności, w związku z czym wszelkie próby interpretacji przez banki postanowień zawartych w stosowanych przez nie wzorcach umownych, zmierzające do zaniżania standardów bezpieczeństwa powierzonych bankowi środków pieniężnych, powinny być oceniane jako zachowania sprzeczne z dobrymi obyczajami i celem umowy rachunku bankowego ( por. wyrok SN z 14 kwietnia 2003 r. sygn. I CKN 308/61).

Ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża więc bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową.

Równoległą podstawą odpowiedzialności banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 r. (t. jedn. Dz. U. z 2014 r., poz. 873 ze zm.), w której znajduje oparcie roszczenie pozwu. Przywołana ustawa określa, między innymi, prawa i obowiązki stron wynikające z umów o świadczenie usług płatniczych,
a także zakres odpowiedzialności dostawców z tytułu wykonywania usług płatniczych (art. 1 pkt 2 ustawy). Bank krajowy jest dostawcą usług płatniczych
w rozumieniu ustawy (art. 4 ust. 1 i ust. 2 pkt 1). Przez usługi płatnicze rozumie się działalność polegającą w szczególności na wykonywaniu transakcji płatniczych,
w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy przez wykonywanie usług polecenia przelewu (art. 3 pkt 2 lit. c). Płatnikiem w rozumieniu ustawy jest m. in. osoba fizyczna, składająca zlecenie płatnicze, czyli oświadczenie skierowane do dostawcy zawierające polecenie wykonania transakcji płatniczej (art. 2 pkt 22 i pkt 36). Zlecenie płatnicze, zgodnie z art. 2 pkt 10 ustawy, płatnik składa przy użyciu instrumentu płatniczego, którym jest zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego (art. 2 pkt 10).

Strony niniejszego postępowania umówiły się, że zgoda na wykonanie transakcji płatniczych za pośrednictwem usług bankowości elektronicznej świadczonych przez pozwany Bank będzie przez powoda udzielana – po zalogowaniu się do konta za pomocą danych identyfikacyjnych składających się
z loginu i hasła oraz przez podanie autoryzacyjnego kodu sms i powtórzenie wyświetlonego na stronie zestawu znaków.

Na pozwanym Banku jako dostawcy wydającemu instrument płatniczy ciążył z mocy art. 43 pkt 1 ustawy obowiązek zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu, na powodzie zaś - jako użytkowniku instrumentu płatniczego – spoczywał obowiązek korzystania
z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszania niezwłocznie dostawcy utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (art. 42 ust. 1 pkt 1 i 2). W celu spełnienia powyższego obowiązku użytkownik, z chwilą otrzymania instrumentu płatniczego, winien podejmować niezbędne środki zapobiegające naruszeniu indywidualnych zabezpieczeń instrumentu,
w szczególności jest obowiązany do przechowywania instrumentu płatniczego
z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (art. 42 ust. 2).

Jak wynika z poczynionych ustaleń, pozwany Bank wywiązywał się
z obowiązku zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu, powód natomiast swoim obowiązkom wymienionym w art. 42 ust. 2 ustawy uchybił, udostępniając instrument płatniczy osobom nieuprawnionym przez wpisanie przynajmniej raz w dniu 14 stycznia 2014 r. kodu autoryzacyjnego podanego w treści wiadomości sms, na podstawionej stronie internetowej. Słowo „udostępnić” oznacza w języku polskim: ułatwić kontakt z czymś lub umożliwić korzystanie z czegoś (por. Słownik języka polskiego, PWN). Tego niewątpliwie,
w świetle poczynionych w sprawie ustaleń faktycznych, powód dopuścił się, choć
w sposób niezamierzony i nieświadomy. Ustalenia te zostały poczynione, przede wszystkim, na podstawie akt postępowania karnego i zeznań samego powoda, który przyznał, że wpisał kod autoryzacyjny na stronie internetowej, która była łudząco podobna do strony pozwanego Banku. Udostępnienie przez powoda za pośrednictwem podstawionej witryny internetowej swoich danych identyfikacyjnych oraz kodu autoryzacyjnego sms będącego w jego posiadaniu osobom nieuprawnionym, umożliwiło tym osobom dodanie do konta powoda
tzw. zdefiniowanego odbiorcy zaufanego i wykonanie przelewów na łączną kwotę 85.000 zł. Czynności te z punktu widzenia systemu informatycznego Banku były przeprowadzone poprawnie, przy wykorzystaniu właściwych narzędzi autoryzacyjnych. Mimo tego, kwestionowanych transakcji płatniczych wykonanych z konta powoda w dniu 14 stycznia 2014 r. nie można uznać za transakcje autoryzowane.

Zgodnie z art. 40 ust. 1 analizowanej ustawy, transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji w sposób przewidziany w umowie między płatnikiem a jego dostawcą. W świetle poczynionych w sprawie ustaleń powód takiej zgody nie wyraził. Świadczy o tym również fakt, że niezwłocznie powiadomił pozwanego oraz Policję, stosownie do obowiązków wynikających z art. 44 ust. 1 przywoływanej ustawy, celem wyjaśnienia przyczyn zniknięcia z konta posiadanych środków pieniężnych.

W myśl art. 45 ustawy o usługach płatniczych, ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Wykazanie przez dostawcę jedynie faktu zarejestrowanego użycia instrumentu płatniczego, nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika, albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.

W ocenie Sądu w okolicznościach niniejszej sprawy nie można powodowi przypisać zgody ani woli podjęcia czynności zmierzających do przeprowadzenia kwestionowanych transakcji płatniczych przy użyciu posiadanych przez niego instrumentów płatniczych, a które to okoliczności świadczyłyby o autoryzowaniu przez niego transakcji. Nie można mu również przypisać umyślnego doprowadzenia do nieautoryzowanych transakcji płatniczych, a to choćby z tej przyczyny, że o ich dokonaniu powód dowiedział się dopiero w dniu 17 stycznia 2014 r. Zostały one zatem przeprowadzone bez jego wiedzy. Nie można mu również przypisać rażącego niedbalstwa w naruszeniu obowiązków, wynikających z art. 42 ustawy. Wprawdzie, jak wskazano powyżej, udostępnił on nieświadomie osobom nieuprawnionym dane przepisując na stronę internetową kod autoryzacyjny podany w treści wiadomości sms, czego nie powinien czynić, jednak nie nastąpiło to w okolicznościach świadczących o rażącym niedbalstwie z jego strony.

Jak wynika z doświadczenia życiowego, do zainfekowania komputera użytkownika usług bankowości elektronicznej może dojść w podstępny, lecz prosty sposób, np. przez kliknięcie przez użytkownika w zdjęcie na ekranie czy otwarcie załącznika do wiadomości nadesłanej pocztą elektroniczną, informującej
np. o nierozliczonych płatnościach czy zawierającej rzekome faktury. Powód
w okresie poprzedzającym kwestionowane transakcje był informowany
o zagrożeniach w systemach bankowości internetowej, w tym dotyczących wirusów
i niebezpieczeństw związanych z ich instalowaniem, jednak zachował też adekwatną staranność w dbaniu o swoje bezpieczeństwo w Internecie, gdyż korzystał z serwisu bankowego wyłącznie przez swój prywatny laptop, z legalnym oprogramowaniem, zabezpieczony należycie programem antywirusowym (co wykazał przedstawiając odpowiedni certyfikat zabezpieczeń). Nigdy też nie udostępnił nikomu swojego telefonu dedykowanego jednorazowym kodom autoryzacyjnym sms, ani też go nie zagubił. Podobnie nie udostępniał nikomu swojego laptopa.

W dniu 14 stycznia 2014 r. skorzystał ze swojego prywatnego laptopa, z legalnym oprogramowaniem i zabezpieczonego programem antywirusowym, choć Bank nie stawiał swoim klientom niemal żadnych wymagań dotyczących sprzętu i oprogramowania. W tym dniu miał problemy z wylogowaniem się z serwisu transakcyjnego Banku, gdyż strona internetowa wykazywała oznaki „zawieszania się”. Podczas jednej z prób logowania się, na stronie internetowej wyświetlił się komunikat z informacją o zmianie formatu konta i prośbą
o potwierdzenie zmiany kodem sms – jednocześnie na tel. komórkowy powoda dostarczona została wiadomość sms z kodem autoryzacyjnym, który przepisał on na wyświetloną stronę internetową wyglądającą w jego ocenie, jak strona do logowania się do serwisu transakcyjnego pozwanego Banku. Żądanie to, wobec faktu iż strona internetowa nie przedstawiała się jako oczywiście fałszywa, nie wzbudziło podejrzeń powoda. Tym bardziej, że po tej czynności, nie miał on żadnego problemu
z ponownym zalogowaniem się do swojego konta internetowego. Jak wynika
z twierdzeń pozwu, którym pozwany nie przeczył, komunikat dotyczący tego zagrożenia, z którym zetknął się powód, został umieszczony na stronie Banku dopiero w dniu 3 lutego 2014 r., a więc już po zrealizowaniu przez Bank spornych przelewów. Wprawdzie na stronach Banku zamieszczano ostrzeżenia przed podawaniem dodatkowych danych identyfikacyjnych także przed 14 stycznia 2014 r., jednak nie dotyczyły one tego konkretnego sposobu działania hakerów, a nadto nie budzi wątpliwości, że komunikat, który wprowadził powoda w błąd pojawił się na stronie Banku (a w rzeczywistości na stronie ją imitującej), a nie w innym miejscu i okolicznościach. W ocenie Sądu, powyższe okoliczności, nie pozwalają na przypisanie powodowi rażącego niedbalstwa w związku z wpisaniem na stronie internetowej imitującej stronę Banku kodu sms służącego, co do zasady do autoryzacji transakcji, a nie do „potwierdzania zmiany formatu konta”.

Zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.

Jeżeli jednak płatnik doprowadził do nieautoryzowanej transakcji umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42, odpowiada on za nieautoryzowane transakcje płatnicze w pełnej wysokości (art. 46 ust. 3). Jak zaznaczono powyżej, przepis ten nie może mieć zastosowania w niniejszej sprawie wobec braku podstaw do przypisania powodowi umyślności, czy rażącego niedbalstwa. Powód bowiem w sposób niezamierzony i nieświadomy, a więc niezawiniony, dopuścił się obiektywnie rzecz ujmując, naruszenia jednego ze swoich obowiązków ciążących na nim z mocy art. 42 ust. 2 ustawy o usługach płatniczych, za co oczywiście nie może ponosić odpowiedzialności na podstawie art. 46 ust. 3 cytowanej ustawy. W tych okolicznościach powództwo zasługiwało na uwzględnienie.

Odnosząc się na zakończenie do obaw pozwanego, że w przypadku uwzględnienia powództwa może dość do powstania - w sytuacji dochodzenia roszczeń odszkodowawczych wynikających z przestępstwa na drodze cywilnej po wydaniu wyroku karnego nakładającego obowiązek naprawienia szkody - dwóch tytułów egzekucyjnych, w ocenie Sądu, nie istnieje niebezpieczeństwo podwójnego wyegzekwowania tej samej kwoty, gdyż ewentualne wyegzekwowanie jej od sprawcy szkody pozwoli pozwanemu bronić się odpowiednim zarzutem w drodze powództwo przeciwegzekucyjnego.

Mając na uwadze powyższe regulacje i rozważania, Sąd zasądził na rzecz powoda kwotę 85.000 zł, która ostatecznie została przelana w sposób nieautoryzowany z konta powoda w dniu 14 stycznia 2014 r. na konto nieuprawnionej osoby trzeciej, o czym orzeczono, jak w pkt 1 sentencji wyroku.

Ponieważ pozwany dopuścił się opóźnienia w zwrocie zasądzonej wyrokiem kwoty, powodowi należały się odsetki w wysokości ustawowej zgodnie z art. 481 § 1 i 2 k.c. W myśl cytowanego już art. 46 ust. 1 ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej „niezwłocznie”. Pojęcie to ma charakter niedookreślony, nie wyznacza żadnego sztywno zakreślonego horyzontu czasowego i winno zostać wypełnione treścią w odniesieniu do konkretnych okoliczności sprawy. W ocenie sądu, Bank winien zwrócić płatnikowi kwotę należną mu w świetle art. 46 ustawy po upływie czasu niezbędnego do ustalenia, czy w danych okolicznościach wystąpił przypadek, o którym mowa w tym przepisie, tj. czy wystąpiła transakcja płatnicza nieautoryzowana. Bank winien mieć zatem możliwość podjęcia czynności wyjaśniających. Zauważyć należy, iż wyrok z dnia 9 grudnia 2014 roku, którym skazano A. N. za popełnienie przestępstwa polegającego na nieautoryzowanym przelewie na szkodę powoda uprawomocnił się dnia 3 lutego 2015 roku. Dopiero postępowanie karne zakończone prawomocnym skazaniem sprawcy przestępstwa pozwoliło na wnikliwe zbadanie i ustalenie wszystkich okoliczności sprawy. Dlatego zasadnym jest zasądzenie odsetek od dnia wniesienia pozwu, kiedy strona pozwana miała już dostateczną wiedzę pozwalającą na zwrot kwoty wskazanej w pozwie, a nie od dnia bezpośrednio po zaistnieniu przedmiotowego zdarzenia, jak chce tego powód. Dodać należy, iż przed datą złożenia pozwu strona powodowa zwracała się bezskutecznie o zwrot bezprawnie wypłaconej kwoty (k.48). Mając powyższe na względzie, sąd zasądził na rzecz powoda odsetki ustawowe na podstawie art. 481 § 1 i 2 k.c. w zw. z art. 46 ust. 1 ustawy o usługach płatniczych od dnia 1 kwietnia 2015 r. (do dnia zapłaty), z uwzględnieniem nowelizacji art. 481 k.p.c. od 1 stycznia 2016 r. i zasadnością zasądzenia od tej daty odsetek ustawowych za opóźnienie. Żądanie odsetek w dalej idącym zakresie podlegało oddaleniu.

O kosztach orzeczono w oparciu o art. 98 k.p.c. zgodnie z ogólną zasadą odpowiedzialności za wynik procesu. Powód wygrał proces w całości, a na poniesione przez niego koszty, które winna pokryć strona przegrywająca, złożyły się: 4250 zł opłaty sądowej od pozwu, 3600 zł wynagrodzenia pełnomocnika zgodnie § 6 pkt 6 rozporządzenia Ministra Sprawiedliwości z 28 września 2002 r. w sprawie opłat za czynności adwokackie oraz ponoszenia przez Skarb Państwa kosztów nieopłaconej pomocy prawnej udzielonej z urzędu (Dz. U. z 2013 r., poz. 461) oraz
17 zł wydatku na poczet opłaty skarbowej od pełnomocnictwa.

Mając powyższe na uwadze, orzeczono jak w sentencji wyroku.