Sygn. akt III Ca 200/17
Wyrokiem z dnia 24 listopada 2016 roku Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi zasądził od (...) Spółki Akcyjnej w Ł. na rzecz K. T. kwotę 8 858 zł z odsetkami ustawowymi od dnia 3 lutego 2014 roku do dnia 31 grudnia 2015 roku i z odsetkami ustawowymi za opóźnienie od dnia 1 stycznia 2016 roku do dnia zapłaty (pkt 1), oddalił powództwo w pozostałym zakresie (pkt 2) oraz zasądził od pozwanego na rzecz powódki kwotę 1 449,59 zł tytułem kosztów procesu (pkt 3). Nadto Sąd nakazał wypłacić ze Skarbu Państwa – Sądu Rejonowego dla Łodzi-Śródmieścia w Łodzi na rzecz pozwanego kwotę 1946,01 zł tytułem różnicy między kosztami pobranymi a należnymi (pkt 4).
W uzasadnieniu wyroku Sąd Rejonowy wskazał, że w pozwie z dnia 2 grudnia 2014 roku K. T. wniosła o zasądzenie od pozwanego (...) Spółki Akcyjnej z siedzibą w W. na swoją rzecz kwoty 9.482 zł wraz z odsetkami ustawowymi od kwoty 3 lutego 2014 roku do dnia zapłaty wraz z kosztami postępowania, w tym kosztami zastępstwa radcowskiego według norm przepisanych. Podała, że pozwany prowadził na jej rzecz rachunki bankowe, na których w dniu 13 stycznia 2014 roku nieznany sprawca dokonał bez zgody i wiedzy powódki przelewu na rachunek bankowy prowadzony w pozwanym banku zarejestrowany na nazwisko P. T.. W ocenie powódki, pozwany wadliwie skonstruował system bankowości elektronicznej, tak, że przechwycenie jednej wiadomości sms zawierającej kod potwierdzający operację ustanowienia odbiorcy zdefiniowanego powoduje możliwość przekazania temu odbiorcy wszelkich środków znajdujących się na rachunkach powódki, bez konieczności weryfikacji takich przelewów. Powódka wskazała jako podstawę prawną swego roszczenia przepisy art. 725-727 k.c., art. 49 ustawy prawo bankowe, art. 27 pkt 2 lit c w zw. z art. 26 ust. 1 oraz ust. 2 ustawy o usługach płatniczych .
Nakazem zapłaty z dnia 12 grudnia 2014 roku wydanym w postępowaniu upominawczym Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi nakazał pozwanemu, aby zapłacił na rzecz powódki kwotę 9.482 zł wraz z odsetkami ustawowymi zgodnie z żądaniem pozwu i wraz z kosztami procesu. W sprzeciwie od powyższego nakazu zapłaty pozwany wniósł o oddalenie powództwa i zasądzenie od powódki na rzecz pozwanego kosztów procesu, w tym kosztów zastępstwa procesowego według norm przepisanych.
Na rozprawie w dniu 31 października 2016 roku powódka złożyła pismo procesowe, w którym domagała się zasądzenia na jej rzecz od pozwanego kwoty 9.482 zł wraz z odsetkami ustawowymi od dnia 3 lutego 2014 roku do dnia 31 grudnia 2015 roku i wraz z odsetkami ustawowymi za opóźnienie od dnia 1 stycznia 2016 roku do dnia zapłaty .
Sąd Rejonowy oparł rozstrzygnięcie na następujących ustaleniach faktycznych. W dniu 2 sierpnia 2005 roku K. T. zawarła z (...) Bankiem Spółką Akcyjną z siedzibą w W. umowę o prowadzenie bankowych rachunków oszczędnościowych, w ramach której bank zobowiązał się do prowadzenia rachunku wskazanego w potwierdzeniu otwarcia rachunku oraz rachunków otwartych w terminie późniejszym na podstawie dyspozycji posiadacza, zaakceptowanej przez m. (...) Zgodnie z ust. 3 § 1 umowy jej integralną część stanowił regulamin otwierania i prowadzenia rachunków oszczędnościowych w mBanku. W ramach umowy pozwany otworzył dla powódki rachunki bankowe, tj. rachunek o nazwie (...) o numerze (...) oraz rachunek o numerze (...). W dniu 11 kwietnia 2013 roku pozwany zmienił swą nazwę z (...) Bank S.A. na (...) S.A.
Z dniem 25 listopada 2013 roku m. (...) wprowadził nowy regulamin otwierania i prowadzenia rachunków oszczędnościowo – rozliczeniowych i oszczędnościowych w m. (...).
W dniu 9 stycznia 2015 roku K. T. dokonywała operacji na swoim rachunku bankowym. Zalogowała się na rachunek z adresu komputera domowego. Po dokonaniu kilku przelewów zorientowała się, że dostęp do rachunku jest zablokowany. W związku z tym zadzwoniła do banku na m-linię w celu wyjaśnienia powyższego zdarzenia. Pracownica banku udzieliła informacji, że nie wie dlaczego rachunek jest zablokowany, radząc dokonanie przeskanowania komputera w celu wykrycia ewentualnego wirusa i zmiany hasła do logowania, co powódka uczyniła. Skanowanie komputera nie wykazało żadnego wirusa. Po zmianie hasła zalogowała się ponownie na rachunek, a na ekranie wyświetlił się komunikat, że m. (...) połączył się z M. i w związku z tym niezbędne jest zdefiniowanie nowego formatu konta, które należy określić jako odbiorca zdefiniowany, a następnie potwierdzenie operacji powyższej jednorazowym kodem przesłanym jej smsem. Komunikatu powyższego nie można było ominąć poprzez kliknięcie klawisza „cancel” bądź krzyżyka zamykającego komunikat. Jedyną możliwością było jego zamknięcie poprzez opuszczenie strony banku bez wylogowania się, czego bank nie zaleca.
K. T. zdecydowała się na wykonanie powyższej operacji i otrzymała z banku wiadomość sms z jednorazowym kodem, który wpisała w celu potwierdzenia zdefiniowania nowego formatu konta. Treść wiadomości sms była skrótowa, zawierała informację o zdefiniowaniu nowego odbiorcy oraz fragmenty numerów konta użytkownika, jak i nowego odbiorcy. Następnie K. T. dokonała na rachunku kolejnych operacji.
K. T. znana była okoliczność łączenia się m. (...) z M., a w konsekwencji komunikat o łączeniu się banków wydał się jej wiarygodny. Wskazany w wiadomości sms numer konta poczytała jako nowy format konta, który miałaby definiować.
K. T. nikomu nie podawała swojego hasła i loginu do rachunku bankowego, nigdzie też ich nie zapisywała. Nie miało miejsce włamanie do jej mieszkania.
W dniu 10 stycznia 2014 roku o godzinie 10.35 nastąpiło logowanie do systemu bankowości elektronicznej z użyciem ID i hasła K. T. z innego adresu IP niż zazwyczaj się logowała oraz z innej wersji przeglądarki. Podczas tej sesji nie zostały wykonane żadne operacje. Nastąpiło jedynie sprawdzenie sald rachunków, zdefiniowanych odbiorców oraz historii operacji.
W dniu 13 stycznia 2014 roku o godz. 13.31 nastąpiło skuteczne zalogowanie się na konto K. T. z użyciem jej danych identyfikacyjnych, z innego niż zwykle adresu IP. Podczas tej sesji o godzinie 13.32 nastąpiło zrealizowanie transakcji finansowej z użyciem odbiorcy zdefiniowanego w dniu 9 stycznia 2014 roku - P. T. poprzez dokonanie na jego rachunek bankowy przelewu kwoty 9.482 zł. Wcześniej dokonano przelewu z rachunku powódki w m. (...) nr (...) na rachunek E. kwoty 4.900 zł.
W dniu 13 stycznia 2013 roku około godz. 16.28 nastąpiła próba zalogowania się na rachunek powódki z adresu IP, z którego zwykle się logowała. Z uwagi na wprowadzenie wadliwego hasła nie doszło do zalogowania. Następnie doszło do prawidłowego zalogowania się z użyciem prawidłowego hasła i podczas tej sesji dokonane zostały operacje finansowe.
Następnie o godz. 17.03 dokonano kolejnego logowania na rachunek powódki z puli adresowej podobnej do tej z której nastąpiło zalogowanie ok godz. 13. Podczas tej sesji nie wykonano żadnych operacji finansowych.
Gdy w dniu 18 stycznia 2015 roku powódka zalogowała się na swoje konto zorientowała się, że z rachunku dokonane zostały przelewy, bez jej wiedzy i woli. Zadzwoniła wówczas na m linię, informując o zaistniałej sytuacji. Reklamacja została przyjęta, przy czym pracownica banku poinformowała, że w ciągu 24 godzin nastąpi kontakt ze strony banku. Z uwagi na brak powyższego kontaktu, K. T. w dniu 20 stycznia 2015 roku ponownie zadzwoniła do banku w celu wyjaśnienia zaistniałej sytuacji. Skontaktował się z nią wówczas pracownik działu bezpieczeństwa.
K. T. nie zna osoby o danych P. T.. O ustanowieniu powyższej osoby, jako odbiorcy zdefiniowanego na swoim rachunku dowiedziała się w rozmowie z M. W. (1). Do tej pory nie miała świadomości, że taki odbiorca został na jej rachunku zdefiniowany.
Wcześniej w tym dniu 9 stycznia 2014 roku K. T. ustanawiała zdefiniowanych odbiorców na swoim rachunku. Miała świadomość, że ustanowienie takiego odbiorcy oznacza, że wykonanie do niego przelewu nie wymaga potwierdzenia kodem jednorazowym. Bank dawał swoim klientom opcję ustanowienia odbiorcy zdefiniowanego, do którego wykonanie przelewu wymagało autoryzacji.
Środki przelane z konta K. T. zostały wypłacone z konta P. T. przed zgłoszeniem reklamacji przez poszkodowaną.
W związku z łączeniem się m. (...)z M., co nastąpiło w dniu 22 listopada 2013 roku do komputerów klientów m. (...) dystrybuowane było przez hakerów złośliwe oprogramowanie, które dawało możliwość przechwycenia loginu i hasła w momencie logowania się do serwisu transakcyjnego banku. Następnie generowało ono komunikat o łączeniu banków, nakłaniający do zdefiniowania nowego formatu konta i potwierdzenia go jednorazowym hasłem. Komunikat nie był generowany przez bank. Stanowił on nakładkę na przeglądarkę internetową wizualnie przypominającą stronę banku. W tle klient zalogowany był do systemu transakcyjnego banku i faktycznie przeprowadzał operację definiowania nowego odbiorcy. Na ekranie widoczna dla klienta była natomiast operacja definiowania nowego formatu konta w związku z połączeniem się banków. Po przejściu tego ekranu klient miał dostęp do normalnej funkcjonalności serwisu internetowego. Operacja ustanowienia na rachunku nowego zdefiniowanego odbiorcy nie była możliwa bez aktywnego udziału klienta, który miał dostęp do telefonu, na który bank przesyłał jednorazowe hasło celem autoryzacji operacji ustanowienia odbiorcy zdefiniowanego.
Sygnały o tym komunikacie skutkowały zamieszczeniem na stronie banku w dziale związanym z bezpieczeństwem w połowie grudnia 2013 roku ostrzeżenia o nim. Ostrzeżenie zawierało rzut ekranu wskazującego na wygląd komunikatu oraz informację, że nie jest on generowany ze strony banku oraz o tym, aby nie postępować zgodnie z jego treścią.
W systemie transakcyjnym, z którego korzystała K. T. ostrzeżenie znajdowało się w sekcji bezpieczeństwa, gdzie prezentowana była pełna informacja o zagrożeniu. Na pierwszej stronie serwisu transakcyjnego po zalogowaniu się na konto znajdował się jedynie link odsyłający do sekcji bezpieczeństwa. W nowszych serwisach ostrzeżenie widoczne było dodatkowo w formie czerwonego paska po zalogowaniu się na stronie banku, na którym w sposób hasłowy umieszczona była informacja o nowym zagrożeniu dla klientów z odesłaniem do pełnej treści komunikatu do sekcji bezpieczeństwa. Na stronie logowania do serwisu nie było w żadnym wypadku pełnej treści komunikatu o zagrożeniu.
Do czasu zawiadomienia o nieautoryzowanym przelewie bank nie powziął żadnych wątpliwości co do transakcji wykonanej w dniu 13 stycznia 2014 roku z rachunku K. T..
W 2014 roku bank wprowadził zasadę, że mimo ustanowienia odbiorcy zdefiniowanego wykonanie do niego przelewu wymaga potwierdzenia dodatkowym kodem jednorazowym .
M. (...) do uwierzytelniania swoich klientów stosuje ID (identyfikator użytkownika) oraz statyczne hasła, które mogą być zmieniane przez użytkowników. Hasło znane jest jedynie użytkownikowi, o ile nie udostępni go osobie trzeciej świadomie bądź nieświadomie. Nie jest ono znane pracownikom banku, gdyż jest przechowywane w systemach banku jako skrót kryptograficzny. Do autoryzacji konkretnych transakcji stosowane są natomiast jednorazowe hasła powiązane z daną transakcją, przesyłane do klienta w formie wiadomości sms. W wiadomościach sms oprócz jednorazowego hasła przesyłane są podstawowe dane dotyczące konkretnej transakcji.
Bank nie ma technicznej możliwości zabezpieczenia komputerów klientów przed atakami hakerskimi. Publikuje informacje o znanych zagrożeniach. Bank monitoruje podejrzane transakcje. Za podejrzane nie jest uznawane natomiast logowanie się do systemu transakcyjnego z różnych IP.
W dniu 21 stycznia 2015 roku K. T. złożyła na zawiadomienie o popełnieniu przestępstwa na jej szkodę. Postanowieniem z dnia 30 czerwca 2014 roku dochodzenie w sprawie kradzieży z włamaniem na rachunek bankowy powódki zostało umorzone z powodu niewykrycia sprawcy.
Komputer K. T. posiadał oryginalne oprogramowanie i zabezpieczony był bezpłatnym programem antywirusowym, który był regularnie aktualizowany.
W wyniku zgłoszonej reklamacji K. T. do dnia wniesienia pozwu nie otrzymała odpowiedzi banku o wynikach jej rozpoznania.
Pismem z dnia 10 lutego 2014 roku K. T. wezwała bank do zapłaty kwoty 9.482 zł w terminie 7 dni. Wobec bezskuteczności powyższego wezwania ponownie pismem z dnia 16 czerwca 2014 roku wezwała pozwanego do zapłaty w terminie do dnia 23 czerwca 2014 roku pod rygorem skierowania sprawy na drogę postępowania sądowego. Wezwania powyższe pozostały bezskuteczne.
Zgodnie z § 41 regulaminu otwierania i prowadzenia rachunków oszczędnościowo – rozliczeniowych i oszczędnościowych w M. obowiązującym od dnia 25 listopada 2013 roku użytkownik rachunku zobowiązany jest do należytego zabezpieczenia narzędzi i urządzeń, z których korzysta w celu uzyskania dostępu do rachunku w szczególności poprzez nie omijanie fabrycznych zabezpieczeń urządzeń telekomunikacyjnych, zainstalowanie na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego, pobranie aplikacji mobilnej w sposób wskazany przez bank za pośrednictwem strony internetowej banku oraz BOK, dokonywanie aktualizacji zainstalowanego na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego. Zgodnie zaś z § 38 regulaminu identyfikator, hasła do kanałów dostępu oraz hasła jednorazowe przeznaczone są wyłącznie dla posiadacza rachunku, nie mogą być ujawnione w żadnej formie, treści ani postaci osobom trzecim, w tym członkom rodziny. Ich ujawnienie stanowi niezachowanie należytej staranności w myśl przepisów ustawy o usługach płatniczych. Posiadacz rachunku zobowiązany jest do podjęcia niezbędnych środków służących zapobieżeniu naruszeniu indywidualnych zabezpieczeń identyfikatora, hasła oraz haseł jednorazowych, w szczególności zaś jest zobowiązany do ich przechowywania z zachowaniem należytej staranności. Stosownie do § 29 regulaminu użytkownik rachunku zobowiązany jest do niezwłocznego zgłoszenia do banku stwierdzenia utraty, kradzieży przywłaszczenia, nieprawidłowego użycia, lub udostępnienia identyfikatora, hasła, hasła jednorazowego. W przypadku utraty lub wystąpienia podejrzeń o możliwość wejścia osób trzecich w posiadanie hasła użytkownik rachunku zobowiązany jest niezwłocznie zmienić hasło lub zablokować kanał dostępu. W § 40 regulaminu postanowiono, że bank udostępnia informacje o zasadach bezpiecznego korzystania z rachunku za pośrednictwem strony internetowej banku i bok. Posiadacz rachunku powinien przed rozpoczęciem korzystania z rachunku zapoznać się z treścią informacji, o których mowa w ust. 1. Postępowanie posiadacza rachunku w sposób sprzeczny z podanymi przez bank informacjami dotyczącymi bezpiecznego korzystania z rachunku jest jednoznaczne z niezachowaniem należytej staranności w rozumieniu ustawy o usługach płatniczych i powoduje wyłączenie odpowiedzialności banku z tytułu szkód wynikających z postępowania posiadacza rachunku w sposób sprzeczny z podanymi przez bank informacjami dotyczącymi bezpiecznego korzystania z rachunku, które wystąpiły z powodu okoliczności niezawinionych przez bank.
Wg Sądu Rejonowego pozwany nie wykazał, aby K. T. związana była regulaminem otwierania i prowadzenia rachunków oszczędnościowo – rozliczeniowych i oszczędnościowych z m. (...) obowiązującym od dnia 25 listopada 2013 roku. Nie zostało wykazane, czy i w jaki sposób bank udostępnił powyższy regulamin powódce. Jednocześnie nie została przedstawiona treść regulaminu obowiązującego w dacie zawierania umowy.
O ocenie Sądu I instancji powódka przedstawiając fakturę Vat zakupu komputera wraz z oprogramowaniem oraz swoimi zeznaniami wykazała, że na swoim komputerze miała zainstalowane legalne oprogramowanie, w tym program bezpłatny antywirusowy, który był regularnie aktualizowany. Sąd dał wiarę w tym zakresie zeznaniom powódki oraz dokumentowi zakupu laptopa używanego przez powódkę wraz z oprogramowaniem. Jednocześnie złożony do akt sprawy regulamin nie precyzował, jakie konkretnie zabezpieczenia powinien stosować klient.
Ponadto postanowienie § 40 regulaminu zostałoby uznane przez sąd za nieważne, jako mniej korzystne dla posiadacza rachunku aniżeli przepisy art. 46 i 45 ustawy o usługach płatniczych. Zgodnie bowiem z przepisem art. 8 ust. 2 powołanej ustawy w miejsce mniej korzystnych postanowień umowy stosuje się odpowiednie przepisy ustawy o usługach płatniczych.
W ocenie Sądu Rejonowego przeprowadzony w sprawie niniejszej dowód z opinii biegłego nie miał znaczenia dla rozstrzygnięcia sprawy. Opinia biegłego nie pozwala na dokonanie oceny, czy powódce można zarzucić działanie umyślne bądź rażące niedbalstwo w realizacji obowiązków umownych z bankiem, co dopiero skutkowałoby zwolnieniem się banku z odpowiedzialności za transakcje dokonane na rachunku powódki.
Sąd Rejonowy rozważył zasadność powództwa na gruncie przepisów ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (tekst jedn. Dz. U. z 2014 r., poz. 873 ze zm.). Przepisy tej ustawy znajdują zastosowanie do wszelkich usług płatniczych, w tym także świadczonych już po wejściu w życie ustawy na podstawie wcześniej zawartych umów. Ustawa określa prawa i obowiązki stron wynikające z umów o świadczenie usług płatniczych, a także zakres odpowiedzialności dostawców z tytułu wykonywania usług płatniczych (art. 1 pkt 2 ustawy). Bank krajowy jest dostawcą usług płatniczych w rozumieniu ustawy (art. 4 ust. 1 i art. 4 ust. 2 pkt 1 ustawy). Przez usługi płatnicze rozumie się działalność polegającą w szczególności na wykonywaniu transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy przez wykonywanie usług polecenia przelewu (art. 3 pkt 2 lit. c ustawy).
Płatnikiem w rozumieniu ustawy jest m. in. osoba fizyczna, składająca zlecenie płatnicze, czyli oświadczenie skierowane do dostawcy zawierające polecenie wykonania transakcji płatniczej (art. 2 pkt 22 ustawy). Zlecenie płatnicze, zgodnie z art. 2 pkt 10 ustawy, płatnik składa przy użyciu instrumentu płatniczego, którym jest zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego.
Z treści stosunku prawnego łączącego strony niniejszego postępowania wynika, że zgoda na wykonanie transakcji płatniczych za pośrednictwem usług bankowości elektronicznej świadczonych przez pozwany bank była udzielana przez powódkę – po zalogowaniu się do konta za pomocą identyfikatora i hasła odpowiedniego dla właściwego kanału dostępu oraz przez podanie kodu jednorazowego, służącego autoryzacji konkretnej operacji na rachunku bankowym.
Na pozwanym banku, jako dostawcy wydającemu instrument płatniczy ciążył z mocy art. 43 pkt 1 ustawy obowiązek zapewnienia, aby indywidualne zabezpieczenia instrumentu płatniczego nie były dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu, na powódce zaś - jako użytkowniku instrumentu płatniczego – spoczywał obowiązek korzystania z instrumentu płatniczego zgodnie z umową oraz zgłaszania niezwłocznie dostawcy utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (art. 42 ust. 1 pkt 1 i 2). W celu spełnienia powyższego obowiązku użytkownik, z chwilą otrzymania instrumentu płatniczego, winien podejmować niezbędne środki zapobiegające naruszeniu indywidualnych zabezpieczeń instrumentu, w szczególności powódka była zobowiązana do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (art. 42 ust. 2).
Dla rozstrzygnięcia przedmiotowej sprawy zasadnicze znaczenie miała treść art. 46 ust. 1 ustawy, który stanowi, że z zastrzeżeniem art. 44 ust. 2 w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku, gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.
Art. 45 ust. 1 ustawy stanowi, że ciężar udowodnienia, iż transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Zgodnie z treścią art. 45 ust. 2 ustawy wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.
W świetle ustaleń faktycznych Sąd Rejonowy uznał, że transakcja z dnia 13 stycznia 2014 roku nie została autoryzowana przez powódkę. Pozwany nie przedstawił żadnego dowodu, z którego wynikałby wniosek, że powódka świadomie wyraziła zgodę na jej dokonanie poprzez użycie określonych haseł i kodów bądź umyślnie doprowadziła do powyższej transakcji.
Po kolejnym zalogowaniu się przez powódkę na jej rachunku pojawił się na ekranie komunikat prowadzący ją do wykonania operacji zmiany formatu rachunku. Jak wynika z zeznań J. S. komunikat ten pojawiał się na komputerach klientów w przypadku ich zainfekowania złośliwym oprogramowaniem, które dawało cyberprzestępcom możliwość przechwycenia loginu i hasła klienta. Daje to podstawę aby stwierdzić, że cyberprzestępcy uzyskali dostęp do loginu i hasła powódki bez jej świadomego działania.
Powódka na swoim komputerze miała zainstalowane legalne oprogramowanie i że stosowała programy antywirusowe. W ocenie sądu, sam fakt stosowania określonych zabezpieczeń nie daje jednak gwarancji, że nie zostaną one przełamane. Jak wskazał w swojej opinii biegły nie istnieją zabezpieczenia, których nie da się przełamać, dysponując odpowiednimi środkami.
Sąd podkreślił, że pozwany nie stawiał swoim klientom określonych wymogów w zakresie wyboru konkretnych zabezpieczeń, w tym nie wykluczał stosowania programów darmowych. Wobec tego, w tym zakresie nie można postawić powódce żadnego zarzutu.
Pozwany nie wykazał również, że powódka umyślnie lub na skutek rażącego niedbalstwa dopuściła się naruszenia jednego z obowiązków wynikających z art. 42 ustawy, co miałoby znaczenie z uwagi na treść art. 45 ust. 2 in fine oraz art. 46 ust. 3 ustawy.
Powódce można jedynie zarzucić, że w dniu 9 stycznia 2014 roku wykonała transakcję zgodnie z komunikatem, który wyświetlił się na ekranie jej komputera dając tym samym dostęp osobom trzecim do jednorazowego hasła operacji ustanowienia odbiorcy zdefiniowanego. Uczyniła to jednak w sposób niezamierzony i nieświadomy - K. T. udostępniła instrument płatniczy osobom nieuprawnionym poprzez wpisanie hasła jednorazowego przesłanego jej w drodze wiadomości sms na skutek podstępu. Te działania umożliwiły następnie osobom nieuprawnionym zalogowanie się w dniu 13 stycznia 2014 roku na konto powódki i wykonanie przelewu na rzecz zdefiniowanego wcześniej odbiorcy, nieznanego powódce. Czynności te z punktu widzenia systemu informatycznego banku były przeprowadzone poprawnie, przy wykorzystaniu właściwych narzędzi autoryzacyjnych. Jest powszechnie wiadome, że do samego zainfekowania komputera użytkownika usług bankowości elektronicznej może dojść w podstępny i prosty sposób, np. przez kliknięcie przez użytkownika w zdjęcie na ekranie czy otwarcie załącznika do wiadomości nadesłanej pocztą elektroniczną.
W konsekwencji można stwierdzić, że do wykradzenia danych powódki, jej loginu i hasła doszło za pomocą podstępu i nie sposób przypisać powódce żadnego stopnia winy w oparciu o zgromadzony materiał dowodowy.
O niezachowaniu przez powódkę należytej staranności, można mówić w kontekście niezapoznania się przez nią z ostrzeżeniami banku na temat komunikatu, który wprowadził ją w błąd, a które to ostrzeżenia pojawiały się na stronach banku już od połowy grudnia 2013 roku. Niemniej jednak w ocenie Sądu Rejonowego, nie można przypisać powódce rażącego niedbalstwa skoro samo ostrzeżenie o zagrożeniu znajdowało się wówczas w systemie transakcyjnym, z którego korzystała powódka w zakładce „bezpieczeństwo”. Brak zatem podstaw do ustalenia, że ostrzeżenie to było w sposób dostateczny wyeksponowane, tak aby zarzucić K. T. rażące niedbalstwo z powodu niezapoznania się z nim.
Dodatkowo Sąd Rejonowy podkreślił, że sam komunikat o łączeniu się banków pojawił się po tym jak wcześniej konto powódki zostało zablokowane, oraz po rozmowie z pracownicą banku, przeskanowaniu komputera i zmianie hasła. Komunikat dla swej wiarygodności wykorzystywał rzeczywisty fakt połączenia m. (...) z M., jak też posługiwał się zwrotami „zmieniamy format konta”, „nowy nr konta należy określić jako odbiorca zdefiniowany”. Dodanie do tego szaty graficznej łudząco zbliżonej do tej wykorzystywanej przez bank wprowadziło powódkę w błąd oraz utwierdziło w przekonaniu, że przysłany jej następnie sms z hasłem dotyczącym zdefiniowania odbiorcy dotyczy właśnie zmiany formatu hasła. Powódka odniosła wrażenie, że zmiana formatu konta związana z połączeniem banków jest również konsekwencją wcześniejszej zmiany przez nią hasła do rachunku.
Reasumując Sąd Rejonowy przyjął, że wykonanie przez powódkę operacji zgodnej z komunikatem o łączeniu się banków i ustanowienie odbiorcy zdefiniowanego było wynikiem niezachowania przez nią należytej staranności, której nie można zakwalifikować jako rażące niedbalstwo.
Jeżeli nieautoryzowana transakcja jest skutkiem nieuprawnionego użycia instrumentu płatniczego w wyniku naruszenia przez płatnika obowiązku, o którym mowa w art. 42 ust. 2, płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 150 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji.
Ponieważ powódka, jak zaznaczono powyżej, choć w sposób niezamierzony i nieświadomy, dopuściła się, obiektywnie rzecz ujmując, naruszenia jednego ze swoich obowiązków ciążących na niej z mocy art. 42 ust. 2 ustawy o usługach płatniczych, winna ponieść odpowiedzialność za nieautoryzowany przelew z jej konta do wysokości wyżej wskazanej.
Z tych względów Sąd Rejonowy zasądził na rzecz powódki od pozwanego kwotę 8.858 zł, pomniejszając żądaną przez powódkę kwotę 9.482 zł zgodnie z dyspozycją art. 46 ust. 2 ustawy o 624 zł tj. równowartość 150 euro, ustalonej przy zastosowaniu kursu średniego 4,1600, ogłaszanego przez NBP i obowiązującego w dniu wykonania tej transakcji (Tabela nr (...) z dnia 2014-01-13).
W zakresie kwoty 624 zł powództwo podlegało oddaleniu.
Ponieważ pozwany dopuścił się opóźnienia w zwrocie zasądzonej wyrokiem kwoty, powódce należały się odsetki w wysokości ustawowej, (od 1 stycznia 2016 roku określane jako odsetki ustawowe za opóźnienie) zgodnie z art. 481 § 1 i 2 k.c. w brzmieniu obowiązującym przed i po dniu 1 stycznia 2016 roku.
W myśl cytowanego już art. 46 ust. 1 ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej „niezwłocznie”. Pojęcie to ma charakter niedookreślony, nie wyznacza żadnego sztywno zakreślonego terminu i jest uzależnione od konkretnych okoliczności danej sprawy.
W ocenie sądu, bank winien zwrócić płatnikowi kwotę należną mu w świetle art. 46 ustawy po upływie czasu niezbędnego do ustalenia, czy w danych okolicznościach wystąpił przypadek, o którym mowa w tym przepisie, tj. czy wystąpiła transakcja płatnicza nieautoryzowana. Bank winien mieć zatem możliwość podjęcia czynności wyjaśniających. Mając powyższe na względzie, Sąd Rejonowy zasądził na rzecz powódki odsetki ustawowe na podstawie art. 481 § 1 i 2 k.c. w zw. z art. 46 ust. 1 ustawy o usługach płatniczych od dnia 3 lutego 2014 roku. Powódka zgłosiła fakt nieautoryzowanego przelewu w dnu 18 stycznia 2014 roku, zaś w rozmowie z dnia 20 stycznia 2014 roku wyjaśnione zostały okoliczności dokonania powyższej transakcji. Pozwany niewątpliwie posiadał już wiedzę o okolicznościach niezbędnych dla ustalenia własnej odpowiedzialności.
O kosztach procesu Sąd Rejonowy orzekł w oparciu o art. 100 k.p.c.. Powódka wygrała proces w 93%. Na poniesione przez nią koszty złożyły się: 475 zł opłaty sądowej od pozwu, 1.200 zł wynagrodzenia pełnomocnika /§ 6 pkt 4 rozporządzenia Ministra Sprawiedliwości z 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (t. jedn. Dz. U. z 2013 r., poz. 490)/ oraz 17 zł wydatku na poczet opłaty skarbowej od pełnomocnictwa. Pozwany poniósł koszty równe wynagrodzeniu pełnomocnika (1.200 zł) oraz opłaty skarbowej od pełnomocnictwa w wysokości 17 zł oraz koszty opinii biegłego w wysokości 553,99. Łącznie strony poniosły koszty w kwocie 3.462,99 zł, z czego powódkę winno obciążać jedynie 242,41 zł (7%). Do zwrotu na jej rzecz od pozwanego pozostała zatem kwota 1.449,59 zł, odpowiadająca różnicy między kosztami, które powódka winna ponieść a kosztami przez nią poniesionymi.
Z uwagi na fakt, że pozwany nadpłacił zaliczkę na poczet opinii biegłego sąd w pkt 4 wyroku nakazał dokonanie na jego rzecz zwrotu nadpłaty zgodnie z art. 84 ustawy z dnia 28 lipca 2005 roku o kosztach sądowych w sprawach cywilnych (Dz. U z 2014 roku, poz. 1025).
Apelację od przedmiotowego wyroku wywiódł pozwany, zaskarżając wyrok w części tj. co do pkt 1 i 3.
Zaskarżonemu wyrokowi pozwany zarzucił:
- naruszenie przepisów prawa procesowego tj. art.233 § 1 k.p.c. przez wybiórcze rozważenie zebranego materiału dowodowego i sprzeczność istotnych ustaleń Sądu z treścią zebranego w sprawie materiału dowodowego;
- naruszenie przepisów prawa materialnego tj.
1. art.46 ust. 3 w zw. z art.42 ust. 1 ustawy o usługach płatniczych poprzez ich wadliwą wykładnię,
2. art.384 § 4 k.c. poprzez bezzasadne przyjęcie, że bank nie udowodnił, aby powódce doręczono regulamin otwierania i prowadzenia bankowych rachunków oszczędnościowo- rozliczeniowych.
W oparciu o tak postawione zarzuty pozwany wniósł o zmianę zaskarżonego wyroku przez oddalenie powództwa w całości i zasądzenie od powódki na rzecz pozwanego zwrotu kosztów procesu. Nadto wniósł o zasądzenie od powódki na swoją rzecz kosztów postępowania apelacyjnego.
Powódka wniosła o oddalenie apelacji oraz o zasądzenie od pozwanego na jej rzecz kosztów postępowania apelacyjnego, wg norm przepisanych.
Sąd Okręgowy zważył, co następuje:
Apelacja nie jest zasadna i podlega oddaleniu.
W pierwszej kolejności należy odnieść się do zarzutu naruszenia art.233 § 1 k.p.c., gdyż dopiero prawidłowo ustalony stan faktyczny może być podstawą stosowania norm prawa materialnego.
Dopuszczenie się obrazy art. 233 § 1 k.p.c. przez sąd może polegać albo na przekroczeniu granic swobody oceny wyznaczonej logiką, doświadczeniem, zasadami nauki albo też na niedokonaniu przez sąd wszechstronnego rozważenia sprawy. W świetle utrwalonych poglądów judykatury i piśmiennictwa prawniczego, nie jest wystarczającym uzasadnieniem zarzutu naruszenia normy art. 233 § 1 k.p.c. przedstawienie przez stronę skarżącą własnej oceny dowodów i wyrażenie dezaprobaty dla oceny prezentowanej przez Sąd pierwszej instancji. Skarżący ma obowiązek wykazania naruszenia przez sąd paradygmatu oceny wynikającego z art. 233 § 1 k.p.c. (a zatem wykazania, że sąd a quo wywiódł z materiału procesowego wnioski sprzeczne z zasadami logiki lub doświadczenia życiowego, względnie pominął w swojej ocenie istotne dla rozstrzygnięcia wnioski wynikające z konkretnych dowodów - grupy dowodów). Skuteczne postawienie zarzutu naruszenia art. 233 § 1 k.p.c. wymaga wykazania, że sąd uchybił zasadom logicznego rozumowania lub doświadczenia życiowego, to bowiem jedynie może być przeciwstawione uprawnieniu sądu do dokonywania swobodnej oceny dowodów. Nie jest natomiast wystarczające przekonanie strony o innej niż przyjął sąd doniosłości poszczególnych dowodów i ich odmiennej ocenie niż ocena sądu.
Pozwany kwestionując ustalenia faktyczne Sądu Rejonowego nie sprostał temu ciężarowi.
W szczególności Sąd Rejonowy na podstawie faktury VAT prawidłowo ustalił, że powódka miała w swoim komputerze zainstalowane legalne oprogramowanie oraz na podstawie jej zeznań, że korzystała z darmowych programów antywirusowych. Pozwany nie przedstawił żadnego kontrdowodu, a w postępowaniu reklamacyjnym oraz w dochodzeniu prowadzonym przez policję komputer powódki nie był poddany badaniu. W tym stanie rzeczy brak podstaw do kwestionowania prawdziwości zeznań powódki.
Wbrew zarzutom apelacji Sąd Rejonowy nie ustalił, że sms wysłany na nr telefonu powódki w dniu 9.01.2014 roku wskazywał na to, że służy do zatwierdzenia nowego formatu konta. W oparciu o załączony do akt wydruk (k.126) Sąd Rejonowy ustalił prawidłowo, że treść sms-a wskazywała na zdefiniowanie nowego odbiorcy.
Nie jest zasadny zarzut pominięcia dowodów z wydruków strony logowania banku, na których pozwany informował o zagrożeniu atakami hakerskimi. Sąd Rejonowy ustalił szczegółowo w oparciu o wydruk strony logowania oraz zeznania świadków M. W. i J. S., że ostrzeżenie zostało umieszczone przez bank na stronie internetowej w dziale bezpieczeństwo w połowie grudnia 2013 roku, zaś na stronie logowania znajdował się jedynie link odsyłający do sekcji bezpieczeństwa.
W konsekwencji niewadliwe ustalenia faktyczne Sąd Okręgowy w pełni akceptuje i przyjmuje za własne.
Ustalenie przez Sąd Rejonowy, że powódka nie była związana regulaminem otwierania i prowadzenia bankowych rachunków oszczędnościowo-rozliczeniowych w m. (...) obowiązującym od dnia 25.11.2013 roku odpowiada dyspozycji art.29 w zw. z art.26 ust. 1 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych (tj. Dz.U. z dnia 29 sierpnia 2016 r. (Dz.U. z 2016 r. poz. 1572) ). To na pozwanym Banku spoczywał ciężar udowodnienia, że zmieniony regulamin został dostarczony powódce w formie papierowej lub na innym trwałym nośniku informacji, z tym, że dostarczenie pocztą elektroniczną następuje tylko na wniosek użytkownika. W świetle powołanego przepisu nie jest wystarczające umożliwienie zapoznania się przez użytkownika z treścią nowego regulaminu na stronie internetowej banku. Istotnie powódka zeznała, że być może otrzymała regulamin otwierania i prowadzenia bankowych rachunków oszczędnościowo-rozliczeniowych przy zawieraniu umowy, lecz regulamin ten nie został załączony do akt sprawy. Powódka nie potwierdziła otrzymania w sposób określony w art.26 ust. 1 powołanej ustawy regulaminu obowiązującego od 25.11.2013 roku. Także w świetle art. 384 k.c. nie można przyjąć, że powódka była związana nowym regulaminem. Zgodnie z tym przepisem ustalony przez jedną ze stron wzorzec umowy, w szczególności ogólne warunki umów, wzór umowy, regulamin, wiąże drugą stronę, jeżeli został jej doręczony przed zawarciem umowy, a w razie, gdy posługiwanie się wzorcem jest w stosunkach danego rodzaju zwyczajowo przyjęte, wiąże on także wtedy, gdy druga strona mogła się z łatwością dowiedzieć o jego treści. Nie dotyczy to jednak umów zawieranych z udziałem konsumentów, z wyjątkiem umów powszechnie zawieranych w drobnych, bieżących sprawach życia codziennego. Umowa rachunku bankowego zawarta przez powódkę jako konsumenta niewątpliwie nie należy do kategorii umów powszechnie zawieranych w drobnych, bieżących sprawach życia codziennego.
Niezasadny okazał się także zarzut naruszenia art.46 ust. 3 w zw. z art. 42 ust. 1 ustawy o transakcjach płatniczych. Przepis art.46 ust. 3 ustawy wprowadza odpowiedzialność płatnika w pełnej wysokości za nieautoryzowane transakcje płatnicze, przy czym odpowiedzialność ta powstaje wyłącznie wtedy, gdy spełniona jest jednak z przesłanek: płatnik doprowadził do nich umyślnie (1), płatnik doprowadził do nich na skutek umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków wymienionych w art.42 (2). Autoryzowana transakcja płatnicza to transakcja, na wykonanie której płatnik wyraził zgodę (art.40 ustawy).
Wywody przedstawione w apelacji abstrahują od regulacji zawartej w art.45 ustawy. Zgodnie z tym art.45 ust.1 ustawy ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub, że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art.42 (art.45 ust.2).
Pomiędzy stronami nie było sporu co do tego, że powódka nie naruszyła obowiązków z art.42 umyślnie. Pozwany zarzucił natomiast, że do powstania szkody doszło w wyniku rażącego niedbalstwa powódki, która zatwierdziła jednorazowym hasłem sms wysłanym przez bank na jej numer telefonu operację ustanowienia zdefiniowanego odbiorcy, nie zachowując zasad bezpiecznego korzystania z rachunku, w szczególności nie sprawdzając treści sms-a z kodem jednorazowym.
Rażące niedbalstwo można przypisać w wypadku nieprzewidywania szkody jako skutku m.in. zaniechania płatnika, o ile doszło do przekroczenia elementarnych zasad staranności. Jest to kwalifikowana postać braku należytej staranności w przewidywaniu skutków działania i jest to takie zachowanie, które wręcz graniczy z umyślnością i nie może być traktowane za równoznaczne z pojęciem „należytej staranności”, o którym mowa w art. 355 k.c. (wyrok Sądu Najwyższego wyrażonego z dnia 16 stycznia 2013 r. sygn.akt II CSK 202/12, L.).
W ocenie Sądu Okręgowego w okolicznościach faktycznych sprawy Sąd Rejonowy trafnie uznał, że powódce nie można postawić zarzutu naruszenia obowiązków z art.42 ustawy z rażącym niedbalstwem.
W pierwszej kolejności należy zaznaczyć, że powódka padła ofiarą zorganizowanego przestępstwa internetowego, zaś bank nie ma możliwości zabezpieczenia komputerów klientów przed atakami hakerskimi. Hakerzy dystrybuowali do komputerów klientów m. (...) złośliwe oprogramowanie, które dawało możliwość przechwycenia loginu i hasła w momencie logowania się do serwisu transakcyjnego. Wykorzystywało fakt połączenia się m. (...) z M., co nastąpiło 22 listopada 2013 roku. Złośliwe oprogramowanie generowało komunikat o łączeniu banków, nakłaniający do zdefiniowania nowego formatu konta, które należy określić jako odbiorca zdefiniowany – komunikat stanowił nakładkę na przeglądarkę internetową wizualnie przypominającą stronę banku.
Powódka nie zapoznała się z ostrzeżeniem o niebezpieczeństwie, co wskazuje na niezachowanie należytej staranności w korzystaniu z instrumentu płatniczego w rozumieniu art.42. Zachowania tego nie można uznać za rażące niedbalstwo, jeśli wziąć pod uwagę, że informacje o zagrożeniu znajdowały się nie na pierwszej stronie serwisu transakcyjnego, lecz w zakładce bezpieczeństwo.
O niemożności przypisania powódce rażącego niedbalstwa przesądzają okoliczności w jakich dokonała transakcji ustanowienia odbiorcy zdefiniowanego w dniu 9 stycznia 2014 roku. Powódka po dokonaniu kilku przelewów zorientowała się, że rachunek jest zablokowany. Zadzwoniła do banku, a jego pracownica poradziła przeskanowanie komputera w celu wykrycia ewentualnego wirusa i zmianę hasła do logowania. Skanowanie nie wykryło wirusa, powódka zmieniła hasło i ponownie zalogowała się na rachunku. To wówczas na ekranie komputera wyświetlił się fałszywy komunikat nawiązujący do połączenia banków i nakazujący zdefiniowanie nowego formatu konta, które należy określić jako odbiorca zdefiniowany. Powódka mogła zatem odnieść wrażenie, że komunikat jest następstwem wcześniejszego zablokowania konta i zmiany hasła, a kolejne czynności stanowią logiczny ciąg zdarzeń.
Z tych względów należy uznać, że w dniu 9 stycznia 2014 roku powódka nie wyraziła zgody na dokonanie transakcji ustanowienia odbiorcy zdefiniowanego, w istocie ustanowienie odbiorcy zdefiniowanego nastąpiło bez woli i wiedzy powódki. W konsekwencji – wbrew wywodom apelacji – nie zachodzą przesłanki z art.46 ust. 3 ustawy. Transakcja z dnia 13 stycznia 2014 roku nie została autoryzowana przez powódkę.
Z tych względów Sąd Okręgowy oddalił apelację na podstawie art.385 k.p.c.
O kosztach postępowania apelacyjnego Sąd Okręgowy orzekł na podstawie art. 98 § 1 i 3 w zw. z art.391 § 1 k.p.c. Wysokość wynagrodzenia pełnomocnika powódki została ustalona zgodnie z § 2 pkt 4 w zw. z § 10 ust. 1 pkt 1 Rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 roku w sprawie opłat za czynności radców prawnych w brzmieniu obowiązującym od dnia 27 października 206 roku (Dz.U. 2015 poz.1804 ze zm.).