Bank odpowie za przelew wykonany po ataku phishingowym gdy nie było rażącego niedbalstwa użytkownika - wyrok

14-06-2016, 10:30

Pewna kobieta próbowała bezskutecznie logować się do banku, a potem zauważyła wypływ pieniędzy z konta. Najwyraźniej padła ofiarą przestępców, ale i tak pozwała bank. Sąd uznał, że bank musi zwrócić część pieniędzy, gdyż kobieta nie popełniła "rażącego niedbalstwa".

Czy jest sens sądzić się z bankiem, jeśli pieniądze wypłynęły z naszego konta nie wiadomo jak? Przecież nasz komputer mógł zostać zaatakowany przez wirusa, albo mogliśmy niechcący podać hasła (także jednorazowe) na stronie stworzonej przez phisherów. Czy bank nie będzie miał trudności z udowodnieniem, że strata pieniędzy musiała wynikać z naszej winy?

Bank może mieć trudności, co pokazuje wyrok Sądu Okręgowego w Łodzi z dnia 18 kwietnia 2016 roku (sygn.akt III Ca 24/16). Kopię uzasadnienia wyroku zamieszczamy pod tym tekstem. 

Najwyraźniej atak

Pewna kobieta, która korzystała z usług e-bankowości, zauważyły wpływ pieniędzy ze swojego konta. W maju 2014 roku ktoś dokonał przelewów na kwoty 9,8 oraz 9,9 tys. zł. Dzień przed wykonaniem tych przelewów kobieta próbowała bezskutecznie logować się na swoje konto. Wpisywała dane na stronie banku (lub może innej?) ale w odpowiedzi dostawała informację, że nie można uzyskać połączenia z bankiem.

Łatwo się domyślić, że kobieta padła ofiarą phishingu, a być może jakiegoś innego rodzaju oszustwa. Oczywiście nie ma co do tego absolutnej pewności. Sąd zwrócił też uwagę na to, że przed wypływem pieniędzy z konta kobieta nie otrzymała żadnych wiadomości pocztą elektroniczną dotyczących konta, nie przekazywała innym osobom danych z nim związanych (lub przynajmniej o tym nie wiedziała). Nie korzystała z opcji zapamiętywania na komputerze hasła dostępu do konta. Z drugiej strony w maju 2014 roku pojawiły się również inne przypadki zniknięcia pieniędzy z kont klientów tego samego banku.

Kobieta zgłosiła reklamację do banku, a ten poinforomował ją o wynikach swoich analiz. Zdaniem banku nie można było wykluczyć, że atak na konto był efektem działania złośliwego oprogramowania. Sprawa została zgłoszona organom ścigania, ale postępowanie umorzono. Kobieta postanowiła więc pozwać bank. 

Brak "rażącego niedbalstwa"

Sprawa trafiła najpierw do Sądu Rejonowego dla Łodzi-Śródmieścia w Łodzi. Ten przesłuchał świadków i przejrzał dokumenty, ale oddalił wniosek o dopuszczenie dowodu z opinii biegłego informatyka. W ocenie Sądu dowód ten nie przyczyniłby się do wyjaśnienia okoliczności istotnych dla rozstrzygnięcia sprawy i był częściowo nieadekwatny dla osiągnięcia założonego celu.

Sąd uznał, że kobieta zasługuje na zwrot pewnej kwoty pieniędzy. Zdaniem sądu wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez autoryzowana akurat przez użytkownika. Sąd uznał, że powódce nie można było przypisać  umyślnego doprowadzenia do nieautoryzowanych transakcji płatniczych. Ponadto nie można było jej przypisać "rażącego niedbalstwa" w naruszeniu obowiązków użytkownika wynikających z ustawy o usługach płatniczych.

Sąd zwrócił też uwagę na to, że powódka mogła paść ofiarą ataku. To jednak nie oznacza, że wina była po jej stronie. Sąd stwierdził, że...

Bezspornym jest, że w maju 2014 roku nie tylko powódka padła ofiarą ataku cyberprzestępców, lecz także kilkunastu innych klientów pozwanego Banku. Przemawia to za tym, że strona nie przedstawiała się jako oczywiście fałszywa (...)Wprawdzie na stronach Banku zamieszczano ostrzeżenia przed podawaniem dodatkowych danych identyfikacyjnych także przed 22 maja 2014 roku, jednak to właśnie na stronie Banku (a w rzeczywistości na stronie ją imitującej), a nie w innym miejscu i okolicznościach, zażądano od powódki podania konkretnego hasła z wydanej jej przez Bank listy haseł jednorazowych. W ocenie Sądu, powyższe okoliczności, nie pozwalają na przypisanie powódce rażącego niedbalstwa w związku z wpisaniem na stronie internetowej imitującej stronę Banku kodów służących co do zasady do autoryzacji transakcji, a nie do weryfikacji tożsamości.

Powstała ciekawa sytuacja. Bank stosował pewne zabezpieczenia, ale też powódka nie popełniła "rażącego niedbalstwa". Niezależnie od tego można powiedzieć, że ktoś dokonał transakcji nieautoryzowanej, bo przecież kobieta potrafiła udowodnić, iż to nie ona dokonała przelewu. W tej sytuacji Sąd uznał, że zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych w przypadku wystąpienia nieautoryzowanej transakcji płatniczej to dostawca usługi musi zwrócić pieniądze. 

Sąd przyznał, że bank wywiązał się z obowiązku zapewnienia, że zabezpieczenia instrumentu płatniczego nie dostępne dla osób innych niż użytkownik tego instrumentu. Jednak do transakcji nieautoryzowanej doszło, a zgodnie z ustawą jeśli taka transakcja jest skutkiem nieuprawnionego użycia instrumentu płatniczego, płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 150 euro. Sąd Rejonowy zasądził na rzecz powódki kwotę 18.450.81 zł, która została obliczona w taki sposób dla każdej transakcji. Sąd doliczył jeszcze odsetki. 

Przeczytaj:

"Finansowy ninja" - podręcznik finansów osobistych

Książka "Finansowy ninja" to przewodnik po finansach osobistych, który każdy powinien przeczytać jeszcze w szkole. 544 strony praktycznej wiedzy o oszczędzaniu, zarabianiu, optymalizacji podatkowej, negocjowaniu i inwestowaniu, które pomogą Czytelnikowi zostać prawdziwym finansowym ninja i osiągnąć bezpieczeństwo finansowe. Szczegółowa recepta na to, jak mądrze zarządzać pieniędzmi, uniknąć pułapek zastawianych przez instytucje finansowe oraz skutecznie zaplanować swoją emeryturę.*

Oddalona apelacja

Bank postanowił złożyć apelację. Zarzucił sądowi I instancji błędy w ustaleniach faktycznych i zwrócił uwagę na to, że sąd nie chciał uwzględnić dowodu w postaci opinii biegłego. Bank uważał również, że kobieta dopuściła się rażącego niedbalstwa. 

Sąd Okręgowy uznał apelację za nieuzasadnioną i to niezależnie od tego, czy kobieta mogła ujawnić swoje kody jednorazowe osobom niepowołanym. 

- Fakt, iż powódka udostępniła kody jednorazowe osobom nieuprawnionym nie był kwestionowany przez stronę powodową i został prawidłowo ustalony przez Sąd – głównie na podstawie zeznań świadków strony pozwanej i przedstawionych przez te osoby wyników postępowania bankowego prowadzonego po zgłoszeniu powódki. Sporna była natomiast ocena prawna tego zdarzenia i to, czy działanie powódki należy ocenić jako rażące niedbalstwo, czy też – jak to uczynił Sąd Rejonowy, przypisać jej łagodniejszą postać winy - czytamy w uzasadnieniu wyroku. 

Zdaniem Sądu Okręgowego "rażące niedbalstwo" oznacza wyższy stopień winy nieumyślnej niż w przypadku zwykłego niedbalstwa, leżący już bardzo blisko winy umyślnej. O takim rażącym niedbalstwie można by mówić, gdyby powódka całkowicie świadomie udostępniła kody jednorazowe innej osobie, bądź przechowywała dane umożliwiające dostęp do jej konta w sposób umożliwiający swobodne korzystania z nich osobom niepowołanym. Jeśli natomiast powódka padła ofiarą dobrze przygotowanego przestępstwa, trudno mówić o rażącym niedbalstwie. 

Poniżej uzasadnienie sądu. 

Treść Orzeczenia III CA 24_16 - Portal Orzeczeń Sądów Powszechnych


To warto przeczytać



fot. geralt







Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.