III Ca 51/18
w zakresie punktu 1 i 3 wyroku
Wyrokiem z dnia 24 lipca 2017 r., wydanym w połączonych do łącznego rozpoznania i rozstrzygnięcia sprawach z powództwa A. S. przeciwko Bankowi (...) Spółce Akcyjnej we W. o zapłatę, Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi zasądził od pozwanego na rzecz powódki kwotę 9.800,00 zł z ustawowymi odsetkami za opóźnienie od dnia 2 września 2016 r. do dnia zapłaty i kwotę 2.117,00 zł tytułem zwrotu kosztów procesu, zarządzając zwrot na rzecz powódki ze Skarbu Państwa – Sądu Rejonowego dla Łodzi – Śródmieścia w Łodzi kwoty 190,00 zł jako nadpłaconej opłaty od pozwu, jak również zasądził od pozwanego na rzecz powódki kwotę 9.200,00 zł z ustawowymi odsetkami za opóźnienie od dnia 2 września 2016 r. do dnia zapłaty i kwotę 2.117,00 zł tytułem zwrotu kosztów procesu, zarządzając zwrot na rzecz powódki ze Skarbu Państwa – Sądu Rejonowego dla Łodzi – Śródmieścia w Łodzi kwoty 160,00 zł jako nadpłaconej opłaty od pozwu.
Apelację od tego wyroku złożył w dniu 12 października 2017 r. pozwany, zaskarżając go w całości oraz domagając się jego zmiany poprzez oddalenie powództwa i zasądzenie od powódki na jego rzecz zwrotu kosztów procesu przed Sądami obu instancji, w tym kosztów zastępstwa procesowego według norm przepisanych, ewentualnie jego uchylenia i przekazania sprawy do ponownego rozpoznania Sądowi I instancji z pozostawieniem temu Sądowi rozstrzygnięcia o kosztach postępowania apelacyjnego.
Postanowieniem z dnia 20 listopada 2017 r. Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi, wskutek złożenia przez powódkę zażalenia na zawarte w punkcie I. 1) i II. 1) wyroku orzeczenie w przedmiocie zwrotu kosztów procesu, uchylił je w trybie art. 395 § 2 k.p.c., uznając zażalenie za oczywiście uzasadnione i w tym zakresie rozpoznał sprawę na nowo, zasądzając od pozwanego na rzecz powódki kwotę 2.717,00 zł tytułem zwrotu kosztów procesu w sprawie rozstrzygniętej w punkcie I wyroku i kwotę 2.717,00 zł tytułem zwrotu kosztów procesu w sprawie rozstrzygniętej w punkcie II wyroku, a także kwotę 30,00 zł tytułem zwrotu kosztów postępowania zażaleniowego i nie obciążając pozwanego obowiązkiem zwrotu kosztów tego postępowania w pozostałej części.
W odpowiedzi na apelację powódka żądała jej oddalenia i zasądzenia od skarżącego na jej rzecz zwrotu kosztów postępowania apelacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych.
Sąd Okręgowy zważył, co następuje:
W rozpoznawanej sprawie apelacja nie mogła podlegać merytorycznemu rozpoznaniu w pełnym zakresie zaskarżenia, jaki został w niej określony.
Przede wszystkim apelacją zaskarżono także zawarte w wyroku Sądu I instancji rozstrzygnięcie o kosztach procesu w obu połączonych sprawach, jednak zauważyć trzeba, że po wniesieniu apelacji przestało ono istnieć, gdyż zostało uchylone postanowieniem tegoż Sądu z dnia 20 listopada 2017 r. na skutek zażalenia wniesionego przez powódkę. Przyznać należy, że Sąd Rejonowy nie powinien był wydawać takiego rozstrzygnięcia w sytuacji, gdy zawarte w wyroku orzeczenie o kosztach zaskarżyła także druga strona procesu w złożonej apelacji, niemniej jednak takie orzeczenie zostało wydane, a pozwany nie zakwestionował go poprzez złożenie przysługującego mu środka odwoławczego. W ocenie Sądu odwoławczego prawidłowym postępowaniem skarżącego w takiej sytuacji było złożenie zażalenia na nowo wydane postanowienie z dnia 20 listopada 2017 r. – jak na to zezwala art. 395 § 2 zd. II k.p.c. – z żądaniem jego uchylenia jako niedopuszczalnego w sytuacji zaskarżenia orzeczenia o kosztach procesu nie tylko przez powódkę, ale i przez pozwanego, oraz z jednoczesnym wnioskiem złożonym w trybie art. 380 k.p.c. w związku z art. 397 § 2 zd. I k.p.c. o zbadanie przez Sąd odwoławczy prawidłowości niezaskarżalnego orzeczenia Sądu I instancji o uchyleniu postanowienia o kosztach procesu zawartego w punktach I. 1) i II. 1) wyroku. Pozwany jednak zaniechał przedsięwzięcia takich kroków, czego skutkiem jest prawomocne już wyeliminowanie z treści wyroku – wskutek dokonanego przedmiotowym postanowieniem uchylenia – zawartego tam i zaskarżonego apelacją orzeczenia o kosztach procesu i równie prawomocne – wobec niezaskarżenia tego rozstrzygnięcia przez żadną ze stron – orzeczenie o tych kosztach na nowo. Wobec powyższego należy przyjąć, że choć w chwili złożenia apelacji zaskarżone orzeczenie o kosztach procesu w obu połączonych sprawach istniało, to jednak później utraciło swój byt prawny i zostało zastąpione innym – już obecnie prawomocnym – rozstrzygnięciem. W tej sytuacji odnotować trzeba następczą – bo zaistniałą już po złożeniu apelacji – jej niedopuszczalność w tej części, gdyż dotyczy ona orzeczenia, które przestało istnieć, co uzasadnia umorzenie postępowania apelacyjnego we wskazanym zakresie z uwagi na niedopuszczalność wyrokowania przez Sąd odwoławczy w tym przedmiocie; podstawą prawnoprocesową tej decyzji jest art. 391 § 1 zd. I k.p.c. w związku z art. 355 § 1 in fine k.p.c.
Ponadto odnotować trzeba, że skarżący objął zakresem zaskarżenia apelacji także zawarte w wyroku rozstrzygnięcie nakazujące zwrot na rzecz powódki w obu połączonych sprawach nadpłaconych części opłat od pozwu. Wskazać tu należy, że wszelkie środki odwoławcze, w tym także apelacja, służą wzruszeniu zaskarżonego orzeczenia, które – w zamyśle skarżącego – nie jest zgodne z jego stanowiskiem w sprawie oraz wywiera niekorzystne dla niego konsekwencje w sferze jego interesów prawnych. Dopuszczalność zaskarżenia orzeczenia sądu zależy od szeregu przesłanek formalnych, ale także od przesłanki materialnoprawnej w postaci interesu w zaskarżeniu rozstrzygnięcia, który zachodzi wtedy, gdy skarżącego można uznać za pokrzywdzonego kwestionowanym przez niego orzeczeniem, a zaskarżone orzeczenie jest obiektywnie w sensie prawnym dla niego niekorzystne. Jak stwierdził Sąd Najwyższy w postanowieniu z dnia 19 maja 2010 r., I CZ 19/10, niepubl. lub w postanowieniu z dnia 24 sierpnia 2005 r., II CZ 74/05, niepubl., przyczyną niedopuszczalności wniesienia środka zaskarżenia jest właśnie m.in. nieistnienie po stronie żalącego interesu w zaskarżeniu ( gravamen). Innymi słowy, potrzeba uruchomienia kontroli instancyjnej wchodzi w rachubę dopiero wówczas, gdy wskutek zapadłego orzeczenia powstała niekorzystna z punktu widzenia interesu prawnego uczestnika różnica między zgłoszonym przez niego żądaniem a sentencją orzeczenia, wynikająca z porównywania zakresu żądania i treści rozstrzygnięcia (tak np. w postanowieniach SN z dnia 8 kwietnia 1997 r. I CKN 57/97, OSNC Nr 11 z 1997 r., poz. 166, z dnia 5 września 1997 r., III CKN 152/97, niepubl. i z dnia 16 maja 2003 r., I CKN 382/01, niepubl. lub w wyroku SA w Białymstoku z dnia 23 sierpnia 2013 r., I ACa 338/13, niepubl.). Bez wątpienia, orzeczenie o zwrocie nadpłaconych opłat na rzecz przeciwniczki procesowej nie ma nic wspólnego ze stanowiskiem zajmowanym w sprawie przez pozwanego, ani tym bardziej wywiera niekorzystnych dla niego konsekwencji w sferze jego interesów prawnych, wobec czego nie sposób przyjąć, by po jego stronie zachodził gravamen w jego zaskarżeniu. Brak tej przesłanki dopuszczalności zaskarżenia powoduje konieczność odrzucenia apelacji w tej części przez Sąd II instancji na podstawie art. 373 zd. I k.p.c., skoro nie uczynił tego Sąd Rejonowy w wykonaniu art. 370 k.p.c.
III Ca 51/18
w zakresie punktu 2 i 4 wyroku
Wyrokiem z dnia 24 lipca 2017 r., wydanym w połączonych do łącznego rozpoznania i rozstrzygnięcia sprawach z powództwa A. S. przeciwko Bankowi (...) Spółce Akcyjnej we W. o zapłatę, Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi zasądził od pozwanego na rzecz powódki kwotę 9.800,00 zł z ustawowymi odsetkami za opóźnienie od dnia 2 września 2016 r. do dnia zapłaty i kwotę 2.117,00 zł tytułem zwrotu kosztów procesu, zarządzając zwrot na rzecz powódki ze Skarbu Państwa – Sądu Rejonowego dla Łodzi – Śródmieścia w Łodzi kwoty 190,00 zł jako nadpłaconej opłaty od pozwu, jak również zasądził od pozwanego na rzecz powódki kwotę 9.200,00 zł z ustawowymi odsetkami za opóźnienie od dnia 2 września 2016 r. do dnia zapłaty i kwotę 2.117,00 zł tytułem zwrotu kosztów procesu, zarządzając zwrot na rzecz powódki ze Skarbu Państwa – Sądu Rejonowego dla Łodzi – Śródmieścia w Łodzi kwoty 160,00 zł jako nadpłaconej opłaty od pozwu.
Sąd I instancji ustalił, że na mocy umowy ramowej Nr (...) sprzedaży produktów i usług bankowych z dnia 17 września 2011 r. poprzednik prawny Banku (...) Spółki Akcyjnej we W., (...) Bank Spółka Akcyjna z siedzibą w W. prowadziła dla powódki indywidualny rachunek oszczędnościowo rozliczeniowy ”ekstrakonto plus” nr (...), a posiadaczka rachunku korzystała z usług bankowości elektronicznej. Bank nie stawiał A. S. w związku z tym szczególnych wymagań dotyczących sprzętu lub oprogramowania i sugerował jedynie, by klient korzystał z programu antywirusowego oraz aktualnego systemu operacyjnego i przeglądarki. Aby uzyskać dostęp do usług elektronicznych banku, wystarczyło posługiwać się standardowym komputerem z popularnym, aktualnym systemem operacyjnym i jedną z pięciu najpopularniejszych przeglądarek internetowych. Powódka korzystała z aktualnego programu antywirusowego (...), a w telefonie miała wgrane oprogramowanie antywirusowe przez samego operatora telefonii komórkowej. Regularnie czytała też komunikaty dotyczące bezpieczeństwa pojawiające się na stronie internetowej banku, przed dniem 17 sierpnia 2016 r. nie zapoznała się jednak z komunikatami informującymi o zagrożeniach związanych z fałszywymi e-mailami wyłudzającymi hasła do bankowości elektronicznej, dane kart płatniczych i hasła SMS. Procedura dostępu do konta za pośrednictwem internetu wymagała podania danych identyfikacyjnych, a klient dokonywał autoryzacji dostępu za pomocą loginu, czyli ID przypisanego do użytkownika nadawanego przez bank i statystycznego hasła znanego wyłącznie klientowi. W bazach banku przechowywany jest jedynie skrót hasła, na podstawie którego bank stwierdza przy wpisywaniu, czy jest ono prawidłowe, a logując się do systemu, użytkownik wpisuje całe hasło, a nie tylko niektóre pozycje z hasła. Przelew wierzytelności na rachunek innego użytkownika wymaga autoryzacji transakcji dokonywanej, zależnie od metody autoryzacji wybranej przez użytkownika: poprzez kod wysyłany SMS-em lub kod z dostarczanej mu papierowej karty; powódka stosowała tę pierwszą metodę. SMS-y z kodami generuje bank za pomocą bramki SMS-owej i dostarcza na numer telefonu wskazany przez posiadacza rachunku, przy czym nie są one wykorzystywane do identyfikacji klientów na etapie logowania, a jedynie do zlecenia dokonania transakcji. Pozwany nie identyfikuje adresu IP, z którego loguje się użytkownik, gdyż klient może dokonywać logowania z różnych urządzeń; stosuje oprogramowanie antyfraudowe, które bada anormalne działania na kontach klientów, jak również wymienia informacje dotyczące przestępczości w sieci z innymi bankami, instytucjami i przedsiębiorstwami zewnętrznymi.
W dniu 17 sierpnia 2016 r. o godzinie 16:52, powódka otrzymała e-mail z adresu „BZWBKbzwbk@informacje-wbk.com” – którego odczytała o godzinie 18:30 – o treści: ,,Natychmiastowa blokada rachunku Bank (...)! W trosce o bezpieczeństwo naszych konsumentów zablokowaliśmy konto w systemie (...) Internet, powodem jest nieautoryzowany dostęp do konta. W celu uzyskania informacji, oraz odblokowania dostępu prosimy o weryfikacji właściciela rachunku logując się na weryfikacjazespółbankzachodniwbksa”, przy czym słowo „weryfikacja” opatrzone zostało hiperłączem. A. S. była przeświadczona, że nadawcą powyższej wiadomości był pozwany bank, gdyż we wcześniejszych okresach prowadził on z powódką korespondencję elektroniczną i podjęła bezskuteczną próbę logowania do serwisu internetowego (...) S.A. we W. w celu uzyskania informacji o nieautoryzowanym dostępie do jej rachunku bankowego oraz odblokowania dostępu. Następnie skorzystała z hiperłącza znajdującego się w treści wiadomości, w następstwie czego została przekierowana do domeny, na której w dniu 17 września 2016 r. zamieszczona została witryna internetowa wyglądająca jak witryna serwisu internetowego pozwanego. Powódka nie zauważyła żadnej odmienności w zakresie szaty graficznej, treści czy stosowanych zabezpieczeń, bo widniało tam typowe okno logowania, z miejscem na wpisywanie ID oraz hasła, a po podaniu danych identyfikacyjnych otrzymała SMS-a z komunikatem o przesłaniu kolejnym SMS-em kodu w celu dalszej weryfikacji. Kiedy otrzymała na swój numer telefonu kod, wpisała go we wskazanym polu witryny internetowej, następnie dostała SMS-em kolejną wiadomość zawierającą kod – w jej ocenie była to również wiadomość związana z procesem weryfikacji i uwierzytelnienia konta – a następnie ponownie wpisała go w polu witryny internetowej. A. S. nadal nie mogła zalogować się do konta bankowości elektronicznej, a gdy wreszcie otrzymała trzeciego SMS-a od pozwanego, zaś w witrynie internetowej obok pola weryfikacyjnego pojawiło się sformułowanie, że dla weryfikacji posiadacza rachunku bankowego konieczne jest podanie jest kolejnego, ostatniego już kodu, wzbudziło to jej podejrzenia co do poprawności związanej z tym procedury, więc zatelefonowała na numer infolinii pozwanego i opisała przebieg dotychczasowych wydarzeń. Konsultantka poinformowała powódkę, że pozwany bank nie kierował do niej w dniu 17 sierpnia 2016 r. żadnych wiadomości elektronicznych, wobec czego powódka poprosiła o weryfikację jej rachunku bankowego i dowiedziała się o dwukrotnym obciążaniu rachunku na rzecz nieznanych jej podmiotów posiadających rachunki bankowe o numerach: (...) oraz (...) na kwoty 9.800,00 zł oraz 9.200,00 zł. A. S. domagała się zatrzymania lub cofnięcia dokonanych transakcji, informując, że nie wyrażała na nie zgody i nie wiedziała o nich, ale uzyskała informację, iż przelewy zostały dokonane jako przelewy bluecash i nie jest możliwe cofnięcie operacji, jak również że dokonane transakcje zostały poprzedzone dodaniem odbiorcy o numerze rachunku (...) jako odbiorcy zdefiniowanego – co oznacza, że przelewy mogły być składane bez konieczności potwierdzania SMS-owym kodem w ramach określonych limitów transakcyjnych – oraz zmianą limitów transakcyjnych. Konsultantka poinformowała również powódkę, że najprawdopodobniej doszło do wyłudzenia danych identyfikacyjnych i przełamania barier zabezpieczających banku. A. S. złożyła wówczas reklamację i poprosiła o zablokowanie rachunku bankowego, jednak reklamacja nie została przyjęta, a powódkę odesłano do organów ścigania, informując o rozdysponowaniu przetransferowanych środków na rachunki bankowe nieznanych sprawców. W tym samym dniu powódka zgłosiła w KWP w Ł. popełnienie przestępstwa, w wyniku czego wszczęto postępowanie przygotowawcze w Prokuraturze Rejonowej Ł., przyłączone następnie do postępowania prowadzonego przez Prokuraturę Rejonową W., a obecnie prowadzi je Prokuratura Okręgowa we Wrocławiu i ujawniono w jego toku 54 pokrzywdzonych cyberatakiem z dnia 17 sierpnia 2016 r. Powódka w dniu przedmiotowego zdarzenia nie uzyskała dostępu do swojego rachunku bankowego i nie dokonywała na nim żadnych operacji, nie przekazywała osobom trzecim danych identyfikacyjnych i służących do autoryzacji transakcji, logowała się do internetowego serwisu informacyjnego pozwanego wyłącznie na komputerze w miejscu jej zamieszkania zawierającym aktualne oprogramowanie antywirusowe, nigdy nie korzystała z opcji zapamiętywania haseł dostępu do konta.
Pismem z dnia 31 sierpnia 2016 r. A. S. wezwała bank do naprawienia szkody poprzez przywrócenie obciążonego rachunku płatniczego do stanu sprzed wykonania nieautoryzowanych transakcji płatniczych, jednak w dniu 7 września 2016 r. otrzymała negatywną odpowiedź na reklamację. Pozwany poinformował powódkę, że ze wstępnej analizy zdarzenia wynikało, iż konsument podał dane identyfikacyjne i hasło do usługi (...), logując się na fałszywej stronie banku (...) /weryfikacja, a wiadomość e-mail zawierająca prośbę o weryfikację danych została skierowana do niej przez podmiot podszywający się pod pozwanego. Powiadomiono ponadto, że podjęto niezwłoczne działania zmierzające do zminimalizowania negatywnych skutków kwestionowanych dyspozycji, tj. wystąpiono do banku odbiorcy z wnioskiem o zablokowanie środków, jednak nie udało się tego uczynić, gdyż środki zostały już rozdysponowane. Pozwany ponadto sam złożył do Prokuratury Rejonowej W. zawiadomienie o popełnieniu przestępstwa skutkujące wszczęciem postepowania przygotowawczego. Stanowisko powyższe bank podtrzymał w piśmie z dnia 3 października 2016 r.
Sąd meriti, dokonując oceny zebranego w sprawie materiału dowodowego, pominął w ustaleniach faktycznych treść umowy z dnia 5 listopada 2014 r. o usługi bankowości elektronicznej (...), regulaminu z dnia 20 czerwca 2016 r. „Zasady korzystania z usług bankowości elektronicznej (...) dla ludności” oraz aneksu do umowy z dnia 17 sierpnia 2016 r., przyznając rację powódce, że zawarte tam postanowienia nie wiążą jej, gdyż skoro nie zostały one przez nią podpisane, to można je traktować jedynie jako skierowane do niej oferty zawarcia umowy. Podniósł też, że stosownie do art. 384 § 1 k.c., ustalony przez jedną ze stron wzorzec umowny wiąże drugą stronę, o ile został jej doręczony przed zawarciem umowy, a zgodnie z art. 384 1 k.c., wzorzec wydany w czasie trwania stosunku umownego o charakterze ciągłym wiąże drugą stronę, jeśli zostały zachowane wymagania powyższe, a strona nie wypowiedziała umowy w najbliższym terminie wypowiedzenia. Sąd zważył, że pozwany nie wykazał, by powódce doręczono skutecznie przedmiotowy regulamin, zważywszy, że zgodnie z treścią § 41 ust. 1 Regulaminu korzystania z elektronicznych kanałów dostępu (...) dla (...) Banku SA, który wiązał powódkę, zmiany w regulaminie w czasie obowiązywania umowy doręczane miały być posiadaczowi rachunku w formie pisemnej na adres podany w karcie informacyjnej klienta lub w formie elektronicznej na skrzynkę (...) wraz z podaniem terminu wejścia w życie; tożsame postanowienie zostało zamieszczone też w § 32 Regulaminu rachunków bankowych i świadczenia usług płatniczych (...) w (...) Banku SA. Skoro powódka nie została poinformowana o utworzeniu dla niej dodatkowej skrzynki odbiorczej, za skrzynkę służącą do doręczania korespondencji należy uznać adres e-mail wskazany przez nią poprzednikowi prawnemu pozwanego. Wnioski o dopuszczenie dowodu z opinii biegłego ds. informatyki na okoliczność ustalenia, jakiego rodzaju działania przestępcze doprowadziły do poboru środków z rachunku bankowego powódki, oddalono, gdyż, zdaniem Sądu, jeśli bezsporne było, że środki z rachunku powódki zostały pobrane na skutek przestępstwa, to dla odpowiedzialności banku nie ma znaczenia, czy mamy do czynienia z przestępstwem oszustwa polegającego na podszywaniu się sprawcy pod inną osobę lub instytucję w celu wyłudzenia określonych informacji lub nakłonienia ofiary do określonych działań (phishingiem), czy też z przekierowywaniem ofiary na fałszywe witryny po podaniu prawidłowych danych (pharmingiem). Sąd wyraził przekonanie, że ustalenie szczegółowego sposobu działania sprawców w ramach danego typu działań przestępczych ma znaczenie jedynie w postępowaniu karnym dla przypisania im odpowiedzialności karnej, wobec czego w sprawie niniejszej wnioskowany dowód podlegał oddaleniu jako nieprzydatny dla rozstrzygnięcia sprawy.
Sąd Rejonowy wywiódł, że roszczenia powódki znajdują oparcie w przepisach ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2017 r., poz. 2003 ze zm.) i odnotował, że stosownie do art. 46 tej ustawy oraz postanowień Regulaminu rachunków bankowych i świadczeń usług płatniczych dla klientów indywidualnych stanowiącego integralną część łączącej strony umowy rachunku bankowego, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie zwrócić płatnikowi kwotę tej transakcji, a w przypadku, gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby ta transakcja nie miała miejsca. Sąd podniósł, że strony w dniu poboru środków z rachunku łączyła umowa rachunku bankowego zawarta przez powódkę z poprzednikiem prawnym pozwanego banku, zaś złożony do akt dokument zatytułowany „umowa usług bankowości elektronicznej (...)” z dnia 5 listopada 2014 r. można potraktować jedynie jako ofertę zawarcia umowy, a skoro powódka jej nie podpisała, zatem nie wiąże jej ani treść umowy, ani postanowienia regulaminów stanowiących jej integralną część. Wobec powyższego, Sąd przyjął, że w dacie spornych transakcji strony wiązała ramowa umowa z dnia 17 września 2011 r., która nie została wypowiedziana przez pozwany bank wstępujący po przejęciu z mocy art. 492 § 1 pkt 1 k.s.h. całego majątku (...) Banku S.A. we wszystkie jego prawa i obowiązki; ocena zachowania A. S. powinna być więc dokonywana w oparciu o treść stosunku prawnego wynikającego z tej umowy oraz regulaminów stanowiących jej integralną część. Podkreślono dalej – po przytoczeniu treści art. 725 k.c. – że jednym z najistotniejszych obowiązków banku w ramach umowy rachunku bankowego jest zapewnienie bezpieczeństwa depozytów, a wszelkie próby interpretacji przez banki postanowień zawartych w stosowanych przez nie wzorcach umownych zmierzające do zaniżenia standardów bezpieczeństwa powierzonych bankowi środków pieniężnych powinny być ocenianie jako zachowania sprzeczne z dobrymi obyczajami i celem umowy rachunku bankowego. Treść zobowiązania banku względem posiadacza rachunku kształtuje także art 50 ust. 2 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2017 r., poz. 1876 ze zm.) stanowiący, że bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Sąd wskazał także, że w myśl art. 4 ust. 2 pkt. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2017 r., poz. 2003 ze zm.), zwanej dalej ustawą, bank jest dostawcą usług płatniczych w rozumieniu art. 4 ust. 1 tej ustawy oraz że usługą płatniczą jest działalność polegająca m.in. na wykonywaniu transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy przez wykonywanie usług polecenia przelewu (art. 3 ust. 1 pkt. 2 c) ustawy), zaś płatnikiem – osoba składająca zlecenie płatnicze, czyli oświadczenie skierowane do dostawcy zawierające polecenie wykonania transakcji płatniczej (art. 2 pkt. 22 i 36 ustawy); płatnik składa zlecenie płatnicze przy użyciu instrumentu płatniczego, którym jest zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcy zbiór procedur wykorzystywany przez użytkownika do złożenia zlecenia płatniczego (art 2 pkt. 10 ustawy).
W ocenie Sądu I instancji na pozwanym banku, jako na dostawcy wydającym instrument płatniczy, ciążył z mocy art 43 pkt 1 ustawy obowiązek zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania, z tego instrumentu, a na powódce, jako użytkowniku instrumentu płatniczego, obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową oraz niezwłocznego zgłaszania dostawcy utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (art 42 ust. 1 pkt 1 i 2 ustawy). W celu spełnienia powyższego obowiązku użytkownik z chwilą otrzymania instrumentu płatniczego winien podejmować niezbędne środki zapobiegające naruszeniu jego indywidualnych zabezpieczeń, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osób nieuprawnionym (art 42 ust 2 ustawy). Skoro stosownie do art. 40 ust 1 ustawy, transakcję płatniczą uważa się za autoryzowaną, o ile płatnik wyraził zgodę na wykonanie transakcji w sposób przewidziany w umowie między nim a jego dostawcą, to w okolicznościach sprawy niniejszej przyjąć należy, że zgoda powódki nie została wyrażona, a co więcej – podjęła ona niezwłoczne działania w celu wykrycia sprawców nieuprawnionego poboru środków, zatem wykonała obowiązki wynikające z treści art 44 ust 1 ustawy celem wyjaśnienia przyczyn rozdysponowania funduszy z jej konta. Zgodnie z treścią artykułu 45 ustawy, ciężar udowodnienia, że transakcja była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika, gdyż samo wykazanie zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające dla przyjęcia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest zatem obowiązany udowodnić okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo świadczące o tym, że płatnik albo umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo też wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków wymienionych w art. 42 ustawy.
Sąd meriti przyjął, że w okolicznościach analizowanej sprawy nie sposób A. S. przypisywać zgody ani woli podjęcia czynności zmierzających do przeprowadzenia kwestionowanych transakcji płatniczych przy użyciu posiadanych przez nią instrumentów płatniczych, co mogłoby świadczyć o autoryzowaniu przez nią transakcji, ani też nie można jej postawić zarzutu umyślnego doprowadzenia do nieautoryzowanych transakcji płatniczych, skoro o ich dokonaniu dowiedziała się ona dopiero w rozmowie telefonicznej z konsultantem pozwanej spółki. Szczególnego rozważenia wymaga natomiast zachowanie powódki w świetle obowiązków wynikający z art 42 ustawy, skoro powódka bezspornie udostępniła osobom nieuprawnionym – czego nie powinna była czynić – hasło otrzymane wiadomością tekstową przesłaną na jej telefon komórkowy, jednak Sąd stanął na stanowisku, że w okolicznościach sprawy nie można jej postawić zarzutu rażącego niedbalstwa. Wskazał, że w doktrynie przyjmuje się, że rażące niedbalstwo jest kwalifikowaną postacią winy nieumyślnej w takim stopniu, że graniczy z winą umyślną, zaś z orzecznictwa wynika, że wykładnia pojęcia rażącego niedbalstwa powinna uwzględniać kwalifikowaną postać braku zwykłej staranności zwykłych skutków. Dla przyjęcia takiej postaci winy konieczne byłoby zatem stwierdzenie, że dany podmiot zaniedbał takiej czynności zachowującej chronione dobro przed zajściem zdarzenia powodującego szkodę, której przedsięwzięcie byłoby czymś absolutnie oczywistym w świetle doświadczenia życiowego dostępnego każdemu przeciętnemu uczestnikowi obrotu prawnego, a zaniechanie jej w sposób wprost dla każdego przewidywalny mogło doprowadzić do powstania szkody; rażące niedbalstwo zachodzi tylko wtedy, gdy stopnień naganności postępowania drastycznie odbiega od modelu właściwego w danych warunkach zachowania się dłużnika. Przestępstwo, którym powódka została pokrzywdzona, było możliwe do popełnienia poprzez zainfekowanie komputera użytkownika bankowości elektronicznej, a ocena, czy w konkretnym przypadku mamy do czynienia z przestępstwem phishingu czy pharmingu, ma w postępowaniu cywilnym drugorzędne znaczenie. Zdaniem Sądu, z punktu widzenia użytkownika modus operandi nie ma znaczenia, istotna natomiast jest ocena zachowania A. S. w świetle otrzymywanych komunikatów, których treść nie była kwestionowana w toku postępowania. Sąd uznał, że ocena tego zachowania nie może być drastycznie naganna i odbiegająca od modelu właściwego w danych warunkach zachowania, skoro powódka, otrzymawszy wiadomość e-mailową o zablokowaniu konta, podjęła działania zmierzające do jego odblokowania, zaś witryna internetowa, która została jej przedstawiona przez sprawców przestępstwa, łudząco przypominała witrynę pozwanego banku, a wręcz była z nią identyczna, zaś o skuteczności podejmowanych działań przestępczych świadczy ilość osób pokrzywdzonych ujawnionych w toku prowadzonego postępowania przygotowawczego. Sąd podkreślił, że A. S. nie udostępniła nikomu haseł jednorazowych otrzymywanych w formie wiadomości tekstowych ani nie utrwalała ich w formie papierowej. Okoliczność, że powódka nie zapoznała się z treścią komunikatów banku o przestępstwach tego samego rodzaju pojawiających się na stronie banku po zalogowaniu, także nie może przesądzać o jej rażącym niedbalstwie, a w ocenie Sądu tego rodzaju informacje udostępniane przez bank są jedynie formą przerzucenia odpowiedzialności banku na klientów za szkody powstałe w wyniku takich przestępstw, ponieważ zapewnienie bezpieczeństwa środków na rachunku bankowym należy do banku. Sprawcy przestępstw internetowych posługują się wyrafinowanymi środkami oddziaływania psychologicznego i socjologicznego, a ofiarą przestępstwa można stać się nawet wtedy, gdy posiada się wiedzę o możliwości jego popełnienia. Powódka po otrzymaniu wiadomości e-mailowej o zablokowaniu dostępu do konta przekonała się, korzystając z hiperłącza, że dostęp ten był zablokowany, a w takiej sytuacji trudno postawić jej zarzut rażącego niedbalstwa przy podejmowaniu dalszych czynności, zwłaszcza że natychmiast po powzięciu wątpliwości powiadomiła o nich pozwanego w celu zapobieżenia szkodzie.
Mając na uwadze powyższe, Sąd Rejonowy, stosownie do art 46 ustawy, zasądził na rzecz powódki kwoty dochodzone pozwem jako pobrane na skutek nieautoryzowanych przez powódkę transakcji, a o należnych odsetkach orzekł na postawie art 481 § 1 i 2 k.c. Wobec tego, że zgodnie z art. 46 ust 1 ustawy, zwrot należnej kwoty powinien nastąpić niezwłocznie, przyjęto, że całkowicie usprawiedliwione jest żądanie zasądzenia odsetek za opóźnienie od dnia 2 września 2016 r., skoro wówczas pozwana wystosowała do A. S. negatywną odpowiedź na reklamację, czyli posiadała już wiedzę o wszelkich okolicznościach istotnych dla ustalenia swojej odpowiedzialności. Rozstrzygnięcie o kosztach procesu oparto na art. 98 k.p.c.
Apelację od tego wyroku złożył pozwany, zaskarżając go w całości oraz domagając się jego zmiany poprzez oddalenie powództwa i zasądzenie od powódki na jego rzecz zwrotu kosztów procesu przed Sądami obu instancji, w tym kosztów zastępstwa procesowego według norm przepisanych, ewentualnie jego uchylenia i przekazania sprawy do ponownego rozpoznania Sądowi I instancji z pozostawieniem temu Sądowi rozstrzygnięcia o kosztach postępowania apelacyjnego. Zaskarżonemu orzeczeniu zarzucono naruszenie:
art. 233 § 1 k.p.c. poprzez błędną, sprzeczną z zasadami logiki i doświadczeniem życiowym, ocenę zebranego w sprawie materiału dowodowego, a w konsekwencji:
błąd w ustaleniach faktycznych polegający na przyjęciu, że powódka nie została poinformowana o utworzeniu dla niej dodatkowej skrzynki odbiorczej, a w konsekwencji za skrzynkę służącą doręczaniu jej korespondencji należy uznać adres e-mail wskazany przez nią poprzednikowi pozwanego;
błąd w ustaleniach faktycznych polegający na przyjęciu, że pozwany prowadził z powódką przed 17 sierpnia 2016 r. korespondencję elektroniczną, co uzasadniło jej przeświadczenie, że e-mail z 17 sierpnia 2016 r. z godz. 16:52 pochodził od pozwanego;
błąd w ustaleniach faktycznych polegający na przyjęciu, że powódka w dniu 17 sierpnia 2016 r. wpisała dwa kody SMS-owe, a przy trzecim powzięła wątpliwości co do poprawności procedury, podczas gdy w rzeczywistości wpisała trzy kody SMS-owe, a dopiero przy czwartym powzięła wątpliwości;
błąd w ustaleniach faktycznych polegający na przyjęciu, że udostępniając NIK, (...) i trzykrotnie kod SMS-owy osobom nieuprawnionym oraz logując się z wykorzystaniem linków drogą mailową, jak również nie zapoznając się z adresowanymi do niej komunikatami dotyczącymi zasad bezpieczeństwa, powódka nie wykazała się rażącym niedbalstwem;
błąd w ustaleniach faktycznych polegający na przyjęciu, że konsultantka pozwanego poinformowała powódkę, iż wyłudzenie od niej danych identyfikacyjnych nastąpiło poprzez przełamanie barier zabezpieczających stronę banku;
uznaniu przez Sąd I instancji za w pełni wiarygodne wyjaśnień powódki dotyczących przebiegu zdarzenia z 17 sierpnia 2016 r., podczas gdy w konfrontacji z informacjami przekazanymi przez nią pozwanemu na infolinii są one wewnętrznie sprzeczne i niespójne;
art. 217 § 1 k.p.c. w związku z art. 227 § 1 k.p.c. i w związku z art. 278 k.p.c. poprzez pominięcie dowodu z opinii biegłego wskutek błędnego uznania, że sporne okoliczności sprawy zostały już dostatecznie wyjaśnione i nie ma znaczenia dla jej rozstrzygnięcia to, czy mamy tu do czynienia z pharmingiem czy z phishingiem;
art. 7 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2017 r., poz. 1876 ze zm.) poprzez jego niezastosowanie i przyjęcie przez Sąd I instancji, że strony nie były związane Umową usług bankowości elektronicznej (...) z dnia 5 listopada 2014 r. oraz „Zasadami korzystania z usług bankowości elektronicznej (...) dla ludności” i w konsekwencji przyjęcie, że strony związane były Regulaminem korzystania z elektronicznych kanałów dostępu (...) dla klientów indywidualnych (...) Banku S.A.;
art. 46 ust. 3 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2017 r., poz. 2003 ze zm.) poprzez jego niezastosowanie i przyjęcie przez Sąd I instancji, że powódka nie odpowiada za wszystkie nieautoryzowane transakcje płatnicze wykonane w dniu 17 sierpnia 2016 r. w pełnej wysokości w sytuacji, gdy ze zgromadzonego w sprawie materiału dowodowego wynika, że powódka próbowała się zalogować do usług bankowości elektronicznej niezgodnie z Umową usług bankowości elektronicznej (...) z dnia 5 listopada 2014 r., wprowadziła aż trzy razy kod SMS-owy w warunkach odbiegających od standardowych, chociaż otrzymywała w treści SMS-ów informacje o treści dokonywanych czynności, które nie pokrywały się z czynnościami rzekomo przez nią dokonywanymi, czyli weryfikacją, przez co na skutek rażącego niedbalstwa naruszyła postanowienia umowy ramowej oraz art. 42 ust. 1 pkt. 1 i ust. 2 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2017 r., poz. 2003 ze zm.), wobec czego odpowiada w pełnej wysokości za wszystkie kwestionowane transakcje z dnia 14 sierpnia 2016 r.
Postanowieniem z dnia 20 listopada 2017 r. Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi, wskutek złożenia przez powódkę zażalenia na zawarte w punkcie I. 1) i II. 1) wyroku orzeczenie w przedmiocie zwrotu kosztów procesu, uchylił je w trybie art. 395 § 2 k.p.c., uznając zażalenie za oczywiście uzasadnione i w tym zakresie rozpoznał sprawę na nowo, zasądzając od pozwanego na rzecz powódki kwotę 2.717,00 zł tytułem zwrotu kosztów procesu w sprawie rozstrzygniętej w punkcie I wyroku i kwotę 2.717,00 zł tytułem zwrotu kosztów procesu w sprawie rozstrzygniętej w punkcie II wyroku, a także kwotę 30,00 zł tytułem zwrotu kosztów postępowania zażaleniowego i nie obciążając pozwanego obowiązkiem zwrotu kosztów tego postępowania w pozostałej części.
W odpowiedzi na apelację powódka żądała jej oddalenia i zasądzenia od skarżącego na jej rzecz zwrotu kosztów postępowania apelacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych.
Sąd Okręgowy ustalił następującą okoliczność faktyczną:
W treści wiadomości SMS przesyłanych do A. S. w celu autoryzacji złożonych dyspozycji zawarte były oprócz kodów weryfikacyjnych także informacje o rodzaju tych dyspozycji, jak np. „dodanie odbiorcy” (wraz z numerem jego rachunku), „zmiana limitów transakcyjnych” lub „przelew na” (wraz z podaniem numeru rachunku, na który przelew następuje, wskazaniem przelanej kwoty i tytułu przelewu) (wydruk autoryzacji dyspozycji, k. 173-178; zeznania świadka M. P., k. 218 odwrót-219, 00:10:04.237-00:13:49.133).
W ocenie Sądu odwoławczego zeznania świadka w pełni i w sposób niebudzący wątpliwości potwierdziły powyższą okoliczność wynikającą z przedłożonych przez stronę pozwaną wydruków treści wiadomości SMS zawierających kod weryfikacyjny. Z kolei powódka nie przedstawiła żadnego przeciwdowodu, z którego mogłoby wynikać, że przesyłane do niej wiadomości nie wskazywały rodzaju dyspozycji, której autoryzacji miałby posłużyć kod, w szczególności nie okazała w toku postępowania owych nadesłanych do niej wiadomości, chociaż z pewnością, zdając sobie sprawę z wagi tej okoliczności, nie wykasowałaby ich z telefonu, gdyby mogły posłużyć ustaleniu faktu mogącego okazać się istotnym dla korzystnego z jej punktu widzenia rozstrzygnięcia sprawy. Sąd I instancji tego faktu nie ustalił, podając w ramach ustaleń faktycznych jedynie to, że przesyłane A. S. wiadomości SMS-owe zawierały kody weryfikacyjne, a następnie – bez ustalenia pełnej ich treści – konkludując w dalszej części rozważań, iż nie była ona kwestionowana w toku postępowania.
Sąd Okręgowy zważył, co następuje:
Apelacja jest zasadna i w zakresie, w jakim podlega merytorycznemu rozpoznaniu, skutkuje zmianą zaskarżonego wyroku.
Odnosząc się w pierwszej kolejności do zarzutów związanych z ustaleniami faktycznymi dokonanymi przez Sąd I instancji, można się zgodzić, że w pewnym zakresie zbyt bezkrytycznie oceniono wyjaśnienia powódki mogące stanowić podstawę do dokonania takich ustaleń. Odnotować należy zatem, że A. S. w toku przesłuchania wyjaśniła, że o przedmiotowej wiadomości e-mailowej, pochodzącej – jak się ostatecznie okazało – od nieznanych sprawców przestępstwa, dowiedziała się w ten sposób, iż najpierw próbowała się zalogować na stronie internetowej banku, a po bezskutecznej próbie pojawił się komunikat odsyłający ją do wiadomości e-mailowej na skrzynce odbiorczej; po otworzeniu wiadomości okazało się, że dotyczy ona konieczności weryfikacji konta bankowego. Skarżący trafnie zwraca uwagę, że o takim przekierowaniu czy próbie logowania powódka nie wspomniała, relacjonując przebieg zdarzeń konsultantce banku podczas rozmowy telefonicznej – co ostatecznie można byłoby przypisać zrozumiałemu zdenerwowaniu – ale wskazać też trzeba, że zupełnie odmienna wersja wydarzeń prezentowana jest w uzasadnieniu pozwu w ramach przytoczenia podstawy faktycznej powództwa; A. S. podaje tam, że najpierw odnalazła e-mail na skrzynce odbiorczej, a dopiero później podjęła bezowocną próbę logowania do serwisu internetowego banku. W ocenie Sądu odwoławczego taka rozbieżność w relacjonowaniu kluczowych w sprawie niniejszej zdarzeń jest trudna do wytłumaczenia. Odnotować należy, że – wbrew zarzutom apelacyjnym – nawet Sąd meriti nie uznał za w pełni wiarygodne wyjaśnień powódki co do poprzedzającej lekturę wiadomości e-mailowej próby zalogowania na stronie banku i co do uzyskania tamże informacji odsyłającej do tej wiadomości, gdyż takich ustaleń nie poczynił. Odmienność wersji wydarzeń przedstawianych w pozwie i podczas przesłuchania rzeczywiście daje uzasadnione podstawy do przypuszczeń, że w odniesieniu do opisywanej przez siebie wstępnej fazy swego postępowania A. S. po prostu mija się z prawdą i do żadnej próby logowania na stronie banku w ogóle nie doszło – i z tych przyczyn fakt ten nie został wspomniany w przeprowadzonej „na gorąco” rozmowie z konsultantką – zaś powódka w ten sposób próbuje po prostu zmniejszyć stopień swej ewentualnej winy przy wykonywaniu obowiązków umownych. Zaznaczyć trzeba, że kwestionowany fakt jest z pewnością okolicznością znaczącą dla wyniku postępowania – z czego powódka oczywiście zdawała sobie sprawę – i trudno racjonalnie wytłumaczyć tak daleko idące rozbieżności przy jego umiejscowieniu w przyczynowo-skutkowym łańcuchu zdarzeń skutkujących ostatecznie powstaniem szkody. Zgodzić się też można ze skarżącym, że Sąd Rejonowy nie rozważył całokształtu materiału dowodowego, oceniając wiarygodność wyjaśnień A. S. co do faktu przekazania jej przez konsultantkę banku informacji o zhakowaniu i przełamaniu barier bezpieczeństwa strony internetowej banku, a przede wszystkim nie zestawił ich z treścią nagrania przedmiotowej rozmowy znajdującym się w aktach sprawy. Dodać zresztą trzeba, że dla rozstrzygnięcia sprawy istotna byłaby informacja, czy do takiego przełamania zabezpieczeń strony internetowej banku rzeczywiście doszło, nie zaś ustalenie, czy takim przypuszczeniem podzieliła się z powódką konsultantka, wątpliwe jest bowiem, by mogła ona w krótkim czasie po zdarzeniu dysponować rzetelną i zweryfikowaną wiedzą w tym zakresie. Pozostałe zarzuty apelacji dotyczące nieprawidłowej oceny dowodów i będących tego skutkiem uchybień w zakresie ustaleń faktycznych są, zdaniem Sądu odwoławczego, o tyle bezprzedmiotowe, że dotyczą faktów niemających zasadniczego znaczenia dla rozstrzygnięcia sprawy, co szerzej zostanie wyjaśnione w ramach poniższych rozważań.
Z art. 42 ust. 1 pkt. 1 i ust. 2 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2017 r., poz. 2003 ze zm.), zwanej dalej ustawą, wynika, że użytkownik uprawniony do korzystania z instrumentu płatniczego zobowiązany jest czynić to zgodnie z umową ramową, a w celu spełnienia tego obowiązku podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. W sprawie niniejszej bezsporne jest, że przedmiotowe transakcje z rachunku bankowego powódki nie były autoryzowane w rozumieniu art. 40 ustawy, jak również nie może być mowy o tym, by umyślnie doprowadziła ona do tych transakcji lub umyślnie naruszyła opisane powyżej obowiązki, a zatem – w myśl art. 46 ust. 3 ustawy – A. S. odpowiada za przedmiotowe transakcje w pełnej wysokości, o tyle tylko, o ile można jej zarzucić rażące niedbalstwo przy wykonywaniu obowiązków wynikających z art. 42 ustawy. Nie ulega wątpliwości, że już umowa ramowa z dnia 17 września 2011 r., której zawarcia powódka nie kwestionuje, jasno wymaga w § 4 ust. 3, by klient banku chronił indywidualne zabezpieczenia (kod identyfikacyjny (...)) z należytą starannością i nie udostępniał go osobom nieuprawnionym. Z kolei w stanowiącym część postanowień tej umowy Regulaminie korzystania z elektronicznych kanałów dostępu (...) stwierdza się, że użytkownik odpowiada za udostępnienie osobom trzecim danych umożliwiających dostęp do systemu oraz składanie za jego pośrednictwem dyspozycji, jak również nakłada się tam na niego obowiązek upewnienia się, że wszelkie składane dyspozycje jednoznacznie i zgodnie z jego intencją określają rachunki, jakie mają być obciążone i uznane, posiadacza tych rachunków oraz tytuł płatności (§ 34 ust. 1 i 3 Regulaminu). Kolejny regulamin występujący pod nazwą „Zasady korzystania z usług bankowości elektronicznej (...) dla ludności” nie zawęża bynajmniej zakresu tych obowiązków w jakikolwiek sposób, ale powtarza zobowiązanie klienta banku do należytej ochrony numeru NIK i hasła (...), a ponadto expressis verbis zabrania używania do logowania adresu lub linku przesyłanego drogą elektroniczną, nakazując wykorzystywanie w tym celu adresu wskazanego na portalu banku. Należy zatem prześledzić czynności dokonywane przez A. S., by odpowiedzieć na pytanie, czy Sąd meriti prawidłowo ocenił ewentualne zaistnienie po jej stronie rażącego niedbalstwa w rozumieniu art. 46 ust. 3 w związku z art. 42 ustawy.
Z powyższych postanowień – zarówno zawartych w treści art. 42 ust. 2 ustawy, jak i w umowie ramowej z dnia 17 września 2011 r. i Regulaminie korzystania z elektronicznych kanałów dostępu (...) w związku z art. 42 ust. 1 pkt. 1 ustawy – wynika jasno, że zasadniczym obowiązkiem powódki jako klienta banku – którego wypełnienie jest konieczne, by umożliwić bankowi skuteczną ochronę zgromadzonych na rachunku funduszy przed rozporządzeniem nimi przez osoby nieuprawnione – jest zachowanie należytej staranności w zakresie nieudostępniania osobom trzecim danych umożliwiających dostęp do systemu. Instrument płatniczy jest – jak wynika z art. 2 pkt. 10 ustawy – uzgodnionym przez dostawcę usług płatniczych i użytkownika zbiorem procedur wykorzystywanym przez użytkownika do złożenia zlecenia płatniczego, a zatem jeśli w ramach tych procedur bank ustali indywidualne, znane tylko użytkownikowi, zabezpieczenia tego instrumentu pozwalające na zweryfikowanie jego tożsamości przy składaniu zlecenia, naturalną konsekwencją wyjawienia tych zabezpieczeń osobie trzeciej będzie bezskuteczność dokonywanej weryfikacji, co spowoduje z kolei, że bank, działając w uzasadnionym przekonaniu, iż użytkownik dochował swych podstawowych obowiązków w tym zakresie, potraktuje daną transakcję jako zleconą przez samego użytkownika. Dla każdego klienta banku korzystającego z instrumentu płatniczego oczywiste winno być więc, że indywidualne zabezpieczenia tego instrumentu muszą być chronione ze szczególną starannością przed dostępem osób trzecich, gdyż ich udostępnienie w znacznym stopniu ułatwia innym dostęp do funduszy zgromadzonych na rachunku. Banki, licząc się z ewentualnością nieumyślnego wyjawienia przez użytkowników takich zabezpieczeń, jak login i hasło dostępu, wprowadzają ponadto dodatkowe zabezpieczenia przed transakcjami dokonanymi przez osoby niepowołane, choćby – jak w realiach sprawy niniejszej – przesyłając SMS-em kody autoryzacyjne wraz z informacją, czemu konkretnie ma posłużyć wprowadzenie go w odpowiednie pole witryny internetowej serwisu usług elektronicznych. Powoduje to, że osoba nieuprawniona, której przypadkowo wyjawiono login i hasło dostępu, musiałaby dysponować także telefonem wskazanym przez użytkownika bankowi w celu przesyłania kodów SMS-owych, jeśli natomiast telefonem nadal dysponuje użytkownik, przesłanie kodu winno uświadomić mu, że ktoś zamierza dokonać transakcji bez jego zgody i wiedzy albo też – o ile jest mu to wiadome, ale osoba trzecia wprowadziła go w błąd co do rodzaju czynności wymagającej wprowadzenia kodu – pozwolić mu na stwierdzenie, że w rzeczywistości wprowadzenie kodu spowoduje zatwierdzenie innego rodzaju dyspozycji; w obu tych przypadkach dla użytkownika winno być jasne, że przesłanego mu kodu wprowadzać nie należy. Wreszcie banki, zdając sobie sprawę z przestępczych działań dokonywanych według określonego modus operandi, starają się uprzedzić swoich klientów o podejmowanych nielegalnie próbach wyłudzenia indywidualnych zabezpieczeń instrumentów płatniczych, wskazując wprost, z jakimi działaniami mogą się zetknąć i jakich zachowań powinni unikać; informacje takie zamieszczane są zwykle na stronach internetowych, z których klienci korzystają przy posługiwaniu się instrumentami płatniczymi, niejednokrotnie w ten sposób, że nie jest możliwe pominięcie tej informacji przed przystąpieniem do dalszych czynności na tej stronie.
Wszystkie te działania mające na celu zapewnienie bezpieczeństwa powierzonym bankowi funduszom klienta nie mogą jednak przydać się na nic, jeżeli sam użytkownik wyjawi swoje indywidualne zabezpieczenia instrumentów płatniczych osobom niepowołanym, a następnie zignoruje treść wiadomości SMS-owych przesyłanych mu przez bank, bezkrytycznie przekazując owym osobom uzyskane w ten sposób kody autoryzacyjne, co pozwoli na składanie i zatwierdzanie przez te osoby dyspozycji środkami pieniężnymi na rachunku według własnej woli. Dla każdego użytkownika musi być oczywiste, że jedynym podmiotem, któremu może podać indywidualne zabezpieczenia swych instrumentów płatniczych, jest wyłącznie bank, a skutkiem braku jakiejkolwiek staranności przy dokonywaniu weryfikacji w tym zakresie jest narażenie się z ogromnym prawdopodobieństwem na ryzyko poniesienia szkody. Normalną i w zasadzie jedyną metodą upewnienia się, czy poprzez internet nawiązuje się rzeczywiście kontakt z bankiem, jest oczywiście samodzielne wprowadzenie właściwego adresu internetowego portalu banku – korzystanie w tym zakresie z jakichkolwiek linków przekierowujących nie daje i nie może dawać jakiejkolwiek gwarancji, że prowadzą one w rzeczywistości na ten portal. Oczywiście, nie jest to metoda stuprocentowo skuteczna, zważywszy, że przestępcy potrafią zainfekować komputer czy router wirusem, który mimo samodzielnego wprowadzenia właściwego adresu przekieruje klienta banku na umyślnie w tym celu spreparowaną stronę, jednak w takiej sytuacji rzeczywiście trudno byłoby zarzucić użytkownikowi niewłaściwe postępowanie. W realiach natomiast sprawy niniejszej A. S. po otrzymaniu wiadomości e-mailowej od nieznanej sobie osoby, podającej się za pozwany bank, nie sprawdziła w jakikolwiek sposób, czy rzeczywiście ma do czynienia z bankiem i co do tej okoliczności „uwierzyła na słowo” osobie, która wiadomość wysłała. Skutkiem tej daleko posuniętej nieostrożności było skorzystanie przez nią z nadesłanego linka – który przekierował ją na witrynę identyczną z witryną portalu banku – a wówczas powódka, nadal pozostając w przekonaniu, że ma do czynienia z bankiem, podała tam zarówno swój login, jak i hasło. Zasadniczym niedbalstwem ze strony powódki w ramach wypełniania obowiązków, jakie nakładała na nią umowa ramowa, było na tym etapie jej postępowania uznanie za zgodne z rzeczywistym stanem rzeczy pochodzących od nieznanej osoby zapewnień, że przesłana jej wiadomość e-mailowa pochodzi od banku, wyłącznie dlatego, że takie zapewnienia zostały złożone – choć mogła i powinna była liczyć się z tym, że również inna osoba może je złożyć w celu przestępczym. Nie może w przekonaniu Sądu II instancji usprawiedliwiać A. S. fakt, że następnie została za pomocą nadesłanego jej linka przekierowana na witrynę łudząco podobną do witryny portalu banku. Okoliczność ta nie mogła sama przez się uwiarygodniać tożsamości podmiotu, od którego e-mail pochodził, ani skłaniać do przekonania, że jest to w istocie bank, zważywszy, że tożsamy efekt musiałby nastąpić również w alternatywnym stanie rzeczy – a więc jeżeli e-mail pochodziłby od osób usiłujących dokonać przestępstwa – gdyż o ile osoby te zamieściły w przedmiotowej wiadomości stosowne łącze internetowe z zamiarem wykorzystania go przez ich potencjalną ofiarę, to jasne jest, że musiały zadbać też o niezbędne podobieństwo pomiędzy witryną, do której nastąpiło przekierowanie i witryną portalu banku. Co więcej, pozwany wcześniej starał się podać do wiadomości A. S. informacje o wyłudzaniu przez przestępców indywidualnych zabezpieczeń instrumentów płatniczych według tożsamego czy też bardzo zbliżonego modus operandi i czynił to w sposób w zasadzie wymagający świadomego podjęcia przez klienta banku konkretnych działań w celu uniknięcia zapoznania się z tymi informacjami przed uzyskaniem dostępu do własnego konta bankowego. Zbyt surowe i niesprawiedliwe wydaje się być w tych okolicznościach stanowisko Sądu Rejonowego, który wywodzi, że banki podają tego rodzaju ostrzeżenia do wiadomości klientów po to, by następnie uchronić się przed odpowiedzialnością i przerzucić na swych kontrahentów ryzyko związane z ewentualną szkodą wyrządzoną procederem podobnym do opisywanego. Zdaniem Sądu odwoławczego, funkcją tego rodzaju informacji jest z pewnością także – a nawet przede wszystkim – uczulenie klientów banku na określonego rodzaju działania przestępców i ochrona zgromadzonych na kontach środków pieniężnych – a uzyskanie wiedzy w tym przedmiocie leży z pewnością w interesie posiadaczy kont, które na takie działania są narażeni. Nie ulega wątpliwości, że gdyby powódka zapoznała się z ostrzeżeniami podawanymi do jej wiadomości na stronie banku, nie miałaby nawet szans wykazać się lekkomyślnością i łatwowiernie dać wiarę zapewnieniom nadawcy maila, gdyż od razu rozpoznałaby opisywany sposób postępowania przestępców – trudno doprawdy czynić pozwanemu zarzut z tego, że starał się zrobić, co w jego mocy, by jego klienci byli świadomi zagrożeń, z jakimi mogą się spotkać i niezwłocznie je rozpoznawali. Przy ustalaniu stanu faktycznego w odniesieniu do tej okoliczności Sąd Rejonowy wykazał się pewną niekonsekwencją, stwierdzając, że powódka regularnie czytała komunikaty dotyczące bezpieczeństwa pojawiające się na stronie internetowej banku, by kilka akapitów dalej odnotować, że nie zapoznała się jednak z informacjami o zagrożeniach związanymi z fałszywymi e-mailami wyłudzającymi hasła do bankowości elektronicznej. Zdaniem Sądu II instancji, postępowanie A. S. ewidentnie wskazuje na to, że nie wiedziała stosowaniu przez przestępców mechanizmu działania tożsamego z zastosowanym w okolicznościach sprawy niniejszej, a zatem przyjąć trzeba, że nie zapoznawała się z kierowanymi do niej ostrzeżeniami w tym przedmiocie, choć musiała zdawać sobie sprawę, że zamieszczane są po to, by ich lektura uchroniła ją przed choćby nieumyślnym naruszeniem obowiązków umownych.
Podsumowując powyższe wywody, stwierdzić trzeba, że w ocenie Sądu odwoławczego A. S. wykazała się rażąco nienależytą starannością przy wypełnianiu nałożonego na nią przez umowę ramową obowiązku nieudostępniania osobom nieuprawnionym indywidualnych zabezpieczeń instrumentów płatniczych, w tym kodu (hasła) identyfikacyjnego umożliwiającego dostęp do konta. Choć powódka bez wątpienia nie wiedziała, że podmiot, któremu dane udostępnia, nie jest bankiem, to jednak jej przekonanie nie znajdowało jakiegokolwiek usprawiedliwienia w okolicznościach sprawy, zważywszy, że opierało się ono jedynie na niczym niepopartych zapewnieniach nadawcy wiadomości mailowej. Okolicznością taką nie mogło być też przekierowanie jej przez nadawcę e-maila na stronę, której witryna była łudząco podobna do witryny portalu banku, gdyż z równym powodzeniem mógł to być kolejny etap przestępczego planu zmierzającego do bezprawnego skłonienia klienta banku do udostępnienia indywidualnych zabezpieczeń instrumentów płatniczych. Zarzut, jaki można postawić A. S., polega na przede wszystkim na lekkomyślnym powzięciu nieuzasadnionego niczym przekonania – przy zaniedbaniu jakiejkolwiek jego weryfikacji – że podmiot podający się za bank jest nim rzeczywiście, ale równocześnie nie sposób nie odnotować, że gdyby w ramach wcześniejszych kontaktów z pozwanym bankiem nie pomijała kierowanych wprost do niej ostrzeżeń, powzięcie takiego przekonania, skutkującego ostatecznie rażąco nieostrożnym postępowaniem polegającym na podaniu osobie nieuprawnionej przedmiotowych danych, byłoby wręcz wykluczone, gdyż niezwłocznie rozpoznałaby ona metodę postępowania przestępców i byłoby dla niej jasne, że nie powinno się ufać nadawcy tego rodzaju wiadomości.
Co więcej, mimo tak daleko idącej lekkomyślności A. S., procedury przyjęte przez bank i uzgodnione z płatnikiem mogły wciąż zapobiec wyrządzeniu szkody, jednak ich skuteczność wymagała ze strony użytkownika należytego współdziałania z zachowaniem choćby minimalnej staranności. Jak już powiedziano wyżej, pozwany przewidywał możliwość wejścia przez osoby nieuprawnione w posiadanie indywidualnych zabezpieczeń instrumentów płatniczych, niemniej jednak skorzystanie z nich w celu dokonania konkretnych operacji wymagało zatwierdzenia przez użytkownika dyspozycji realizowanych z ich użyciem – przy czym jednocześnie informowano go, jaka dyspozycja została wydana przez osobę posługującą się loginem i hasłem – poprzez wprowadzenie kodu przesyłanego mu SMS-em na wskazany przez niego numer telefonu. Takie wiadomości SMS-owe zostały do powódki przesłane po złożeniu określonych dyspozycji przez osoby nieuprawnione, które uprzednio wyłudziły od niej niezbędne w tym celu dane, a w ich treści podawano, że chodzi o „dodanie odbiorcy”, o „zmianę limitów transakcyjnych” czy wreszcie o przelew na konto o wskazanym numerze. Jeśli – jak ustalił to Sąd meriti – w ocenie A. S. nadsyłane wiadomości wiązały się z procesem weryfikacji i uwierzytelnienia konta, to oznacza, że po prostu ograniczyła zapoznanie się z nimi do odczytania kodów, które następnie bezkrytycznie wprowadzała w pola fałszywej witryny internetowej, realizując polecenia przestępców. Trudno ocenić jej postępowanie także i na tym etapie inaczej niż jako rażące niedbalstwo, jak również nie sposób powstrzymać się od refleksji, że żadna procedura zabezpieczeń nie może skutecznie zadziałać, o ile po stronie osoby w ten sposób chronionej nie ma realizowanej w praktyce woli skorzystania z tych zabezpieczeń. Powtórzyć trzeba jeszcze raz, że powódka wykazała się bardzo daleko idącą lekkomyślnością, wyjawiając indywidualne zabezpieczenia instrumentów płatniczych osobie nieuprawnionej – po uznaniu za wystarczający tekst weryfikacyjny przyjęcie zapewnienia tej osoby, że działa w imieniu banku – zlekceważyła kierowane do niej wcześniej ostrzeżenia o tego rodzaju zagrożeniach działaniami przestępczymi, choć wiedza o nich z ogromnym prawdopodobieństwem uchroniłaby ją przed taką lekkomyślnością i jej skutkami, a wreszcie zignorowała kilkakrotnie przesyłane do niej przez bank informacje o rodzajach zlecanych dyspozycji, bezrefleksyjnie wpisując kolejne kody nadsyłane SMS-ami, które w ramach uzgodnionych procedur miały służyć właśnie weryfikacji tego, czy dokonywane dyspozycje są zgodne z wolą klienta banku, a następnie ich autoryzacji. Sąd I instancji trafnie przyjął, że o rażącym niedbalstwie można mówić wtedy, gdy podmiot, któremu taka postać winy miałaby zostać przypisana, zaniedbał takiej czynności – oczywiście w zakresie wykonywania ciążących na nim obowiązków – chroniącej określone dobro przed szkodą, której niedopełnienie byłoby czymś oczywistym w świetle doświadczenia życiowego dostępnego każdemu uczestnikowi obrotu prawnego i w sposób wprost dla każdego przewidywalny mogło doprowadzić do powstania szkody. W przekonaniu Sądu odwoławczego nie sposób inaczej ocenić postępowania osoby, która – będąc umownie zobowiązana do nieujawniania indywidualnych zabezpieczeń instrumentów płatniczych osobom nieuprawnionym (a więc w zasadzie komukolwiek poza bankiem) – wyjawia te dane nieznanemu sobie nadawcy wiadomości e-mailowej tylko dlatego, że ten zapewnił ją, że działa w imieniu banku, przy jednoczesnym niezaistnieniu okoliczności, które mogłyby skłonić dysponującego powszechnym doświadczeniem życiowym uczestnika obrotu do powzięcia przekonania, że zapewnienia te mogą być zgodne z prawdą. Dodatkowo na ocenę staranności postępowania A. S. zdecydowanie negatywnie wpływa fakt ignorowania kierowanych do niej wcześniej przez pozwanego ostrzeżeń, które w praktyce – o ile powódka poświęciłaby chwilę czasu na ich lekturę – wykluczyłyby możliwość dania wiary treści przedmiotowej wiadomości e-mailowej przez najbardziej nawet bezkrytycznie postępującą osobę. Podobnie potraktować należy brak zapoznania się przez nią z treścią przesyłanych do niej przez bank (...)-ów z kodami autoryzacyjnymi, choć wiadome było jej, że ich celem jest zapobieżenie wykorzystania hasła i loginu przez osoby nieuprawnione; niedopełnienie obowiązku zweryfikowania, czy przez wprowadzenie przesłanego kodu w istocie zatwierdza zamierzoną przez siebie dyspozycję, wydaje się być – zwłaszcza wobec wcześniejszego braku jakiejkolwiek weryfikacji tego, czy kody te rzeczywiście przekazywane będą bankowi – postępowaniem, które w sposób dla każdego przewidywalny mogło doprowadzić do powstania szkody.
Znaczna część zarzutów postawionych w apelacji dotyczy de facto przyjęcia przez Sąd – zarówno w sferze ustaleń faktycznych, jak i zastosowania w sprawie przepisów prawa materialnego – że strony wiązała umowa ramowa z dnia 17 września 2011 r., natomiast nie doszło pomiędzy nimi do zawarcia umowy ramowej z dnia 5 listopada 2014 r., jak to wywodził pozwany. Zdaniem Sądu II instancji, biorąc pod uwagę zakres obowiązków powódki określony w obu umowach, jak również ustalony w toku sprawy jej sposób postępowania mogący potencjalnie stanowić naruszenie tych obowiązków, przesądzenie tej kwestii nie ma rozstrzygającego znaczenia dla wyniku postępowania. Także bowiem umowa z roku 2011, której zawarcia A. S. nie kwestionuje, nakłada na nią w sposób niebudzący wątpliwości obowiązki w zakresie ochrony indywidualnych zabezpieczeń identyfikujących użytkownika wobec banku z zachowaniem należytej staranności, w szczególności nieudostępniania ich osobom nieuprawnionym, a z kolei z postanowień regulaminu stanowiącego integralną część tej umowy wynika także obowiązek upewnienia się, że wszelkie składane dyspozycje jednoznacznie i zgodnie z jej intencją określają rachunki, jakie mają być obciążone i uznane, posiadacza tych rachunków oraz tytuł płatności, co odnosi się z całą pewnością także do czynności związanych ze sfinalizowaniem złożonych dyspozycji w drodze autoryzacji ich nadesłanym kodem SMS-owym. Umowa ramowa z roku 2014 r. i stanowiący jej część regulamin nie zmieniają w zasadzie zakresu tych obowiązków, wskazują jedynie konkretne czynności, jakich wykonywania zabrania się użytkownikowi w ramach ich realizacji, gdyż są one równoznaczne z naruszeniem zobowiązania do nieudostępniania danych identyfikacyjnych osobom niepowołanym i mogą skutkować wyrządzeniem szkody, jak np. próby logowania się do usług banku za pomocą linku przesyłanego w wiadomości e-mailowej. W ocenie Sądu II instancji z faktu, że w treści późniejszej umowy bank zdecydował się wprost zwrócić uwagę swoich klientów na możność naruszenia przez nich obowiązków umownych w pewien określony sposób, nie można w żadnym razie wywieść wniosku, że bez zawarcia expressis verbis tego rodzaju postanowienia w umowie z roku 2011 i obowiązującym wówczas regulaminie zakres obowiązków użytkowników był wówczas mniejszy albo że można było od nich wymagać niższego stopnia staranności. Sąd odwoławczy – jak już podkreślał uprzednio – jest zdania, że dla każdego rozsądnego człowieka – także bez wyraźnego zakazu – oczywiste jest, że nadawcą takiej wiadomości e-mailowej może być – a nawet najprawdopodobniej jest – osoba nieuprawniona, nawet jeśli podaje się za bank, zaś skorzystanie z zawartego w takiej wiadomości łącza w celu zalogowania się na portalu banku – zwłaszcza jeśli nastąpiło bez skutecznego zweryfikowania tożsamości nadawcy – stanowi rażące niedbalstwo przy wykonywaniu obowiązków umownych, gdyż prowadzi z prawdopodobieństwem zbliżonym do pewności do udostępnienia osobie nieuprawnionej indywidualnych zabezpieczeń instrumentu płatniczego. Na marginesie – choć, jak powiedziano, nie ma to zasadniczego znaczenia dla rozstrzygnięcia sprawy – można zgodzić się ze skarżącym, że A. S. związana była jednak z bankiem umową ramową z dnia 5 listopada 2014 r. zawartą w formie elektronicznej, skoro bezspornie korzystała z narzędzi dostępu do swego konta bankowego drogą elektroniczną przewidzianych w tej właśnie umowie (login, hasło, SMS-owe kody weryfikacji). Gdyby przyjąć wersję powódki, trudno byłoby zresztą wyjaśnić, dlaczego jej zaniepokojenie wzbudził przedmiotowy e-mail dotyczący blokady jej konta w systemie (...), skoro zgodnie z jej wiedzą nie wiązała jej z bankiem umowa, w której przewidywano świadczenie usług bankowości elektronicznej w tym systemie, ale jedynie umowa z 2011 r., zgodnie z którą – jak wynikało ze stanowiącego jej część regulaminu – bank umożliwiał jej korzystanie z elektronicznych kanałów dostępu (...). Oczywiście chybiony jest też pogląd Sądu meriti, iż fakt niezłożenia przez powódkę podpisu pod umową z dnia 5 listopada 2014 r. sam przez się przesądzał o niemożności uznania, że związana jest ona jej postanowieniami i słusznie zwraca tu uwagę skarżący na treść art. 7 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. z 2017 r., poz. 1876 ze zm.) stanowiącego, że oświadczenia woli związane z dokonywaniem czynności bankowych mogą być składane w postaci elektronicznej, przy czym bezsporne jest, iż unormowanie to należy traktować jako lex specialis wobec przepisów obowiązującej wówczas ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (t.j. Dz. U. z 2013 r., poz. 262 ze zm.), co oznacza z kolei, że zrównuje ono w przypadku czynności bankowych postać elektroniczną oświadczenia z formą pisemną bez konieczności opatrywania oświadczenia podpisem elektronicznym. Sąd II instancji jest również zdania, że dla możności przypisania A. S. rażącego niedbalstwa przy wykonywaniu obowiązków zakreślonych umową ramową i regulaminem nie ma decydującego znaczenia to, czy nadesłany jej SMS-em kod identyfikacyjny wpisała ona dwukrotnie czy trzykrotnie w pole witryny spreparowanej przez przestępców; oczywiste i rażące niedołożenie przez nią należytej staranności wiązało się tu z faktem braku jakiejkolwiek weryfikacji zgodności wskazywanego w treści SMS-ów rodzaju dyspozycji, której autoryzacji – w myśl uzgodnionej między stronami procedury – przesłany kod miał służyć, z dyspozycją przez nią zamierzoną (odblokowanie dostępu do konta), nie zaś z tym, czy zaniedbanie takie nastąpiło dwukrotnie, czy też więcej razy.
Podsumowując całość powyższych wywodów, Sąd odwoławczy wyraża przekonanie, że z wyłożonych tam względów słuszny jest zarzut apelacyjny dotyczący naruszenia art. 46 ust. 3 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2017 r., poz. 2003 ze zm.) w związku z art. 42 ust. 1 pkt. 1 i ust. 2 tej ustawy i postanowieniami umowy ramowej łączącej strony, a Sąd Rejonowy błędnie przyjął, że w okolicznościach sprawy niniejszej nie zaistniała przesłanka rażącego niedbalstwa przy niewątpliwym naruszeniu przez powódkę jej obowiązków jako płatnika w rozumieniu tej ustawy. Nie ma powodu powtarzać argumentów, które doprowadziły Sąd do takiej konkluzji, a jedynie w odpowiedzi na zawarte w uzasadnieniu zaskarżonego orzeczenia wywody, które skutkowały zajęciem odmiennego stanowiska, można jeszcze zwrócić uwagę na kilka kwestii. Po pierwsze, trudno domyślić się, dlaczego Sąd I instancji przyjął, że komputer A. S. został „zainfekowany” i co właściwie Sąd przez to rozumiał. Pozostałe ustalone w toku postępowania okoliczności sprawy nie wskazują bynajmniej na to, by przestępcy wprowadzili do tego komputera jakiekolwiek oprogramowanie realizujące zamierzone przez nich cele, w szczególności pozwalające bez wiedzy użytkownika uzyskać jego dane identyfikujące wobec banku czy kody weryfikacyjne, ale po prostu podali powódce link do zaprojektowanej przez siebie strony internetowej naśladującej wyglądem witrynę portalu banku, zaś wprowadzona w błąd powódka łatwowiernie uwierzyła, że ma do czynienia w istocie z wiadomością od banku i jego stroną, a następnie sama podała wszelkie dane potrzebne do dokonania przelewów przez osoby nieuprawnione. Rację ma skarżący, że przyjęcie, iż stan faktyczny wyglądał odmiennie od przedstawionego powyżej, mogłoby mieć istotne znaczenie dla rozstrzygnięcia sprawy, jednak dla poczynienia takiego ustalenia Sąd winien był się posiłkować wiadomościami specjalnymi biegłego, zaś dowód taki nie został w toku postępowania przeprowadzony. Po drugie, w ocenie Sądu odwoławczego dla wykluczenia rażącego niedbalstwa nie może skutecznie zostać podniesiony argument o skuteczności działań przestępców, którym udało się w ten sam sposób wprowadzić w błąd kilkadziesiąt osób – z czego wywodzony jest następnie wniosek, że zjawisko to nie miało jedynie marginalnego zakresu, ograniczającego się jedynie do osób postępujących w sposób rażąco odbiegający od wzorca należytej staranności – skoro nie zostało ustalone, jak wiele osób poddanych było przedmiotowej manipulacji i czy tym samym odsetek klientów banku, którzy zachowali się podobnie jak A. S. był znaczny (co w istocie mogłoby przemawiać za przyjęciem, iż dla wielu osób w świetle ich doświadczenia życiowego nie było oczywiste, że mają do czynienia z próbą wyłudzenia), czy też stanowił wartość marginalną. Wreszcie – co już poruszane było wyżej – nie można zgodzić się z Sądem meriti, że w sprawie niniejszej mieliśmy do czynienia ze szczególnie wyrafinowaną formą oddziaływania psychosocjologicznego, której w wielu przypadkach nie mogłaby zapobiec nawet czerpana z ostrzeżeń kierowanych przez bank do klientów wiedza o posługiwaniu się przez przestępców tożsamym lub bardzo zbliżonym modus operandi. Przeciwnie – w przekonaniu Sądu II instancji z okoliczności sprawy wynika, że sprawcy szkody posłużyli się raczej prostymi i nieskomplikowanymi metodami działania, zaś ich fałszywe zapewnienia były łatwe do zweryfikowania, przy czym – gdyby do świadomości powódki dotarło wcześniej, że aktualne jest zagrożenie przestępczym procederem polegającym na podszywaniu się pod bank i przekierowywaniu za pomocą nadesłanego w wiadomości e-mailowej łącza na fałszywą stronę banku, to z pewnością wprowadzenie jej w błąd w taki właśnie sposób byłoby wręcz niemożliwe, a niezbyt doprawdy wyrafinowane techniki psychosocjologiczne zastosowane w okolicznościach sprawy nie miałyby szans wywrzeć zamierzonego przez ich autorów skutku.
Skoro zatem zostało przyjęte, że powódka jako płatnik w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2017 r., poz. 2003 ze zm.) naruszyła swe obowiązki wskutek rażącego niedbalstwa, czego konsekwencją były nieautoryzowane transakcje płatnicze, to przyjąć należy, iż to właśnie ona – w myśl art. 46 ust. 3 tejże ustawy – odpowiada w pełnej wysokości za ich skutki. Z odpowiedzialności w tym zakresie zwolniony jest w konsekwencji pozwany bank, co czyni niezasadnymi roszczenia dochodzone pozwami w sprawach niniejszych. Zaskarżone orzeczenie nie odpowiada prawu, gdyż powództwa winny były zostać oddalone; uzasadnia to odpowiednią zmianę zaskarżonego wyroku na podstawie art. 386 § 1 k.p.c. O kosztach postępowania odwoławczego orzeczono w oparciu o zasadę odpowiedzialności za wynik procesu przewidzianą w art. 98 k.p.c. na podlegające zwrotowi koszty postępowania poniesione przez skarżącego złożyło się w każdej z połączonych spraw: opłata od apelacji w kwocie 300,00 zł i wynagrodzenie pełnomocnika procesowego w kwocie 900,00 zł wyliczone na podstawie § 10 ust. 1 pkt. 1 w związku z § 2 pkt. 4 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (t.j. Dz. U. z 2018 r., poz. 265), co daje w sumie 2.400,00 zł [2 x (300,00 zł + 900,00 zł) = 2.400,00 zł].