Sygn. akt I ACa 348/17
Dnia 19 lipca 2018 r.
Sąd Apelacyjny w Warszawie I Wydział Cywilny w składzie następującym:
Przewodniczący:SSA Katarzyna Polańska - Farion
Sędziowie:SA Dorota Markiewicz
SO del. Anna Strączyńska (spr.)
Protokolant:Ignacy Osiński
po rozpoznaniu w dniu 19 lipca 2018 r. w Warszawie
na rozprawie
sprawy z powództwa K. K.
przeciwko (...) spółce akcyjnej z siedzibą w W.
o zapłatę
na skutek apelacji pozwanego
od wyroku Sądu Okręgowego w Warszawie
z dnia 19 grudnia 2016 r., sygn. akt I C 229/15
I. oddala apelację;
II. zasądza od (...) spółki akcyjnej z siedzibą w W. na rzecz K. K. kwotę 2700 zł (dwa tysiące siedemset złotych) tytułem zwrotu kosztów postępowania apelacyjnego.
Anna Strączyńska Katarzyna Polańska - Farion Dorota Markiewicz
Sygn. akt I ACa 348/17
Pozwem z dnia 08 stycznia 2015 r., wniesionym do Sądu Okręgowego w Szczecinie, K. K. domagała się zasądzenia od pozwanego (...) Spółki Akcyjnej z siedzibą w W. kwoty 128.979,89 zł wraz z ustawowymi odsetkami od dnia 18 grudnia 2012 r. do dnia zapłaty, a także zasądzenia kosztów procesu. W uzasadnieniu pozwu powódka wskazała, że u strony pozwanej posiada dwa rachunki, z których pieniądze zostały wyprowadzone.
W odpowiedzi na pozew (...) Spółka Akcyjna z siedzibą w W., oprócz podniesienia zarzutu niewłaściwości miejscowej wniosła o oddalenie powództwa w całości oraz zasądzenie kosztów zastępstwa procesowego. Strona pozwana wskazywała, że powódka nienależycie chroniła swoje dane, w tym w szczególności hasła do kont.
Postanowieniem z dnia 11 lutego 2015 r. Sąd Okręgowy w Szczecinie stwierdził swą niewłaściwość miejscową i przekazał sprawę właściwemu Sądowi Okręgowemu w Warszawie.
Na rozprawie w dniu 05 grudnia 2016 r. powódka sprecyzowała żądanie pozwu w ten sposób, że wniosła o zasądzenie żądanej uprzednio kwoty wraz z odsetkami ustawowymi i odsetkami ustawowymi za opóźnienie, a także zasądzenie kosztów zastępstwa procesowego w wysokości 2-krotności stawki minimalnej.
Wyrokiem z dnia 19 grudnia 2016 r. Sąd Okręgowy w Warszawie zasądził od (...) spółki akcyjnej z siedzibą w W. na rzecz K. K. kwotę 128.979,89 zł z ustawowymi odsetkami od dnia 18 grudnia 2012 r. do dnia 31 grudnia 2015 r. oraz z ustawowymi odsetkami za opóźnienie od dnia 01 stycznia 2016 r. do dnia zapłaty i ustalił, że strona pozwana w całości ponosi koszty procesu, pozostawiając ich wyliczenie referendarzowi sądowemu.
Powyższe rozstrzygnięcie zapadło w oparciu o następujące ustalenia i rozważania:
W dniu 23 maja 2008 r. pomiędzy K. O. (obecnie K.) a (...) Spółką Akcyjną z siedzibą w W. (obecnie (...) Spółką Akcyjną z siedzibą w W.) zawarta została umowa o prowadzenie bankowych rachunków oszczędnościowo-rozliczeniowych, w ramach której Bank zobowiązał się do prowadzenia rachunku wskazanego w „Potwierdzeniu otwarcia rachunku” oraz rachunków otwartych w terminie późniejszym na podstawie dyspozycji Posiadacza, zaakceptowanej przez Bank (...) otwarcia rachunku” (§ 1 ust. 1). W konsekwencji Bank zobowiązał się do przechowywania środków pieniężnych posiadacza oraz przeprowadzania na jego zlecenie rozliczeń pieniężnych (§ 1 ust. 2 zdanie pierwsze).
W wykonaniu postanowień umowy, Bank dokonał otwarcia na rzecz K. K. rachunku bankowego o numerze (...) ( (...) z oprocentowaniem nominalnym w skali 0,00% w stosunku rocznym) oraz rachunku bankowego o numerze (...) ( (...) z oprocentowaniem nominalnym w skali 5,50% w stosunku rocznym).
Stosownie do postanowień Regulaminu otwierania i prowadzenia rachunków oszczędnościowo-rozliczeniowych i oszczędnościowych w (...), stanowiącego integralną część zawartej umowy, Posiadacz mógł uzyskać dostęp do rachunku w następujących kanałach dostępu: (1) za pośrednictwem strony internetowej Banku, w tym serwisu transakcyjnego Banku, (2) za pośrednictwem Biura (...) oraz (3) w placówce Banku (§ 27 ust. 1). W przypadku chęci uzyskania dostępu do rachunku w placówce Banku warunkiem pozostawała poprawna identyfikacja tożsamości Posiadacza rachunku na podstawie zarejestrowanego w Banku dokumentu tożsamości (§ 28 ust. 1). W odniesieniu natomiast do uzyskania dostępu do pozostałych kanałów dostępu, oprócz konieczności spełnienia odpowiednich warunków technicznych, polegających na wykorzystaniu wyposażenia technicznego i niezbędnego oprogramowania, a także po uprzednim dokonaniu ich aktywacji, Regulamin przewidywał również procedurę identyfikacji Posiadacza rachunku, sprowadzającą się do weryfikacji użytych identyfikatorów (podstawowego i dodatkowego) i haseł (§ 28 ust. 2).
Identyfikator, hasła do kanałów dostępu oraz hasła jednorazowe: (1) przeznaczone były wyłącznie dla Posiadacza rachunku, (2) nie mogły być ujawniane w żadnej formie, treści ani postaci osobom trzecim, w tym członkom rodziny, (3) nie były znane organom ani pracownikom Banku, jak również innym podmiotom działającym na zlecenie Banku, (4) były nadawane z zachowaniem procedur zapewniających zachowanie ich w poufności z wykorzystaniem programów komputerowych, a uzyskanie informacji o jednym z nich nie pozwalało na równoczesne uzyskanie informacji o innym (§ 38 ust. 3). Jednocześnie Posiadacz rachunku zobowiązany był do podjęcia niezbędnych środków służących zapobieżeniu naruszeniu indywidualnych zabezpieczeń identyfikatora, hasła oraz haseł jednorazowych, w szczególności zobowiązany był do ich przechowywania z zachowaniem należytej staranności (§ 38 ust. 4). Nadto Bank miał prawo do zablokowania dostępu do rachunku w wypadku m. in. podejrzenia nieuprawnionego dostępu do rachunku przez osobę trzecią (§ 39 ust. 4 punkt 2), a także zastrzegł sobie prawo odmowy wykonania dyspozycji, w tym zlecenia płatniczego, gdy zaistniałe okoliczności uzasadniały wątpliwości co do tożsamości osoby składającej dyspozycję lub jej autentyczności lub zgodności z przepisami powszechnie obowiązującego prawa (§ 39 ust. 8).
Posiadacz rachunku zobowiązany był do należytego zabezpieczenia narzędzi i urządzeń, z których korzystał w celu uzyskania dostępu do rachunku, w szczególności poprzez: (1) nieomijanie fabrycznych zabezpieczeń urządzeń telekomunikacyjnych, (2) zainstalowanie na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego, (3) pobranie aplikacji mobilnej w sposób wskazany przez Bank, (4) dokonywanie aktualizacji zainstalowanego na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego (§ 41 ust. 1). Niezachowanie przez Posiadacza rachunku należytej staranności było jednoznaczne z wyłączeniem odpowiedzialności Banku z tytułu szkód związanych z postępowaniem Posiadacza rachunku w sposób sprzeczny z postanowieniami ust. 1, które wystąpiły z powodu okoliczności niezawinionych przez Bank (§ 41 ust. 2).
W dniu 26 października 2012 r. o godzinie 10:26:47 nastąpiło zalogowanie z adresu IP (...) do serwisu transakcyjnego Banku (...). Podczas tej sesji, o godzinie 10:39:58 zablokowano dostęp do (...) poprzez podjęcie trzykrotnej nieudanej próby zmiany hasła. Po zakończonej sesji, o godzinie 10:40:54 miało miejsce zalogowanie do (...), podczas którego dokonano ustawienia nowego hasła do (...).
Dnia 26 października 2012 r. o godzinie 10:33:19 nastąpiło zalogowanie (przy wykorzystaniu identyfikatora i telekodu) do (...), podczas którego – osoba podająca się za K. K. – dokonała procedury zmiany numeru telefonu komórkowego z dotychczasowego numeru (...) na nowy numer (...) Konsultantka (...), po zadaniu osobie dzwoniącej dodatkowych pytań weryfikacyjnych i uzyskaniu poprawnych odpowiedzi, dokonała ręcznej aktualizacji (z uwagi na pojawiające się problemy z systemem) numeru telefonu. Po dokonanej zmianie została wysłana wiadomość SMS na numer telefonu K. K. ((...)) potwierdzający dokonanie aktualizacji danych, która to informacja została przez nią odczytana (z uwagi na wyciszone dźwięki) dopiero późnym wieczorem, ale potraktowana została jako kolejny „błąd systemu”. Zmiana numeru telefonu dokonywana była w trakcie trwania sesji w (...) rozpoczętej o godzinie 10:26:47.
W tym samym dniu 26 października 2012 r. o godzinie 10:41:19 nastąpiło ponowne zalogowanie z adresu IP (...) do (...) Podczas tej sesji, o godzinie 10:41:47 dokonano przelewu wewnętrznego środków pieniężnych pomiędzy rachunkami bankowymi prowadzonymi w (...), a następnie o godzinie 10:42:11 dokonano nieautoryzowanego przelewu na rachunek bankowy o numerze (...) w kwocie 128.979,89 zł.
Klient pozwanego Banku, chcąc dokonać zmiany dotychczas stosowanego numeru telefonu, mógł to zrobić poprzez uprzednie zalogowanie się do (...) (dzwoniąc na (...)) przy zastosowaniu identyfikatora i znanego tylko klientowi statycznego telekodu. Następnie pracownik Banku dokonywał dodatkowej weryfikacji osoby dzwoniącej poprzez zadanie jej pytań dotyczących informacji ściśle związanych z danymi osobowymi konkretnego klienta. Jednocześnie po stronie Banku nie istniał obowiązek, przy zleceniu zmiany dotychczas stosowanego numeru telefonu, każdorazowego oddzwaniania do klienta na podany we wniosku o otwarcie rachunku bankowego numeru telefonu.
Obowiązek taki spoczywał na pracowniku Banku wyłącznie w sytuacji, gdy dokonywano aktywacji dostępu do zablokowanego kanału (...). Procedura identyfikacji w przypadku dokonania zlecenia drogą telefoniczną polegała wówczas na sprawdzeniu, czy posiadacz wykonuje połączenie z podanego uprzednio numeru telefonu. W takim przypadku system Banku automatycznie oddzwaniał do klienta na podany przez niego numer telefonu, przy czym posiadacz rachunku miał możliwość podania jedynie numeru domowego, komórkowego lub do pracy. Podczas rozmowy stanowiącej kolejny etap weryfikacji tożsamości posiadacza, zlecającemu dokonanie dyspozycji miały zostać zadane pytania dotyczące jego danych osobowych.
Z kolei logując się z komputera do systemu bankowości elektronicznej klient Banku musiał dokonać poprawnej autoryzacji za pomocą identyfikatora, przypisanego do konkretnego użytkownika nadawanego przez Bank i statycznego hasła, znanego tylko klientowi. Jednocześnie Bank nie zna haseł poszczególnych klientów, albowiem w bazach Banku przechowywane są wyłącznie skróty z haseł, na podstawie których Bank stwierdza, czy wpisywane hasło jest prawidłowe. Przelew środków na rachunek innego użytkownika wymagał autoryzacji transakcji dokonywanej zależnie od metody autoryzacji wybranej przez użytkownika, mianowicie poprzez kod wysyłany SMS’em lub kod z papierowej karty dostarczanej użytkownikowi. K. K. stosowała autoryzację za pomocą kodów wysyłanych SMS’ami, które generowane były przez Bank za pomocą bramki SMS’owej i dostarczane za pomocą operatora telefonicznego.
Dokonana dnia 26 października 2012 r. operacja została wykonana w sposób wyglądający na poprawny, nie było błędów przy logowaniu. Bank wprawdzie stosował oprogramowanie antyfraudowe, które bada anormalne działania na kontach klientów, aczkolwiek w dacie zdarzenia nie pojawił się w systemie Banku alert dotyczący zlecenia podejrzanej operacji. Zlecona operacja została potwierdzona wysłanym SMS’em kodem jednorazowym na zmieniony uprzednio numer telefonu, a kod ten został poprawnie użyty dla potwierdzenia wykonywanego przelewu.
Tym samym osoby, które wykonały przedmiotowy przelew musiały znać identyfikator użytkowania, hasło do serwisu internetowego, telekod oraz dane osobowe K. K., tj. jej numer PESEL, nazwisko panieńskie matki, imię ojca i miejsce urodzenia. Osoby trzecie mogły wejść w posiadanie numeru klienta i hasła do serwisu internetowego, podsłuchując je chociażby złośliwym oprogramowaniem typu (...) (rejestrującym i wysyłającym „w świat” kolejne naciśnięcia klawiszy), wyłudzić wirusem udającym serwis internetowy banku lub przez podstawioną stronę internetową, na którą trafia się poprzez list elektroniczny rozsyłany w kampanii phishingowej. Na gruncie rozpoznawanej sprawy nie sposób było jednoznacznie rozstrzygnąć, w jaki sposób przeprowadzono serię czterech zmian telekodu na przełomie 2010 i 2011 r. Nie ulegało natomiast wątpliwości, iż osoba, która 26 października 2012 r. dokonała zmiany numeru telefonu musiała znać telekod, który został zmieniony ponad półtora roku wcześniej, tj. 7 marca 2011 r. Dodatkowo pewnym było, że do uzyskania telekodu musiały zostać wykorzystane SMS’y autoryzacyjne przesyłane na numer telefonu K. K..
K. K. logowała się na stronę internetową Banku przeważnie z używanego wyłącznie w warunkach domowych komputera osobistego, na którym zainstalowany był legalny system operacyjny W. (...) (regularnie aktualizowany) oraz aktualne oprogramowanie antywirusowe firmy (...). Jednocześnie powódka nie zleciła i nie autoryzowała osobiście dokonanych przelewów, nie udostępniła nikomu danych pozwalających zalogować się do jej rachunku bankowego drogą elektroniczną. Powódka nie podawała nikomu hasła logowania do Banku, nawet jej mąż nie znał tego hasła.
Prowadzone w kierunku przestępstwa oszustwa postępowanie karne doprowadziło jedynie do ujawnienia tożsamości osób, które założyły w pozwanym Banku rachunki bankowe, na które to rachunki transferowano następnie środki pieniężne. Organy ścigania nie zdołały natomiast ustalić sprawców, którzy dzięki pokonaniu zabezpieczeń Banku złożyli dyspozycję przelewu środków zgromadzonych na rachunku bankowym K. K..
Zaistniałe zdarzenie zgłoszone zostało Bankowi w ramach uruchomionej procedury reklamacyjnej, która nie przyniosła spodziewanego przez powódkę rezultatu. Jednocześnie w dniu 14 grudnia 2012 r. K. K. przedstawiła (...) Spółce Akcyjnej z siedzibą w Ł. wolę negocjacji zaproponowanych uprzednio warunków odnośnie rozwiązania reklamacji drogą ugody, wskazując na konieczność zwrotu – w terminie trzech dni od daty otrzymania pisma – nie tylko równowartości kwoty ukradzionej z jej konta, ale także wypłaty odsetek za miesiąc październik i listopad 2012 r. oraz zadośćuczynienia za straty moralne i zdrowotne w kwocie 10.000 zł, która to propozycja, otrzymana 14 grudnia 2012 r., pozostawiona została przez Bank bez odpowiedzi.
W dniu 20 sierpnia 2013 r. K. K., informując o zaistniałej sytuacji Komisję (...) z siedzibą w W., wezwała (...) Spółkę Akcyjną z siedzibą w Ł. do zapłaty kwoty 128.979,89 zł wraz z ustawowymi odsetkami za zwłokę w kwocie 10.611,69 zł w terminie 7 dni pod rygorem skierowania sprawy na drogę postępowania sądowego. Podjęta próba odzyskania utraconych środków po raz kolejny nie przyniosła jednak rezultatu.
Powyższy stan faktyczny Sąd Okręgowy ustalił na podstawie dokumentów zgromadzonych w aktach sprawy, a także dokumentów zgromadzonych w aktach postępowania przygotowawczego w sprawie (...) Wszystkie dokumenty zostały sporządzone przez kompetentne osoby w ramach wykonywanych przez nie czynności, a strony w toku rozprawy nie kwestionowały ich prawdziwości. Sąd I instancji dokonując ich kontroli od strony formalnej i zawartości merytorycznej również nie dopatrzył się uchybień ani śladów wskazujących na ich fałszowanie przez podrabianie lub przerabianie.
Podstawę ustaleń faktycznych stanowiły również zeznania K. K. oraz zeznania przesłuchanych w sprawie świadków. Zeznania te Sąd I instancji uznał za wiarygodne w całości. Sąd dokonywał również ustaleń w oparciu o opinie biegłego sądowego A. Z., które ostatecznie nie były kwestionowane przez żądną ze stron.
Przy takich ustaleniach Sąd uznał, że powództwo zasługuje na uwzględnienie w całości.
W pierwszej kolejności Sąd Okręgowy przypomniał treść art. 725 k.c. i wyjaśnił, że zawarcie umowy rachunku bankowego powoduje, że środki pieniężne posiadacza przechodzą na własność banku. Następnie wskazał, że zgodnie z treścią art. 726 k.c. bank może obracać czasowo wolne środki pieniężne zgromadzone na rachunku bankowym z obowiązkiem ich zwrotu w całości lub w części na każde żądanie, chyba że umowa uzależnia obowiązek zwrotu od wypowiedzenia. Wynikające z umowy uprawnienie posiadacza rachunku stanowi wierzytelność do banku każdocześnie wymagalną, a jej rozmiary wskazuje stan konta. Z chwilą realizacji wierzytelności, przez zwrot środków pieniężnych, posiadacz rachunku odzyskuje ich posiadanie i także własność, bądź inne prawo rzeczowe lub obligacyjne, które było z nimi związane przed zdeponowaniem. Reasumując, Sąd wskazał, że pomimo wyłudzenia przez osobę nieuprawnioną mienia stanowiącego własność banku, nie dojdzie do powstania szkody po stronie posiadacza rachunku, gdyż bank nadal pozostanie zobowiązany do zaspokojenia jego wierzytelności w pełnej wysokości ze swoich środków. Ochronę wierzytelności gwarantują posiadaczowi przepisy prawa cywilnego, finansowego i oparta na nich umowa z bankiem (postanowienie Sądu Najwyższego z dnia 28 kwietnia 2016 r., sygn. akt I KZP 3/16, Legalis nr 1442847). Ze swojego długu wobec posiadacza rachunku bank nie zwolni się nawet wtedy, gdy dochowa należytej staranności przy dokonywaniu wypłaty osobie nieuprawnionej.
Tym samym Sąd Okręgowy przypomniał, że zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności, w związku z czym wszelkie próby interpretacji przez banki postanowień zawartych w stosowanych przez nie wzorcach umownych, zmierzające do zaniżania standardów bezpieczeństwa powierzonych bankowi środków pieniężnych, powinny być oceniane jako zachowania sprzeczne z dobrymi obyczajami i celem umowy rachunku bankowego (tak też: wyrok Sądu Najwyższego z 14 kwietnia 2003 r., sygn. akt I CKN 308/01, Legalis nr 61218).
Ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Ma to ten skutek, że równoległą podstawą odpowiedzialności banku jest ustawa z 19 sierpnia 2011 r. o usługach płatniczych (t. jedn. Dz. U. z 2014 r., poz. 1175 ze zm., dalej jako: ustawa o usługach płatniczych). Ustawa o usługach płatniczych przewiduje generalną zasadę, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Zgodnie z treścią art. 46 ust. 1 powołanej ustawy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Przepis art. 45 ust. 1 powołanej ustawy stanowi, że ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika spoczywa na dostawcy tego użytkownika, przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego (art. 45 ust. 2 ustawy o usługach płatniczych).
Zobowiązanie banku jako profesjonalnego podmiotu jest determinowane poprzez ustawowe obowiązki wskazane m. in. w art. 43 ust. 1 ustawy o usługach płatniczych. Zdaniem Sądu Okręgowego pozwany Bank nie wywiązał się z ich wypełnienia w stosunku do powódki K. K.. W szczególności nie zapewnił, by indywidualne zabezpieczenia instrumentu płatniczego nie były dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu. Gdyby zabezpieczenia transakcji elektronicznych stosowane przez pozwany Bank były właściwe, nie doszłoby do dokonania na rachunku K. K. transakcji przez nieuprawnione do tego osoby. Sąd dodał też, że takich przypadków – jak w rozpoznawanej sprawie – było w pozwanym Banku znacznie więcej, co świadczy o tym, że zabezpieczenia stosowane przez stronę pozwaną nie były właściwe.
Zobowiązanie Banku względem posiadacza rachunku kształtuje również przepis art. 50 ust. 2 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t. jedn. Dz. U. z 2012 r., poz. 1376 ze zm.), który stanowi, iż bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W ocenie Sądu I instancji w niniejszym przypadku Bank nie dołożył szczególnej staranności w tym zakresie.
Sąd wskazał też, że stosownie do dyspozycji przepisu art. 46 ust. 3 ustawy o usługach płatniczych płatnik (w niniejszym przypadku K. K.) odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 przywołanej ustawy.
Według Sądu Okręgowego K. K. jako klientka (...) nie naruszyła obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych umyślnie lub wskutek rażącego niedbalstwa. Sąd podkreślił też, iż powódkę nie mogły wiązać te postanowienia Regulaminu otwierania i prowadzenia rachunków oszczędnościowo-rozliczeniowych i oszczędnościowych w (...), które były dla niej mniej korzystne niż przepisy ustawy o usługach płatniczych. Zgodnie bowiem z treścią art. 8 ust. 1 ustawy o usługach płatniczych postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego nie mogą być mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy, chyba że ustawa stanowi inaczej. Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy są nieważne zamiast nich stosuje się odpowiednie przepisy ustawy (art. 8 ust. 2 ustawy o usługach płatniczych). Wprowadzenie tym samym przez pozwany Bank mniej korzystnych dla klienta regulacji niż ustawowe stanowi naruszenie przepisu art. 8 ust. 1 ustawy o usługach płatniczych, prowadząc do nieważności regulaminowych postanowień dotyczących wyłączenia odpowiedzialności Banku za skutki wynikłe z użycia identyfikatora oraz haseł dostępu przez osoby trzecie (por. wyrok Sądu Apelacyjnego w Warszawie z 23 października 2012 r., sygn. akt VI ACa 552/12, Legalis nr 739225).
Zdaniem Sądu Okręgowego powódce nie można było przypisać umożliwienia dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa. K. K. logowała się na stronę Banku przeważnie z używanego wyłącznie w warunkach domowych komputera osobistego, na którym zainstalowany był legalny system operacyjny W. (...) (regularnie aktualizowany) oraz aktualne oprogramowanie antywirusowe firmy (...). Jednocześnie powódka nie udostępniła nikomu danych pozwalających zalogować się do jej rachunku bankowego drogą elektroniczną, a także nie podawała nikomu hasła logowania do Banku, nawet jej mąż nie znał tego hasła. Tym bardziej, że w toku postępowania stwierdzono faktyczny brak możliwości określenia sposobu, w jaki osoby, które zrealizowały sporny przelew bankowy uzyskały dostęp do danych K. K.. Osoby trzecie mogły bowiem wejść w posiadanie numeru klienta i hasła do serwisu internetowego, podsłuchując je chociażby złośliwym oprogramowaniem typu (...) (rejestrującym i wysyłającym „w świat” kolejne naciśnięcia klawiszy), wyłudzić wirusem udającym serwis internetowy banku lub przez podstawioną stronę internetową, na którą trafia się poprzez list elektroniczny rozsyłany w kampanii phishingowej.
Tym samym K. K. nie naruszyła w żaden sposób obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych, a co za tym idzie, Sąd za bezzasadne uznał twierdzenie pozwanego, że powódka przyczyniła się do powstania szkody. Tym bardziej, że w toku prowadzonego postępowania nie udało się ustalić dokładnego sposobu działania osób, które doprowadziły do wyprowadzenia środków pieniężnych zgromadzonych na rachunku bankowym należącym do powódki, a wyłącznie konkretne ustalenia mogły stanowić podstawę ku temu, aby ocenić, czy – a jeżeli tak, to w jakim zakresie – K. K. przyczyniła się do powstania szkody po stronie Banku. Sąd wskazał, że ciężar dowodu w tym zakresie spoczywał na pozwanym, który nie sprostał obowiązkowi nałożonemu na niego z mocy art. 6 k.c. Jednocześnie powódka spełniła wynikający z art. 42 ust. 1 punkt 2 ustawy o usługach płatniczych obowiązek niezwłocznego zawiadomienia o zaistnieniu nieautoryzowanej transakcji płatniczej. Dlatego też pozwany Bank, stosownie do dyspozycji przepisu art. 46 ust. 1 ustawy o usługach płatniczych, był zobowiązany niezwłocznie zwrócić stronie powodowej kwotę nieautoryzowanej transakcji płatniczej w łącznej wysokości 128.979,89 zł.
Na podstawie ustaleń poczynionych w toku postępowania dowodowego, Sąd Okręgowy wskazał jedynie, że co najmniej niefrasobliwe ze strony powódki było zignorowanie informacji przesłanej SMS-em o zmianie numeru telefonu. Zdaniem Sądu, powódka niezwłocznie po odczytaniu wiadomości, a nastąpiło to wieczorem dnia 26 października 2012 r. powinna podjąć działania zgodnie z procedurą reklamacyjną. Zmiana numeru telefonu ma tak duże znaczenie dla obsługi rachunku bankowego, że dochowując należytej staranności, nie można ignorować tego typu informacji, nawet jeżeli jest podejrzenie, że stanowi ona „błąd systemu”. Jednakże posiadacz rachunku nie ma obowiązku ciągłego sprawdzania poczty elektronicznej. Zważywszy, że powódka przesłaną jej informację odczytała dopiero wieczorem, to brak jej działania pozostawał bez związku z wyprowadzeniem środków z jej rachunku bankowego. Przelew bowiem nastąpił przed godziną 11.00.
W zakresie żądania odsetkowego Sąd zastosował przepis art. 481 § 1 k.c., stąd też początkową datą rozpoczęcia biegu terminu odsetek jest 18 grudnia 2012 r. Natomiast od 1 stycznia 2016 r., zgodnie z aktualnym brzmieniem art. 481 k.c., powódce K. K. należały się odsetki ustawowe za opóźnienie.
Rozstrzygnięcie w przedmiocie kosztów procesu Sąd oparł na podstawie art. 108 § 1 zdanie drugie k.p.c.
Z wydanym rozstrzygnięciem nie zgodziła się strona pozwana, która zaskarżyła wyrok w całości, zarzucając naruszenie:
1. prawa procesowego, tj. przepisu art. 233 § 1 k.p.c. poprzez przyjęcie wbrew opinii biegłego informatyka, z której wynika, że bank stosuje właściwe zabezpieczenia, że pozwany nie zapewnił bezpieczeństwa środków na koncie powódki, wybiórcze rozważenie dowodów z pominięciem zeznań J. S. w części, w której dotyczyły one zabezpieczeń transakcji w kanale internetowym i nieodbiegania tych zabezpieczeń od stosowanych przez inne polskie banki, bezkrytyczne danie wiary zeznaniom powódki, podczas, gdy pozostają one w sprzeczności z opinią biegłego,
2. prawa materialnego, tj.
a. przepisu art. 725 k.c. w zw. z art. 50 ust. 1 prawa bankowego przez bezzasadne przyjęcie, że pozwany nie zachował należytej staranności w zakresie prowadzenia rachunku bankowego i zapewnienia bezpieczeństwa środków powódki, gdy z zeznań J. S., których Sąd nie kwestionował wynikało, ze środki na rachunkach banku są należycie zabezpieczone,
b. przepisu art. 362 k.c. przez przyjęcie, że powódka nie przyczyniła się do powstania szkody w jakiejkolwiek wysokości,
c. przepisu art. 45 ust. 2 ustawy o usługach płatniczych przez nieuzasadnione przyjęcie, że transakcja nie została autoryzowana.
Wskazując na powyższe zarzuty, strona pozwana wniosła o zmianę wyroku i oddalenie powództwa oraz zasądzenie kosztów postępowania za obie instancje.
Sąd Apelacyjny zważył co następuje:
Apelacja banku jest niezasadna.
Sąd Apelacyjny podziela i przyjmuje za własny ustalony przez Sąd I instancji stan faktyczny. Ustalenia poczynione przez Sąd Okręgowy, jako znajdujące oparcie w zgromadzonym w sprawie materiale dowodowym uznać należało za prawidłowe.
W doktrynie i judykaturze panuje zgoda co do tego, że z uwagi na przyznaną sądowi swobodę w ocenie zgromadzonego w sprawie materiału dowodowego, zarzut naruszenia przepisu art. 233 § 1 k.p.c. może być uznany za zasadny jedynie wtedy, gdy podstawą rozstrzygnięcia uczyniono rozumowanie sprzeczne z zasadami logiki bądź wskazaniami doświadczenia życiowego. Dlatego w sytuacji, gdy na podstawie zgromadzonych dowodów możliwe jest wyprowadzenie konkurencyjnych wniosków co do przebiegu badanych zdarzeń, dla podważenia stanowiska orzekającego sądu nie wystarcza twierdzenie skarżącego o wadliwości poczynionych ustaleń odwołujące się do stanu faktycznego, który w przekonaniu skarżącego odpowiada rzeczywistości. Konieczne jest wskazanie jakich to konkretnie uchybień w ocenie dowodów dopuścił się orzekający sąd naruszając w ten sposób opisane wyżej kryteria, wiążące w ramach swobodnej oceny dowodów (tak np. wyrok Sądu Apelacyjnego w Poznaniu z dnia 09 kwietnia 2008r., I ACa 205/08, w którym stwierdzono: „Fakt, że określony dowód został oceniony niezgodnie z intencją skarżącego, nie oznacza naruszenia art. 233 § 1 k.p.c. Ocena dowodów należy bowiem do sądu orzekającego i nawet w sytuacji, w której z dowodu można było wywieść wnioski inne niż przyjęte przez sąd, nie dochodzi do naruszenia art. 233 § 1 k.p.c.”; czy wyrok Sądu Najwyższego z dnia 16 grudnia 2005r., III CK 314/05, w którego tezie stwierdzono, że: „Do naruszenia przepisu art. 233 § 1 k.p.c. mogłoby dojść tylko wówczas, gdyby skarżący wykazał uchybienie podstawowym regułom służącym ocenie wiarygodności i mocy poszczególnych dowodów, tj. regułom logicznego myślenia, zasadzie doświadczenia życiowego i właściwego kojarzenia faktów”. Odnosząc powyższe do stanowiska skarżącego banku uznać trzeba, iż nie sprostał on opisanym wymogom formułowania analizowanego zarzutu, a jego stanowisko jest wyrazem polemiki ze stwierdzeniami Sądu Okręgowego przyjętymi u podstaw zaskarżonego wyroku, iż spornej transakcji nie można uznać za autoryzowaną w świetle przepisów ustawy o usługach płatniczych oraz że powódka nie naruszyła zasad bezpieczeństwa korzystania z systemów informatycznych w sposób rażący, w kontekście korzystania z bankowości elektronicznej i że posiadała działające aktualnie oprogramowanie, w tym również antywirusowe, zainstalowane na komputerze, a ponadto że nie udzielała nikomu informacji jakie ma hasła i kody zabezpieczające dostęp do konta.
Zarzuty wadliwej oceny dowodów dla swej skuteczności powinny wskazywać konkretne uchybienia, jakich dopuścił się orzekający sąd, naruszając tym samym zasady logicznego rozumowania bądź wskazania doświadczenia życiowego. Dla wzruszenia przyjętej oceny nie jest wystarczające wyłącznie odmienne zapatrywanie skarżącego odnośnie wartości poszczególnych z przeprowadzonych dowodów oraz wniosków możliwych do wyprowadzenia, gdy chodzi o podstawę faktyczną rozstrzygnięcia. Formułując zarzut naruszenia przez Sąd Okręgowy regulacji przepisu art. 233 § 1 k.p.c. i w efekcie błędnego ustalenia co do okoliczności wykonywania transakcji obciążającej konto powódki, tak opisanym wymogom skarżący nie sprostał. Stanowisko Sądu Okręgowego zaprezentowane w uzasadnieniu nie budzi zastrzeżeń, wobec czego pozostaje pod ochroną prawa w zgodzie z art. 233 § 1 k.p.c. Rozważania dotyczące materiału dowodowego nie były wybiórcze, a okoliczność, że pozwany bank stosuje takie same rozwiązania jak inne polskie banki nie usprawiedliwia poglądu, że są to zabezpieczenia stuprocentowo pewne i właściwe. Wprawdzie przekonany był o tym świadek J. S. – informatyk pracujący w banku, jednak już on sam wskazywał, że wie o innych przypadkach złamania zabezpieczeń i kradzieży środków z kont (...). Okoliczność nieprawidłowego zabezpieczenia środków powódki została wykazana w pełni za pomocą opinii biegłego, który wskazał jakiego mechanizmu użyto, aby dokonać nieautoryzowanej transakcji. Z samej opinii wynikało też, że pomimo zabezpieczeń istnieje możliwość dokonania wypłaty środków z konta przez osoby postronne, zatem też zaistniałe fakty nie potwierdziły twierdzeń banku o pewności jego zabezpieczeń. W tym zakresie ocena zeznań w/w świadka w zestawieniu z opinia biegłego również była prawidłowa.
Przedstawione przez skarżącego zarzuty naruszenia prawa materialnego, tj. przepisów art. 45 ust. 2 ustawy o usługach płatniczych oraz art. 725 k.c. i art. 50 ust. 1 prawa bankowego również nie są zasadne. Sąd Okręgowy ma rację, że zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności, w związku z czym wszelkie próby interpretacji przez banki postanowień zawartych w stosowanych przez nie wzorcach umownych, zmierzające do zaniżania standardów bezpieczeństwa powierzonych bankowi środków pieniężnych, powinny być oceniane jako zachowania sprzeczne z dobrymi obyczajami i celem umowy rachunku bankowego (tak Sąd Najwyższy w wyroku z dnia 14 kwietnia 2003 r., I CKN 308/61) - na to orzeczenie powołał się zresztą Sąd I instancji w uzasadnieniu. Ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Ma to ten skutek, że równoległą podstawą odpowiedzialności banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 r., co również trafnie zauważył Sąd Okręgowy.
Ustawa ta przewiduje generalną zasadę, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Zgodnie z przepisem art. 46 ust. 1 powołanej ustawy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcją płatnicza. Przepis art. 45 ust. 1 powołanej ustawy stanowi, że ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika spoczywa na dostawcy tego użytkownika, przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie i wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych.
Zobowiązanie banku jako profesjonalnego podmiotu jest zatem determinowane poprzez ustawowe obowiązki wskazane m.in. w art. 43 ust. 1 ustawy o usługach płatniczych. Pozwany bank nie wywiązał się z ich wypełnienia w stosunku do powódki. W szczególności nie zapewnił, by indywidualne zabezpieczenia instrumentu płatniczego nie były dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu. Gdyby bowiem zabezpieczenia transakcji elektronicznych stosowane przez pozwanego były właściwe, nie doszłoby do dokonania na rachunku powódki transakcji przez nieuprawnione do tego osoby.
Obowiązki Banku względem posiadacza rachunku kształtuje również przepis art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jednolity Dz.U. Nr 72 z 2002 r., poz. 665 ze zmianami), który stanowi, iż bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W ocenie Sądu Apelacyjnego w niniejszym przypadku Bank nie dołożył szczególnej staranności w tym zakresie.
Za Sądem Okręgowym przypomnieć trzeba, że zgodnie z przepisem art. 46 ust. 3 ustawy o usługach płatniczych, płatnik (w niniejszym przypadku powódka) odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jedynie wtedy gdy doprowadzi do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych.
Wbrew zarzutom apelacji prawidłowo ocenił Sąd Okręgowy, że powódka jako klient banku nie naruszyła obowiązków, o których mowa w art. 42 w/w ustawy umyślnie lub wskutek rażącego niedbalstwa, tym samym nawet nie przyczyniła się do powstania szkody, co sugeruje apelujący. Zdaniem Sądu Apelacyjnego powódce nie można przypisać umożliwienia dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa. Komputer powódki posiadał aktualne i legalne oprogramowanie, w tym zainstalowane oprogramowanie antywirusowe. Powódka nigdy nie udostępniała identyfikatora, hasła ani innych danych osobom trzecim, co istotne hasła nie znał nawet jej mąż. Innych okoliczności w tych kwestiach bank nie wykazał, choć twierdził w trakcie całego postępowania, że powódka udzielała informacji odnośnie zabezpieczeń konta. Tymczasem w dniu 26 października 2012 r. powódka nie wykonywała żadnych czynności w systemie bankowości internetowej, a pomimo tego doszło do zalogowania się w bankowym systemie internetowym na rachunku powódki, po zmianie hasła, poprzedzonej uprzednią trzykrotną nieudaną próbą zmiany hasła. Z adresu mailowego powódki dokonano też zmiany numeru telefonu, co pozwoliło na dokonanie transakcji. Dokonanie przelewu całej zgromadzonej przez powódkę kwoty z jej rachunku bankowego nastąpiło na rachunek bankowy przypisany do zdefiniowanego uprzednio odbiorcy przelewu, bez jakiegokolwiek udziału powódki i bez autoryzacji przez powódkę. Słusznie ocenił zatem Sąd Okręgowy, że trudno w takiej sytuacji postawić powódce zarzut umyślnego doprowadzenia do nieautoryzowanej transakcji bądź umyślnego lub na skutek rażącego niedbalstwa naruszenia obowiązków wynikających z treści art. 42 ustawy o usługach płatniczych. Tym bardziej, że kolejnego dnia, po otrzymaniu informacji, że nie posiada na koncie nawet 50 zł, poczęła ona niezwłocznie wyjaśniać okoliczności zdarzenia.
Sąd Apelacyjny zgadza się również z twierdzeniami Sądu Okręgowego, iż powódki nie wiążą te postanowienia umowy i regulaminu odnośnie rachunków oszczędnościowych - rozliczeniowych, które są dla niej mniej korzystne niż przepisy ustawy o usługach płatniczych. Zgodnie bowiem z treścią art. 8 ust. 1 i 2 ustawy o usługach płatniczych „postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego nie mogą być mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy, chyba że ustawa stanowi inaczej. Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy są nieważne zamiast nich stosuje się odpowiednie przepisy ustawy". Zatem przepis art. 46 ustawy o usługach płatniczych jest przepisem szczególnym, regulującym odpowiedzialność banku w przypadku wystąpienia nieautoryzowanej transakcji płatniczej. Odpowiedzialność banku za taką transakcję jest uchylona jedynie, co już podkreślano, w razie doprowadzenia do nieautoryzowanej transakcji przez klienta w sposób umyślny lub wskutek umyślnego albo stanowiącego rażące niedbalstwo naruszenia obowiązków, o których mowa w art. 42. W sytuacji określonej w art. 46 ust. 2 w/w ustawy (m.in. naruszenia obowiązku o którym mowa w art. 42 ust. 2, nie noszącego cech umyślności ani rażącego niedbalstwa) płatnik odpowiada za nieautoryzowane transakcje płatnicze. W przedmiotowej sprawie sytuacja taka nie wystąpiła, bank zatem nie może uwolnić się od odpowiedzialności. Powódka w najmniejszym nawet stopniu nie przyczyniła się do pozbawienia środków z jej konta, była oburzona takimi insynuacjami, a zatem również zarzut naruszenia przepisu art. 362 k.c. nie znalazł odzwierciedlenia w materiale dowodowym.
Warto też przypomnieć, że transakcję płatniczą uważa się za autoryzowaną tylko wówczas, jeżeli płatnik wyraził zgodę na jej wykonanie, przy czym zlecenie płatnicze nie może zostać odwołane od chwili jego otrzymania przez bank. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy, czyli na banku. Autoryzacja to zatem nic więcej jak wyrażenie zgody na wykonanie transakcji, przy czym sposoby autoryzacji określać będzie umowa łącząca posiadacza rachunku i bank. Umowa sformułowana została przez bank i skoro zapewnił on posiadacza rachunku, że na każde wezwanie wypłaci zgromadzone na rachunku środki musi obecnie tak uczynić, bowiem dokonanie wypłaty na rzecz innych osób, stanowiło nienależytą realizację umowy. Co więcej w tej sprawie były przesłanki sugerujące, ze ktoś chce dokonać zmian w zabezpieczeniach konta powódki i trzykrotne nieudane logowania, następnie zmiany hasła i numeru konta w krótkim czasie nie wzbudziły podejrzeń banku, że coś nieprawidłowego dzieje się na koncie powódki. Jeśli już zatem stawiać którejkolwiek ze stron zarzut rażącego naruszenia swoich obowiązków, to należałoby się zastanowić, dlaczego bank nie zareagował w takiej sytuacji, zwłaszcza, gdy okazało się, że IP komputera było inne, niż te, z którego powódka zasadniczo dokonywała transakcji.
Prawidłowo zatem uznał Sąd Okręgowy, że żądanie zwrotu środków w wysokości dochodzonej pozwem pozostawało w pełni uzasadnione, a swą podstawę znalazło w przepisie art. 46 ust. 1 ustawy o usługach płatniczych i kontrakcie wiążącym strony.
Sąd Apelacyjny nie widzi też przeszkód, aby stawka wynagrodzenia pełnomocnika zawodowego powódki została ustalona jako dwukrotność minimalnego wynagrodzenia. Sprawa nie jest łatwa pod względem merytorycznym, wymagała przesłuchania kilku osób, zapoznania się z aktami cywilnymi, aktami z postępowania przygotowawczego i karnymi, zaznajomienia się z opinią, zatem nakład pracy pełnomocnika był duży i uzasadniał podwyższenie wynagrodzenia. Takiego wynagrodzenia żądał też przeciwnik procesowy, czyli bank, jako pierwszy wskazując, że powinno stanowić ono dwukrotność minimalnej stawki.
Mając powyższe na względzie, Sąd Apelacyjny, działając na podstawie przepisu art. 385 k.p.c. oddalił apelację jako bezzasadną.
O kosztach postępowania apelacyjnego orzeczono na podstawie przepisów art. 98 § 1 i § 3 k.p.c., w zw. z art. 108 § 1 k.p.c., zasądzając od przegrywającego pozwanego na rzecz powódki kwotę stanowiącą wynagrodzenie pełnomocnika zawodowego stosownie do rozporządzenia Ministra Sprawiedliwości obowiązującego w dacie wniesienia apelacji.
SSO (del) Anna Strączyńska SSA Katarzyna Polańska-Farion SSA Dorota Markiewicz