Sygn. akt I C 334/20
posiedzenia niejawnego
Dnia 15 lutego 2022r.
Sąd Rejonowy w Nowym Sączu I Wydział Cywilny
w składzie następującym:
Przewodniczący: Sędzia Grażyna Poręba
na posiedzeniu niejawnym rozpoznał sprawę z powództwa B. S.
przeciwko (...) Bank (...) S.A. z siedzibą w W.
o zapłatę
Posiedzenie rozpoczęto o godz. 14.00 zakończono o godz. 14.20
Strony na posiedzenie nie stawiły się – niezawiadomione.
Sad postanowił:
1) uznać sprawę za wyjaśnioną do rozstrzygnięcia,
2) na podstawie art. 15 zzs 2 ustawy z dnia 2 marca 2020r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID -19 zamknąć rozprawę i wydać wyrok na posiedzenie niejawnym.
Przewodniczący:
Sygn. akt I C 334/20
Dnia 15 lutego 2022r.
Sąd Rejonowy w Nowym Sączu I Wydział Cywilny w składzie następującym:
Przewodniczący: Sędzia Grażyna Poręba
po rozpoznaniu na posiedzeniu niejawnym w dniu 15 lutego 2022r.
w N.
sprawy z powództwa B. S.
przeciwko (...) Bank (...) S.A. z siedzibą w W.
o zapłatę
I. zasądza od pozwanego (...) Bank (...) S.A. z siedzibą w W. na rzecz powódki B. S. kwotę 9.760 zł. ( dziewięć tysięcy siedemset sześćdziesiąt ) z odsetkami ustawowymi za opóźnienie od dnia 27 maja 2017r. do dnia zapłaty,
II. zasądza od pozwanego (...) Bank (...) S.A. z siedzibą w W. na rzecz powódki B. S. kwotę 2.317 zł. ( dwa tysiące trzysta siedemnaście ) tytułem zwrotu kosztów procesu.
1. odnotować wyrok,
2. odpis wyroku doręczyć pełn. stron,
3. kal. 7 dni.
4. po prawomocności zwrócić pozwanemu niewykorzystaną zaliczkę k. 154, biegły nie przedstawił rachunku.
Nowy Sącz 15 lutego 2022r. Sędzia Grażyna Poręba
Sygn. akt I C 334/20 upr.
wyroku z dnia 15 lutego 2022 roku
Powódka B. S. reprezentowana przez profesjonalnego pełnomocnika, w pozwie złożonym w dniu 3 lutego 2020r., domagała się od strony pozwanej (...) Bank S.A. z siedzibą w W. zapłaty kwoty 9.760 zł z odsetkami ustawowymi za opóźnienie od dna 19 maja 2017r. do dnia zapłaty oraz zasądzenia kosztów procesu, w tym kosztów zastępstwa prawnego według norm przypisanych (k.2-5, k.113-115, k.147-176, k.208).
W uzasadnieniu wskazała, że jest właścicielką rachunku bankowego nr (...). W dniu 18 maja 2017r. za pomocą bankowości elektronicznej wykonała przelewy na rzecz (...) S.A. oraz (...) sp. z.o.o. odpowiednio w kwotach po 29,93 zł oraz 166,94 zł. W tym samym dniu, bez jej zgody na przeprowadzenie operacji finansowej, doszło do przekazania środków w kwotach 4.999 zł oraz 4.800 zł gdzie w tytułach przelewu powoływano się na polisę nr (...) za miesiąc kwiecień (...). Niezwłocznie po tym powódka dokonała zgłoszenia tego faktu pozwanej jak również zgłosiła organom ścigania. Bank jednakże oświadczył, iż do momentu zakończenia postępowania prowadzonego przez organy ścigania nie może zająć stanowiska. Mimo interwencji Rzecznika (...), strona pozwana stanęła na stanowisku, iż jako instytucja prowadząca rachunek bankowy klienta nie ponosi odpowiedzialności za powstałe zdarzenie, tym bardziej, że powódka dopuściła się w tej kwestii rażącego niedbalstwa. Nie można jednak przyjąć, aby powódka jako konsument w ramach zobowiązania wynikającego z umowy z rachunku bankowego, wskutek ingerencji osób nieuprawnionych, ponosiła negatywne konsekwencje. Powódka wskazała, że na swoim komputerze posiadała oprogramowanie antywirusowe. Nie bez znacznie jest fakt, że powódka nie jest jedyną ofiarą czynu zabronionego. Podsumowując, w przedmiotowej sprawie doszło do nieautoryzowanych przez klienta transakcji co obliguje bank do zwrotu należności. Wskazała, że postępowanie przygotowawcze zostało umorzone z uwagi na niewykrycie sprawcy. Termin początkowy naliczania odsetek to dzień następny po dniu bezprawnie pobranej kwoty.
W dniu 18 lutego 2017 roku, sygn. I Nc 536/20 Referendarz sądowy wydał nakaz zapłaty w postępowaniu upominawczym, uwzględniając żądanie pozwu (k.49).
W sprzeciwie od nakazu zapłaty, strona pozwana (...) Bank (...) S.A. z siedzibą w W., reprezentowana przez profesjonalnego pełnomocnika, wniosła o oddalenie powództwa w całości i zasądzenie kosztów procesu, w tym kosztów zastępstwa prawnego według norm przypisanych (k.53-59, k.177).
W uzasadnieniu wywodziła, że prawdopodobnie w wyniku działania przestępców nastąpiło przekierowanie powódki na fałszywą stronę usług bankowości elektronicznej - bliżej nieidentyfikowaną, podstawioną, możliwe, że przypominjącą wyglądem stronę pozwanej. Przestępcy wyłudzili od powódki numer identyfikacyjny klienta oraz hasło i następnie dokonali modyfikacji odbiorcy zaufanego i limitu wielkości transakcji do odbiorców zaufanych. Wymaga jednakże podkreślenia, że osoby które wyłudzały te dane mogły jedynie zainicjować te czynności, albowiem ich zmiana musiała zostać odrębnie autoryzowana – potwierdzona przez powódkę wpisaniem kodów z widomości SMS. Pozwany dwukrotnie wysłał na wskazany przez powódkę w tym celu numer (...) dwie odrębne wiadomości zawierające smsKody autoryzacyjne. Co więcej, każda wiadomość posiada opis czynności jakie wskutek jego wpisania ma być autoryzowana. Dopiero ich wprowadzenie w bankowości elektrycznej prowadziło do zainicjowania wskazanych dyspozycji, co zostało przez pozwanego odnotowane. Zatem w sposób umówiony pomiędzy pozwanym a powódką, skutecznie autoryzowano dyspozycję modyfikacji danych odbiorcy zaufanego i zmiany limitu transakcji do odbiorców zaufanych. Od strony systemu pozwanego, wszystkie te czynności zostały wykonane w normalnym trybie czynności i nie różniły się niczym od tych typowanych autoryzacji. Mimo to, sprawca posiadał pełen dostęp do bankowości elektronicznej powódki i wykonał przelewy do odbiorców zaufanych, które już nie wymagały potwierdzenia kodem z sms. Wobec tych okoliczności pozwany nie ponosi żadnej odpowiedzialności, tym bardziej w sytuacji naruszenia zasad bezpieczeństwa przez powódkę. Strona pozwana nie odpowiada za operatora sieci telekomunikacyjnie, z którego logowała się powódka, a ze strony banku nie doszło do naruszenia bezpieczeństwa sieci. To na powódce ciążył obwiązek zainstalowania odpowiedniego oprogramowania antywirusowego czy zapory sieciowej, nie korzystania z linków do logowania rzekomo do bankowości, nie instalowania oprogramowania nieznanego pochodzenia, nie otwierania wiadomości od nieznanych nadawców (itp.) Nadto bank nie ma wpływu na to z jakich urządzeń powódka korzysta. Podkreślił, iż zgodnie z powszechnie obwiązującym prawem w tym międzynarodowym, na pozwanym banku w takiej sytuacji jak ta, ciąży wyłącznie obowiązek wykazania, że transakcja została uwierzytelniona, dokładnie zapisana i ujęta w księgach oraz że na transakcję nie miała wpływu awaria systemów banku. W tym przypadku, ujawnienie przestępcom treści loginu i hasła oraz kodów SMS, wskutek jej działania, stanowi naruszenie obowiązków i powinno być kwalifikowane jako rażące niedbalstwo. Nie bez znaczenia pozostaje również fakt, iż wcześniej w dniach 7 marca 2017r. i 22 marca 2017r. bank ostrzegał o możliwości zaistnienia sytuacji takiej jak opisana w pozwie oraz przekazał stosowne pouczenie, zasady działania.
Z ostrożności procesowej jak podał, pozwany podniósł zarzut przedawnienia.
Sąd ustalił, co następuje:
Powódka B. S. dnia 29 grudnia 2016r. zawarła z pozwanym - wówczas Bankiem (...) S.A. z siedzibą we W., obecnie (...) Bank (...) S.A. z siedzibą w W., umowę o świadczenie usług bankowych na podstawie której otwarty został rachunek walutowy a później rachunek złotówkowy o numerze (...), numer klienta (...). Wydano kartę bankomatową.
(bezsporne, a nadto historia rachunku – k.10, krs – k.101, autoryzacja dyspozycji – k.62 , zeznania powódki – nagranie rozprawy z dnia 29.07.2020r., 00:03:29-00:59:15, k.109-120, zeznania świadka M. P. (1) na piśmie – k.137-147 )
Bank zapewnił powódce dostęp do obydwu wskazanych powyżej rachunków za pośrednictwem systemu bankowości elektronicznej. Zgodnie z ustaleniami zmiana odbiorcy zaufanego oraz limitu kwotowego transakcji w bankowości elektronicznej wymagały uwierzytelnienia. Przelew na rachunek bankowy o wartości maksymalnie do 10.000 zł nie wymagał potwierdzenia smsKodem lub tokenem. W sytuacji dodania odbiorcy zaufanego (odbiorcy wskazanego przez klienta banku w usłudze (...) Internet na liście odbiorców), przelewy dokonane na jego rzecz przez klienta banku nie wymagały autoryzacji tych dyspozycji posiadanym przez klienta narzędziem autoryzacji.
W przypadku powódki, autoryzacja miała się odbywać poprzez wysłanie z systemu banku na numer telefonu powódki wskazany w umowie ( (...)) sms z kodem, który następnie należało wpisać w systemie bankowości elektronicznej.
(bezsporne, a nadto historia rachunku – k.10, krs – k.101, zasady korzystanie z usług bankowości elektronicznej – k.67- 100, autoryzacja dyspozycji – k.62, zeznania powódki – nagranie rozprawy z dnia 29.07.2020r., 00:03:29-00:59:15, k.109-120, zeznania świadka M. P. (1) na piśmie – k.137-147)
Zgodnie z obowiązującymi w tym czasie zasadami korzystania z usług bankowości elektronicznej (...), klient zobowiązany był w szczególności stosować się do zaleceń banku, z należytą stronnością chronić numer NIK, hasła PIN, dodatkowe hasło, smsKody i kody generowane przez token oraz telefon komórkowy, jeśli jego numer jest udostępniany bankowi w celu identyfikacji klienta lub autoryzacji jego dyspozycji.
Klient ponosił pełną odpowiedzialność za ich udostępnienie osobom trzecim.
W trakcie korzystania z usługi (...) Internet/mobile komunikacja między komputerem klienta a serwerem banku była szyfrowana protokołem (...) z zastosowaniem certyfikatu wystawionego i uwierzytelnionego dla serwera bankowego o nazwie (...) lub (...).pl. (...) zalogowaniem się klient, aby upewnić się, że rzeczywiście nawiązał połączenie z serwerem Banku, powinien był sprawdzić certyfikat serwera.
Klient nie powinien używać do logowania do usługi (...) Internet/mobile adresu lub linku przesłanego drogą elektroniczną np. w widomości email, sms, mms, albo za pomocą komunikatorów internetowych i innych narzędzi służących do komunikowania się w Internecie. Adres do logowania wskazany był wyłącznie w portalu banku a ponadto na oficjalnych stronach banku i programu S. U. w Polsce zamieszczonych w serwisie (...).com. W razie jego zmiany klient zostałby poinformowany komunikatem przesłanym na skrzynkę odbiorczą.
Klient zobowiązany był także do właściwego zabezpieczenia urządzeń (komputera, telefonu komórkowego, tabletu) z wykorzystaniem których uzyskuje dostęp do (...) oraz zobowiązany był do ich ochrony przed złośliwym oprogramowaniem lub dostępem osób nieuprawnionych poprzez: zainstalowanie na urządzeniu legalnego oprogramowania systemowego oraz antywirusowego i jego aktualizację, stosowania zapory sieciowej, nie instalowanie oprogramowania nieznanego pochodzenia, nie otwieranie i nie odpowiadanie na wiadomości email od nieznanych nadawców, nie otwieranie plików nieznanego pochodzenia.
W dniu 7 marca 2017r. do 22 marca 2017r. bank udostępniał w usługach (...) online wiadomości dotyczące ewentualnych zagrożeń związanych z wykorzystaniem bankowości elektronicznej.
(dowód: zasady korzystanie z usług bankowości elektronicznej – k.67- 100, komunikaty informacyjne –k66, 66/v, zeznania świadka M. P. (1) na piśmie – k.137-147 )
W dniu 20 kwietnia 2017r. powódka dokonała na rzecz (...) na rachunek bankowy o numerze 94 1030 1944 9000 0500 2074 6737 przelewu środków w kwocie 574,80 zł w tytule przelewu wskazując:” polisa nr (...) za miesiąc kwiecień (...) S.A., ul. (...), (...)-(...) W.”. Przelewy na rzecz tego podmiotu miały być wykonywane co pół roku, pierwszy w kwietniu 2017r.
(dowód: historia rachunku – k.10, zeznania powódki – nagranie rozprawy z dnia 29.07.2020r., 00:03:29-00:59:15, k.109-120, zeznania świadka M. P. (2) na piśmie – k.137-147)
Następnie w dniu 18 maja 2017r. po godz. 20:00 powódka, na swoim laptopie z aktualnym oprogramowaniem antywirusowym, celem uregulowania płatności na rzecz (...) w kwocie 29,93 zł oraz na rzecz (...) Obrót Detaliczny z.o.o. (...) w kwocie 166,94 zł, zalogowała się na platformę transakcyjną pozwanego banku, wykonując czynności takie jak zawsze. Wpisała numer identyfikacyjny klienta (NIK) – (...) oraz hasło. Wykonała przelewy w standardowy sposób. Środki zostały przekazane na rzecz T-M. oraz (...) Obrót Detaliczny z.o.o. (...). Do tego momentu saldo na rachunku powódki wynosiło 830,90 zł.
W tym czasie prawdopodobnie nastąpiło przekierowanie klienta na fałszywą stronę bankowości internetowej w celu przejęcia wpisywanych przez użytkownika danych oraz wyłudzenia narzędzi autoryzacji. Niewykluczone jednak, iż przejęcia danych nastąpiło w wyniku uruchomienia i działania złośliwego oprogramowania na którymś z urządzeń: laptopie lub telefonie. W każdym razie tego samego dnia, około godziny 20:37:12 nastąpiło zalogowanie się w systemie bankowości elektronicznej przez podanie numer NIK i hasła powódki. Około godziny 20:37:40 przygotowano modyfikację odbiorcy zaufanego o nazwie (...) S.A.”. O godz. 20:37:45 z systemu banku na numer + (...), został wysłany smsKod treści: „smsKod: (...) modyfikacja odbiorcy (...) S.A.”. O 20:38:10 wprowadzono poprawny smsKod i dokonano modyfikacji rachunku predefiniowanego. Zaraz po tym, o godz. 20:38:53 przygotowano zmianę limitu na 9999 zł. O 20:38:58 ponownie z banku został wysłany na numer telefonu jak poprzednio, autoryzujący smsKod o treści: „smsKod: (...) dla operacji: zmiana limitów transakcyjnych 18.05.2017 20:38”. O godz. 20:39:28 został poprawnie wprowadzony kod i dokonano modyfikacji limitu transakcji.
W tym dniu o godz. 21:48:40 ponownie zalogowano się przy użyciu NIK i hasła powódki do systemu bankowości elektronicznej pozwanego banku. Po czym o godz. 21:49:37 wykonano przelew na kwotę 4.999 zł na rachunek nr. (...), w tytule przelewu wskakując: „polisa nr (...) za miesiąc kwiecień (...) S.A., ul. (...), (...)-(...) W.”. O godz. 21:50:23 znów wykonano przelew na kwotę 4.800 zł na rachunek nr. (...), w tytule przelewu wskakując jak poprzednio: „polisa nr(...) za miesiąc kwiecień (...) S.A., ul. (...), (...)-(...) W.”. Dyspozycje te były wykonane w ramach zwiększonego wcześniej limitu. Nie wymagały autoryzacji smsKodem.
Powódka jednakże w tym czasie nie modyfikowała odbiorcy zaufanego ani nie zwiększała limitu. Nie wprowadziła również kodów wiadomości sms do tych transakcji. Nie miała wiedzy o dokonanych transakcjach.
Podobne operacje w tym dniu zostały odnotowane również u innych klientów pozwanego banku.
(dowód: historia rachunku – k.10, faktura (...) – k.8, faktura (...)k. 9, zeznania powódki – nagranie rozprawy z dnia 29.07.2020r., 00:03:29-00:59:15, k.109-120, zeznania świadka M. P. (1) na piśmie – k.137-147, opinia biegłego informatyka – k.160-161, zestawienie logowań do usług (...) online – k.65, autoryzacja dyspozycji – k.62-64)
W wyniku powyższej sytuacji, następnego dnia, przed południem, telefonicznie skontaktował się z powódką pracownik banku z zapytaniem odnośnie wykonanych dzień wcześniej przelewów na kwoty ponad 4.000 zł na rzecz MetLife, czemu powódka zaprzeczyła.
Niezwłocznie po tym, powódka celem wyjaśnienie zaistniałej sytuacji. Udała się do oddziału banku w N.. Złożyła zawiadomienie o możliwości popełnienia przestępstwa.
(dowód: zeznania powódki – nagranie rozprawy z dnia 29.07.2020r., 00:03:29-00:59:15, k.109-120, zawiadomienie o wszczęciu odchodzenia z 22.05.2017r. – k.12)
Powódka 26 maja 2017r. zgłosiła stronie pozwanej reklamację.
W odpowiedzi, bank stanął na stanowisku, że przelewy na kwotę 4.990 zł i 4.800 zł dokonane w dniu 18 maja 2017r. zostały zrealizowane przez bank zgodnie ze złożonymi dyspozycjami. Za pośrednictwem usług bankowości elektronicznej na zaufanym odbiorcy dokonano zmian numeru rachunku. Z kolei przeprowadzone przez bank analizy wykazały, że nie można wykluczyć działania złośliwego oprogramowania na urządzeniu, które było narzędziem do złożenia transakcji lub przejęcia kontroli nad routerem. Mogło to powodować, iż powódka została przekierowana na fałszywą stronę usług bankowości elektronicznej i na podstawie tej strony, łudząco podobnej, przestępcy wyłudzili niezbędne dane (NIK i hasło w formie niemaskowej). Następnie mógł się pojawić komunikat o weryfikacji przekazanych danych z prośbą o oczekiwanie. W tym czasie przestępcy zalogowali się na stronę serwisu dokonując zmian. Niemniej jednak wprowadzone przez nich zmiany musiały być autoryzowane, co zostało poprawnie uczynione poprzez smsKod wysłany na numer telefonu powódki. Wyjaśnił, że w tym czasie nie wystąpiły nieprawidłowości w pracy systemów bankowych, jak również naruszenia czy próby naruszeń ze strony banku.
Powódka złożyła odwołanie od decyzji i wezwała pozwanego do uwzględnienia na jej rachunku sumy 9.760 zł.
Strona pozwana jednakże nie zmieniła stanowiska, wskazując dodatkowo, że decyzja w przedmiocie roszczeń może zostać podjęta dopiero po zakończeniu postępowania prowadzonego przez organy ścigania.
Wobec stanowiska pozwanego, powódka w dniu 18 października 2017r. złożyła skargę do Rzecznika (...).
W piśmie z dnia 20 grudnia 2017r. Rzecznik (...) wskazał, że w okolicznościach, powiązanych z atakiem phishingowym trudno mówić o skutecznym wyrażeniu zgody na dokonanie transakcji płatniczej. Wezwał bank do wyjaśnień.
Strona pozwana nie zmieniła stanowiska, powołując się dodatkowo na rażące niedbalstwo po stronie powódki z uwagi na udostępnienie danych osobom trzecim.
W odpowiedzi, Rzecznik (...) wyraził ostatecznie opinię, iż wobec ujawnionych okoliczności sprawy bank powinien był niezwłocznie dokonać zwrotu środków powódce.
Pismem z dnia 5 listopada 2019r. powódka wezwała pozwaną do zapłaty.
Bank ostatecznie nie zmienił przyjętego stanowiska i nie uznał roszczenia powódki.
(dowód: zeznania powódki – nagranie rozprawy z dnia 29.07.2020r., 00:03:29-00:59:15, k.109-120, potwierdzenie przyjęcia reklamacji z 26.05.2017r. – k.11, odpowiedź na zgłoszenie z 21.06.2017r. – k.13, odwołanie z 3.07.2017r. – k.14, pismo z 10.08.2017r.-k. 15, skarga do Rzecznika (...) z 18.10.2017r. – k.16, odpowiedź banku z 15.02.2018r. – 22-26, stanowisko rzecznika z 15.02.2018r. – k.22-26, pismo z 19.03.2018r. – k.27, pismo Rzecznika Finansów z 16.04.2018r. – k.28-30, wezwanie do zapłaty z 5.11.2019r. – k.36, pismo z 6.12.2019r. – k.37)
Postępowanie przygotowawcze w sprawie działań w dniu 18 maja 2017r. mających na celu niekorzystne rozporządzenie na szkodę kilku osób w tym powódki postanowieniem z dnia 8 stycznia 2018r. umorzono ze względu na niewykrycie sprawcy. Sąd Rejonowy rozpoznający zażalenie powódki od postanowienia o umorzeniu dochodzenia, w uzasadnieniu postanowienia z dnia 10 maja 2018r. stwierdził także, że powódka padła ofiarą oszustwa internetowego. Z uzasadnienia postanowienia sadu z dnia 10 maja 2018r. sygn. akt IV Kp 121/18 rozpoznającego zażalenie powódki od postanowienia o umorzeniu dochodzenia wynika, iż w przypadku powódki doszło do tzw. pharmingu. Schemat tego oszustwa wygląda w ten sposób, iż po wpisaniu przez użytkowania adresu strony serwisu transakcyjnego banku następowało przekierowanie na fałszywą stronę, łudząco identycznej jak strona właściwa w celu przejęcia danych oraz wyłudzenia narzędzi autoryzacji, które zatwierdzało dyspozycję wprowadzaną przez przestępców. Posiadając pełne dane do logowania przestępcy mieli możliwość dostępu do serwisu transakcyjnego banku, natomiast użytkownik otrzymywał komunikat informujący o weryfikacji przekazanych danych z prośbą o oczekiwanie. Niewątpliwie przestępcy wykorzystali do swoich działań funkcję modyfikacji odbiorcy klienta i zdefiniowania go jako zaufanego, co wymagało autoryzacji kodem SMS. W związku z tym na podstawionej stronie wyświetlono klientowi informację o konieczności wprowadzenia otrzymanego kodu. Treść otrzymanej wiadomości była niemożliwa do zidentyfikowania jako fałszywa. Same transakcje już nie wymagały autoryzacji kodem SMS. Dalej sąd wskazał, iż sprawcy dokonywali modyfikacji odbiorcy zdefiniowanego na rachunku, po tym jak uzyskali na fałszywej stronie internetowej, na którą zalogowała się osoba uprawniona, login i hasło. W dalszej kolejności kod autoryzacji został przesłany na numer pokrzywdzonej, która będąc przeświadczona, że loguje się na stronie banku wpisała go na fałszywej stronie. W postępowaniu przygotowawczym ustalono, iż sprawca lub sprawcy, którzy w tym dniu dokonali oszustw na rzecz kilku osób logowali się do bankowości elektronicznej osób pokrzywdzonych z różnych adresów IP, oddalonych od siebie o kilkaset kilometrów, należących do osób nie związanych ze sprawą, co oznacza, iż sprawca/sprawcy ukryli w istocie swój adres IP.
(dowód: postanowienie z 8.01.2018r. – k.31-33, postanowienie o sygn.. IV Kp 121/18 z 10.05.2018r. – k.34)
Opinia biegłego informatyka potwierdza wcześniej przytoczone ustalenia o przygotowaniu dwóch modyfikacji o godzinach 20:37:40 i 20:38:53 i wysłaniu przez system banku na numer telefonu powódki dwóch smskod – pierwszy o treści: (...) modyfikacja odbiorcy (...) S.A.”, drugi o treści: (...) dla operacji: zmiana limitów transakcyjnych 18.05.2017 20:38”, jak również wprowadzenie kodów i wskazanych wyżej modyfikacji.
Biegły wskazał, że nie można stwierdzić aby to powódka dokonała wprowadzenia modyfikacji. Wskazał przy tym, że możliwym jest, iż przestępca zastosował atak socjotechniczny jako rodzaj działania psychologicznego poprzez wyświetlenie na fałszywej stronie odpowiednio przygotowanego, usypiającego czujność komunikatu z prośbą o wprowadzenie sms kodu.
Biegły nie miał podstaw do kwestionowania stosowanych przez bank w tym czasie adekwatnych systemów zabezpieczających usługi bankowości elektronicznej w sensie stosowanie dwóch mechanizmów potwierdzających, że dana osoba jest tą za którą się podaje tj. wykorzystanie NIK i hasła oraz telefonu, które powinien posiadać dany klient.
Jednoznaczne wskazanie jak doszło do oszustwa nie jest możliwe, jak podał biegły najczęściej do kradzieży z kont bankowości elektronicznej dochodzi na skutek działania złośliwego oprogramowania na urządzeniu klienta. Możliwym jest też wejście na fałszywą stronę poprzez fałszywy link zawarty w komunikacie przesłanym mailem lub sms a wywołującym u odbiorcy presję np. o konieczności zapłacenia rachunku, wyłączeniu danej usługi. Niewykluczonym jest, iż powódka zalogowała się na właściwą stronę a następnie została przekierowana na stronę fałszywa na skutek uruchomienia złośliwego oprogramowania. Strona fałszywa jest łudząco podobna do strony prawdziwej, różnią je jedynie adresy (...) jednakże ich odróżnienie wymaga już przeszkolenia, odpowiedniej wiedzy i świadomości.
(dowód: opinia biegłego informatyka – k.159-161, ustana opinia uzupełniająca biegłego - nagranie rozprawy z dnia 1.12.2021r., 00:14:12-00:39:12, postanowienie sygn.. IV Kp 121/18 z 10.05.2018r. –k.34)
Powyższy stan faktyczny Sąd ustalił na podstawie przedłożonych przez strony dokumentów, opinii biegłego w tym dowodach osobowych - zeznań powódki i świadka.
Przedłożony przez strony dokumenty nie były kwestionowane, a Sąd co do nich nie powziął żadnych wątpliwości.
Sąd uwzględnił także zeznania powódki i świadka M. P. (1), które w ocenie Sądu były wiarygodne i korespondowały z pozostałym materiałem zgromadzonym w sprawie. Sąd miał jednakże na uwadze, iż świadek jest pracownikiem strony pozwanej, a ponadto nie miał dokładnej wiedzy na temat okoliczności zdarzenia z 18 maja 2017r. jak i innych podobnych.
Sąd opierał się także na opinii głównej i uzupełniającej biegło informatyka P. M., który przedstawił, wyjaśnił możliwe działania i sposoby wykorzystywane przez atakujących systemy bankowości elektronicznej odnosząc je do okoliczności tej konkretnej sprawy. Opinia biegłego zostały sporządzone o dostępny materiał dowodowy a zgromadzony w tut. aktach. W ocenie Sądu, należało je ocenić jako fachowe i jasne. Żadna ze stron nie kwestionowała opinii.
Sąd na zasadzie art. 235 § 1 pkt. 3 i 5 k.p.c. pominął wniosek o dopuszczenie dowodu z uzupełniającej opinii biegłego informatyka zgłoszony przez stronę pozwaną, tj. na okoliczność oceny prawidłowości działania systemów pozwanego w zakresie generowania wysyłania SMS kodów w dacie przedmiotowej transakcji. Sąd informował pełnomocników stron, iż na rozprawie w dniu 1 grudnia 2021r. zostanie dopuszczony dowód z opinii uzupełniającej biegłego informatyka. Strona pozwana w tym zakresie, przed wyznaczonym terminem, nie zgłaszała żadnych nowych wniosków dowodowych, nie wniosła o wyrażenie zgody na złożenia pisma przygotowawczego. Wniosek ten, zgłoszony już na tym etapie postępowania (na rozprawie w dniu 1.12.2021r.) zamierza tylko i wyłącznie do przedłużenia postępowania, co jest sprzeczne z zasadą wyrażoną w art. 6 k.p.c. Dodatkowo biegły składając ustną opinię uzupełniającą odniósł się do zgłoszonego przez stronę pozwaną wniosku. W pierwszej kolejności brak jest materiału dowodowego do opiniowania – logów dotyczących sesji użytkowania z całego dnia (strona pozwana takich dokumentów przez całe postępowanie nie przedłożyła, nawet na rozprawie). Ponadto biegły odnosząc się do tego wniosku wyjaśnił, że opiniując na okoliczność wskazaną przez pozwaną, będzie możliwe jedynie stwierdzenie, czy atakujący znał treść sms i wpisał kod bezbłędnie czy dokonał tego metodą prób i błędów, tym samym odgadł hasło, co jest sytuacją niezmiernie rzadką, prawdopodobieństwo powyższego jest minimalne i świadczyłoby o winie systemu banku, który nie blokuje więcej niż trzech pomyłek przy wpisywaniu kodu i czego w tej sprawie nikt pozwanemu nie zarzuca. Dla sprawy jest to zatem nieprzydatne. Także prawidłowość działania systemów pozwanego w zakresie generowania i wysyłania kodów sms nie była kwestionowana. problemem nie było wysłanie przez bank smskodu a otrzymanie ich przez pozwaną i dalsze działanie a tego opinia uzupełniająca nie wyjaśni.
Sąd zważył, co następuje:
Powództwo było zasadne w całości.
Powódka domagała się od strony pozwanej zwrotu kwoty 9.760 zł pobranej z jej rachunku bankowego nr (...) w sposób nieautoryzowany, bez jej zgody i wiedzy przez bliżej niezidentyfikowany podmiot.
Pozwana jednakże kwestionowała roszczenie powódki, stojąc na stanowisku, że to działanie powódki charakteryzowało się rażącym niedbalstwem wobec udostępnienia osobom trzecim swojego numeru klienta oraz hasła do bankowości elektronicznej.
Poza sporem pozostawało jednakże związanie stron od grudnia 2016r. umową rachunku bankowego.
Zgodnie z art. 725 k.c. przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych. Bank jako profesjonalista, jest nadto zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych (art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe), a charakter jego działalności wymaga stosowania podwyższonego miernika staranności przy wykonywaniu tych zobowiązań.
Zasady rozliczeń reguluje umowa między stronami i ewentualnie regulamin, ale ich zapisy nie mogą być sprzeczne lub regulować pewnie kwestie inaczej niżeli ustawa. Ogólne zasady usług świadczeń płatniczych zostały uregulowane w ustawie o usługach płatniczych z dnia 19 sierpnia 2011 r. (Dz.U.2011.199.275 ze zm.). Generalną regułą przewidzianą w przedmiotowym akcie prawnym, jest to, że dostawca (bank) ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą (art. 40 ust. 1cyt. ustawy).
Zgodnie natomiast z art. 45 ust. 1 cyt. ustawy, to na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Regulacja ta wprowadza zatem domniemanie, że to bank ponosi odpowiedzialność, za każdą nieautoryzowaną, nieprawidłową transakcję. Z kolei, aby je obalić, dostawca musi wykazać, że transakcje te zostały po pierwsze prawidłowo autoryzowane lub po drugie zaszły okoliczności enumeratywnie wymienione w art. 46 ust. 2 i 3 ustawy o usługach płatniczych, czyli między innymi, że płatnik (klient banku) doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 cyt. ustawy (m.in. wyrok Sądu Apelacyjnego w Warszawie z dnia 28.05.2018r., sygn.. VI ACa 217/17, Lex nr 2589538)
W przedmiotowej sprawie, w ocenie Sądu, nie można mówić o tym, aby powódka autoryzowała operacje polegające na modyfikacji odbiorcy zaufanego i zwiększeniu limitu a w ostateczności przelaniu środków na rzecz niezidentyfikowanego odbiorcy. Powódka nie wyraziła na to zgody. Tego dnia chciała wyłącznie uregulować na rzecz (...) i (...) należności, co dodatkowo wynika z historii jej operacji. Powódka nie miała wiedzy o tym, że tego dnia, doszło na jej rachunku bankowym do innych modyfikacji czy transakcji, o czym dowiedziała się dopiero dnia następnego od pracownika banku. Nawet gdyby przyjąć, że powódka, wprowadziła kody z wiadomości sms (tylko np. na inną podstawioną stronę) celem wykonania autoryzacji, to nie można uznać aby miała tego świadomość i aby swoim działaniem zmierzała do wyrażenia zgody na autoryzację dokładnie tych „błędnych” operacji. W ocenie zatem Sądu, nie można przyjąć aby w rozumieniu art. 40 ustawy o usługach płatniczych, operacje te zostały autoryzowane przez powódkę.
Z przeprowadzonego postępowania dowodowego wynika nadto, iż prawdopodobnie powódka padłą ofiarą oszusta internetowego tzw. pharmingu polegającego na modyfikacji zawartości adresu www w celu przekierowania użytkownika na fałszywą stronę, mimo wpisania prawidłowego adresu strony, w celu przejęcia wpisywanych przez użytkownika haseł, numerów lub też instalowaniu złośliwego oprogramowania strony łudząco podobnej do witryny banku aby wykraść dane klienta. Jedyną różnicą jest adres strony (...) lecz klient banku (czyli powódka), nie posiadając właściwej, specjalistycznej wiedzy -przeszkolenia, nie był w stanie dostrzec, że strona jest fałszywa. Podobnie zresztą w sytuacji złośliwego oprogramowania, tego również laik nie jest w stanie rozpoznać.
W okolicznościach tej sprawy utrudnione było ustalenie co było źródłem tego zdarzenia. Najczęstszym powodem, jak wynika z wyjaśnień biegłego, jest złośliwe oprogramowanie lub przejęcie routera czy naruszanie zabezpieczeń banku i następnie również uzyskanie dostępu do wysyłanych smsKodów, których jak podawała powódka nie wpisywała. Powódka jednakże posiadała na swoim laptopie aktualne oprogramowanie antywirusowe, a dysk był badany w postępowaniu przygotowawczym. Nie można zatem przyjąć, aby powódka umyślnie, na skutek swoich działań czy niedopatrzeń, przekazała komuś swój login czy hasło do konta bankowego. W kontekście tych ustaleń, trzeba przyjąć, że zostały one przechwycone przez sprawcę. Nie naruszyła obowiązków wskazanych w art. 42 ust. 2 ustawy o usługach płatniczych, zachowała wszelkie niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń instrumentu płatniczego.
Nie sposób przypisać powódce rażącego niedbalstwa polegającego na braku zachowania wymaganej staranności obejmującej obowiązek i konieczność przestrzegania i respektowania ostrzeżeń dostawcy usługi. Pozwany przedstawił dwa komunikaty informacyjne, które ukazały się w bankowości elektronicznej w dniach 7 i 22 marca 2017r. jednakże nie wykazał aby powódka zachowała się w któryś ze wskazanych sposobów z listy ostrzeżeń. Mało tego brak jest wskazań do przyjęcia aby powódka w ogóle zapoznała się z tymi ostrzeżeniami, nie wiemy bowiem czy komunikaty były udostępniane stale. Wątpliwym też jest aby w 2017r. metody działania hakerów i środki obrony przed nimi były powszechnie znane klientom banku.
Nie bez znacznie dla oceny tych zdarzeń pozostaje również fakt, iż tego samego dnia, ofiar takiego samego przestępstwa było więcej, a pobrane kwoty są zbliżone, co może świadczyć o tym, iż działanie sprawców w każdym tym przypadku było podobne – zwiększenie limitu do granicy maksymalnej i modyfikacja odbiorcy zaufanego. Mimo podobnych w tym samym czasie operacji na rachunkach bankowych kilku przypadkowych osób, a nawet mimo zauważania przez bank tych nieprawidłowości, o czym świadczy telefon pracownika banku do powódki, to i tak bank przekazał środki zdeponowane przez powódkę osobie do tego nieuprawnionej. Na banku jako na profesjonalnym podmiocie również ciążył ustawowy obowiązek wynikający m.in. z art. 43 ust. 1 powoływanej ustawy tj. zapewnienie, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu. W tej sprawie, bank nie dołożył szczególnej staranności w tym zakresie i nie wywiązał się z tej powinności, skoro, przekazał środki. Sam fakt przekazania tych środków oznacza właśnie brak takiej staranności.
Natomiast powódka po uzyskaniu wiedzy o nieuprawnionych transakcjach zgłosiła niezwłocznie ten fakt stornie pozwanej (czyli wypełniła obowiązek z art. 42 ust. 1 pkt. 2 cyt. ustawy) oraz złożyła zawiadomienie organom ścigania.
Jeszcze raz należy przywołać artykuł 45 ustawy, który zawiera szczególną regułę dotyczącą ciężaru dowodu w przypadku dochodzenia roszczeń z tytułu nieautoryzowanych, nienależycie wykonanych lub niewykonanych transakcji.
Jak wskazano, w przypadku powyższych roszczeń ciężar udowodnienia, że transakcja została autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Rozwiązania przyjęte w omawianej ustawie przerzucają ciężar udowodnienia na dostawcę. Stanowią one wyraz prokonsumenckiego charakteru ustawy. Ciężar udowodnienia, że transakcja była autoryzowana przez użytkownika, ciąży na dostawcy, czyli na profesjonaliście, nawet jeśli to użytkownik występuje z roszczeniem, twierdząc, że nie on autoryzował transakcję. Fakt zarejestrowanego użycia instrumentu płatniczego, czyli - należy przyjąć - użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika. W przypadku zgłoszenia przez użytkownika transakcji ( tutaj nawet była to reakcja samego banku na nietypowe transakcje ), które obciążają jego rachunek płatniczy i które były prawidłowo autoryzowane, czyli zlecone i zrealizowane zgodnie z przewidzianą procedurą, a które użytkownik wskazuje jako przez niego nieautoryzowane, dostawca musi udowodnić fakt autoryzacji transakcji przez użytkownika. Dostawca musi jednak przywołać inne dowody niż sam fakt prawidłowego skorzystania z procedur autoryzacji przewidzianych umową. Dostawca może przytoczyć dowody wykazujące, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji (np. przekazał kartę i PIN członkowi rodziny) albo wskutek rażącego niedbalstwa naruszył jeden z obowiązków określonych w art. 42 u.u.p., czyli nie przechowywał informacji w sposób zapewniający bezpieczeństwo. Pozwany powyższych okoliczności nie wykazał.
Wobec tych ustaleń, nie sposób było uznać, jak chce tego pozwany, aby transakcje były prawidłowo autoryzowane- czyli aby powódka wyraziła na nie zgodę, a przede wszystkim, aby powódka do tych transakcji doprowadziła umyślne lub na skutek rażącego niedbalstwa. W każdym razie, strona pozwana nie sprostała obowiązkowi dowodowemu i okoliczności tych nie wykazała, a tylko one prowadziłyby do zwolnienia banku od odpowiedzialności.
Zgodnie bowiem z art. 46 ust. 1 ustawy o usługach płatniczych, zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą.
Pozwany podniósł zarzut przedawnienia roszczenia w żaden sposób nie uzasadniając powyższego. Zaznaczyć należy, iż wyłącznie gdy przedawnienie biegnie przeciwko konsumentowi, sąd winien powyższą okoliczność brać pod rozwagę z urzędu. W pozostałych przypadkach zarzut przedawnienia jak każdy inny podnoszony przez stronę powinien być zwięźle uzasadniony, minimum, w ocenie sądu, to choćby przedstawienie okoliczności faktycznych i wskazanie kiedy według pozwanego nastąpiło przedawnienie. Stawianie takich wymagań jest niezbędne chociażby po to aby dać stronie przeciwnej możliwość odniesienia się do zarzutu, przedstawienia własnego stanowiska i np. okoliczności niweczących powyższy zarzut. Zatem zarzut ten jako w żaden sposób nieuzasadniony nie został wzięty pod uwagę.
Mając zatem powyżej na uwadze, Sąd uznał żądnie powódki jako zasadne w całości, o czym orzekł jak w pkt. I wyroku.
O odsetkach Sąd orzekł, mając na uwadze treść art. 46 ust. 1 ustawy o usługach płatniczych oraz art. 481 k.c., z tym, że termin początkowy odsetek ustalając jako dzień następujący po dniu otrzymania przez bank stosownego i oficjalnego zgłoszenia ( reklamacja z 26 maja 2017r.).
O kosztach procesu, Sąd orzekł w pkt. II wyroku, na podstawie art. 98 k.p.c. , zgodnie, z którym strona przegrywająca sprawę czyli tutaj strona pozwana, obowiązana jest zwrócić przeciwnikowi na jego żądanie koszty niezbędne do celowego dochodzenia praw i celowej obrony (koszty procesu). Do niezbędnych kosztów procesu powódki reprezentowanej przez profesjonalnego pełnomocnika zalicza się wynagrodzenie tego pełnomocnika w wysokości 1.800 zł - na podstawie § 2 pkt 4 rozporządzenia Ministra Sprawiedliwości z 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz.U. 2018 poz. 265 t.j), opłata skarbowa od pełnomocnictwa – 17 zł oraz opłata od pozwu -500 zł. Łącznie 2317 zł.
1). odnotować uzasadnienie,
2). odpis wyroku wraz z uzasadnieniem doręczyć pełnomocnikowi pozwanej,
3). kal. 14 dni
N., dnia 21 marca 2022r.
Sędzia Grażyna Poręba