Pełny tekst orzeczenia

Sygn. akt I AGa 36/22

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 14 czerwca 2023 r.

Sąd Apelacyjny w Białymstoku I Wydział Cywilny

w składzie:

Przewodniczący

: sędzia

Krzysztof Chojnowski (spr.)

Sędziowie

:

Krzysztof Adamiak

Dariusz Małkiński

Protokolant

:

Łukasz Patejuk

po rozpoznaniu w dniu 22 maja 2023 r. w Białymstoku

na rozprawie

sprawy z powództwa (...)w O.

przeciwko (...) w Z.

o zapłatę

na skutek apelacji pozwanego

od wyroku Sądu Okręgowego w Białymstoku

z dnia 23 grudnia 2021 r. sygn. akt VII GC 357/20

I.  oddala apelację;

II.  zasądza od pozwanego na rzecz powoda kwotę 4.050 (cztery tysiące pięćdziesiąt) złotych tytułem zwrotu kosztów instancji odwoławczej.

(...)

UZASADNIENIE

Powód (...)w O. w pozwie skierowanym przeciwko (...) w Z. domagał się zapłaty, jako roszczenia częściowego, kwoty 76.000 zł wraz z ustawowymi odsetkami za opóźnienie od dnia 18 marca 2016 r. do dnia zapłaty. Żądał także zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego.

Powód twierdził, że padł ofiarą ataku hakerskiego, w wyniku którego dokonano nieautoryzowanych przez niego transakcji płatniczych i wyprowadzenia środków z jego rachunku bankowego, prowadzonego w pozwanym Banku.

W odpowiedzi na pozew pozwany wnosił o oddalenie powództwa na koszt powoda. Wskazał, że to J. W. (dyrektor powodowej spółki) swoim nagannym i lekkomyślnym zachowaniem lub zaniedbaniem sam przyczynił się do przejęcia danych i dokonania transakcji przez osoby trzecie. Podał nadto, że po ujawnieniu, że przedmiotowe przelewy mogły być zrealizowane w wyniku przestępstwa, nie zbagatelizował sprawy a niezwłocznie podjął stosowne działania. Z ostrożności pozwany podniósł także zarzut przedawnienia roszczenia w przypadku dochodzenia roszczenia na zasadzie odpowiedzialności kontraktowej oraz wnosił o uwzględnienie zarzutu znacznego przyczynienia się powoda do powstania szkody.

Wyrokiem z dnia 23 grudnia 2021 r. Sąd Okręgowy w Białymstoku zasądził od pozwanego na rzecz powoda kwotę 76.000 zł wraz z odsetkami ustawowymi za opóźnienie od dnia 18 marca 2016 r. do dnia zapłaty (pkt I), zasądził od pozwanego na rzecz powoda kwotę 10.095,55 zł tytułem zwrotu kosztów postępowania, w tym kwotę 5.417 zł tytułem kosztów zastępstwa procesowego (pkt II) i nakazał zwrócić powodowi ze Skarbu Państwa (Sąd Okręgowy w Białymstoku) kwotę 2.121,45 zł tytułem zwrotu niewykorzystanych zaliczek (pkt III).

Orzeczenie to oparto o następujące ustalenia faktyczne i ocenę prawną:

W dniu 2 listopada 2007 r. strony zawarły umowę nr (...) o prowadzenie przez (...)w Z. rachunków rozliczeniowych. Umowa ta była aneksowana w zakresie wysokości opłat i prowizji za czynności związane z prowadzeniem rachunków rozliczeniowych.

W dniu 10 listopada 2009 r. strony zawarły umowę nr (...) o świadczenie usług bankowych za pośrednictwem systemu (...). W celu umożliwienia korzystania z systemu (...) powód otrzymał identyfikatory i hasła dla wskazanych imiennie użytkowników systemu(...)oraz dokumentację w formie elektronicznej, dotyczącą zasad i sposobu instalacji systemu (...).

Umowa z dnia 10 listopada 2009 r. stanowiła, że do realizacji dyspozycji Klienta, które powodują zmianę stanu środków pieniężnych na rachunkach bankowych, wymagana jest autoryzacja Użytkowników posiadających eToken. Zgodnie z wykazem osobą upoważnioną do korzystania z systemu (...) był J. W.. Warunki, na jakich pozwany oferował system bankowości internetowej (...) określał regulamin świadczenia usług w systemie (...).

W dniu 15 marca 2016 r. o godz. 14:06:33 w ciężar rachunku powoda dokonano przelewu na dobro rachunku (...) kwoty 297.836 zł. Tego samego dnia o godz. 14:14:44 w ciężar rachunku powoda dokonano przelewu na dobro rachunku (...) kwoty 87.980 zł. W dniu 18 marca 2016 r. powód złożył reklamację do pozwanego, że niniejsze przelewy nie zostały autoryzowane przez J. W.. W odpowiedzi na reklamację Bank wskazał, że w momencie jej otrzymania nie miał możliwości zabezpieczenia wypływu środków. Bank podał, że oba przelewy zostały wykonane z tego samego adresu IP komputera, z którego kilka minut wcześniej wykonano przelew w kwocie 9.369,65 zł, a który nie był reklamowany. Wszystkie przelewy były podpisane przez J. W..

Prokuratura Okręgowa w Warszawie postanowieniem z dnia 22 grudnia 2017 r., sygn. akt PO II Ds 292.2017 umorzyła śledztwo w sprawie uzyskania dostępu do informacji nieprzeznaczonych na rachunku bankowym powoda, z uwagi na niewykrycie sprawcy przestępstwa.

Pismem z dnia 28 stycznia 2021 r. Bank (...) podał, że system Banku wskazał możliwe zagrożenie infekcją wirusa urządzenia powoda.

W tak ustalonym stanie faktycznym, oceniając powództwo na gruncie art. 415 k.c. oraz art. 471 k.c., Sąd Okręgowy uznał, że zasługiwało ono na uwzględnienie.

Sąd nie podzielił zarzutu przedawnienia, podniesionego przez pozwanego. Wskazał, że zarówno w przypadku odpowiedzialności deliktowej, jak i kontraktowej roszczenia przedawniają się z upływem trzech lat (odpowiednio na mocy art. 442 k.c. oraz art. 118 k.c.). W sprawie zdarzenie stanowiące źródło roszczenia miało miejsce w dniu 15 marca 2016 r., zaś w dniu 24 maja 2018 r. powód sporządził wniosek o zawezwanie do próby ugodowej, na który pozwany odpowiedział 21 sierpnia 2018 r. Zawezwanie do próby ugodowej przerywa bieg przedawnienia (art. 123 k.c.). We wniosku powód wskazał, że próba ugodowa dotyczy zarówno roszczenia z art. 471 k.c., jak i art. 415 k.c. Wątpliwości Sądu nie budziło zatem, że do chwili złożenia wniosku termin przedawnienia nie upłynął. Pozew w niniejszej sprawie został złożony w dniu 15 czerwca 2020 r., a więc także przed upływem trzyletniego terminu.

Sąd Okręgowy odwołał się kolejno do art. 725 k.c. oraz art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz.U. Nr 72 z 2002 r., poz. 665 ze zmianami) i wskazał, że ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża Bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Ma to ten skutek, że równoległą podstawą odpowiedzialności Banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 r., która przewiduje generalną zasadę, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Sąd akcentował także, że zgodnie z art. 46 ust. 1 ww. ustawy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcją płatnicza.

Sąd Okręgowy podkreślił następnie, że w sprawie niewątpliwe było, iż doszło do dokonania dwóch nieautoryzowanych przez powoda przelewów z jego rachunku bankowego, przy czym to pozwany Bank ponosi za to odpowiedzialność. Sąd zauważył, że indywidualne zabezpieczenia instrumentu płatniczego powoda polegały na autoryzacji każdej transakcji za pomocą eTokena. Nieustaleni sprawcy przełamali zabezpieczenia znajdujące się na komputerze powoda i wyprowadzili z jego konta 297.836 zł i następnie 87.980 zł. Pozwany Bank zauważył nieprawidłowości w dokonaniu tych dwóch przelewów, bowiem w dniu 18 marca 2016 r. do J. W. zadzwoniła Dyrektor Oddziału Banku w E. z pytaniem czy autoryzował dwa przelewy bankowe na kwoty 297.836 zł oraz 87.980 zł, na co dyrektor spółki odpowiedział, że nie dokonywał autoryzacji takich przelewów. Dyrektor (...) w E. zaleciła wówczas zgłoszenie faktu wyprowadzenia środków z konta bankowego Policji oraz złożenie reklamacji do Banku. Okoliczność ta została potwierdzona przez świadka J. S., który wskazał, że ktoś z biura bezpieczeństwa powiadomił panią dyrektor Banku. Mając to na względzie Sąd Okręgowy za niezasadne uznał stanowisko pozwanego, wedle którego obie analizowane transakcje nie wzbudzały podejrzeń, nie różniły się od dokonywanych wcześniej i autoryzowanych przez powoda, jak chociażby transakcje do ZUS.

Sąd podkreślił, że również z przeprowadzonego w sprawie dowodu z opinii biegłego z zakresu ekonomii i informatyki I. J. wynika, że operacje realizowane w bankowości internetowej na danych dostępowych J. W. w dniu 15 marca 2016 r. różniły się od realizowanych wcześniej, a mianowicie do systemu, w którym zalogowany był użytkownik na danych dostępowych J. W., z powodzeniem po parudziesięciu sekundach logował się z innego IP użytkownik na tych samych danych dostępowych – sytuacja taka miała miejsce o 9:50:23 i 9:50:52 oraz o 13:55:47 i 13:56:12. Wprowadzone przelewy na kwoty 297.836 zł i 87.980 zł były w wysokości nie występującej na przestrzeni ostatniego roku – trzeci przelew o najwyższej wartości został wykonany 1 lutego 2016 r. i wynosił 65.445,84 zł. Uwadze Sądu Okręgowego nie uszło, że biegły ten przesłuchany na rozprawie wskazał co prawda, że nie była ta transakcja podejrzana oraz wysokiego ryzyka i na podstawie dostępnej informacji jest w stanie stwierdzić, iż nie doszło do przełamania zabezpieczeń, tym niemniej Sąd, mając na uwadze, że analizowane transakcje różniły się od poprzednich i w konsekwencji Bank zwrócił na nie uwagę, nie podzielił powyższej opinii w tym zakresie. Tym bardziej, iż w pisemnej opinii biegły wskazał, że system bankowy nie zareagował na zaistniałą sytuację, gdyż z jego punktu widzenia ścieżka logowania w systemie jak i autoryzacja działań była poprawna.

Sąd Okręgowy za niewiarygodne uznał przy tym zeznania świadka J. S., który wskazał, że na koncie powodowej spółki bywały większe przelewy, nawet na kwotę 400.000 zł. Wskazał, że twierdzenia takie stoją w sprzeczności z pozostałym zgromadzonym w sprawie materiałem dowodowym.

Mając jednocześnie na względzie, że w dniu 15 marca 2016 r. Bank (...) zareagował na możliwość zagrożenia infekcją wirusa urządzenia powoda i jeszcze tego samego dnia zablokował prywatne konta prezesa powodowej spółki, Sąd Okręgowy podzielił twierdzenia powoda o niewystarczającej ochronie rachunku bankowego w pozwanym Banku.

Sąd podkreślił nadto, że z akt sprawy nie wynika czy pozwany proponował powodowi zabezpieczenie poprzez autoryzację przelewów kodami sms, wprowadzoną przez Bank od dnia 25 stycznia 2016 r. Zauważył także, że to Bank, a nie klient, powinien stosować zabezpieczenia, które uważa za najsilniejsze i najlepiej chroniące środki pieniężne. Skoro więc Bank posiadał także inne zabezpieczenia, które nie zostały powodowi zaoferowane, to tym bardziej powinien ponieść z tego tytułu odpowiedzialność. Gdyby bowiem zabezpieczenia transakcji elektronicznych stosowane przez pozwanego były właściwe, zdaniem Sądu Okręgowego, nie doszłoby do dokonania na rachunku powoda transakcji przez nieuprawnione do tego osoby.

Sąd Okręgowy miał także na uwadze, że prezes powodowej spółki po każdej z nieudanych prób zalogowania się do systemu zgłaszał te problemy pracownikowi pozwanego Banku, który jednak nie zrobił nic aby wyjaśnić tę sytuację i nie dokonał wglądu do rachunku powoda. W ocenie Sądu, wysoce prawdopodobne jest, iż to zaniechanie pracownika Banku umożliwiło transfer przestępczych poleceń przelewów i uniemożliwiło decyzję co do zablokowania tych transakcji.

Sąd nie podzielił też zarzutu pozwanego, jakoby to powód przyczynił się do powstania przedmiotowej szkody. Wskazał, że powoda nie może obciążać fakt, że nieustalony sprawca przełamał zabezpieczenia do jego komputera oraz eTokena. Podkreślił także, że z zeznań świadka M. S. wynikało, że raz na miesiąc kontrolował on sprzęt powoda na obecność wirusów. Świadek nie zauważył nieprawidłowości, aczkolwiek podał, że program antywirusowy znalazł około 10 różnych wirusów, w tym jeden trojan. Świadek podkreślił przy tym, że w dniu 15 marca komputer J. W. posiadał zaporę. Świadek A. G. podała natomiast, że dysponowała swoim loginem i hasłem do systemu bankowości. Prawo autoryzowania przelewów miał J. W.. Świadek podała, że po wydarzeniach z 15 marca 2016 r. nie udało się jej już zalogować do systemu. Podkreśliła, że z J. W. nigdy nie wymieniała się żadnymi loginami i hasłami. Dane zostawiała w domu i jak była w firmie to korzystała z loginów J. W., ale nigdy sama się nie logowała na dane powoda. Zeznania te Sąd uznał za wiarygodne.

Biorąc to wszystko pod uwagę Sąd Okręgowy wywiódł, że za szkodę powoda odpowiada pozwany Bank, który nie wykonał należycie umowy prowadzenia rachunku bankowego powodowej spółki. Środki pieniężne na nim zgromadzone nie zostały należycie zabezpieczone. Zatem pomiędzy szkodą a nienależytym wykonaniem zobowiązania istnieje adekwatny związek przyczynowy. Spełnione zatem zostały wszystkie przesłanki z art. 471 k.c. i na tej podstawie uwzględniono powództwo w całości.

Sąd wskazał zarazem, że argumentem przemawiającym za zawinionym działaniem Banku pod kątem podstaw do uwzględnienia roszczenia w oparciu o przypisanie pozwanemu deliktu, był brak czujności i zaniechanie podjęcia działań związanych z ostrzeżeniem klienta i wyjaśnieniem jego sytuacji w momencie kiedy ten miał problemy z logowaniem. Sąd Okręgowy podkreślił, że w obecnych czasach powszechną wydaje się być wiedza co do intensyfikacji działań przestępczych w cyberprzestrzeni, jeżeli chodzi o transakcje wykonywane za pomocą bankowości internetowej.

Odsetki ustawowe za opóźnienie Sąd zasądził od dnia 18 marca 2016 r. (art. 481 k.c.). Wskazał, że zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych pozwany miał obowiązek niezwłocznego zwrotu kwoty nieautoryzowanych transakcji, przy czym już od ww. daty miał on wiedzę o szkodzie powoda.

Rozstrzygnięcie o kosztach procesu zapadło na podstawie art. 98 k.p.c.

Apelację od tego wyroku wywiódł pozwany. Zaskarżył go w całości i zarzucił Sądowi Okręgowemu:

1.  naruszenie art. 731 k.c. w zw. z art. 118 k.c. poprzez jego niezastosowanie i uznanie, że w sprawie przy dochodzeniu roszczeń z tytułu odpowiedzialności kontraktowej ma zastosowanie 3 letni termin przedawnienia, podczas gdy:

a.  art. 731 k.c. jest przepisem szczególnym wobec art. 118 k.c.,

b.  zgodnie z art. 731 k.c. roszczenia wynikające ze stosunku rachunku bankowego przedawniają się z upływem lat dwóch,

c.  wskazany w art. 731 k.c. termin przedawnienia dotyczy wszystkich roszczeń wynikających ze stosunku rachunku bankowego, w tym roszczeń wywiedzionych w oparciu o przepisy o nienależytym wykonaniu umowy,

d.  roszczenia wynikające ze stosunku rachunku bankowego, w tym roszczenia z tytułu nienależytego wykonania tej umowy, przedawniają się w terminie 2 letnim a nie 3 letnim,

e.  zasady przedawnienia roszczeń o naprawienie szkody wyrządzonej czynem niedozwolonym zostały przez ustawodawcę określone w art. 442 1 k.c., ale nie stworzył on ogólnych przepisów (odpowiednika art. 442 1 k.c.), które by regulowały zasady przedawnienia roszczeń o wykonanie zobowiązania albo o naprawienie szkody wyrządzonej ich niewykonaniem lub nienależytym wykonaniem,

f.  do odpowiedzialności kontraktowej nie można stosować na zasadzie analogii art. 442 1 k.c.,

2.  naruszenie art. 118 k.c. poprzez uznanie, że w sprawie ma zastosowanie 3 letni termin przedawnienia przy odpowiedzialności kontraktowej,

3.  naruszenie art. 471 k.c. poprzez jego zastosowanie i uznanie, że w sprawie istnieje adekwatny związek pomiędzy szkodą powoda a rzekomym nienależytym wykonaniem obowiązków umownych przez pozwany Bank, podczas gdy:

a.  nie doszło do nienależytego wykonania obowiązków umownych przez Bank o czym jednoznacznie świadczy opinia biegłego sądowego, a Sąd poczynił ustalenia sprzeczne z tą opinią i zgromadzonym materiałem dowodowym, a co więcej poczynił ustalenia czysto hipotetyczne,

b.  powód nie wykazał, że poniósł szkodę w majątku w związku z rzekomym nienależytym wykonaniem umowy przez pozwanego, biorąc pod uwagę, że środki znajdujące się na rachunku bankowym zawsze stanowią własność Banku a posiadaczowi rachunku przysługuje jedynie roszczenie o zwrot wierzytelności,

c.  nie istnieje adekwatny związek przyczynowo-skutkowy między rzekomym niewykonaniem obowiązków przez Bank a rzekomą szkodą w mieniu powoda; w sprawie nie doszło do przełamania zabezpieczeń Banku,

4.  błędy w ustaleniach faktycznych oraz sprzeczność ustaleń z zebranym materiałem dowodowym, polegające na przyjęciu, że:

a.  to pozwany samodzielnie wykrył nieprawidłowości w dniu 18 marca 2016 r. i że ta okoliczność świadczyć ma o tym, iż „nieuzasadnione jest stanowisko pozwanego Banku, jakoby obie analizowane transakcje nie wzbudzały podejrzeń, nie różniły się od dokonywanych wcześniej i autoryzowanych przez powoda, jak chociażby transakcje do ZUS”, podczas gdy:

i.  Sąd swoje przypuszczenia w tym zakresie uznał za fakty, przy czym przypuszczenia te okazały się nieprawdziwe,

ii.  Sąd nie mając wiedzy z zakresu systemu wymiany informacji między bankami o rachunkach bankowych podejrzanych, że mogą służyć działalności przestępczej, nie powinien czynić własnych ustaleń, które nie są oparte na materiale dowodowym czy wiadomościach specjalnych uzyskanych od biegłego sądowego,

(...).  transakcje będące wynikiem przestępstwa najczęściej wykrywane są przez Bank prowadzący rachunek bankowy, na który wpływają środki z przestępstwa,

iv.  nieprawdą jest, że to pozwany samodzielnie wykrył nieprawidłowości co do dwóch podejrzanych transakcji i że skoro te nieprawidłowości wykrył w dniu 18 marca 2016 r. to równie dobrze mógł je wykryć o 3 dni wcześniej podczas gdy, w dniu 18 marca 2016 r. pozwany otrzymał informację e-mail z banku zrzeszającego – (...) z prośbą o weryfikację przelewu i kontakt z właścicielem, gdyż oni z kolei otrzymali informację „od banku, który prowadzi rachunek bankowy beneficjenta tego przelewu, że mogło dojść do oszustwa”,

b.  „Wprowadzony przelew na kwotę 297.836 zł i 87.980 zł były w wysokości nie występującej na przestrzeni ostatniego roku - trzeci przelew o najwyższej wysokości został wykonany 1 lutego 2016 r. i wynosił 65.445,84 zł”, podczas gdy:

i.  na rozprawie biegły sądowy potwierdził, że w dniu 1 lutego 2016 r. miał miejsce przelew na kwotę 215.835 zł do Urzędu Skarbowego oraz że w okresie od 1 marca 2015 r. do 31 marca 2016 r. odnotowano na rachunku inne operacje bankowe jak kilkadziesiąt przelewów środków z jednego rachunku na drugi powodowej spółki (np. założenie lokat) na kwoty ponad 250.000 zł a nawet na ponad 1.000.000 zł,

ii.  bot systemu bankowego identyfikuje przelew na rachunek lokaty terminowej jak każdy inny przelew stąd wysokość spornych przelewów nie odbiegała od innych przelewów na rachunku,

(...).  dla systemu bankowego transakcje z dnia 15 marca 2016 r. nie mogły być uznane za podejrzane,

c.  „skoro analizowane transakcje różniły się od poprzednich i w konsekwencji Bank zwrócił na nie uwagę, to nie należy w tym zakresie podzielić powyższej opinii”, podczas gdy:

i.  pozwany został poinformowany o podejrzanych transakcjach przez bank prowadzący rachunek beneficjenta przelewów,

ii.  sporne przelewy nie różniły się kwotowo od pozostałych przelewów na koncie powoda,

(...).  biegły sądowy posiadający specjalistyczną wiedzę i doświadczenie w tej materii wskazał, że to nie były transakcje podejrzane i wysokiego ryzyka oraz nie doszło do przełamania zabezpieczeń Banku,

d.  „(...) zatem podobna próba zhakowania rachunku bankowego, jednakże w innej placówce została natychmiastowo wykryta i podjęto odpowiednie środki ostrożności, by zapobiec wyprowadzeniu środków pieniężnych”, podczas gdy ustalenia te stoją w sprzeczności z materiałem dowodowym a zwłaszcza pismem (...)z dnia 28 stycznia 2021 r., w którym Bank jednoznacznie wskazał, że nie zarejestrował próby włamania na rachunek powoda. Bank nie wskazał także, że miało miejsce rzekome zablokowanie systemu bankowego przez Bank,

e.  Sąd obciąża negatywnymi konsekwencjami Bank z uwagi na to, że nie zaproponował powodowi zmiany autoryzacji przelewów z eTokenu na kody sms, sugerując tym samym, że autoryzacja kodami sms jest bezpieczniejsza, podczas gdy:

i.  na rozprawie biegły sądowy stwierdził, że autoryzacja eToken jest bezpieczniejsza, lepsza niż autoryzacja kodami sms, łatwiej jest zhakować telefon, przy czym banki odstępują od eTokenów, gdyż autoryzacja kodami sms jest znacznie tańszą opcją dla Banku. Ponadto stwierdził: „sposób zabezpieczenia transakcji przez pozwany Bank nie był niższy czy też mniej bezpieczny niż na ten moment w innych bankach funkcjonujących na rynku [...] a wręcz z racji wykorzystania eTokenu był wysoki czy też bardzo wysoki”,

ii.  co prawda obecnie popularniejsza jest autoryzacja kodami sms operacji bankowych jednak popularność tej formy wynika z wygody i komfortu klienta banku a nie z tego, że jest bezpieczniejsza,

(...).  Sąd ponownie, zamiast skorzystać z wiedzy specjalisty, poczynił własne ustalenia a przypuszczenia zamienił w fakty,

f.  „gdyby bowiem zabezpieczenia transakcji elektronicznych stosowane przez pozwanego byty właściwe, nie doszłoby do dokonania na rachunku powoda transakcji przez nieuprawnione do tego osoby”, podczas gdy biegły jednoznacznie wyjaśnił, że nie doszło do przełamania zabezpieczeń Banku,

g.  Sąd uznał, że powód w żaden sposób nie przyczynił się do powstania szkody, podczas gdy:

i.  powód na swoim komputerze posiadał oprogramowanie szpiegowskie i nie odłączył eTokena po autoryzacji przelewów,

ii.  powód, mając istotne podejrzenie prób włamania się hakerów na jego komputer z nieuzasadnionych przyczyn nie podjął żadnych działań w tym zakresie a co więcej dokonywał kolejnych przelewów, mając świadomość, iż komputer, z którego są one wykonywane jest zainfekowany wirusami,

(...).  powód niezwłocznie nie poinformował pozwanego o podejrzeniu możliwości ataku hackerskiego po otrzymaniu informacji z (...)

iv.  powód, nawet po potwierdzeniu następnego dnia przez pracownika powodowej spółki obecności programów szpiegowskich zainstalowanych na laptopie J. W., nie skontaktował się z pozwanym Bankiem celem zablokowania dostępu do konta internetowego,

v.  powód niezwłocznie nie poinformował Banku o spornych transakcjach pomimo, że wiedzę o nich uzyskał już w dniu 17 marca 2016 r. a więc wcześniej niż Bank,

vi.  wcześniejsze zalogowanie się świadka A. G. na swoje własne dane a nie na dane J. W., w dniu 16 marca 2016 r. lub w dniu 17 marca 2016 r. przyspieszyłoby procedurę zablokowania konta beneficjenta przelewów,

vii.  świadek A. G. logowała się na dane J. W., co stanowi jawny przejaw naruszenia przez prezesa powodowej spółki obowiązków umownych,

5.  naruszenie art. 233 § 1 k.p.c. poprzez brak wszechstronnego rozważenia zebranego materiału dowodowego i dowolną ocenę tego materiału przejawiające się tym, że twierdzenia strony powodowej zostały uznane za prawdziwe pomimo braku ich udowodnienia stosownymi dowodami a dodatkowo pomimo, że co najmniej kilkukrotnie powód podawał nieprawdziwe informacje,

6.  naruszenie art. 231 k.p.c. poprzez nieuprawnione formułowanie domniemań faktycznych dotyczących stanu faktycznego (np. domniemanie, że to pozwany Bank uznał transakcje za podejrzane), podczas gdy z materiału dowodowego sprawy jednoznacznie wynika inny stan faktyczny czy też inne wnioski i twierdzenia przedstawione przez biegłego sądowego,

7.  naruszenie art. 278 § 1 k.p.c. poprzez jego niewłaściwe zastosowanie i co prawda dopuszczenie w sprawie dowodu z opinii biegłego sądowego, jednak następnie pominięcie najważniejszych wniosków i konkluzji wynikających z opinii a wręcz wyciągnięcie własnych wniosków, będących w opozycji do ustaleń i wniosków biegłego sądowego, podczas gdy Sąd nie posiada wiadomości specjalnych w materii będącej przedmiotem sporu.

W oparciu o tak sformułowane zarzuty pozwany wniósł o zmianę zaskarżonego wyroku i oddalenie powództwa wraz z odpowiednią zmianą orzeczenia o kosztach procesu, ewentualnie o uchylenie tego wyroku i przekazanie sprawy Sądowi I instancji do ponownego rozpoznania. Pozwany domagał się nadto zasądzenia na jego rzecz od powoda zwrotu kosztów procesu za drugą instancję, w tym kosztów zastępstwa procesowego, według norm prawem przepisanych.

W odpowiedzi na apelację powód wniósł o jej oddalenie na koszt pozwanego. Domagał się także zmiany postanowienia Sądu I instancji w przedmiocie oddalenia jego wniosku o dopuszczenie i przeprowadzenie dowodu z opinii innego biegłego z zakresu informatyki.

Sąd Apelacyjny zważył, co następuje:

Apelacja nie zasługiwała na uwzględnienie.

Sąd Apelacyjny za prawidłowe uznał dokonane przez Sąd I instancji ustalenia faktyczne, czyniąc je również podstawą własnego rozstrzygnięcia. Ustalenia te, w zakresie niezbędnym dla rozstrzygnięcia niniejszej sprawy, zasadniczo nie były zresztą sporne. W sprawie nie był bowiem kwestionowany fakt zawarcia przez strony w dniu 2 listopada 2007 r. umowy nr (...) o prowadzenie przez (...)w Z. rachunków rozliczeniowych, jak też fakt zawarcia w dniu 10 listopada 2009 r. umowy nr (...) o świadczenie usług bankowych za pośrednictwem systemu (...) (systemu bankowości internetowej pozwanego). Przy czym druga z tych umów stanowiła, że do realizacji dyspozycji bankowych (np. przelewów), powodujących zmianę środków pieniężnych na rachunkach bankowych, wymagana jest autoryzacja użytkowników posiadających (...) (zob. § 6 ust. 2 umowy nr (...), k. 17v). W przypadku powodowej spółki wymagana była więc autoryzacja dyspozycji przez J. W. (prezesa jej zarządu – zob. § 2 ust. 1 i 2 ww. umowy, k. 17 oraz załącznik nr 1 do tej umowy, k. 19).

Sporu nie budziło także i to, że w dniu 15 marca 2016 r. doszło do dwóch przelewów, przez które z rachunku bankowego powodowej spółki prowadzonego w pozwanym Banku wyprowadzono na rachunki innych podmiotów najpierw kwotę 297.836 zł, a następnie kwotę 87.980 zł. W sprawie nie było również kwestionowane, że obie te transakcje nie były autoryzowane przez J. W., ani przez jakąkolwiek inną osobę, zatrudnioną w powodowej spółce, a doszło do nich w wyniku działań przestępczych o charakterze hakerskim (nieustaleni sprawcy przełamali bowiem zabezpieczenia znajdujące się w komputerze J. W. i wyprowadzili z rachunku bankowego powodowej spółki ww. kwoty, z czego powodowi zwrócono jedynie kwotę 157.685 zł, co oznacza, że nie odzyskał on nadal kwoty 228.131 zł).

Źródła sporu nie stanowiło wreszcie i to, że komputer J. W., będący przedmiotem niniejszego ataku hakerskiego, spełniał wymagania techniczne, określone w § 3 ust. 2 Regulaminu świadczenia usług w systemie(...) (k. 27). W komputerze tym zainstalowane było bowiem (i aktualizowane) oprogramowanie antywirusowe oraz zapora bezpieczeństwa (tzw. firewall). Jednocześnie w sprawie brak jest jakichkolwiek dowodów, które pozwalałyby na ustalenie, że sprawcy wspomnianego ataku hakerskiego uzyskali dostęp do komputera J. W. na skutek jego działań czy też zaniedbań.

Przywołane wyżej fakty jednoznacznie wskazują zatem, że do wyprowadzenia powyższych kwot z rachunku bankowego strony powodowej doszło na skutek przestępstwa, do popełnienia którego w żaden sposób nie przyczyniła się ani powodowa spółka ani prezes jej zarządu – J. W..

Podnieść zarazem trzeba, że z art. 725 k.c. wynika, iż umowa rachunku bankowego polega na tym, że Bank zobowiązuje się do przechowywania środków pieniężnych posiadacza rachunku oraz do przeprowadzania na zlecenie tego posiadacza rozliczeń pieniężnych. W doktrynie i w orzecznictwie zgodnie przyjmuje się, że umowa ta łączy w sobie cechy umowy o depozyt nieprawidłowy (art. 845 k.c.) oraz umowy zlecenia ( art. 734 k.c.) (zob. np. wyrok Sądu Najwyższego z dnia 27 października 2016 r., V CSK 48/16 oraz komentarz do art. 725 k.c. [w:] Kodeks cywilny. Komentarz pod red. M Załuckiego, 2023, dostęp Legalis). Jednocześnie podkreśla się, że taki charakter niniejszej umowy powoduje, że posiadacz rachunku, wpłacając pieniądze na rachunek bankowy, traci ich własność na rzecz Banku. Nabywa on natomiast wierzytelność o zwrot takiej samej ich ilości (zob. wyrok Sądu Najwyższego z dnia 13 lutego 2004 r., IV CK 40/03, wyroki Sądu Apelacyjnego w Poznaniu: z dnia 27 października 2010 r., I ACa 733/10 i z dnia 18 kwietnia 2007 r., I ACa 201/07, wyrok Sądu Apelacyjnego w Krakowie z dnia 5 lutego 2014 r., I ACa 917/12 a także wyrok Sądu Apelacyjnego w Warszawie z dnia 16 grudnia 2020 r., VII AGa 421/19). Wskazuje się bowiem, że z istoty umowy rachunku bankowego wynika, iż przechowując środki pieniężne, Bank obraca nimi z obowiązkiem zwrotu na żądanie posiadacza rachunku. Z kolei, aby obracać środkami pieniężnymi, Bank musi uzyskać ich własność, po to by dokonywane przez niego czynności odnosiły skutek prawny. Dlatego zgromadzone na rachunku bankowym środki pieniężne przechodzą na jego własność, natomiast posiadacz rachunku nabywa wierzytelność o zwrot takiej samej ilości pieniędzy i umówionych odsetek (zob. np. komentarz do art. 725 k.c. [w:] Kodeks cywilny. Tom III. Komentarz. Art. 627-1088 pod red M. Gutowskiego, dostęp Legalis). Środki pieniężne, zgromadzone na rachunku bankowym nie są więc własnością posiadacza rachunku, lecz – jak słusznie wskazuje to także apelujący – Banku, a posiadaczowi rachunku przysługuje wobec tej instytucji finansowej roszczenie o wypłatę określonej sumy w pieniądzu.

Autoryzacja transakcji bankowej w bankowości internetowej to nic innego jak zgoda posiadacza rachunku na wykonanie takiej transakcji. Jeśli zgody takiej brak (np. udzieliła jej osoba nieuprawniona na skutek przestępczego ataku hakerskiego na komputer posiadacza rachunku), wówczas dochodzi do nieuprawnionego przesunięcia majątkowego na szkodę Banku jako właściciela środków. Jeśli jednak Bank, przy ustalaniu salda rachunku, uwzględni nieautoryzowaną transakcję i odmówi uwzględnienia ewentualnej reklamacji posiadacza rachunku, to poszkodowanym jest posiadacz rachunku, bowiem o kwotę nieautoryzowanej transakcji Bank obniża wierzytelność posiadacza rachunku o wypłatę pieniędzy z rachunku bankowego.

Sytuacja taka miała miejsce na gruncie rozpoznawanej sprawy, co oznacza, że powodowa spółka – wbrew odmiennym twierdzeniom autora apelacji (zob. zarzut naruszenia art. 471 k.c. ppkt b) – poniosła szkodę w postaci obniżenia o kwotę 228.131 zł jej wierzytelności wobec pozwanego Banku o wypłatę środków, zgromadzonych na jej rachunku bankowym.

W judykaturze powszechnie przyjmuje się, że ryzyko dokonania wypłaty z rachunku bankowego na rzecz osoby nieuprawnionej oraz dokonania rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną, obciąża Bank, także w sytuacji objęcia rachunku bankowego bankowością internetową (zob. wyrok Sądu Apelacyjnego w Warszawie z dnia 19 lipca 2018 r., I ACa 348/17, wyrok Sądu Apelacyjnego w Łodzi z dnia 17 stycznia 2020 r., I ACa 1511/18 czy też wyrok tut. Sądu Apelacyjnego z dnia 5 kwietnia 2019 r., I AGa 176/18). Innymi słowy, w przypadku dokonania wypłaty na rzecz osoby nieuprawnionej Bank nie może uwolnić się od obowiązku wykonania zobowiązania względem posiadacza rachunku – także na tej podstawie, że spełnił wymagania co do zachowania należytej staranności (art. 355 k.c.; zob. wyrok Sądu Najwyższego z dnia 16 stycznia 2001 r., II CKN 344/00 oraz postanowienie Sądu Najwyższego z dnia 16 października 2020 r., I CSK 216/20).

Powyższe oznacza, że podnoszone w apelacji okoliczności co do braku przełamania, przy objętych sporem przelewach, zabezpieczeń pozwanego Banku, jak też dotyczącego tego, że transakcje te – również w świetle opinii biegłego sądowego z zakresu ekonomii i informatyki I. J. – nie były transakcjami podejrzanymi bądź też transakcjami wysokiego ryzyka (zob. zarzuty apelacji oznaczone numerami 3 ppkt c oraz 4 ppkt b, c i f), nie mogły uwolnić skarżącego od odpowiedzialności wobec powoda z tytułu zwrotu środków przelanych z rachunku tego ostatniego, bez jego zgody.

W tych okolicznościach, również kwestia braku zaoferowania powodowi przez pozwany Bank zmiany metody autoryzacji transakcji na autoryzację kodem, wysłanym za pośrednictwem sms, pozostawała bez znaczenia dla odpowiedzialności apelującego. Także więc i zarzut oznaczony w apelacji pod numerem 4 ppkt e nie mógł odnieść zamierzonego skutku.

Nietrafne są także zarzuty pozwanego traktujące o tym, że powód przyczynił się do powstania szkody poprzez niezgłoszenie skarżącemu podejrzenia ataku hakerskiego niezwłocznie po jego stwierdzeniu (zob. zarzuty oznaczone numerem 4 ppkt g). Po pierwsze zauważyć należy, że powyższe nie mogło zapobiec niniejszej szkodzie, skoro objęte sporem przelewy zostały już zrealizowane. Po drugie, zgromadzony w sprawie materiał dowodowy nie daje podstaw do przypisania powodowej spółce zwłoki w zgłoszeniu przedmiotowego ataku, przy czym czas ten, w ocenie Sądu Apelacyjnego, liczyć należy od chwili stanowczego stwierdzenia, że do takiego ataku doszło, a nie od chwili nabrania przez powoda niepotwierdzonych podejrzeń w tym przedmiocie. Po trzecie zaś, pozwany Bank nie podjął nawet próby wykazania, że zgłoszenie mu przez powodową spółkę ataku hakerskiego już kolejnego dnia po dokonaniu wzmiankowanych przelewów przyczyniłoby się (i ewentualnie w jakim zakresie), do ograniczenia rozmiarów szkody, której doznał jego powód.

W ocenie Sądu Apelacyjnego, w sprawie nie został również wykazany związek pomiędzy działaniami świadka A. G. a powstaniem lub rozmiarem przedmiotowej szkody – w tej mierze podzielić należy argumentację Sądu I instancji. Natomiast twierdzenie, że za przyjęciem przyczynienia się powoda do powstania szkody przemawia okoliczność nieodłączenia eTokenu od komputera po autoryzacji przelewów jest chybione z tej choćby przyczyny, że takiego obowiązku posiadacza rachunku nie przewiduje ani zawarta przez strony umowa o świadczenie usług bankowych, ani Regulamin, stanowiący załącznik do tej umowy. Powinność taka nie wynika także z przepisów ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. Nr 199, poz. 1175 z późn. zm.).

Zdaniem Sądu Apelacyjnego, przywołane wyżej argumenty jednoznacznie wskazują, że pozwany Bank – na podstawie art. 726 k.c. – jest obowiązany do wydania powodowej spółce środków pieniężnych przelanych z jej rachunku bankowego w dniu 15 marca 2016 r., bez jej zgody.

Przy czym rację ma skarżący (zob. zarzut naruszenia art. 731 k.c. w zw. z art. 118 k.c.), że roszczenie to przedawnia się w terminie dwuletnim, określonym w art. 731 k.c., nie zaś w terminie trzyletnim, jak przyjął to Sąd Okręgowy. Nie oznacza to jednak, że powództwo(...)w O. winno ulec oddaleniu, zgodnie z postulatem apelacji.

Wskazać trzeba, że ustawodawca nie określił daty początkowej naliczania terminu przedawnienia roszczeń o zwrot środków pieniężnych, zgromadzonych na rachunku bankowym. Kwestia ta nie jest też jednolicie ujmowana w judykaturze i doktrynie. Część komentatorów wskazuje bowiem, że przy uwzględnieniu zasady przewidzianej w art. 120 § 1 k.c., bieg terminu przedawnienia dla środków pieniężnych, zgromadzonych na rachunkach bankowych rozpoczyna się – jeżeli umowa nie zawiera żadnych ograniczeń co do możliwości żądania zwrotu tych środków – już w momencie zasilenia rachunku (zob. A. Nowacki, komentarz do art. 731 k.c. [w:] Kodeks cywilny. Komentarz pod red. K. Osajda, 2020, Legalis). Według natomiast drugiej koncepcji – prezentowanej przez większość przedstawicieli doktryny oraz podzielanej przez Sąd Apelacyjny w niniejszym składzie – zasada z art. 120 § 1 k.c. nie ma zastosowania do roszczeń o zwrot środków pieniężnych, zgromadzonych na rachunku bankowym i termin przedawnienia roszczeń o zwrot takich środków rozpoczyna się dopiero z dniem zgłoszenia przez posiadacza rachunku żądania wypłaty (zob. A. Janiak [w:] Kodeks cywilny. Tom III. Komentarz. Art. 627-1088 pod red. M. Gutowskiego, komentarz do art. 731 k.c., Legalis; W. Pyzioł [w:] System prawa prywatnego, t. 8, s. 394; E. Niezbecka [w:] Kodeks cywilny. Komentarz. Tom III. Zobowiązania - część szczególna, wyd. II, red. A. Kidyba, Warszawa 2014, komentarz do art. 731 k.c., Lex; G. Sikorski [w:] Kodeks cywilny. Komentarz aktualizowany, red. M. Balwicka-Szczyrba, A. Sylwestrzak, LEX/el. 2023, komentarz do art. 731 k.c., Lex, a także postanowienie Sądu Najwyższego z dnia 16 października 2020 r., I CSK 216/20). Motywując tę drugą koncepcję słusznie zwrócono uwagę, że zastosowanie reguły przewidzianej w art. 120 § 1 k.c. prowadziłoby do rezultatów niezgodnych z istotą (naturą) umowy rachunku bankowego, bowiem powodowałoby to systematyczne przedawnianie się roszczeń o zwrot wkładu, który gromadzony byłby na rachunku bankowym z zamiarem przechowywania go tam przez okres dłuższy aniżeli 2 lata.

Wobec powyższego przyjąć należało, że w rozpoznawanej sprawie termin przedawnienia winien być liczony od dnia wystąpienia przez powoda do skarżącego Banku z żądaniem wypłaty objętych sporem sum, nie zaś od dnia, w którym nastąpił nieuprawniony transfer środków z rachunku bankowego powodowej spółki.

W aktach niniejszej sprawy próżno szukać dowodu wezwania pozwanego przez powoda do zapłaty przed datą zawezwania skarżącego do próby ugodowej, co nastąpiło pismem datowanym na dnia 24 maja 2018 r. (k. 42-43). Jakichkolwiek elementów wezwania do zapłaty nie zawiera w szczególności reklamacja z dnia 18 marca 2016 r. (k. 33). Dlatego, w ocenie Sądu Apelacyjnego, pismo zawierające zawezwanie do próby ugodowej należało uznać za pierwsze wezwanie do zapłaty objętej pozwem kwoty i od daty jego doręczenia liczyć termin przedawnienia z art. 731 k.c. Doręczenie to nastąpiło w dniu 9 lipca 2018 r., zatem, mając jednocześnie na względzie datę wniesienia niniejszego powództwa (15 czerwca 2020 r. – prezentata z datą wpływu k. 3), wątpliwości Sądu Apelacyjnego nie budziło, że wytoczone ono zostało przed upływem terminu przedawnienia.

Przy czym, co należy w tym miejscu wyraźnie podkreślić, kwestia przedawnienia roszczenia powoda z umowy rachunku bankowego nie miała aż tak istotnego znaczenia dla wyniku niniejszego postępowania. Okolicznością istotną jest bowiem to, że tak w pozwie, jak i we wniosku o zawezwanie do próby ugodowej, powód jako źródło obowiązku pozwanego wskazywał również czyn niedozwolony. W najnowszym orzecznictwie Sądu Najwyższego, podzielanym przez Sąd Apelacyjny w niniejszym składzie, przyjmuje się zaś, że zarówno wypłata na rzecz osoby nieuprawnionej, jak i dokonanie przelewu bez zlecenia (zgody) posiadacza rachunku bankowego, świadczy nie tylko o nienależytym wykonaniu zobowiązania umownego przez Bank, ale także o naruszeniu przezeń ogólnego obowiązku należytej staranności wobec posiadacza rachunku bankowego, co stanowi winę w rozumieniu art. 415 k.c. (zob. np. wyrok Sądu Najwyższego z dnia 19 grudnia 2007 r., V CSK 340/07). Bank odpowiada zatem wobec posiadacza rachunku na podstawie przepisów o odpowiedzialności deliktowej, tj. art. 415 i nast. k.c. To z kolei oznacza, że termin przedawnienia roszczenia odszkodowawczego powoda określa nie art. 731 k.c., lecz art. 442 1 § 1 k.c. Roszczenie powoda, oparte na odpowiedzialności deliktowej pozwanego Banku, przedawnia się zatem z upływem lat trzech od daty dowiedzenia się (lub możności dowiedzenia się) przez poszkodowanego (powoda) o szkodzie i o osobie obowiązanej do jej naprawienia.

W realiach analizowanej sprawy trzyletni termin przedawnienia roszczenia powoda niewątpliwie nie upłynął. Ujawnione w sprawie dane pozwalają wprawdzie na wniosek, że powód wiedzę zarówno o szkodzie, jak i o podmiocie, obowiązanym do jej naprawienia, posiadł już w dniu 18 marca 2016 r., kiedy to skierował do pozwanego Banku reklamację, w której wskazał, że wyprowadzone z jego rachunku bankowego w dniu 15 marca 2016 r. transakcje na kwoty 297.836 zł oraz 87.980 zł nie były przez niego autoryzowane (k. 33), na względzie mieć jednak należy, że powód, sygnalizowanym już wnioskiem z dnia 24 maja 2018 r. (doręczonym pozwanemu 9 lipca 2018 r.), zawezwał pozwanego do próby ugodowej, co skutkowało przerwanie biegu przedawnienia (art. 123 § 1 pkt 1 k.c.) i rozpoczęcie biegu tego terminu na nowo (art. 124 k.c.). W efekcie, na datę wytoczenia powództwa (tj. na dzień 15 czerwca 2020 r.) roszczenie powodowej spółki oparte na odpowiedzialności deliktowej pozwanego Banku nie było przedawnione.

Podkreślić także trzeba, że dochodzenie roszczenia przez powoda w oparciu o odpowiedzialność z tytułu czynu niedozwolonego powoduje, że jego obowiązkiem dowodowym w sprawie było jedynie wykazanie, że doszło do nieuprawnionego obciążenia jego rachunku bankowego, które nie zostało skorygowane oraz wykazanie wysokości tego obciążenia (zob. wyrok Sądu Najwyższego z dnia 20 lutego 2020 r., IV CSK 561/18). To zaś strona powodowa bezsprzecznie wykazała. Przyjąć więc należało, że w niniejszej sprawie również przesłanki odpowiedzialności deliktowej zostały należycie wykazane.

Reasumując, w okolicznościach rozpoznawanej sprawy zachodzi przewidziany w art. 443 k.c., zbieg odpowiedzialności kontraktowej z odpowiedzialnością deliktową. Przy czym, jak wynika z powyższych rozważań, przesłanki odpowiedzialności pozwanego Banku z obu tych podstaw zostały wykazane, a przedawnienie roszczenia z żadnej z tych podstaw nie zaistniało.

Z tych przyczyn Sąd Apelacyjny, uznając, że zaskarżony wyrok odpowiada prawu, orzekł jak w punkcie I wyroku na podstawie art. 385 k.p.c.

O kosztach instancji odwoławczej rozstrzygnął zaś jak w punkcie II w oparciu o art. 98 § 1 i 3 k.p.c. oraz art. 108 § 1 k.p.c., przy uwzględnieniu § 2 pkt 6 w zw. z § 10 ust. 1 pkt 2 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (t.j. Dz.U. z 2018 r. poz. 265).

(...)