Pełny tekst orzeczenia

Sygn. akt I ACa 785/22

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 30 czerwca 2023 r.

Sąd Apelacyjny w Łodzi I Wydział Cywilny w składzie:

Przewodniczący: Sędzia SA Marek Kruszewski

Sędziowie: SA Jacek Pasikowski

SA Monika Michalska-Marciniak

Protokolant: Karina Frątczak vel Wielgus

po rozpoznaniu w dniu 20 czerwca 2023 r. w Łodzi na rozprawie

sprawy z powództwa A. P. i W. P.

przeciwko Bank (...) Spółce Akcyjnej z siedzibą w W.

o zapłatę

na skutek apelacji strony pozwanej

od wyroku Sądu Okręgowego w Piotrkowie Trybunalskim

z dnia 28 lutego 2022 r. sygn. akt I C 165/21

1/ oddala apelację;

2/ zasądza od Banku (...) Spółki Akcyjnej z siedzibą w W. na rzecz A. P. i W. P. łącznie 4’050,00 zł (cztery tysiące pięćdziesiąt złotych) tytułem zwrotu kosztów procesu w postępowaniu apelacyjnym, z ustawowymi odsetkami za opóźnienie w spełnieniu świadczenia pieniężnego od dnia uprawomocnienia się postanowienia, którym je zasądzono do dnia zapłaty.

Sygn. akt I ACa 785/22

UZASADNIENIE

Zaskarżonym wyrokiem z 28 lutego 2022 roku w sprawie z powództwa A. P. i W. P. przeciwko Bankowi (...) Spółce Akcyjnej w W. o zapłatę, Sąd Okręgowy w Piotrkowie Trybunalskim zasądził od pozwanego Banku (...) Spółki Akcyjnej w W. łącznie na rzecz powodów A. P. i W. P. kwotę 110.048,85 złotych wraz z ustawowymi odsetkami za opóźnienie od dnia 15 września 2020 r. do dnia zapłaty oraz kwotę 6.434,00 złote tytułem zwrotu kosztów procesu.

Przytoczony wyrok został oparty na ustaleniach faktycznych szczegółowo przedstawionych w motywach pisemnych skarżonego orzeczenia. Sąd Apelacyjny podziela i przyjmuje za własne wszystkie istotne dla rozstrzygnięcia ustalenia Sądu pierwszej instancji i uznaje za zbędne powielanie ich w niniejszym uzasadnieniu.

Dokonując oceny prawnej Sąd Okręgowy uznał powództwo A. P. i W. P. oparte na przepisach ustawy z dnia 19.08.2011 r. o usługach płatniczych (t.j. Dz.U. z 2021 r., poz. 1907) za zasadne. Odwołując się do treści art. 40 ust. 1 ww. ustawy Sąd Okręgowy przypomniał, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda ta stanowi oświadczenie woli w rozumieniu art. 60 k.c. Ustawodawca w art. 40 ustawy nie określił w żaden sposób technicznej formy autoryzacji transakcji, dokonując odesłania do umowy wiążącej płatnika i jego dostawcę. Określenie tego sposobu pozostawione zostało woli stron, a w praktyce dostawcy usługi czyli bankowi, gdyż to on przygotowuje projekt umowy. Sam sposób wyrażenia zgody winien zostać wskazany w umowie, która ma charakter umowy ramowej w rozumieniu art. 2 pkt 31 ustawy. Umowa ramowa to umowa o usługę płatniczą regulująca wykonywanie indywidualnych transakcji płatniczych, która może zawierać postanowienia w zakresie prowadzenia rachunku płatniczego. W świetle powyższego transakcja płatnicza będzie uznana za nieautoryzowaną, jeżeli użytkownik nie wyraził zgody na jej wykonanie w sposób przewidziany w umowie. Możliwe jest to także wówczas, gdy posiadacz rachunku w ogóle nie wyraził zgody na wykonanie takiej transakcji płatniczej, gdyż została ona wykonana przez osobę nieuprawnioną. Sąd Okręgowy podkreślił, że ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością elektroniczną. Wynika to z regulacji zawartej w art. 45 ust. 11 i 2 ustawy. Skoro dostawcy samodzielnie oraz zarobkowo organizują swoją działalność gospodarczą na rynku usług płatniczych, można od nich oczekiwać odpowiedniego poziomu profesjonalizmu i przypisać im ciężar udowodnienia, że transakcja, która podlega wykonaniu, została autoryzowana przez płatnika albo wystąpiły inne relewantne okoliczności dotyczące jego odpowiedzialności za transakcję nieautoryzowaną. Użytkowników – w relacjach z dostawcami – traktuje się jako stronę strukturalnie słabszą, która wymaga ochrony prawnej przez korzystne dla nich ukształtowanie reguł dowodowych w odniesieniu do autoryzacji transakcji płatniczych oraz kwestii pokrewnych związanych z odpowiedzialnością. Sąd Okręgowy zaznaczył, że powyższa reguła pozostaje również w związku z zasadą wskazaną w art. 46 ustawy, która kształtuje generalną zasadę odpowiedzialności dostawcy za nieautoryzowane transakcje płatnicze, która jest oparta na zasadzie ryzyka – dostawca – bank nie może zwolnić się od odpowiedzialności poprzez wykazanie, że realizował umowę z zachowaniem należytej staranności.

W ocenie Sądu a quo pozwany, wbrew powyższym regułom, nie udowodnił, że dokonane w dniach 11 i 12 września 2020 r. transakcje były przez powódkę autoryzowane, ograniczając się do wywodu, że transakcje zostały potwierdzone przez wprowadzenie danych uwierzytelniających. Sąd ten zaznaczył, że samo uwierzytelnienie transakcji za pomocą określonych danych jest pojęciem odmiennym od pojęcia autoryzacji, które oznacza wyrażenie zgody na przeprowadzenie operacji, a przecież bezsporne było, że powódka takiej zgody nie wyraziła – nie wiedziała o tych transakcjach, a wiedzę co do nich powzięła dopiero po ich dokonaniu oraz że pozyskanie środków z rachunku powódki nastąpiło wskutek przestępstwa.

Sąd I instancji podkreślił, że ustalony stan faktyczny sprawy wskazuje, że powódka nie autoryzowała transakcji, a środki z jej rachunku zostały pobrane bez jej zgody w wyniku działań przestępczych podjętych przez nieustalonych sprawców poprzez zainstalowanie na telefonie powódki złośliwego oprogramowania, dzięki któremu przestępcy pozyskali dane uwierzytelniające, a następnie dokonali kradzieży środków przy użyciu bankowości elektronicznej. Skoro to nie powódka zdecydowała o realizacji transakcji wykonanych w dniach 11 i 12 września 2020 r., nie można mówić o tym że transakcje były przez nią autoryzowane.

Dodatkowo Sąd Okręgowy uznał, że pozwany Bank nie udowodnił również, że powódka swoim zachowaniem w jakikolwiek sposób naruszyła postanowienia umowy łączącej strony, a zwłaszcza dopuściła się rażącego niedbalstwa (art. 46 ust 3 ustawy). Sąd ten nie podzielił argumentacji pozwanego, że fakt, że powódka weszła w link znajdujący się w nadesłanej jej wiadomości podszywającej się pod wiadomość od operatora logistycznego (...) (przez co doszło do ściągnięcia aplikacji szpiegowskiej typu koń trojański) potwierdza zajście okoliczności, które w świetle art. 46 ust. 3 ustawy pozwalałby stwierdzić, że wystąpiły uwarunkowania do zwolnienia pozwanego z odpowiedzialności w wyniku umyślnego rażącego niedbalstwa powódki. Zdaniem tego Sądu powódka jako klient banku nie naruszyła obowiązków, o których mowa w art. 42 umyślnie lub wskutek rażącego niedbalstwa. W ocenie Sądu a quo brak podstaw do uznania, że powódka poprzez kliknięcie w link wiadomości od nadawcy podszywającego się pod operatora (...) dopuściła się kwalifikowanej formy niedbalstwa w postaci rażącego niedbalstwa. Powódka wchodząc na ten link zainicjowała proces pobierania oprogramowania, a strona, za pośrednictwem której doszło do pobrania oprogramowania była graficznie podobna do strony popularnego sklepu (...) używanego przez (...) W ocenie tego Sądu nie zmienia niczego w tym zakresie okoliczność, że pozwany bank informował o zagrożeniach związanych z działalnością cyberprzestępców związaną między innymi z przesyłaniem fałszywych sms na swych stronach internetowych. Powódka jako przeciętny użytkownik obrotu prawnego nie mogła uznać, że w otrzymanej wiadomości tkwi stan niebezpieczeństwa czy zagrożenia, tym bardziej, że w tamtym czasie operator (...) namawiał klientów do korzystania z aplikacji umożliwiającej bezdotykowe wyjmowanie paczek z paczkomatów. Twierdzenie pozwanego, że powódkę obciąża brak działania w sytuacji gdy zorientowała się, że nie może wyjąć paczki przy użyciu podanego w wiadomości kodu do paczkomatu – w ocenie Sądu Okręgowego - również nie są wystarczającą podstawą do przyjęcia rażącego niedbalstwa.

To samo należy odnieść do udziału powódki w aktywacji aplikacji mobilnej na urządzeniu, dzięki któremu przestępcy chcieli uzyskać dostęp do środków pieniężnych powódki. Sąd Okręgowy podkreślił, że aktywacja ta była dokonywana za pośrednictwem komputerowego systemu teleinformatycznego, który posługiwał się komunikatami głosowymi. W ocenie tego Sądu biorąc po uwagę ważność i doniosłość procesu aktywacji aplikacji bankowej mobilnej winien on być dokonywany w bezpośredniej rozmowie między pracownikiem banku a klientem, a nie za pośrednictwem systemu komputerowego. Poza tym procedura aktywacji aplikacji bankowej na dodatkowym urządzeniu była dwustopniowa – najpierw połączenie przez system (...), a następnie otrzymanie wiadomości sms o aktywacji aplikacji na nowym urządzeniu, którego to SMS- a powódka już nie otrzymała, co jak wynika z opinii Biura (...) było wynikiem działania aplikacji typu koń trojański. W tych okolicznościach zdaniem Sądu a quo trudno mówić, że powódka nie zachowała minimalnych elementarnych zasad prawidłowego zachowania się. W ocenie Sądu można to traktować co najwyżej w kategoriach niedbalstwa, czyli działania o zwykłym stopniu winy, ale nie o stopniu kwalifikowanym.

Niezależnie od tego Sąd Okręgowy wskazał, że Bank powinien zauważyć, że na rachunku powódki dokonywane są niestandardowe ruchy transakcyjne (przelewy między rachunkami, transakcje gotówkowe na karcie kredytowej, wielokrotne wypłaty gotówki z bankomatów, duże jednorazowe płatności w sklepach na terenie (...)) i podjąć stosowne działania zmierzające do weryfikacji, czy są to rzeczywiście działania powódki, tym bardziej, że Bank wiedział o przestępnych działaniach zmierzających do kradzieży środków. Obowiązek należytego zabezpieczenia środków powódki był obowiązkiem Banku (art. 50 ust. 2 ustawy z dnia 29.08.1997 r. Prawo bankowe tj. Dz.U. z 2021 r., poz. 2439), który powinien opracować takie procedury weryfikacji transakcji, aby niemożliwe było dokonywanie transakcji przez osoby nieuprawnione. Powódka padła ofiarą przestępstwa i nie miała woli przekazania swoich oszczędności osobom, które dokonały wypłat z rachunków i płatności przelewami. Sąd Okręgowy zwrócił też uwagę, że w tym okresie pojawiło się więcej podobnych przypadków dokonania operacji przez osoby nieuprawnione. Dokładną wiedzą w tym przedmiocie dysponował wtedy sam bank, który z tej racji powinien podjąć skuteczne działania zmierzające do ostrzeżenia klientów we właściwy sposób a nadto do stworzenia mechanizmów, które obserwowałyby transakcje na kontach klientów i wychwytywały niestandardowe zachowania blokując możliwość ich realizacji do czasu zweryfikowania woli ich dokonania przez klientów. W tych okolicznościach podjętą przez Bank próbę przerzucenia odpowiedzialności na powódkę Sąd Okręgowy uznał za niedopuszczalną. Po stronie powódki nie wystąpiły bowiem okoliczności, o których mowa w art. 46 ust. 3 ustawy.

Tym samym pozwany Bank obciąża na podstawie art. 46 ust. 2 ustawy obowiązek zwrotu powódce kwoty nieautoryzowanych transakcji płatniczych wraz z pobranymi przez bank opłatami (za transakcje gotówkowe na karcie kredytowej i za przelewy miedzy rachunkami) w łącznej kwocie 110.048,85 zł. Jednocześnie, w ocenie Sądu Okręgowego, nie zachodzi wskazywane przez Bank ograniczenie jego odpowiedzialności do kwoty wysokości równowartości w walucie polskiej 50 euro wynikające z art. 46 ust. 2 bowiem powódka nie naruszyła obowiązków, o których mowa w art. 42 ustawy. Za chybione uznał Sąd Okręgowy zarzuty, że powódka winna wykazać, że telefon, na którym miała zainstalowaną aplikację mobilną i komputer z którego logowała się do systemu komunikacji internetowej Banku zabezpieczony był płatnym programem antywirusowym, wskazując, że taki obowiązek nie wynikał z umowy łączącej strony w zakresie korzystania z kanałów bankowości elektronicznej.

O odsetkach za opóźnienie orzeczono na podstawie art. 481 k.c. mając na uwadze, że powódka zgłosiła nieautoryzowane transakcje w dniu 12 września 2020 r. a Bank w świetle art. 46 ust. 2 ustawy miał obowiązek dokonać niezwłocznego zwrotu środków do końca kolejnego dnia roboczego. W świetle powyższego Sąd Okręgowy uznał, że pozwany Bank pozostaje w opóźnieniu za spełnieniu świadczenia na pewno od wskazanej w pozwie daty 15 września 2020 r. Podstawę rozstrzygnięcia o kosztach procesu stanowił art. 98 § 1 i 3 k.p.c. Sąd Okręgowy nie uwzględnił wniosku pełnomocnika powodów o orzeczenie w zakresie kosztów procesu o odsetkach wskazując, że odsetki od przyznanego zwrotu kosztów procesu należą się z mocy ustawy obok samego zwrotu, co oznacza, że nie jest potrzebny odrębny wniosek o ich przyznanie ani odrębne rozstrzygniecie o ich przyznaniu; wystarczy samo rozstrzygniecie o przyznaniu zwrotu kosztów procesu.

Apelację od powyższego wyroku wywiódł pozwany zaskarżając go w całości i zarzucając:

1/ naruszenie przepisów prawa materialnego, tj. art. 46 ust. 1 i 1a w zw. z art. 45 ust. 1 w zw. z art. 40 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych w zw. z art. 72 Rozporządzenia Delegowanego Komisji (UE) (...) w zw. z art. 6 k.c. poprzez ich błędną wykładnię i nieprawidłowe przyjęcie, iż sporne transakcje nie zostały autoryzowane, a ciężar wykazania autoryzacji obciąża pozwanego, podczas gdy zgodnie z postanowieniami Regulaminu (...) autoryzacja transakcji możliwa była w szczególności za pomocą aplikacji mobilnej Banku, a dostawca usług wykazał, że (i) transakcja została prawidłowo uwierzytelniona i autoryzowana, (ii) transakcja została prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz ( (...)) na wykonanie danej transakcji nie miała wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę;

2/ naruszenie przepisów prawa materialnego, tj. art. 46 ust. 3 w zw. z art. 42 ust. 1 pkt 1 u.u.p. poprzez ich niezastosowanie i nieprawidłowe przyjęcie, iż płatnik nie odpowiada za nieautoryzowane transakcje, w sytuacji gdy zachowanie płatnika stanowiło naruszenie obowiązków umownych oraz wywołane było jego rażącym niedbalstwem, co winno doprowadzić do przypisania mu odpowiedzialności na gruncie wskazanych przepisów;

3/ naruszenie przepisów prawa materialnego, tj. art. 46 ust. 2 u.u.p. poprzez jego niezastosowanie i nieprawidłowe przyjęcie, iż płatnik nie odpowiada za nieautoryzowane transakcje, do wysokości równowartości w walucie polskiej 50 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, w sytuacji gdy nieautoryzowana transakcja była skutkiem posłużenia się instrumentem płatniczym (aplikacja mobilna) skradzionym płatnikowi;

4/ naruszenie przepisów prawa procesowego, które mogło mieć istotny wpływ na wynik sprawy, tj. art. 224 § 1 k.p.c. w zw. z art. 235 2 § 2 k.p.c. poprzez zamknięcie rozprawy bez formalnego rozpoznania wszystkich wniosków dowodowych, tj. (i) wniosku pozwanego o zwrócenie się przez Sąd I instancji do Komendy Rejonowej Policji I w W. o akta sprawy prowadzonej wcześniej przez Komendę Powiatową Policji w B. pod sygn. akt JED-12135/20, w której powód - A. P. występuje jako pokrzywdzona (pkt 8 petitum sprzeciwu od nakazu zapłaty) oraz (ii) wniosku o zobowiązanie powoda do przedłożenia do akt sprawy aparatu telefonicznego powoda, na który powód pobrał zainfekowaną aplikację (...) (pkt 6 petitum sprzeciwu od nakazu zapłaty);

5/ naruszenie przepisów postępowania mające wpływ na wynik sprawy - art. 235 2 § 1 pkt 2 k.p.c. w zw. z art. 278 k.p.c. w zw. z art. 227 k.p.c. polegające na pominięciu zgłoszonego przez pozwanego wniosku o przeprowadzenie dowodu z opinii biegłego z zakresu informatyki i teleinformatyki postanowieniem wydanym w dniu 4 lutego 2022 r., a w konsekwencji błąd w ustaleniach faktycznych przyjętych za podstawę rozstrzygnięcia, polegający na błędnym przyjęciu, iż: (i) sporne transakcje nie zostały autoryzowane; (ii) powodowi nie można przypisać rażącego niedbalstwa; ( (...)) powód w sposób właściwy realizował obowiązki wynikające z Umowy Ramowej, Umowy Karty Kredytowej i ustawy o usługach płatniczych; (iv) system (...) nie stanowi odpowiedniego narzędzia autoryzacyjnego do aktywacji aplikacji mobilnej - a które to naruszenie miało istotne znaczenie dla rozstrzygnięcia sprawy, w tym w szczególności dla dokonania prawidłowej oceny, czy sporne transakcje zostały autoryzowane, względnie - w razie uznania, że transakcje nie zostały autoryzowane - czy powód nie dopuścił się rażącego niedbalstwa, co skutkowałoby przypisaniem powodowi odpowiedzialności za dokonane transakcje;

6/ naruszenie przepisu prawa procesowego, które mogło mieć istotny wpływ na wynik sprawy, tj. art. 233 § 1 k.p.c., poprzez dowolną, a nie swobodną ocenę dowodów i brak wszechstronnego rozważenia całości zgromadzonego materiału dowodowego polegający na zmarginalizowaniu przez Sąd I instancji znaczenia dowodów zgromadzonych w toku postępowania, w szczególności z zeznań świadków T. P. oraz W. Z. (1) oraz z dokumentów: (i) schematu komunikatu (...) (załącznik nr 3 do sprzeciwu od nakazu zapłaty); (ii) zapisu nagrania rozmowy telefonicznej powoda z pracownikiem Banku z dnia 12 września 2020 r. - pierwsza rozmowa (załącznik nr 5 do sprzeciwu od nakazu zapłaty - płyta CD); ( (...)) zapisu nagrania rozmowy telefonicznej powoda z pracownikiem Banku z dnia 16 września 2020 r. (załącznik nr 5 do sprzeciwu od nakazu zapłaty - płyta CD); (iv) kopii opinii Biura (...) w L. z dnia 27 listopada 2020 r. - dokument złożony przez powoda podczas rozprawy w dniu 28 kwietnia 2021 r., które jednoznacznie wskazują na udostępnienie przez powoda narzędzi służących do uwierzytelnienia oraz autoryzacji nieznanym osobom trzecim - a w konsekwencji błąd w ustaleniach faktycznych przyjętych za podstawę rozstrzygnięcia, polegający na ustaleniu, iż pozwany Bank nie udowodnił również, że powódka swoim zachowaniem w jakikolwiek sposób naruszyła postanowienia umowy łączącej strony, a zwłaszcza dopuściła się rażącego niedbalstwa (art. 46 ust 3 ustawy) - s. 17 uzasadnienia wyroku; powodowie nie udostępniali danych do logowania ani nie przekazywali karty debetowej czy karty kredytowej celem jej użytkowania. s. 3 uzasadnienia Wyroku; W ocenie Sądu można to (zachowanie powódki) traktować co najwyżej w kategoriach niedbalstwa, czyli działania o zwykłym stopniu winy, ale nie o stopniu kwalifikowanym - s. 19 uzasadnienia Wyroku, podczas gdy wskazane wyżej, zgromadzone w toku postępowania dowodowego dokumenty jednoznacznie wskazują na fakt udostępnienia przez powódkę swoich danych uwierzytelniających osobom trzecim oraz na to, że działania te stanowią naruszenie obowiązków ustawowych i umownych, jak również na fakt, iż powstały wskutek rażącego niedbalstwa powoda.

Wskazując na powyższe zarzuty skarżący wniósł o zmianę zaskarżonego wyroku poprzez oddalenie powództwa w całości oraz zasądzenie od A. P. i W. P. solidarnie na rzecz pozwanego zwrotu kosztów postępowania apelacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych, ewentualnie, uchylenie zaskarżonego wyroku i przekazanie sprawy Sądowi I instancji do ponownego rozpoznania wraz z pozostawieniem temu Sądowi orzeczenia co do kosztów procesu za obie instancje, w tym kosztów zastępstwa procesowego.

Ponadto, w związku z podniesionymi zarzutami naruszenia prawa procesowego apelujący wniósł o:

- przeprowadzenie dowodu z opinii biegłego, pominiętego przez Sąd pierwszej instancji, celem wykazania faktów wskazanych w sprzeciwie od nakazu zapłaty,

- uwzględnienie wniosku o załączenie akt postępowania (...).

Powodowie w odpowiedzi na apelację wnieśli o jej oddalenie w całości oraz zasądzenie od pozwanego na rzecz powodów zwrotu kosztów postępowania apelacyjnego, w tym kosztów zastępstwa adwokackiego według norm przepisanych wraz z odsetkami w wysokości odsetek ustawowych za opóźnienie w spełnieniu świadczenia pieniężnego, za czas od dnia uprawomocnienia się orzeczenia, którym je zasądzono, do dnia zapłaty.

Rozważania prawne.

Apelacja nie zasługuje na uwzględnienie.

Jak już wyżej sygnalizowano, Sąd Apelacyjny podziela i przyjmuje za własny ustalony przez Sąd Okręgowy stan faktyczny. Należy jedynie doprecyzować, że Sąd Apelacyjny zobowiązał stronę pozwaną do złożenia płyty z nagraniem rozmów telefonicznych powódki przeprowadzonych z pracownikiem banku w dniach 12 i 16 września 2020 r., jednak analiza tych nagrań nie dostarczyła podstaw do zmiany ani uzupełnienia ustaleń faktycznych poczynionych przez Sąd I instancji. Treść zapisanych rozmów potwierdza jedynie fakt czynnego udziału powódki we wstępnej części procedury, której rezultatem było umożliwienie oszustowi zalogowania się na jej koncie w aplikacji pozwanego. Powódka temu nie zaprzeczała w toku procesu.

Poczynione przez Sąd a quo ustalenia, jako znajdujące oparcie w zgromadzonym w sprawie materiale dowodowym, uznać należało za prawidłowe i wystarczające do rozstrzygnięcia sporu. Wbrew zarzutom skarżącego, ocena tego materiału jest zgodna z regułami zawartymi w art. 233 § 1 k.p.c., nie narusza zasad swobodnej oceny dowodów i Sąd Apelacyjny ocenę tę podziela. Dowody przedstawione przez strony, jak i sporządzona w postępowaniu karnym opinia Biura (...) w L. zostały ocenione przez Sąd pierwszej instancji zgodnie z regułami logicznego rozumowania oraz doświadczenia życiowego, a ich prawidłowa ocena nie dała podstaw do czynienia odmiennych ustaleń niż te, które legły u podstaw prawidłowego rozstrzygnięcia zawartego w zaskarżonym wyroku. Zaznaczyć wypada, że zwalczanie ustaleń faktycznych sądu i związanej z tym oceny materiału dowodowego może następować tylko poprzez argumenty natury jurydycznej, wykazanie jakie kryteria oceny naruszył sąd przy ocenie konkretnych dowodów, uznając brak ich wiarygodności lub mocy dowodowej bądź niesłusznie im ją przyznając. Jeżeli zaś z określonego materiału dowodowego sąd wyprowadza wnioski logicznie poprawne i zgodne z doświadczeniem życiowym, to ocena sądu nie narusza reguł swobodnej oceny dowodów. Tylko w przypadku, gdy brak jest logiki w powiązaniu wniosków z zebranymi dowodami lub gdy wnioskowanie sądu wykracza poza schematy logiki formalnej albo wbrew zasadom doświadczenia życiowego, nie uwzględnia jednoznacznych praktycznych związków przyczynowo - skutkowych, to przeprowadzona przez sąd ocena dowodów może być skutecznie podważona (por. wyrok Sądu Najwyższego z dnia 27 września 2002 r., II CKN 817/00, OSNC 2000/7-8/139). Nie jest natomiast dostateczne przekonanie o innej niż przyjął to sąd wadze poszczególnych dowodów i ich odmiennej ocenie przez skarżącego. W judykaturze powszechnie przyjmuje się, że zarzucenie naruszenia zasady swobodnej oceny dowodów nie może polegać na przedstawieniu przez stronę alternatywnego stanu faktycznego, a tylko na podważeniu podstaw tej oceny z wykazaniem, że jest ona rażąco wadliwa lub oczywiście błędna (por. np.: wyroki Sądu Najwyższego z dnia 12 kwietnia 2001 r., II CKN 588/99, LEX nr 52347; z dnia 2 kwietnia 2003 r., I CKN 160/01, LEX nr 78813; z dnia 15 kwietnia 2004 r., IV CK 274/03, LEX nr 164852; z dnia 29 czerwca 2004 r., II CK 393/03, LEX nr 585758).

Odnosząc powyższe do stanowiska skarżącego uznać należy, że nie sprostał on opisanym wymogom formułowania analizowanego zarzutu. Obrazy art. 233 § 1 k.p.c. apelujący upatruje w zmarginalizowaniu dowodów z zeznań świadków T. P. i W. Z. (2), zapisów nagrań rozmów telefonicznych powódki z pracownikiem banku przeprowadzonych w dniach 12 i 16 września 2020 r. oraz opinii Biura (...) w L.. Wymienione dowody miałyby wskazywać na udostępnienie przez powódkę narzędzi służących do uwierzytelnienia oraz autoryzacji nieznanym osobom trzecim. Wbrew odmiennemu stanowisku apelującego, żaden z ww. dowodów nie daje podstaw do ustalenia – jak chce tego pozwany – że powodowie udostępnili swoje dane uwierzytelniające innym osobom w następstwie rażącego niedbalstwa, pozwalającego pozwanemu na uwolnienie się od odpowiedzialności. Nie ma żadnych dowodów pozwalających ustalić, że powodowie udostępnili osobom trzecim loginy hasła służące do logowania się do systemu transakcyjnego pozwanego Banku oraz, że wyrazili zgodę na wykonanie spornych transakcji (przelewów i wypłat) w tym sensie, że nie udostępnili tego rodzaju danych i nie dokonali autoryzacji spornych transakcji w sposób świadomy. Skarżący zupełnie pomija, że powódka padła ofiarą przestępczej działalności nieznanych sprawców, którzy przejęli wrażliwe dane w sposób podstępny stosując przy tym bardzo wyrafinowaną metodę działania. Można jedynie zgodzić się z apelującym, że powódka umożliwiła wykonanie spornych transakcji swoim aktywnym działaniem, tj. wybraniem samodzielnie odpowiedniego numeru na klawiaturze telefonu podanego podczas rozmowy telefonicznej przez narzędzie (...) jako kod autoryzacyjny do aktywacji aplikacji mobilnej. Jak bowiem wynikało z zeznań świadka T. P., aktywacja aplikacji mobilnej na innym urządzeniu nie byłaby możliwa bez czynnego udziału powódki. Jednak powyższe nie wystarczy do uwolnienia się pozwanego od odpowiedzialności względem powodów w oparciu o art. 45 ust. 2 ustawy o usługach płatniczych, o czym będzie mowa w dalszej części uzasadnienia. W każdym razie Sąd Okręgowy prawidłowo ustalił okoliczności, w jakich doszło do autoryzacji przez powódkę instalacji aplikacji mobilnej na innym urządzeniu (urządzeniu sprawcy) w oparciu o dowód z przesłuchania powódki. Jak wspomniano na wstępie, nagrania rozmów reklamacyjnych z 12 i 16 września 2020 r. w zasadzie potwierdzają wersję zdarzeń przedstawioną przez powódkę. Wynika z nich, że 11 września 2020 r. powódka w godzinach południowych była z córką na zakupach w galerii handlowej, w tym czasie kilkakrotnie dzwonił do niej telefon, który wyglądał na numer banku (...). Pierwszych z trzech połączeń powódka nie odebrała, ponieważ telefon dzwonił uporczywie, ostatecznie odebrała go za czwartym połączeniem. Po odebraniu usłyszała wiadomość (z automatu), w której była mowa o aplikacji mobilnej i że trzeba wcisnąć jakąś cyfrę. Jakość połączenia nie była najlepsza ( zaczęło trzeszczeć i się rozłączyłam), w treści wiadomości powódka nie usłyszała, że wybór wskazanej cyfry na klawiaturze telefonu służyć ma instalacji aplikacji mobilnej na innym urządzeniu. Nie padło również pytanie, czy powódka chce zainstalować aplikację mobilną na innym urządzeniu. Połączenie trwało ok. kilkunastu sekund. Po tej wiadomości powódka nie otrzymała żadnego telefonu ani wiadomości sms z banku w szczególności dotyczącej pomyślnej aktywacji aplikacji mobilnej na innym telefonie. W każdym razie telefon powódki był już nieaktywny.

Wbrew zarzutom apelacji Sąd Okręgowy prawidłowo ocenił w tym zakresie zebrane w sprawie dowody, w oparciu o które poczynił prawidłowe ustalenia faktyczne, w szczególności, że Powodowie nie udostępniali danych do logowania ani nie przekazywali karty debetowej czy kary kredytowej celem jej użytkowania. Powód nigdy nie logował się do konta. Zarówno numer klienta (M.) jak i hasło niezbędne do logowania się do banku nie było nigdzie przez powódkę zapisane. Poza powódką - nikt, nawet mąż powódki, będący współwłaścicielem rachunków bankowych, nie znał hasła dostępu do bankowości elektronicznej ani numeru (...) do aplikacji mobilnej.

Sporna jest jedynie ocena, czy powyższe zachowanie powódki zwalnia pozwanego od odpowiedzialności w tej sprawie, co będzie przedmiotem oceny Sądu w dalszej części niniejszych rozważań.

Prawidłowo również Sąd Okręgowy ustalił fakty w zakresie okoliczności, w jakich powódka „kliknęła” w link zawarty w wiadomości, jaką otrzymała od nadawcy podszywającego się pod operatora (...) Z ustaleń tych wynikało, że w dniu 11 września 2020 r. powódka oczekiwała na przesyłkę zawierającą towar zakupiony w sklepie (...). Dzień wcześniej oraz w dniu 11 września 2020 r. za pośrednictwem poczty elektronicznej otrzymała informację o statusie przesyłki. Wskazano numer przesyłki wraz z informacją, że zostanie umieszczona w paczkomacie odbiorczym (...) (wybranym przez powódkę na stronie internetowej sklepu). Następnie powódka otrzymała wiadomość SMS od nadawcy podpisanego (...) o treści: (...) przesyłka jest już w paczkomacie. Kod odbioru wygenerujesz przez aplikację bit. (...)”. W związku z pojawieniem się pandemii koronawirusa, na przełomie marca/kwietnia 2020 r. firma (...) zachęcała do korzystania z aplikacji mobilnej umożliwiającej zdalne otwarcie skrytki w paczkomacie, co jest faktem powszechni znanym. Dlatego powódka nie była zaskoczona otrzymaną informacją, w której zaproponowano pobranie aplikacji mobilnej. Skorzystała z linku podanego w treści SMS, co spowodowało otwarcie domyślnej przeglądarki internetowej Samsung Internet, wyświetlenie strony internetowej https://inpost.sklep-play.me/pobierz/ i pobranie pakietu instalacyjnego (...).apk. W środowisku systemu operacyjnego telefonu powódki zainstalowany został pobrany przez powódkę pakiet instalacyjny oraz zainstalowana została aplikacja (...) M. w wersji 2.8.0. Następnie powódka otrzymała wiadomość SMS od nadawcy podpisanego jako (...) o treści: „(...) M.: Twój kod weryfikacyjny to (...) Pozdrawiamy, Zespół (...). Po wprowadzeniu do paczkomatu otrzymanego kodu, okazało się, że jest niepoprawny i powódka nie może odebrać przesyłki. Wymóg zainstalowania aplikacji nie wzbudził obaw powódki, bowiem – jak zeznała, SMS był w kolumnie (...) i był identyczny. Zainstalowanie aplikacji zadziałało tak, jakby (…) była prawdziwa, (…), przestałam dostawać SMS o odbiorze przesyłek. Tak dzieje się tylko wtedy gdy ma się zainstalowaną aplikację.

Podsumowując tę część rozważań stwierdzić należy, że ustalony przez Sąd a quo stan faktyczny w zakresie, jaki jest istotny dla rozstrzygnięcia sprawy, jest w zasadzie niesporny. Dokonana przez Sąd Okręgowy ocena materiału dowodowego nie kłóci się ani z zasadami logiki, ani wskazaniami doświadczenia życiowego. Pozostałe zarzuty apelacji dotyczące prawidłowości gromadzenia przez Sąd meriti materiału dowodowego również jawią się jako chybione z tej głównie przyczyny, że okoliczności, które pozwany zamierzał wykazać pominiętymi dowodami, są irrelewantne z punktu widzenia meritum sporu. Sąd Okręgowy zasadnie pominął dowód z opinii biegłego z dziedziny informatyki i teleinformatyki bowiem zasadnicza część okoliczności objętych tezą dowodową, po jej modyfikacji przez pozwanego, miałaby wykazać fakt należytego wykonywania łączącej strony umowy przez Bank (stosowane przez bank indywidulane zabezpieczenia instrumentów płatniczych, weryfikacja prawidłowości autoryzacji aplikacji mobilnej banku na urządzeniu sprawcy, brak przełamania zabezpieczeń pozwanego przez osoby nieuprawnione, adekwatność stosowanych przez bank zabezpieczeń systemu, brak udostępnienia przez bank osobom trzecim danych służących do uwierzytelniania i autoryzacji transakcji płatniczych na rachunku powodów). Są to okoliczności pozbawione doniosłości prawnej z punktu widzenia przesłanek odpowiedzialności pozwanego określonych w art. 45 ust. 2 ustawy o usługach płatniczych, bowiem pozwany odpowiada względem powodów na zasadzie ryzyka, o czym szerzej mowa będzie w dalszej części uzasadnienia. Pozostałe okoliczności objęte tezą dowodową dla biegłego zostały wyjaśnione dowodem z opinii Biura (...) w L.. Z tej przyczyny Sąd Apelacyjny oddalił wniosek apelującego zmierzający do przeprowadzenia tego dowodu.

Zarzut zaniechania zignorowania przez Sąd Okręgowy dowodów zgromadzonych w aktach postępowania (...) prowadzonego przez Komendę Powiatową Policji w B. jest o tyle niezasadny, że akta te zostały załączone do sprawy (vide akta dochodzenia oznaczone nr RSD 629/20). Protokół ustanego przyjęcia zawiadomienia o przestępstwie znajdujący się na kartach 1-4 zawiera treść zeznań poszkodowanej. Są one zbieżne z wersją przebiegu zdarzeń przedstawioną przez powódkę w tej sprawie. Z kolei Opinia Biura (...) (k. 46- 62) została uwzględniona przez Sąd pierwszej instancji jako jeden z dowodów, w oparciu o które skonstruowano stan faktyczny. Jedynie na marginesie warto zauważyć, że w procedurze cywilnej nie przewidziano dowodu z akt całej sprawy. Poza tym, intencją pozwanego zgłaszającego ten wniosek było wykazania prawidłowości wykonywania umowy przez Bank, co pozostaje bez wpływu na odpowiedzialność pozwanego w tej sprawie. W tej sytuacji wniosek dowodowy w tym przedmiocie był bezprzedmiotowy na etapie postępowania apelacyjnego.

Przechodząc do oceny zasadności zarzutów obrazy prawa materialnego przypomnieć należy, że obowiązki stron oraz zasady odpowiedzialności banku za nieautoryzowane transakcje uregulowane zostały w ustawie z 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2022 r. poz. 2360, dalej: Ustawa). Ustawa ta przewiduje generalną zasadę, zgodnie z którą dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika.

Stosownie do art. 46 ust. 1 powołanej Ustawy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.

Art. 45 ust. 1 Ustawy stanowi, że ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika spoczywa na dostawcy tego użytkownika, przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

W realiach rozpatrywanej sprawy przedmiotem sporu był nie tyle fakt możliwego cyberataku na rachunek bankowy powodów, ile kwestia naruszenia przez poszkodowanych niżej opisanych obowiązków, które taki atak miały uniemożliwiać.

W myśl art. 42 Ustawy, użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (ust. 1) przy czym w celu spełnienia obowiązku korzystania z instrumentu płatniczego zgodnie z umową ramową użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (ust. 2).

Szereg obowiązków spoczywa także na dostawcy wydającym instrument płatniczy, który na mocy art. 43 ust. 1 Ustawy obowiązany jest m.in. do zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu, zapewnienia stałej dostępności odpowiednich środków pozwalających użytkownikowi na dokonanie zgłoszenia zgodnie z art. 42 ust. 1 czy zapewnienia procedur pozwalających na udowodnienie dokonania zgłoszenia, o którym mowa w art. 42 ust. 1, przy czym to dostawca ponosi ryzyko związane z wysłaniem płatnikowi instrumentu płatniczego lub jego indywidualnych zabezpieczeń.

Zobowiązanie Banku względem posiadacza rachunku kształtuje również art. 50 ust. 2 ustawy z 29 sierpnia 1997 r. - Prawo bankowe (tj. Dz.U. z 2022. (...)), który stanowi, że bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W aktualnym orzecznictwie nie znajduje już aprobaty prezentowane przed laty stanowisko wyrażające się minimalizacją wymagań co do staranności banków przy wykonywaniu zobowiązań wobec swoich kontrahentów (wyrok Sądu Najwyższego z dnia 7 stycznia 1964 r., III CR 365/63, OSNC 1964/11/231). W licznych orzeczeniach z późniejszego okresu najwyraźniej dominuje już restryktywne, a zarazem w pełni uzasadnione jurydycznie, podejście, stawiające bankom wysokie wymagania pod względem oceny staranności zachowań niezbędnych przy wykonywaniu ich zobowiązań (uchwała SN z dnia 20 listopada 1992 r., III CZP 138/92, OSNC 1993/6/96; wyrok SN z dnia 28 maja 1999 r., III CKN 196/98, OSNC 2000/1/8; wyrok SN z dnia 16 stycznia 2001 r., II CKN 344/00 -niepubl.; wyrok SN z dnia 26 lipca 2001 r., II CKN 1269/00, OSP 2002/9/121). W wyroku z 14 kwietnia 2003 r. w sprawie I CKN 308/01 Sąd Najwyższy wyraził zapatrywanie, że zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności.

Przechodząc na grunt rozpatrywanej sprawy stwierdzić należy, iż - wbrew zarzutom apelacji - Sąd Okręgowy prawidłowo ocenił, że powodowie (powódka) jako klient banku nie naruszyli obowiązków, o których mowa w art. 42 Ustawy umyślnie lub wskutek rażącego niedbalstwa. Jak wynika z prawidłowych ustaleń poczynionych przez tenże Sąd, powodowie nigdy nie udostępniali identyfikatora, hasła ani innych danych osobom trzecim.

Wbrew wyżej opisanym regułom, pozwany nie udowodnił, że dokonane w dniach 11 i 12 września 2020 r. sporne transakcje były przez powódkę autoryzowane, ograniczając się do argumentu, że zostały potwierdzone przez wprowadzenie danych uwierzytelniających. Tymczasem samo uwierzytelnienie transakcji za pomocą określonych danych jest pojęciem odmiennym od pojęcia autoryzacji, które oznacza wyrażenie zgody na przeprowadzenie operacji. Stosownie do art. 40 ust. 1 Ustawy transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Transakcja płatnicza będzie uznana za nieautoryzowaną, jeżeli użytkownik nie wyraził zgody na jej wykonanie w sposób przewidziany w umowie. Możliwe jest to także wówczas, gdy posiadacz rachunku w ogóle nie wyraził zgody na wykonanie takiej transakcji płatniczej, gdyż została ona wykonana przez osobę nieuprawnioną (tak też Sąd Okręgowy w Łodzi w wyroku z 19.12.2016 r. w sprawie III Ca 1401/16). Poza sporem pozostaje, że powódka nawet nie miała wiedzy o spornych transakcjach, o których dowiedziała się dopiero po ich dokonaniu oraz że pozyskanie środków z rachunku powodów nastąpiło wskutek przestępstwa. Trudno w tych okolicznościach uznać, że powódka autoryzowała sporne transakcje (wyraziła na nie zgodę), skoro środki z rachunku zostały pobrane bez jej zgody w wyniku działań przestępczych podjętych przez nieustalonych sprawców. Jak wynika z niekwestionowanych ustaleń Sądu I instancji, do cyberataku doszło poprzez zainstalowanie przez powódkę na telefonie złośliwego oprogramowania, dzięki któremu przestępcy pozyskali dane uwierzytelniające, a następnie dokonali kradzieży środków przy użyciu bankowości elektronicznej.

Zatem w dalszej kolejności oceny wymaga, czy powódce można postawić zarzut umyślnego doprowadzenia do nieautoryzowanej transakcji bądź umyślnego lub na skutek rażącego niedbalstwa naruszenia obowiązków wynikających z treści art. 42 Ustawy.

Ocena, czy zachodzi wypadek rażącego niedbalstwa wymaga uwzględnienia obiektywnego stanu zagrożenia oraz kwalifikowanej postaci braku zwykłej staranności w przewidywaniu skutków, a więc uwzględnienia staranności wymaganej od działającej osoby oraz okoliczności, w których doszło do zaniechania pożądanych zachowań z jej strony. „Rażące niedbalstwo" to coś więcej niż brak zachowania zwykłej staranności w działaniu. Wykładnia tego pojęcia powinna zatem uwzględniać kwalifikowaną postać braku zwykłej lub podwyższonej staranności w przewidywaniu skutków działania. Chodzi tu o takie zachowanie, które graniczy z umyślnością (por. wyrok Sądu Najwyższego z dnia 29 stycznia 2009 r., sygn. akt V CSK 291/08). Rażące niedbalstwo można zatem przypisać w wypadku nieprzewidywania szkody jako skutku zaniechania określonego działania, o ile doszło do przekroczenia podstawowych, elementarnych zasad staranności. Należy przy tym wyraźnie odróżnić „rażące niedbalstwo" od „zwykłego niedbalstwa", czyli takiego zachowania osoby, która przewiduje skutki swojego działania lub zaniechania, lecz spodziewa się, że ich uniknie oraz gdy skutków tych nie przewiduje, chociaż może i powinna była je przewidzieć. Innymi słowy, przypisanie określonej osobie niedbalstwa uznaje się za uzasadnione wtedy, gdy osoba ta zachowała się w określonym miejscu i czasie w sposób odbiegający od właściwego dla niej miernika należytej staranności. Przez rażące niedbalstwo rozumie się natomiast niezachowanie minimalnych (elementarnych) zasad prawidłowego zachowania się w danej sytuacji.

W ocenie Sądu Apelacyjnego niewątpliwym jest, że powódka swoim lekkomyślnym czy też niefrasobliwym zachowaniem przyczyniła się do przeprowadzenia spornych transakcji, jednakże należy podzielić ocenę Sądu a quo, że jej zachowanie nie nosiło znamion rażącego niedbalstwa, a tym bardziej umyślności. Po pierwsze, jak słusznie uznał Sąd I instancji, trudno upatrywać rażącego niedbalstwa powódki w kliknięciu w link zawarty w wiadomości od nadawcy podszywającego się pod operatora (...), czym zainicjowała proces pobierania złośliwego oprogramowania. Powódka w tym czasie oczekiwała na przesyłkę, która miała zostać dostarczona do paczkomatu (...), a strona, za pośrednictwem której doszło do pobrania oprogramowania, była graficznie podobna do strony popularnego sklepu (...) używanego przez (...) Otrzymana wiadomość znajdowała się w kolumnie wiadomości od autentycznego operatora (...) Trafnie ocenił Sąd I instancji, że powódka jako przeciętny konsument mogła nie zorientować się, że w otrzymanej wiadomości tkwi zagrożenie tym bardziej, że w tamtym okresie operator (...) namawiał klientów do korzystania z aplikacji umożliwiającej bezdotykowe wyjmowanie paczek z paczkomatów. Nie sposób uznać, że rażącym niedbalstwem jest pobranie aplikacji, co do której powódka posiadała uzasadnione przypuszczenie, że jest aplikacją oryginalną, niezbędną do odbioru przesyłki, zwłaszcza mając na uwadze agresywną kampanię reklamową, prowadzoną przez (...), w związku z wybuchem pandemii koronawirusa. Rażącego niedbalstwa próżno upatrywać także w braku natychmiastowego działania powódki gdy okazało się, że nie może wyjąć paczki przy użyciu podanego w wiadomości kodu do paczkomatu. Powódka wyjaśniła, że była wówczas z dzieckiem, dokądś się spieszyła, stygł jej posiłek, chciała szybko wrócić do domu, ale zamierzała zająć się tą sprawą później.

Co się zaś tyczy udziału powódki w aktywacji aplikacji mobilnej na urządzeniu sprawcy, dzięki któremu przestępcy uzyskali dostęp do środków zgromadzonych na rachunku powodów, to zachowanie powódki należy traktować co najwyżej w kategoriach niedbalstwa. Wybór na klawiaturze telefonu cyfry podanej w komunikacie głosowym w ramach połączenia telefonicznego z bankiem w sytuacji, gdy jakość połączenia nie była najlepsza i powódka nie do końca wiedziała, w jakim celu ma to uczynić, z pewnością było zachowaniem niefrasobliwym. Ale także i w tej sytuacji trudno uznać, że powódka uchybiła podstawowym, elementarnym zasadom prawidłowego zachowania. W treści komunikatu nie wskazano (w każdym razie powódka nie usłyszała), że wybór podanej cyfry na klawiaturze telefonu służyć ma instalacji aplikacji mobilnej na innym urządzeniu. Nie padło również pytanie, czy powódka zamierza zainstalować aplikację mobilną na innym urządzeniu. Po tej wiadomości powódka nie otrzymała żadnego telefonu ani wiadomości sms z banku dotyczących pomyślnej aktywacji aplikacji mobilnej na innym telefonie (procedury przewidywały dwustopniową aktywację); w każdym razie telefon powódki był już nieaktywny. Mając na uwadze, że powódka zobowiązana była do zachowania jedynie zwykłej a nie podwyższonej staranności w przewidywaniu skutków swego działania, nie sposób uznać, by zachowaniem swym wyczerpała przesłankę rażącego niedbalstwa. Trafnie zresztą Sąd Okręgowy podniósł, że biorąc po uwagę ważność i doniosłość procesu aktywacji aplikacji bankowej mobilnej, winien on być dokonywany w bezpośredniej rozmowie między pracownikiem banku a klientem, a nie za pośrednictwem systemu komputerowego. Warto przy tym zauważyć, że z nagrań rozmów telefonicznych przeprowadzonych przez powódkę w ramach zgłoszenia reklamacji wynika, że powódkę poinformowano, iż połączenie telefoniczne, który odebrała 11 września 2020 r. za czwartym razem, nie mogło pochodzić z Banku (...), ponieważ automat nigdy nie dzwoni do klientów. Rodzi się zatem pytanie, czy powódka została wprowadzona w błąd przez konsultantkę czy też w tym przypadku działania banku kłóciły się z obowiązującymi procedurami. Raz jeszcze podkreślenia wymaga, że powódka padła ofiarą profesjonalnie przygotowanego przestępstwa, którego celem było pozyskanie jej danych uwierzytelniających a następnie kradzież środków zgromadzonych na rachunku przy użyciu bankowości elektronicznej.

Mając to wszystko na uwadze nie budzi wątpliwości Sądu Apelacyjnego, że w okolicznościach tej sprawy nie było podstaw do przypisania powódce rażącego niedbalstwa a tym bardziej winy umyślnej, której występowanie również mogłoby uzasadniać przyjęcie fikcji prawnej autoryzowania transakcji przez płatnika, a tym samym przyjęcia, że sporne przelewy były autoryzowane przez powódkę. W tych warunkach Sąd I instancji poprawnie zastosował w sprawie art. 45 powołanej Ustawy. Celnie wskazał zwłaszcza, że ciężar dowodu w zakresie wykazania, że dokonane transakcje były autoryzowane przez użytkownika, czyli powódkę, spoczywał na stronie pozwanej, która skutecznie nie mogła się zasłaniać zarzutem dotyczącym zarejestrowanego użycia instrumentu płatniczego przez dostawcę (ust. 2 powołanego przepisu). Z drugiego zdania tego przepisu wprost wynika, że to strona pozwana jako dostawca miała udowodnić inne okoliczności wskazujące na autoryzację przelewów przez powódkę albo na umyślność lub rażące niedbalstwo powódki skutkujące doprowadzeniem do nieautoryzowanej transakcji. Strona pozwana powyższemu obowiązkowi nie podołała koncentrując się głównie na wykazaniu należytego wykonania przez bank umowy łączącej strony, co jest okolicznością irrelewantną dla rozstrzygnięcia. Wszak odpowiedzialność banku oparta jest na zasadzie ryzyka, toteż nawet należyte wykonanie umowy przez bank nie wystarczyłoby do uwolnienia się przez bank od odpowiedzialności wobec powodów.

Ubocznie już tylko należy zgodzić się z Sądem a quo, że Bank nie do końca wywiązał się z obowiązku należytego zabezpieczenia środków powodów. W przekonaniu Sądu Apelacyjnego sporne transakcje dokonywane na rachunku powodów powinny były stać się przedmiotem zainteresowania Banku z uwagi na ich nietypowość dla profilu tego klienta. Powodowie nigdy wcześniej nie dokonywali tak nietypowych dyzpozycji. Nie wzbudził zwiększonej czujności pozwanego przykładowo fakt dokonania następujących bezpośrednio po sobie kilkunastu przelewów, co sugeruje zamierzone obniżenie kwoty pojedynczego przelewu dla ukrycia rzeczywistego rozmiaru dokonywanego transferu. W dalszej kolejności podjęcie przez Bank podstawowych choćby czynności weryfikacyjnych uzasadnione było licznymi transakcjami gotówkowymi na karcie kredytowej, wielokrotnymi wypłatami gotówki z bankomatów, dużymi jednorazowymi płatnościami w sklepach na terenie (...) czy faktem korzystania z czeków BLIK, z których wcześniej powodowie nie korzystali. Pozwany Bank zlekceważył wszystkie te sygnały. Z podwyższonej staranności Banku przy wykonywaniu umowy z powodami wywieść można obowiązek wychwycenia nietypowej transakcji i przykładowo – telefonicznego potwierdzenia u powódki, czy aby na pewno ma zamiar zlecić kolejny przelew środków pieniężnych zdeponowanych na jej rachunku. W tym kontekście uwadze Sąd Apelacyjnego nie umknęła kolejna informacja przekazana powódce przez konsultantkę podczas zgłoszenia reklamacji. Odpowiadając na pytanie klientki pracownica Banku oświadczył, że Bank nie potwierdza takich transakcji jakie dokonano na jej koncie (chodziło o transakcje na stosunkowo duże sumy, dokonywana w krótkich odstępach czasu). Jest monitoring operacji, ale typuje transakcje, które mogą być podejrzane i dopiero one są weryfikowane (plik (...) na płycie załączonej na k. 723 akt, czas nagrania 00:31:00)

W ocenie Sądu Apelacyjnego rzeczą pozwanego, jako profesjonalisty, jest opracowanie takich instrumentów płatniczych i procedur autoryzacji transakcji i ich weryfikacji, aby niemożliwym było posłużenie się nimi przez osoby nieuprawnione.

Mając to wszystko na uwadze w przekonaniu Sądu Apelacyjnego Sąd Okręgowy słusznie uznał, że po stronie banku powstał obowiązek uzupełnienia rachunku powodów o kwotę, która została z niego w ten sposób wyprowadzona transakcjami, które nie zostały przez powodów autoryzowane, stosownie do art. 46 ust. 1 powołanej Ustawy o usługach płatniczych. Skoro powodowie nie wyrazili zgody na sporne transakcje, w wyniku których utracili środki zgromadzone na rachunku, obowiązek ich uzupełnienia spoczywał na pozwanym. Nie wystąpiła bowiem żadna z sytuacji opisanych w art. 46 ust. 3 ww. ustawy.

Wbrew odmiennej ocenie apelującego, Sąd pierwszej instancji prawidłowo nie zastosował w sprawie art. 46 ust. 2 ustawy o usługach płatniczych ograniczającego odpowiedzialność pozwanego do wysokości równowartości w walucie polskiej 50 euro, z uwagi na to, że nieautoryzowane transakcje były skutkiem posłużenia się skradzionym płatnikowi instrumentem płatniczym. Skarżący pomija dalszą część tego artykułu (ustęp 2a), z którego wynika, że art. 46 ust. 2 nie stosuje się, w przypadku gdy płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej. Sytuacja taka miała miejsce w rozpoznawanej sprawie. Po zainfekowaniu telefonu powódki złośliwą aplikacją, co miało miejsce 11 września 2020 r. telefon powódki funkcjonował normalnie. Jak wynika z odpowiedzi na apelację, powódka dokonała tego samego dnia zakupu przez internet korzystając z transakcji internetowych BLIK i powiązanej z urządzeniem aplikacji mobilnej, a wieczorem, przed godziną 19 dokonała transakcji kartą kredytową w sklepie (...). Obie transakcje przebiegły prawidłowo, wobec czego nie było możliwości stwierdzenia dokonania kradzieży instrumentu płatniczego przez osoby trzecie. Problemy z aparatem telefonicznym zaczęły się dopiero wieczorem, kiedy to powódka nie była w stanie uruchomić urządzenia; przypuszczała, że jest to spowodowane rozładowaną baterią. Nie była więc w stanie stwierdzić, że doszło do kradzieży instrumentu płatniczego, natomiast właśnie w tym czasie dokonywane były nieautoryzowane transakcje. Dopiero następnego dnia, kiedy powódce – mimo podładowania baterii - nadal nie udało się uruchomić telefonu, powódka nabrała podejrzeń, że mogło dojść do kradzieży jej instrumentu płatniczego. Niezwłocznie poinformowała o zaistniałym fakcie pozwanego oraz zawiadomiła policję o możliwości popełnienia przestępstwa. Analizując opisaną sekwencję zdarzeń należy zgodzić się z powodami, że nie mieli możliwości stwierdzenia kradzieży instrumentu płatniczego przed wykonaniem nieautoryzowanych transakcji, co uzasadniałoby zastosowanie art. 46 ust. 2a ustaw o usługach płatniczych.

Mając powyższe na uwadze, Sąd Apelacyjny na podstawie art. 385 k.p.c. oddalił apelację strony pozwanej nie znajdując podstaw do jej uwzględnienia. O kosztach postępowania apelacyjnego Sąd Apelacyjny orzekł w oparciu o art. 98 §§ 1 i 1 1 k.p.c. w zw. z art. 391 § 1 k.p.c. i zasądził od pozwanego na rzecz powodów kwotę 4.050 zł tytułem kosztów procesu, na które złożyło się wynagrodzenie pełnomocnika w wysokości ustalonej w oparciu o § 2 pkt 6 w związku z § 10 ust. 1 pkt 2 Rozporządzenia Ministra Sprawiedliwości w sprawie opłat za czynności adwokackie z dnia 22 października 2015 r. (tj. Dz.U. 2015.1800).

Mając to wszystko na uwadze orzeczono jak w sentencji.