Wyrok

I C 33/22

Podstawa prawna:

art.46 i 42 ustawy o usługach płatniczych

Powołane przepisy:

  1. Ustawa z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz. U. z 1964 r. Nr 43, poz. 296 - art. 203; art. 203 § 4; art. 252; art. 98) Przejdź do ustawy w dzienniku ustaw
  2. Ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 1997 r. Nr 140, poz. 939 - art. 50; art. 50 ust. 2) Przejdź do ustawy w dzienniku ustaw
  3. Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (Dz. U. z 1997 r. Nr 88, poz. 553 - art. 12; art. 12 § 1; art. 13; art. 13 § 1; art. 286; art. 286 § 1) Przejdź do ustawy w dzienniku ustaw
  4. Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2011 r. Nr 199, poz. 1175 - art. 2; art. 2 pkt. 9 d; art. 40; art. 40 ust. 1; art. 40 ust. 1 zd. 1; art. 42; art. 42 ust. 1; art. 42 ust. 1 pkt. 2; art. 43; art. 43 ust. 1; art. 44; art. 44 ust. 2; art. 45; art. 45 ust. 1; art. 46; art. 46 ust. 1; art. 46 ust. 3) Przejdź do ustawy w dzienniku ustaw

Dodatkowe informacje:

Pełny tekst orzeczenia

Sygn. akt: I C 33/22

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 11 czerwca 2024 r.

Sąd Rejonowy w Gdyni I Wydział Cywilny

w składzie następującym:

Przewodniczący: SSR Joanna Jank

Protokolant: st.sekr.sąd. Katarzyna Pietkiewicz

po rozpoznaniu na rozprawie w dniu 21 maja 2024 r. w G.

sprawy z powództwa A. O.

przeciwko Bankowi (...) S.A. z siedzibą w W.

o zapłatę

I.  Oddala powództwo,

II.  Umarza postępowanie co do kwoty 9818, 70 zł (dziewięć tysięcy osiemset osiemnaście złotych i siedemdziesiąt groszy),

III.  Zasądza od powódki na rzecz pozwanego kwotę 6617zł (sześć tysięcy sześćset siedemnaście złotych) wraz z odsetkami ustawowymi za opóźnienie od dnia uprawomocnienia się wyroku do dnia zapłaty,

IV.  Nakazuje ściągnąć od powódki na rzecz skarbu państwa – Sądu Rejonowego w Gdyni kwotę 1480 zł (tysiąc czterysta osiemdziesiąt złotych) z tytułu zwrotu wydatków wyłożonych tymczasowo przez Skarb Państwa.

Sygnatura akt I C 33/22

Uzasadnienie wyroku z dnia 11 czerwca 2024 roku

Powódka A. O. wniosła pozew przeciwko Bankowi (...) S.A. z siedzibą w W. domagając się zasądzenia kwoty 38.701,82 zł wraz z odsetkami ustawowymi za opóźnienie od dnia 20 października 2021 roku do dnia zapłaty.

W uzasadnieniu pozwu powódka podniosła, że w dniu 15 października 2021 roku zadzwoniła do niej z numeru 800 302 302 osoba podająca się za pracownika banku (...) S.A., informując, że mogło dojść do próby kradzieży i włamania na jej rachunek bankowy i zaleciła zainstalowanie specjalnej aplikacji (...). Działając w silnych emocjach i w zaufaniu do mężczyzny, z którym rozmawiała, powódka zainstalowała ww. program na swoim telefonie. Powódka była nieświadoma, że rozmawia z osobą podszywającą się pod pracownika banku, gdyż osoba ta znała wszystkie dane powódki, w tym jej numer PESEL. Gdy powódka zalogowała się do bankowości elektronicznej okazało się, że pieniądze zaczęły znikać z jej konta. Powódka stwierdziła fakt dokonania nieautoryzowanej transakcji na łączną kwotę 38.701,82 zł na rzecz nieznanych jej osób - (...) i (...). Powódka natychmiast udała się do placówki banku w celu zablokowania przelewów oraz złożyła zawiadomienie o popełnieniu przestępstwa. Bank zablokował jedynie transakcję na kwotę 9.301,82 zł. Reklamacje powódki o zwrot pozostałych środków nie zostały uwzględnione. Zdaniem powódki nieautoryzowanym transakcjom można było zapobiec, lecz pozwany nie dochował należytej staranności w celu zablokowania skradzionych środków pieniężnych, kiedy było to możliwe. Jako podstawę żądania powódka wskazała art. 46 ust. 1 ustawy o usługach płatniczych.

(pozew, k. 3-12)

Pozwany wniósł o oddalenie powództwa w całości. Bank przede wszystkim zakwestionował twierdzenie powódki o tym, że transakcje objęte pozwem nie były przez nią autoryzowane. Pozwany wskazał, że przeprowadzone przez niego czynności wyjaśniające wykazały, że wszystkie kwestionowane przez powódkę transakcje płatnicze zostały zidentyfikowane jako uwierzytelnione, zostały prawidłowo zapisane w systemie transakcyjnym i nie miała na nie wpływy ani awaria techniczna ani też innego rodzaju usterka związana z usługami świadczonymi przez bank. Pozwany wskazał również, że nie ma żadnych podstaw do przypisywania mu naruszenia jakichkolwiek obowiązków staranności w zakresie nadzoru nad mieniem klienta. Jak wskazał dyspozycje dotyczące ww. transakcji zostały wydane po prawidłowym zalogowaniu do aplikacji M., co wymagało podania millekodu znanego tylko powódce i dwóch losowo wybranych znaków nr PESEL. Pozwany zwrócił przy tym uwagę na nieprawidłową transpozycję art. 72 dyrektywy (...) do polskiego porządku prawnego. Zdaniem pozwanego art. 72 (...) wymaga od dostawcy wykazania nie autoryzacji, a jedynie uwierzytelnienia, wypełnienia przez dostawcę procedury umożliwiającej mu weryfikację tożsamości użytkownika lub ważności stosowania instrumentu płatniczego. Niezależnie od powyższego pozwany podniósł, że powódka na skutek rażącego niedbalstwa nie podjęła elementarnych środków ostrożności w zakresie przechowywania indywidualnych danych uwierzytelniających, nieudostępniania ich osobom trzecim, co stanowiło naruszenie obowiązków określonych w art. 42 ustawy o usługach płatniczych. Pozwany zaprzeczył również, aby ciążył na nim automatyczny obowiązek zwrotu kwoty transakcji w terminie D+1 po zgłoszeniu klienta, a także by naruszył obowiązki dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych i zapewnienia, by indywidualne dane uwierzytelniające nie były dostępne dla innych osób niż użytkownik uprawniony do korzystania z danego instrumentu płatniczego.

(odpowiedź na pozew, k. 52-59)

Sąd ustalił następujący stan faktyczny:

W dniu 16 sierpnia 2011 roku powódka A. O. zawarła z (...) Bankiem S.A. z siedzibą w W. umowę rachunku oszczędnościowego – rozliczeniowego, innych rachunków bankowych i karty debetowej, zaś w dniu 6 czerwca 2019 roku umowę dostępu do usług przez kanały bankowości elektronicznej.

(dowód: umowa rachunku oszczędnościowego – rozliczeniowego, innych rachunków bankowych oraz karty debetowej z dnia 16 sierpnia 2011r., k. 62-63, umowa dostępu do usług przez kanały bankowości elektronicznej z dnia 6 czerwca 2019r., k. 64-65)

Powódka korzystała z aplikacji mobilnej. Na stronę internetową banku powódka wchodziła rzadko (np. aby zwiększyć limity na koncie). Powódka dokonywała zwykle przelewów na kwoty nieprzekraczające 2.000 zł. Powódka aktywowała opcję logowania biometrycznego (odciskiem palca).

(dowód: zeznania powódki A. O., płyta CD k. 143)

Pozwany kierował do powódki w aplikacji mobilnej ostrzeżenia przed wyłudzaniem danych i instalowaniem podejrzanych aplikacji. W wiadomościach z dnia 24 września 2020 roku, 13 maja 2021 roku i 11 czerwca 2021 roku bank wskazał, że oszuści podszywają się pod pracowników banku, dzwonią w sprawie podejrzanych transakcji na koncie, proszą o podanie danych i zainstalowanie oprogramowania (m.in. Q. (...)) czy aplikacji mobilnej. Jednocześnie w ww. komunikatach bank przestrzegał przed pobieraniem i instalowaniem takich aplikacji, udostępnianiem danych, podawaniem danych logowania do systemu i zalecał logowanie się wyłącznie na stronie banku.

(dowód: wydruki komunikatów banku, k. 80-82)

Powódka nie czytała powyższych komunikatów.

(dowód: zeznania powódki A. O., płyta CD k. 143)

W dniu 15 października 2021 roku zadzwonił do powódki mężczyzna podający się za pracownika (...) Kasy Oszczędnościowej Banku (...) S.A. Na telefonie wyświetlił się numer dzwoniącego 800 302 302 identyczny jak infolinii (...) S.A. Mężczyzna zapytał, czy powódka zlecała przelew na kwotę 700 zł dla D. P. (1). Gdy powódka zaprzeczyła, zapytał ją o dane osobowe, a także czy dokonywała w ostatnim czasie płatności za granicą. Powódka podała m.in. PESEL i hasło do aplikacji mobilnej. Następnie, poprosił o zainstalowanie aplikacji TimeViewer Q. (...) w celu zweryfikowania, czy jej urządzenie mobilne nie zostało zainfekowane. Powódka zainstalowała ww. aplikację na swoim telefonie, zgodnie z sugestią dzwoniącego, a następnie odłożyła telefon. Powódka nie ma konta w (...) S.A. ani nie korzystała z innych produktów tego banku.

(dowód: zeznania powódki A. O., płyta CD k. 143 i 305, zawiadomienie o przestępstwie, k. 2 akt dochodzenia 1151/21, nagranie rozmowy na płycie CD - k. 51)

Powódka miała wiedzę o przeznaczeniu i funkcjonalnościach aplikacji TimeViewer Q. (...), albowiem z podobnej aplikacji korzystają informatycy w firmie, w której powódka jest zatrudniona, w celu sprawdzania urządzeń pracowników. Wiedziała, że aplikacja umożliwia przejęcie kontroli nad telefonem.

(dowód: zeznania powódki A. O., płyta CD k. 143)

W dniu 15 października 2021 roku o godz. 10:32:43 i 10:39:42 nastąpiło dwukrotne zalogowanie się do bankowości internetowej powódki poprzez stronę internetową banku z aplikacji w telefonie powódki. W wyniku wywołania logowania nastąpiło zalogowanie się do usług bankowości internetowej powódki, następnie został załadowany standardowy zestaw danych, nie została wykonana żadna aktywność, po czym nastąpiło wylogowanie.

O godz. 10:41:23 nastąpiło kolejne logowanie do bankowości internetowej powódki. Połączenie zostało nawiązane z adresu IP 89.70.94.157. Podczas tego logowania została kilkukrotnie wyświetlona strona główna bankowości internetowej, a także strona z ustawieniami limitów i zabezpieczeń. W tej sesji nie zostały wykonane żadne dalsze czynności.

O godz. 10:46:50 nastąpiło ponowne logowanie do bankowości mobilnej z aplikacji zainstalowanej na telefonie powódki. Ponownie załadowany został standardowy zestaw danych i nie została wykonana żadna aktywność.

O godz. 10:52:36 ponownie zalogowano się do bankowości internetowej powódki poprzez stronę internetową banku. Tym razem połączenie zostało zainicjowane z adresu IP 46.186.76.98 z komputera typu PC pracującego pod kontrolą systemu operacyjnego 64-bitowego W. (...) poprzez przeglądarkę Chrome (adres IP należy do puli (...) S.A. z lokalizacją w G.). Logowania dokonała osoba trzecia. Następnie, został załadowany standardowy zestaw danych (dane o kontach, produktach bankowych, promocjach), wyświetlona została strona do wykonywania przelewów. W tym samym czasie o godz. 10:53:16 nastąpiło logowanie do bankowości mobilnej powódki z aplikacji na telefonie powódki. Ponownie załadowany został standardowy zestaw danych i nie została wykonana żadna aktywność.

Tymczasem, zalogowana w bankowości internetowej osoba trzecia o godz. 10:53:17 wywołała stronę do wykonywania przelewów własnych (pomiędzy własnymi rachunkami), zdefiniowała przelew kwoty 750 zł z konta oszczędnościowego powódki na konto główne, następnie zmodyfikowana parametr kwoty przelewu najpierw na kwotę 75 zł (10:53:19), a potem na kwotę 75.600 zł (10:53:21), a o godz. 10:53:31 przelew o takich parametrach został wykonany. Transakcja nie wymagała dodatkowej autoryzacji. Po wykonaniu transakcji została wyświetlona strona główna bankowości internetowej, a o godz. 10:53:53 szczegóły posiadanych przez powódkę kart płatniczych.

O godz. 10:54:52 została wybrana opcja zmiany profilu limitów na karcie, wprowadzone zostały parametry identyczne z dotychczasowymi, a następnie zostało przez system utworzone zlecenie zatwierdzenia operacji. Osoba zalogowana z IP 46.186.76.98 utworzyła zadanie autoryzacyjne. Zlecenie zostało wysłane do aplikacji mobilnej banku. O godz. 10:55:12 w aplikacji mobilnej powódki został wyświetlony komunikat z prośbą o zatwierdzenie operacji. O godz. 10:55:47 operacja została zatwierdzona na telefonie powódki.

O godz. 10:58:59 osoba trzecia zalogowana w bankowości internetowej wywołała funkcję zwiększania dziennego limitu głównego dla wykonywanych transakcji, wpisując kwotę 80.000 zł, a dla operacji wykonywanych z aplikacji mobilnej 20.000 zł. Następnie, zostało utworzone przez system zlecenie zatwierdzenia operacji, a przez osobę trzecią zadanie autoryzacyjne, które zostało wysłane do aplikacji mobilnej banku. O godz. 10:59:15 w aplikacji mobilnej powódki został wyświetlony komunikat z prośbą o zatwierdzenie operacji. O godz. 10:59:29 operacja została zatwierdzona na telefonie powódki.

Po wykonaniu ww. zmiany, w bankowości mobilnej i internetowej następowało odświeżanie strony głównej lub otwieranie poszczególnych zakładek.

O godz. 11:04:27 w bankowości internetowej rozpoczęto definiowanie przelewu na kwotę 59.044 (...) na konto o nr (...). W międzyczasie, o godz. 11:07:28 aplikacja mobilna na telefonie powódki wyświetliła komunikat z zatwierdzeniem wykonania transakcji jej kartą płatniczą na kwotę 9.301,82 zł. O godz. 11:07:39 transakcja została zatwierdzona w aplikacji mobilnej. Przedmiotowa transakcja została wykonana za pośrednictwem operatora płatniczego MONODirect z siedzibą w K..

O godz. 11:08:46 osoba trzecia zalogowana w bankowości internetowej zdefiniowała przelew na konto o nr (...), którego odbiorcą miał być (...) na kwotę 9.800 zł o tytule „Przelew krajowy - D. P. (2)”. Narzędziem autoryzacyjnym była „Mobilna autoryzacja” poprzez aplikację mobilną banku w telefonie powódki. O godz. 11:08:50 zostało utworzone zlecenie autoryzacji i wysłane do aplikacji mobilnej powódki. O godz. 11:09:00 aplikacja mobilna w telefonie powódki wyświetliła komunikat z żądaniem zatwierdzenia przelewu na kwotę 9.800 zł. O godz. 11:09:23 transakcja została zatwierdzona, a o godz. 11:09:27 przelew został wykonany.

O godz. 11:14:38 w aplikacji mobilnej na telefonie powódki została wyświetlona lista blokad środków na koncie (blokada na kwotę 9.404,25 zł). Natomiast w bankowości internetowej wyświetlone zostały różne zakładki, w tym lista kart płatniczych, szczegóły karty „Mobilna karta V.”, zakładka funkcji modyfikacji limitów na karcie płatniczej, po czym nastąpiło wprowadzenie nowych wartości limitów: 1.000 zł dla wypłat gotówkowych, 50.000 zł dla transakcji wykonywanych w terminalach płatniczych, 50.000 zł dla transakcji wykonywanych przez Internet. Następnie, system utworzył zlecenie zatwierdzenia operacji, a osoba trzecia zadanie autoryzacyjne, które zostało wysłane do aplikacji mobilnej banku. O godz. 11:21:08 nastąpiło logowanie do aplikacji mobilnej powódki, po czym wyświetlony został monit z zatwierdzeniem zmian limitów karty (11:21:09) i nastąpiło zatwierdzenie ww. limitów (11:21:39).

O godz. 11:22:23 osoba trzecia zalogowana w bankowości internetowej zdefiniowała przelew na konto o nr (...), którego odbiorcą miała być (...) na kwotę 9.800 zł o tytule „Przelew krajowy - T. N.”. Narzędziem autoryzacyjnym była „Mobilna autoryzacja” poprzez aplikację mobilną banku w telefonie powódki. O godz. 11:22:23 zostało utworzone zlecenie autoryzacji i wysłane do aplikacji mobilnej powódki. O godz. 11:22:39 aplikacja mobilna w telefonie powódki wyświetliła komunikat z żądaniem zatwierdzenia przelewu na kwotę 9.800 zł. O godz. 11:22:56 transakcja została zatwierdzona, a o godz. 11:23:01 przelew został wykonany.

Następnie, osoba trzecia zalogowana w bankowości internetowej otwierała m.in. zakładki z danymi z kart płatniczych oraz danymi drugiej wirtualnej karty, po czym z uwagi na dłuższą bezczynność sesja została automatycznie zakończona. Z aplikacji mobilnej na telefonie powódki nastąpiło pięć logowań o godz.: 11:27:17, 11:35:49, 11:45:20, 11:47:18, 11:55:16.

O godz. 11:56:40 ponownie nastąpiło logowanie do bankowości internetowej z tego samego komputera oraz adresu IP co wcześniej. O godz. 11:57:32 został zdefiniowany przelew na konto o nr (...), którego odbiorcą miał być (...) na kwotę 9.800 zł o tytule „Przelew krajowy - D. P. (2)”. Narzędziem autoryzacyjnym była „Mobilna autoryzacja” poprzez aplikację mobilną banku w telefonie powódki. Następnie zostało utworzone zlecenie autoryzacji i wysłane do aplikacji mobilnej powódki. O godz. 11:57:47 nastąpiło logowanie do aplikacji mobilnej, po czym został wyświetlony komunikat z żądaniem zatwierdzenia przelewu na kwotę 9.800 zł (11:57:47). O godz. 11:58:40 transakcja została zatwierdzona, a o godz. 11:58:45 przelew został wykonany.

Następnie, w bankowości internetowej została wyświetlona strona główna, strona zawierająca limity dla usługi (...) i ponownie strona główna. O godz. 12:01:19 nastąpiło ponowne logowanie do aplikacji mobilnej. W trakcie tej sesji nie zostały wykonane żadne czynności.

O godz. 12:02:03 osoba trzecia zalogowana w bankowości internetowej zdefiniowała przelew na konto o nr (...), którego odbiorcą miała być (...) na kwotę 9.800 zł o tytule „Przelew krajowy - T. N.”. Narzędziem autoryzacyjnym była „Mobilna autoryzacja” poprzez aplikację mobilną banku w telefonie powódki. Następnie zostało utworzone zlecenie autoryzacji i wysłane do aplikacji mobilnej powódki. O godz. 12:02:18 aplikacja mobilna w telefonie powódki wyświetliła komunikat z żądaniem zatwierdzenia przelewu na kwotę 9.800 zł. O godz. 12:02:22 transakcja została odrzucona w aplikacji mobilnej, a przelew nie został wykonany.

O godz. 12:04:06 nastąpiła kolejna próba wykonania przelewu, lecz o godz. 12:06:56 również została odrzucona w aplikacji mobilnej.

O godz. 12:11:41 nastąpiło logowanie do bankowości internetowej z tego samego komputera oraz adresu IP co wcześniej. Po zalogowaniu została wywołana strona główna, po czym zakończyła się aktywność w bankowości internetowej.

Wszystkie przelewy zostały wykonane na konta prowadzone w (...) Banku S.A. i były traktowane jako przelewy wewnętrzne. W związku z tym środki te były dostępne dla odbiorców od razu.

(dowód: pisemna opinia biegłego sądowego z zakresu analizy elektronicznych systemów bankowych M. W., k. 241-315, potwierdzenia obciążenia rachunku bankowego, k. 35-37)

Gdy powódka zalogowała się do aplikacji mobilnej, zorientowała się, że z jej rachunku bankowego zostały wykonane trzy przelewy w kwotach po 9.800 zł każdy. Powódka przerwała pracę i udała się do najbliższej placówki Banku (...) S.A. przy ulicy (...) w G.. Pracownik banku (...) przyjęła reklamację powódki, zablokowała dostęp do jej konta, zaleciła przywrócenie telefonu do ustawień fabrycznych oraz zgłoszenie popełnienia przestępstwa na Policji. Następnie sprawa została zgłoszona do działu nadużyć banku. W drodze na komisariat powódka zadzwoniła na infolinię banku, pytając, czy konta, na które zostały przelane środki pieniężne z jej rachunku zostały zablokowane. Pracownik infolinii poinformował, że wskazane rachunki nie zostały zablokowane.

(dowód: zeznania powódki A. O., płyta CD k. 143, zeznania świadka K. P., płyta CD k. 184, zgłoszenie reklamacyjne, k. 31, nagranie rozmowy, płyta CD k. 51)

O godz. 12:21:21 nastąpiło zablokowanie kanałów dostępu elektronicznego do bankowości powódki, o godz. 12:23:08 zablokowanie karty płatniczej, a o godz. 12:49 wprowadzenie do systemu pierwszej reklamacji powódki. W momencie złożenia przez powódkę reklamacji na jej koncie znajdowały się środki w kwocie 39.210,53 zł.

(dowód: pisemna opinia biegłego sądowego z zakresu analizy elektronicznych systemów bankowych M. W., k. 241-315, potwierdzenia obciążenia rachunku bankowego, k. 35-37)

Powódka niezwłocznie udała się na Komisariat Policji G.Ś., gdzie złożyła ustne zawiadomienie o popełnieniu przestępstwa z art. 286 § 1 k.k. tj. czterech nieautoryzowanych transakcjach na jej rachunku bankowym w łącznej kwocie 38.804,25 zł.

(dowód: potwierdzenie złożenia zawiadomienia, k. 39)

Po zgłoszeniu przestępstwa, powódka ponownie udała się do oddziału pozwanego banku, gdzie złożyła kolejną reklamacje, wskazując, że działania pracowników banku nie zostały wykonane z należytą starannością, gdyż środki na kontach osób trzecich, które trafiły tam z konta powódki, nie zostały zablokowane w celu uniemożliwienia ich wypłaty lub dalszego transferu.

(dowód: zgłoszenie reklamacji, k. 25-26, zeznania świadka K. P., płyta CD k. 184)

Nadto, w dniu 21 października 2021 roku powódka ponownie zadzwoniła na infolinię pozwanego banku.

(dowód: zeznania powódki A. O., płyta CD k. 143, nagranie rozmowy, płyta CD k. 51)

Transakcja kartą płatniczą została rozliczona przez pozwanego w dniu 18 października 2021 roku.

(dowód: pismo pozwanego z dnia 19 stycznia 2022r., k. 52 akt dochodzenia)

Pismem z dnia 10 listopada 2021 roku pozwany poinformował powódkę o nieuwzględnieniu złożonych reklamacji, wskazując, że przelewy były potwierdzone i bank nie mógł ich odrzucić, nie złamano też zabezpieczeń pozwanego, ani też nie wystąpiła awaria systemów banku.

(dowód: pismo pozwanego z dnia 10 listopada 2021r., k. 29-30)

Pismem z dnia 19 listopada 2021 roku pełnomocnik powódki wezwał pozwanego do natychmiastowego zwrotu kwoty 38.701,82 zł wraz z ustawowymi odsetkami za opóźnienie od dnia 19 października 2020 roku do dnia zapłaty, podnosząc, że transakcje wykonane w dniu 15 października 2021 roku nie były przez nią autoryzowane. W dniu 1 grudnia 2021 roku powódka ponowiła wezwanie do zapłaty. Pismem z dnia 29 grudnia 2021 roku bank odmówił uwzględnienia żądania powódki.

(dowód: wniosek o natychmiastowy zwrot środków pieniężnych, k. 32-34, wezwanie do zapłaty z dnia 1 grudnia 2021r., k. 22-23 wraz z zpo, k. 24, pismo pozwanego z dnia 29 grudnia 2021r., k. 16-18)

Na skutek zawiadomienia powódki zostało wszczęte dochodzenie w sprawie o przestępstwo z art. 286 § 1 k.k. w zb. z art. 13 § 1 k.k. w zw. z art. 286 § 1 k.k. w zw. z art. 12 § 1 k.k. W toku tego postępowania, postanowieniem z dnia 19 października 2021 roku prokurator dokonał blokady na okres trzech miesięcy środków pieniężnych w wysokości 9818,70 zł znajdujących się na rachunku bankowym nr (...) prowadzonym przez Bank (...) S.A. na rzecz D. P. (2) poprzez zakaz wypłaty środków oraz zakaz transferu środków znajdujących się na tym rachunku na inny rachunek. Później zastosowanie blokady zostało przedłużone. Ostatecznie, postanowieniem z dnia 5 września 2022 roku prokurator Prokuratury Rejonowej w Gdyni umorzył dochodzenie w sprawie wobec niewykrycia sprawcy. Nadto, postanowieniem z tej samej daty prokurator postanowił zwrócić powódce na jej rachunek bankowy dowód rzeczowy w postaci środków pieniężnych w wysokości 9.818,70 zł.

(dowód: postanowienie z dnia 19 października 2021r., k. 42-43 akt dochodzenia, postanowienie z dnia 5 września 2022r., k. 175-177 tamże)

Do przechwycenia danych powódki doszło najprawdopodobniej przy zalogowaniu się przez nią do aplikacji mobilnej o godz. 10:41:23. Powódka na polecenie rozmówcy zainstalowała na swoim telefonie aplikację TeamViewer Q. (...), po czym ją uruchomiła, przekazując kontrolę nad telefonem swojemu rozmówcy. Powódka została poproszona o zalogowanie się na konto poprzez przeglądarkę internetową, co uczyniła. Przestępcy mieli wówczas wgląd we wpisywane przez nią znaki z klawiatury (M., hasło). Po przejęciu danych oszuści zalogowali się do bankowości internetowej za pomocą swojego komputera. Posiadając hasło przestępcy zdalnie poprzez aplikację TeamViewer Q. (...) uruchomili aplikację mobilną powódki i wykonali procedurę „Nie pamiętam kodu (...), nadając nowy (...). Możliwe było również przejęcie danych logowania poprzez skopiowanie loginu i hasła, jeśli byłyby zapisane w Menadżerze haseł. Do kwestionowanych transakcji mogłoby dojść nawet wówczas, gdyby pozwany stosował silne uwierzytelnianie w postaci dodatkowego potwierdzenia kodem sms lub zatwierdzenia w aplikacji mobilnej, albowiem powódka przekazała kontrolę nad swoim telefonem osobom trzecim poprzez aplikację TeamViewer Q. (...). Bank nie stosuje maskowania hasła.

W przypadku transakcji dokonywanych kartą płatniczych pracownik banku nie ma możliwości powstrzymania wykonania takiej transakcji, gdyż jest ona przetwarzana przez organizację, która jest wydawcą karty, a bank jedynie rozlicza wykonaną transakcję w swoim systemie transakcyjnym. Natomiast, w przypadku przelewów bank ma techniczną możliwość czasowego zablokowania środków. Tego typu działania są jednak wykonywane przez specjalne komórki banku i nie może ich wykonywać każdy pracownik banku.

(dowód: pisemna opinia biegłego sądowego z zakresu analizy elektronicznych systemów bankowych M. W., k. 241-315)

Sąd zważył, co następuje:

Powyższy stan faktyczny Sąd ustalił na podstawie dowodów z dokumentów, zeznań świadka K. P., dowodu z przesłuchania powódki, a także dowodu z opinii biegłego sądowego z zakresu analizy elektronicznych systemów bankowych.

Oceniając zebrany w niniejszej sprawie materiał dowodowy Sąd nie dopatrzył się żadnych podstaw do kwestionowania prawdziwości i wiarygodności wymienionych powyżej dowodów z dokumentów. Podkreślić bowiem należy, iż dowody w postaci postanowień wydanych w toku dochodzenia prowadzonego pod nadzorem prokuratora Prokuratury Rejonowej w Gdyni mają charakter dokumentów urzędowych i w związku z tym korzystają z domniemania autentyczności i domniemania zgodności z prawdą wyrażonych w nich oświadczeń, czego żadna ze stron nie kwestionowała w trybie art. 252 k.p.c. Za autentyczne i wiarygodne należało również uznać przedstawione przez strony dokumenty prywatne. Sąd miał na względzie, że przedmiotowe dokumenty nie noszą żadnych śladów przerobienia, przerobienia, bądź innej ingerencji. Ponadto, strony nie zaprzeczyły prawdziwości tych dokumentów, jak również nie kwestionowały pochodzenia zawartych w nich oświadczeń. Zatem, przyjąć należało, że są one autentyczne, a zawarte w nich oświadczenia pochodzą od osób, które je własnoręcznie podpisały. Za prawdziwe należało również uznać dokumenty stanowiące wydruki z systemów informatycznych pozwanego, tym bardzie, że żadna ze stron nie twierdziła, że ww. wydruki nie stanowią odzwierciedlenia danych zapisanych na nośnikach czy w systemach elektronicznych banku.

Ustalenia faktyczne w niniejszej sprawie Sąd oparł również na zeznaniach świadka K. P.. W znacznej części zeznania tego świadka odnośnie przebiegu zgłaszania reklamacji, informacji przekazanych przez powódkę pracownikom banku znajdują potwierdzenie w pozostałym materiale dowodowym. Świadek zeznała m.in. że zgłaszając się do oddziału banku w dniu 15 października 2021 roku powódka poinformowała o zainstalowaniu złośliwego oprogramowania oraz zmianie hasła. Fakt zmiany hasła wynika choćby z treści złożonego przez powódkę zawiadomienia o popełnieniu przestępstwa. Z kolei zeznania świadka co do braku możliwości blokady kont osób trzecich z poziomu oddziału banku znajdują potwierdzenie w opinii biegłego sądowego. M. W. wskazał bowiem, że tego typu działaniami zajmują się odpowiednie, wyspecjalizowane komórki organizacyjne banku.

Jedynie w części Sąd dał wiarę zeznaniom powódki A. O.. Zważyć bowiem należało, że w zakresie istotnych dla rozstrzygnięcia sprawy okoliczności faktycznych zeznania te pozostawały wewnętrznie sprzeczne. Przede wszystkim należy zauważyć, iż zeznając w niniejszej sprawie powódka zaprzeczyła, aby podała swój numer PESEL oraz numer karty dzwoniącemu do niej mężczyźnie podającemu się za pracownika infolinii (...) S.A. Jednakże zeznania powódki w tym zakresie są sprzeczne z treścią rozmowy telefonicznej z konsultantem pozwanego banku z dnia 15 października 2021 roku. W rozmowie tej powódka wprost wskazała, iż podała oszustom swój numer PESEL, a także wskazała, że dzwoniący podawał jej przykładowe numery karty, a ona wskazała jeden z podawanych numerów jako właściwy. Zaznaczyć należy, iż rozmowa z konsultantem miała charakter spontaniczny, powódka mogła wówczas sądzić, że podając prawdziwy przebieg całego zdarzenia uzyska zwrot środków. Natomiast zeznania w niniejszej sprawie miały już charakter przemyślany, a po konsultacji z zawodowym pełnomocnikiem powódka miała świadomość, jakie są prawne konsekwencje ujawnienia tak wrażliwych danych jak np. PESEL.

Za wiarygodny i w pełni przydatny do rozstrzygnięcia sprawy dowód Sąd uznał opinię biegłego sądowego z zakresu elektronicznych systemów bankowych i sieci M. W.. W ocenie Sądu opinia złożona przez biegłego została sporządzona w sposób rzetelny, profesjonalny i bardzo wnikliwy. Biegły bardzo skrupulatnie przeanalizował historię logowania do serwisu bankowości internetowej oraz aplikacji mobilnej. Natomiast z uwagi na zresetowanie telefonu do ustawień fabrycznych i niemożność odzyskania wykasowanych danych biegły nie był w stanie przeprowadzić badania telefonu komórkowego powódki. Mimo powyższego biegły był w stanie ustalić najbardziej prawdopodobny przebieg zdarzenia w dniu 15 października 2021 roku na podstawie danych uzyskanych z banku (zapisy w logach systemowych), wskazując w jaki sposób osoby trzecie uzyskały dostęp do aplikacji mobilnej powódki oraz serwisu bankowości elektronicznej i w jaki sposób dokonały kwestionowanych przez stronę powodową transakcji. Nadto, biegły w sposób dostateczny wyjaśnił, jakie w danym przypadku możliwości posiadał bank w zakresie blokady środków znajdujących się na kontach, na które nastąpił przelew środków z konta powódki. W ocenie Sądu wnioski zawarte w opinii są logiczne, nie budzą żadnych wątpliwości Sądu w świetle zasad logicznego rozumowania, wiedzy powszechnej czy doświadczenia życiowego.

Przechodząc do rozważań merytorycznych, należy wskazać, iż w niniejszej sprawie powódka dochodziła od pozwanego zwrotu łącznej kwoty 38.701,82 zł pobranej z jej rachunku bankowego na skutek nieautoryzowanych transakcji płatniczych, wykonanej bez jej zgody w dniu 15 października 2021 roku. Podstawę prawną powództwa stanowił przepis art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011r. o usługach płatniczych (Dz.U. z 2024 r. poz. 30), zgodnie z którym z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą. W myśl natomiast przywołanego art. 44 ust. 2 ustawy o usługach płatniczych jeżeli użytkownik nie dokona powiadomienia, o którym mowa w ust. 1, w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają.

Jak wskazuje się w orzecznictwie jeśli transakcje zostały zrealizowane bez zgody płatnika oraz w okolicznościach, za które nie ponosi on odpowiedzialności, a następnie płatnik dokonał zgłoszenia wystąpienia nieautoryzowanych transakcji, to na dostawcy ciąży obowiązek zwrotu kwot nieautoryzowanych transakcji. Jeśli jednak do nieautoryzowanych transakcji płatnik doprowadził umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia swoich obowiązków (o których mowa w art. 42 ustawy z 2011r. o usługach płatniczych), wówczas to on, a nie dostawca odpowiada za nieautoryzowane transakcje (zob. wyrok Sądu Apelacyjnego w Warszawie z dnia 24 maja 2018 r., VI ACa 217/17, L.). Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub, że została wykonana prawidłowo spoczywa na dostawcy. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez płatnika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzowanie transakcji przez płatnika albo okoliczności wskazujących na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego obowiązków o których mowa jest w art. 42 ustawy o usługach płatniczych (zob. wyrok Sądu Apelacyjnego w Łodzi z dnia 10 marca 2017 r. I ACa 1174/16, L.). Zwrócić przy tym należy uwagę, iż zgodnie z treścią art. 46 ust. 3 ustawy o usługach płatniczych to płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Stosownie zaś do art. 42 ust. 1 powołanej ustawy użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:

1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz

2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. W myśl ust. 2 w celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

Podkreślić należy, iż obowiązujące w dacie dokonania spornych transakcji przepisy ustawy o usługach płatniczych stanowią implementację dyrektywy Parlamentu Europejskiego i Rady UE z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego do polskiego porządku prawnego (tzw. dyrektywy (...). (...)). W niniejszej sprawie strona pozwana zarzuciła nieprawidłową transpozycję art. 72 powyższej dyrektywy. Zdaniem pozwanego art. 72 (...) wymaga od dostawcy jedynie wykazania uwierzytelnienia (a nie autoryzacji transakcji jak w polskiej ustawie) oraz wypełnienia przez dostawcę procedury umożliwiającej mu weryfikację tożsamości użytkownika lub ważności stosowania instrumentu płatniczego. W ocenie Sądu powyższy zarzut nie zasługuje jednak na uwzględnienie. Jak wskazuje się w doktrynie w przepisach dyrektywy (...) nie zamieszczono pełnej regulacji dotyczącej rozkładu ciężaru dowodu w związku ze zlecaniem oraz wykonywaniem transakcji płatniczych. Unormowano tę kwestię jedynie częściowo. W pozostałym zakresie – nieobjętym harmonizacją na poziomie unijnym – należy stosować reguły dowodowe określone w prawie krajowym. W art. 72 (...) nie stwierdzono wprost, kto powinien wykazać, że transakcja płatnicza została autoryzowana. Pewne wskazówki można jednak odczytać z innych przepisów. Po pierwsze, z art. 63 ust. 1 lit. b (...) pośrednio wynika, że ciężar dowodu co do autoryzacji transakcji płatniczej spoczywa na dostawcy. Przepis ten pozwala na wprowadzenie pewnych wyłączeń umownych w przypadkach, gdy dostawca nie jest w stanie tego wykazać z przyczyn nieodłącznie związanych z instrumentem płatniczym. Dopuszcza on zatem wyjątek od reguły ogólnej obowiązującej w dyrektywie (...) i potwierdza, że – zgodnie z tą regułą – dostawca jest zobowiązany do udowodnienia autoryzacji. Po drugie celem wprowadzonych zasad dotyczących ciężaru dowodu jest ochrona interesu użytkownika, zwłaszcza konsumenta. Aksjologię, która leży u podstaw tych rozwiązań normatywnych, należy konsekwentnie stosować w odniesieniu do całości kwestii dowodowych. Cel przepisów dyrektywy (...) przemawia za tym, aby na dostawcę nałożyć ciężar wykazania autoryzacji transakcji płatniczej. Rozwiązanie takie – stosownie do założeń aksjologicznych – chroni bowiem interes użytkownika jako podmiotu cechującego się strukturalnie słabszą pozycją w stosunku do dostawcy (zob. K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz. Wyd. 4, Warszawa 2024, komentarz do art. 45). Zauważyć także należy, iż również w orzecznictwie (...) można spotkać pogląd dotyczący przypisania dostawcy ciężaru dowodu odnośnie autoryzacji transakcji płatniczej (zob. wyrok (...) z 2 września 2021 r. w sprawie DM, LR v. C. régionale de C. agricole mutuel ( (...)) – AlpesProvence, C-337/20, (...):EU:C:2021:671, pkt 40). Jakkolwiek formuła językowa art. 45 UsłPłU odbiega od brzmienia art. 72 (...), w prawie polskim przyjęto prawidłowe rozwiązanie, nakładając na dostawcę ciężar dowodu, że transakcja płatnicza została autoryzowana przez płatnika. Rozwiązanie takie nie jest sprzeczne z prawem unijnym. Nie jest istotne, że w art. 45 ust. 1 UsłPłU pominięto fragment „w przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował transakcję płatniczą…”, zamieszczony w art. 72 ust. 1 (...). Z natury rzeczy problem ciężaru dowodu powstaje jedynie wtedy, gdy między stronami występuje spór co do pewnego faktu. Jeżeli użytkownik nie kwestionuje autoryzacji, w tej mierze nie aktualizuje się kwestia ciężaru dowodu, ponieważ okoliczność ta jest bezsporna. Skoro pominięcie powołanego fragmentu nie zmienia rzeczywistego sposobu działania przepisu, w tym zakresie nie można postawić zarzutu niepoprawnej transpozycji art. 72 ust. 1 (...). Nie ma również znaczenia, że w art. 45 ust. 2 UsłPłU nie wprowadzono sformułowania „samo w sobie niekoniecznie”, które występuje w art. 72 ust. 2 (...). Sformułowanie to nie przesądza o wynikach interpretacyjnych przepisu, lecz stawia jedynie mocniejszy akcent semantyczny w tej kwestii. Pominięcie tego sformułowania nie modyfikuje sensu normy wyrażonej w art. 45 ust. 2 UsłPłU (zob. K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz. Wyd. 4, Warszawa 2024, komentarz do art. 45). Dodatkowo należy wskazać, że sporny przepis obowiązuje ponad 10 lat i dotychczas KE nigdy nie kwestionowała jego formuły, mimo że kilkakrotnie dokonywała oceny poprawności transpozycji dyrektyw (...) i (...) do prawa polskiego.

W świetle zatem powyższego należało uznać, że na dostawcy (tj. pozwanym) spoczywał w niniejszej sprawie ciężar udowodnienia, że sporne transakcje nie były autoryzowane przez powódkę. Jak wskazuje się w doktrynie autoryzacja oznacza zgodę płatnika na wykonanie transakcji płatniczej wyrażoną w sposób przewidziany w umowie między płatnikiem a jego dostawcą (art. 40 ust. 1 zd. 1 ustawy o usługach płatniczych). Zgoda taka stanowi oświadczenie woli płatnika. Jeżeli dostawca nie wykaże, że autoryzowano transakcję płatniczą, oraz nie udowodni, że zachodzą przesłanki odpowiedzialności po stronie płatnika (np. że płatnik – umyślnie albo wskutek rażącego niedbalstwa – nie zastosował wymaganych środków bezpieczeństwa odnośnie do instrumentu płatniczego), należy przyjąć, że dostawca ponosi pełną odpowiedzialność za wykonanie transakcji nieautoryzowanej. Ciężar dowodu określony w art. 45 ust. 1 ustawy o usługach płatniczych – w znaczeniu materialnym – prowadzi do negatywnych konsekwencji prawnych dla dostawcy. Jeżeli nie udowodni on, że płatnik wyraził zgodę na wykonanie transakcji płatniczej, należy uznać, że transakcja nie została autoryzowana, a więc znajdują zastosowanie reguły odpowiedzialności wyznaczone w art. 46 ustawy o usługach płatniczych. W takiej sytuacji – co do zasady – dostawcy przypisuje się pełną odpowiedzialność za transakcję nieautoryzowaną względem płatnika. Niedopuszczalne jest przy tym przyjmowanie domniemań faktycznych, które prowadzą do obarczenia płatnika ciężarem dowodu odnośnie do okoliczności negatywnej, tj. braku zgody na transakcję płatniczą. Na potrzeby oceny omawianej kwestii nie ma znaczenia, czy transakcję płatniczą zlecono w obecności fizycznej stron, czy w sposób zdalny (np. przez Internet). Nie jest również istotne, czy transakcja została zainicjowana przez płatnika, czy odbiorcę (arg. lege non distinguente) (zob. K. Osajda, Ustawa o usługach płatniczych…). W toku niniejszego postępowania strona pozwana wykazała wyłącznie, że kwestionowane przez powódkę transakcje zostały uwierzytelnione. Z opinii biegłego wynika bowiem, że dyspozycje odnośnie trzech przelewów oraz transakcji kartą płatniczą zostały wydane po prawidłowym zalogowaniu się do aplikacji mobilnej oraz serwisu bankowości internetowej. Biegły M. W. wskazał, że logowanie do bankowości internetowej wymagało podania loginu tj. M. (indywidualnego kodu nadawanego przez bank każdemu klientowi), a po jego zatwierdzeniu podania pełnego hasła (które jest nadawane przez klienta) oraz kilku, losowo wybranych cyfr z numeru PESEL. Z kolei, logowanie do aplikacji mobilnej następowało m.in. za pomocą kodu (...), przy czym istniała możliwość zresetowania tego kodu i ustanowienia nowego po podaniu wybranych znaków z hasła mobilnego. Z opisu przebiegu zdarzeń zawartego w opinii wynika, że wszystkie transakcje zostały uwierzytelnione w opisany powyżej sposób. Jednak należy zauważyć, że samo uwierzytelnienie, czyli weryfikacja tożsamości użytkownika lub ważności instrumentu płatniczego, nigdy nie dowodzi autoryzacji, czyli wyrażenia zgody przez płatnika na wykonanie transakcji płatniczej. Może być traktowana jedynie jako wstępna przesłanka dowodowa w tej sprawie. Uwierzytelnienie nie jest konieczną przesłanką skuteczności autoryzacji. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika (tj. płatnika) autoryzowana. Zarejestrowanie użycia instrumentu płatniczego w tym kontekście oznacza zapisanie w systemie informatycznym dostawcy, że dokonano operacji z wykorzystaniem tego instrumentu. Zarejestrowanie użycia instrumentu płatniczego nigdy nie oznacza przerzucenia ciężaru dowodu na płatnika, że wyraził on zgodę na transakcję z wykorzystaniem tego instrumentu (zob. K. Osajda, Ustawa o usługach płatniczych…). W świetle powyższego transakcją nieautoryzowaną będzie zatem również transakcja uwierzytelniona (np. poprzez podanie kodu (...)), ale bez zgody konsumenta. W toku niniejszego postępowania strona pozwana nie zdołała wykazać, że kwestionowane transakcje zostały dokonane za zgodą powódki. Przede wszystkim przeczy temu sekwencja czynności podejmowanych przez powódkę niezwłocznie po stwierdzeniu ww. transakcji. Powódka pośpiesznie udała się do oddziału banku, gdzie zażądała natychmiastowego zablokowania swojego rachunku oraz rachunków bankowych, na które zostały przelane środki z jej konta, następnie złożyła zawiadomienie o popełnieniu przestępstwa, po czym ponownie złożyła reklamację zarówno w oddziale jak i za pośrednictwem infolinii. Nadto, jak stwierdził biegły M. W., to osoba trzecia przygotowała w bankowości elektronicznej przelewy wychodzące definiując go określonymi parametrami, a następnie dokonała autoryzacji narzędziem w postaci „mobilnej autoryzacji” poprzez aplikację mobilną banku w telefonie powódki. Biegły jednoznacznie stwierdził, że zlecenie zostało wygenerowane z komputera PC pracującego pod kontrolą 64 bitowego systemu operacyjnego W. (...) poprzez przeglądarkę Chrome połączonego z adresu IP 46.186.76.98, który nie był adresem IP powódki. Tym samym – w świetle opinii biegłego – nie sposób było uznać, że powódka autoryzowała przedmiotowe transakcje.

Powyższe jednak nie przesądza o odpowiedzialności banku. Zważyć bowiem należy, iż pozwany bronił się w niniejszej sprawie, wskazując, że powódka wskutek rażącego niedbalstwa dopuściła się naruszenia obowiązków o których mowa jest w art. 42 ustawy o usługach płatniczych poprzez ujawnienie osobom nieuprawnionym indywidualnych danych uwierzytelniających, co stanowiło rażące niedbalstwo. W świetle zebranego materiału dowodowego powyższy zarzut należało uznać za uzasadniony. Jak wskazuje się w orzecznictwie rażące niedbalstwo oznacza niezachowanie staranności elementarnej (minimalnej) w odniesieniu do obowiązków ciążących na płatniku (zob. wyrok Sądu Okręgowego w Warszawie z 17 kwietnia 2023 r., XXV C 324/22, L.). Chodzi o staranność wymaganą nawet od osoby mało rozgarniętej. W orzecznictwie sądów powszechnych za rażące niedbalstwo użytkownika uznaje się takie zachowania jak np.: skorzystanie z linku w mailu otrzymanym od nieznanego nadawcy, który przekierowuje na fałszywą stronę internetową dostawcy, a następnie podanie kodów uwierzytelniających na tej stronie (zob. wyrok SO w Łodzi z 27 marca 2018r., III Ca 51/18, L.; wyrok SO w Gliwicach z 6 lipca 2022r., III Ca 264/22, L.; wyrok SR w Piszu z 20 lipca 2023r., I C 184/23, L.); podanie jednorazowego kodu podczas logowania na fałszywej stronie internetowej dostawcy (zob. wyrok SO w Białymstoku z 24 sierpnia 2017r., II Ca 426/17, L.). W świetle zebranego materiału dowodowego nie budzi wątpliwości, że powódka stała się ofiarą przestępstwa oszustwa, które doprowadziło do kradzieży jej środków finansowych poprzez wykorzystanie przez nieznanych sprawców systemu bankowości internetowej. Jednak wnikliwa analiza jej postępowania z uwzględnieniem wzorca elementarnej staranności, wiedzy i doświadczenia, jakimi dysponowała powódka w dacie dokonania powyższego czynu, pozwala – zdaniem Sądu – na przypisanie jej rażącego niedbalstwa. Z opinii biegłego wynika, że oszuści uzyskali dostęp do aplikacji mobilnej zainstalowanej na telefonie powódki poprzez aplikację TeamViewer Q. (...), którą – na polecenie osoby podającej się za pracownika infolinii (...) S.A. – powódka zainstalowała na swoimi telefonie, a następnie uruchomiła, przekazując kontrolę nad telefonem rozmówcy. Dla oceny wagi naruszenia przez powódkę obowiązków przewidzianych ustawą o usługach płatniczych istotne jest, że powódka miała świadomość do czego służy powyższa aplikacja. Jak bowiem wynika z zeznań powódki taka sama bądź podobna aplikacja jest stosowana przez informatyków w firmie, w której powódka jest zatrudniona, do sprawdzania urządzeń pracowników firmy. Zatem, instalując na swoim telefonie ww. aplikację powódka miała pełną świadomość tego, że niezidentyfikowane osoby trzecie będą miały pełny dostęp do zawartości jej telefonu, w tym do aplikacji mobilnej zainstalowanej na telefonie. POwódka nie tylko zainstalowała aplikacje na swoim telefonie, ale jeszcze pozwoliła na to , aby obce osoby miały do niego dostęp przez ponad godzinę, ponieważ odłożyła telefon i przez tak długi czas nie zainteresowała się, co się z nim dzieje Biegły wskazał, że ww. aplikacja TeamViewer Q. (...) umożliwiła przestępcom wgląd we wpisywane przez powódkę znaki z klawiatury (M., hasło), a uzyskanie tych danych umożliwiło dostęp do bankowości internetowej za pomocą komputera. Posiadając hasło przestępcy mogli zdalnie poprzez aplikację TeamViewer Q. (...) uruchomić aplikację mobilną na telefonie powódki i wykonać procedurę „Nie pamiętam kodu (...), nadając nowy (...). Ponadto, w okolicznościach niniejszej sprawy, powódka powinna była zachować tym większą czujność, że dzwoniący przedstawił się jako pracownik (...) Banku (...) S.A. tj. banku, z którym powódka nie pozostawała w żadnych stosunkach prawnych. Jak zeznała A. O. nie posiadała w (...) S.A. żadnych rachunków, kart, wcześniej nie zaciągała tam żadnych kredytów czy pożyczek. Nie zastanowiło powódki, że rzekomy pracownik (...) S.A. prosi ją o dane dotyczące produktów w zupełnie innym banku. W świetle prawa cywilnego – (...) S.A. był dla powódki podmiotem obcym, nieuprawnionym do żądania danych uwierzytelniających. Należy sądzić, że powódka odmówiłaby przekazania danych spotkanemu na ulicy nieznajomemu przechodniowi, który poprosiłby ją o jakieś wrażliwe dane, nawet gdyby ten twierdził, że jest to potrzebne do odwrócenia jakiegoś niebezpieczeństwa grożącego dobrom majątkowym powódki. Inaczej tę sytuację można by ocenić, gdyby dzwoniący podawał się za pracownika pozwanego banku, wtedy powódka mogłaby działać w zaufaniu do swojego kontrahenta. Co istotne, podczas rozmowy z rzekomym pracownikiem banku, powódka niewątpliwie ujawniła indywidulane dane uwierzytelniające. Zgodnie z art. 2 pkt 9d ustawy o usługach płatniczych indywidualne dane uwierzytelniające to indywidualne dane zapewniane użytkownikowi przez dostawcę usług płatniczych do celów uwierzytelnienia. Jak wskazano powyżej w niniejszym przypadku do celów uwierzytelniania służył m.in. numer PESEL. Zeznając w niniejszej sprawie powódka zaprzeczyła, aby podała tenże numer dzwoniącemu. Jednak, jak już wskazano przy ocenie dowodów, zeznania powódki są sprzeczne z treścią nagrania rozmowy telefonicznej z konsultantem banku z dnia 15 października 2021r. W rozmowie z konsultantem pozwanego powódka bowiem jednoznacznie wskazała, że ujawniła dzwoniącemu nie tylko swój numer PESEL, ale wskazała numer swojej karty płatniczej. Tym samym za nieprawdziwe należało uznać zawarte w pozwie twierdzenia, jakoby dzwoniący znał wszystkie dane powódki. W doktrynie jako jeden z przykładów rażącego niedbalstwa podaje się sytuację, gdy płatnik otrzymał mail z nieznanego adresu pocztowego, w którym poproszono go o podanie numeru karty płatniczej, daty jej ważności, numeru CVV oraz dodatkowych danych uwierzytelniających. Z opinii biegłego wynika, że w celu zrealizowania transakcji kartą płatniczą przez sieć Internet należy posiadać wszystkie jej atrybuty, tj. pełny numer, imię i nazwisko, na jakie karta została wydana, datę jej ważności, a także kod zabezpieczający (...). W niniejszym przypadku skoro dokonano transakcji kartą płatniczą, to – zdaniem biegłego – powódka musiała podać zarówno numer karty, jak też kod zabezpieczający (...) (inne dane osoba trzecia mogła ustalić mając dostęp do bankowości internetowej). W realiach niniejszego przypadku żadnej refleksji u powódki nie wywołał fakt, że dzwoniący do niej oszust interweniował w sprawie rzekomego przelewu, a nie operacji za pomocą karty płatniczej. Podanie danych dotyczących karty płatniczej, w takiej sytuacji, nie może być usprawiedliwione okolicznościami, w tym działaniem pod wpływem silnych emocji. Stres bowiem nie powinien wyłączać konieczności zachowania zdrowego rozsądku. Powódka nie zachowała elementarnych, podstawowych zasad bezpieczeństwa.

W niniejszym przypadku Sąd nie dopatrzył się w postępowaniu pozwanego naruszenia normy prawnej wyrażonej w art. 50 ust. 2 Prawa bankowego oraz art. 43 ust. 1 ustawy o usługach płatniczych. Zgodnie z treścią pierwszego z przytoczonych przepisów bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Z kolei, w myśl art. 43 ust. 1 ustawy o usługach płatniczych dostawca wydający instrument płatniczy jest obowiązany do: zapewnienia, że indywidualne dane uwierzytelniające nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu (pkt 1), a także uniemożliwienia korzystania z instrumentu płatniczego po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 (pkt 5). Jak wskazuje się w doktrynie dostawca powinien wdrożyć odpowiednie procedury oraz rozwiązania techniczne zapewniające poufność takich danych i uniemożliwiające dostęp do nich osób postronnych. W szczególności dotyczy to wprowadzenia właściwych zabezpieczeń w systemie informatycznym oraz środkach komunikacji, zgodnie z aktualnym stanem wiedzy oraz techniki (zob. K. Osajda, Ustawa o usługach płatniczych…). W niniejszym przypadku do nieautoryzowanych transakcji doszło nie dlatego, że osoby trzecie przełamały zabezpieczenia banku, bądź weszły w posiadanie danych uwierzytelniających powódki na skutek zaniedbań ze strony banku, lecz dlatego, że powódka sama przekazała im te dane instalując na swoim urządzeniu mobilnym aplikację oraz podając numer PESEL i nr karty w rozmowie z osobą podszywającą się pod pracownika banku. Jak wskazał biegły M. W. w sytuacji, gdy powódka przekazała kontrolę nad swoim telefonem osobom trzecim poprzez aplikację TeamViewer Q. (...), do kwestionowanych transakcji mogłoby dojść nawet wówczas, gdyby pozwany bank stosował silne uwierzytelnianie w postaci dodatkowego potwierdzenia kodem sms lub zatwierdzenia w aplikacji mobilnej. Podobnie, większego wpływu na możliwość dokonania kwestionowanych transakcji nie miało niestosowanie tzw. maskowania hasła. Jak bowiem wskazano powyżej przestępcy mieli wgląd we wpisywane przez powódkę znaki (w tym hasło) poprzez aplikację, której zainstalowanie zasugerowali powódce. Biegły wskazał na możliwość ustalenia przez oszustów zapisanego hasła, jednak z opinii wynika, że taki sposób przejęcia hasła był mniej prawdopodobny. W ocenie Sądu, w realiach niniejszej sprawy nie można również zarzucić bankowi, że niezwłocznie nie zablokował dostępu do rachunków bankowych, na które dokonano przelewu środków z konta powódki, co uniemożliwiłoby ich dalszy transfer. Przede wszystkim należy zauważyć, że operacje przelewów środków z rachunku powódki zostały wykonane w godz. 11:09:23, 11:23:01 i 11:58:45 i wszystkie kwestionowane przelewy zostały wykonane na konta prowadzone w (...) Banku S.A., a zatem były traktowane jako przelewy wewnętrzne i w konsekwencji środki te były dostępne dla odbiorców od razu. Powódka złożyła reklamację w placówce bankowej około godz. 12:20. Z opinii biegłego wynika, że istnieje techniczna możliwość blokady środków, jednak na poziomie pracownika oddziału banku zablokowanie rachunku osoby trzeciej jest technicznie niemożliwe. Do blokowania środków na kontach osób trzecich uprawnione są wyłącznie specjalne komórki banku, do których jest przekazywane zgłoszenie. Taka komórka posiada – w odróżnieniu od pracownika banku siedzącego „w okienku” zarówno niezbędną wiedzę, jak i narzędzia pozwalające ocenić, czy doszło do nieautoryzowanej transakcji np. na podstawie analizy logów, IP etc. Należy sądzić, że taki sposób określenia kompetencji ma zapobiegać nadużyciom (w przeciwnym razie szeregowy pracownik banku mógłby dowolnie blokować rachunki osób trzecich jedynie na podstawie ustnego zgłoszenia innej osoby, która mogłaby kierować się różnymi pobudkami). Zresztą, nawet, gdyby analiza logowań odbywała się na poziomie oddziału, to i tak trwałaby co najmniej kilkanaście minut. Jest to wystarczający czas, aby dokonać dalszego transferu środków. Z powyższych względów trudno zarzucić poznanemu, że natychmiast nie zablokował rachunków, na które przelano środki z rachunku powódki. Podobnie, Sąd nie dopatrzył się zaniechań banku odnośnie transakcji kartą płatniczą. Jak wskazał biegły w przypadku transakcji dokonywanych kartą płatniczych pracownik banku nie ma możliwości powstrzymania wykonania takiej transakcji, gdyż jest ona przetwarzana przez organizację, która jest wydawcą karty, a bank jedynie rozlicza wykonaną transakcję w swoim systemie transakcyjnym.

Mając powyższe na uwadze, na podstawie art. 46 ust. 1 i art. 42 ustawy o usługach płatniczych a contrario, Sąd powództwo oddalił.

W zakresie dotyczącym żądania zapłaty kwoty 9.818,70 zł postępowanie zostało umorzone z uwagi na cofnięcie pozwu przez powódkę. Oceniając czynność procesową powódki w myśl przepisu art. 203 § 4 k.p.c. Sąd nie dopatrzył się okoliczności wskazujących na to, aby czynność ta była sprzeczna z prawem lub zasadami współżycia społecznego albo zmierzała do obejścia prawa.

O kosztach procesu Sąd orzekł na podstawie art. 98 k.p.c. i zgodnie z zasadą odpowiedzialności za wynik sprawy, zasądził na rzecz pozwanego kwotę 6.617 zł, na co składała się opłata za czynności fachowego pełnomocnika w stawce minimalnej (3.600 zł), zaliczka na poczet opinii biegłego (3.000 zł) oraz opłata skarbowa od pełnomocnictwa (17 zł).

Nadto, na art. 98 k.p.c. w zw. art. 5 ust. 3, art. 8 ust.1 i art. 83 i 113 ust. 1 ustawy o kosztach sądowych w sprawach cywilnych Sąd nakazał ściągnąć od powoda na rzecz Sądu Rejonowego – Skarbu Państwa w G. nieuiszczone koszty wynagrodzenia biegłego, które zostały tymczasowo wypłacone ze Skarbu Państwa w kwocie 1.480 zł.

Kontakt: saos_malpka_saos_kropka_org_kropka_pl | Wersja SAOS: 0.9.13