Portal Orzeczeń Sądu Rejonowego w Pleszewie

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Pleszew, dnia 24 lipca 2025 r.

Sąd Rejonowy w Pleszewie I Wydział Cywilny w następującym składzie:

Przewodniczący: sędzia Anna Zielińska

Protokolant: Aneta Biskup

po rozpoznaniu na rozprawie w dniu 1 lipca 2025 r. w Pleszewie

sprawy z powództwa A. M.

przeciwko (...) z siedzibą w W.

o zapłatę

1.  zasądza od pozwanego (...) z siedzibą
w W. na rzecz powódki A. M. kwotę 19.800,00 zł (dziewiętnaście tysięcy osiemset złotych 00/100) z odsetkami ustawowymi za opóźnienie obliczanymi od dnia 28 czerwca 2024 r. do dnia zapłaty,

2.  zasądza od pozwanego na rzecz powódki kwotę 4.617,00 zł (cztery tysiące sześćset siedemnaście złotych 00/100) tytułem zwrotu kosztów postępowania,
w tym kwotę 3.600,00 zł (trzy tysiące sześćset złotych 00/100) tytułem zwrotu kosztów zastępstwa procesowego, z odsetkami ustawowymi za opóźnienie obliczanymi od dnia uprawomocnienia się wyroku do dnia zapłaty,

3.  nakazuje pobranie od pozwanego na rzecz Skarbu Państwa – Sądu Rejonowego w Pleszewie kwoty 2.709,68 zł (dwa tysiące siedemset dziewięć złotych 68/100) tytułem nieuiszczonych kosztów postępowania.

Anna Zielińska

Sygn. akt I C 522/24

UZASADNIENIE

Pozwem z dnia 13 września 2024 r. powódka A. M. wniosła o zasądzenie od pozwanego (...)z siedzibą w W. kwoty 19.800,00 zł wraz z odsetkami ustawowymi za opóźnienie od dnia 28 czerwca 2024 r. do dnia zapłaty. Nadto wniosła o zasądzenie od pozwanego na swoją rzecz zwrotu kosztów procesu, w tym kosztów zastępstwa procesowego według norm przepisanych.

W uzasadnieniu wskazała, iż dochodzi zwrotu kwoty, która wypłynęła z jej rachunku bankowego dnia 26 czerwca 2024 r. na podstawie nieautoryzowanych transakcji płatniczych. Jako materialną podstawę żądania powołała art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych.

W odpowiedzi na pozew pozwany (...) z siedzibą w W. wniósł o oddalenie powództwa w całości oraz o zasądzenie od powódki na swoją rzecz zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

W uzasadnieniu wskazał, iż powódka dopuściła się naruszenia umowy z rażącym niedbalstwem, nie zastosowała się do żadnego postanowienia dotyczącego zachowania zasad bezpieczeństwa, co przemawia za wyłączeniem odpowiedzialności banku.

Sąd ustalił następujący stan faktyczny:

Powódka A. M. zawarła w dniu 3 czerwca 2011 r. z pozwanym (...) z siedzibą w W. umowę konta osobistego, na podstawie której bank otwiera i prowadzi dla posiadacza rachunek płatniczy o charakterze oszczędnościowo-rozliczeniowym. Nadto w dniu 25 listopada 2016 r. zawarła z poprzednikiem prawnym pozwanego Bankiem (...) S.A. z siedzibą we W. umowę usług bankowości elektronicznej (...), na podstawie której w ramach usług (...) klient upoważnia bank m.in. do obciążania i uznawania kwotą transakcji rachunków własnych klienta, posiadanych w chwili obecnej, jak również otwieranych w przyszłości. Następnie w dniu 26 czerwca 2024 r. zawarła
z pozwanym bankiem aneks do umowy usług (...) online w związku ze zwiększeniem limitu przelewów.

(dowód: niesporne, umowa z dnia 03.06.2011 r. k. 13-14, umowa z dnia 25.11.2016 r. k. 50-50v, regulamin k. 51-60v, wykaz i opis funkcji usług (...) online k. 61-61v, aneks do umowy usług (...) online z dnia 26.06.2024 r. k. 73-75, przesłuchanie powódki k. 126v-127v, nagranie z dnia 5 grudnia 2024 r. od 00:12:58-00:55:50)

W dniu 24 czerwca 2024 r. na platformie (...) umożliwiającej sprzedaż i kupno używanych przedmiotów, powódka wystawiła na sprzedaż wózek dziecięcy. Był to jej pierwszy kontakt z tą platformą sprzedażową. W dniu 26 czerwca 2024 r. za pośrednictwem komunikatora (...) z numeru telefonu (...) skontaktowała się z powódką osoba zainteresowana zakupem podająca się za S.. Wyraziła ona chęć zakupu wózka, jednak wskazała, że mieszka daleko od sprzedawczyni i sama zorganizuje przesyłkę i kuriera. By wypełnić formularz na stronie przewoźnika potrzebowała danych powódki, takich jak imię i nazwisko, adres e-mail. Następnie powódka otrzymała wiadomość e-mail od firmy kurierskiej (...) o sfinalizowaniu transakcji i zarejestrowaniu klienta. W komunikacie została również poproszona o kliknięcie w żółtą ikonkę, celem przesłania przewoźnikowi swoich danych. Po kliknięciu ikonki pojawił się kolejny formularz, który należało uzupełnić danymi osobowymi. Powódka podała tam swoje imię i nazwisko, adres odbioru paczki, dopiero gdy poproszono ją o podanie numeru PESEL opuściła stronę.

Po chwili odebrała telefon z nr (...)należący do (...). Dzwoniąca kobieta przedstawiła się jako pracownik D. (...) Klienta i poinformowała o podejrzanej aktywności na rachunku bankowym powódki. Spytała, czy powódka dokonała przelewu 500 zł na konto D. N. z S.. Po zaprzeczeniu powódka została przełączona do działu technicznego, gdzie osoba przedstawiająca się jako M. O. poinformowała ją o konieczności zamknięcia jej konta i otworzenia nowego w celu ochrony znajdujących się na nim środków pieniężnych. Została w tym celu poproszona o zainstalowanie na laptopie aplikacji (...), a kiedy powódka odmówiła i powiedziała, że rozłącza się i jedzie do placówki stacjonarnej banku to rozmówca poinformował ją, że w placówkach terenowych nie funkcjonują działy techniczne poza jednym, centralnym, i że jeśli się rozłączy to przelew na kwotę 500 zł oraz inne przelewy zagraniczne zostaną zrealizowane.

Powódka była przekonana, że rozmawia z pracownikiem banku, ponieważ osoba ta miała rozległą wiedzę o aplikacji banku oraz samym banku. Nadto profesjonalnie opowiadała powódce o cyberprzestępczości i istniejących w związku z tym zjawiskiem zagrożeniach. Powódka zalogowała się na laptopie na swoje konto bankowe, gdzie otrzymała wiadomość od (...) (...)dotyczącą prowadzonych działań. W międzyczasie zweryfikowała nr, z którym rozmawia, i ustaliła, że nr przypisany jest do infolinii banku. Na polecenie rozmówcy powódka zwiększyła limit dzienny. Chciała dokonać przelew na konto męża, lecz osoba podająca się za pracownika banku powiedziała, że Policja już monitoruje jej sprawę i taki duży przelew na inne konto będzie podejrzany. Następnie powódka zrobiła przelew w kwocie 19.800,00 zł na rachunek bankowy (...) w tytule wpisując (...) A. M. (solid security). Otrzymała z banku sms o treści „Sprawdź kwotę i rachunek. Przelew na kwotę 19800 PLN na rachunek (...)… (...) do odbiorcy S.A. (...)”, a kolejny przelew w kwocie 19.700,00 zł miała zrobić na nowy rachunek oszczędnościowy jednak pojawił się komunikat o nieprawidłowym numerze konta. Rozmówca jednak zapewnił ją, że takie sytuacje mają miejsce i wygenerował nowe konto. Powódka dokonując przelewów przez cały czas otrzymywała wiadomości sms z kodami potwierdzającymi od (...) (...) W pewnym momencie, gdy powódka zapytała pracownika o stały przelew na poczet kredytu, osoba z którą rozmawiała nie była w stanie odpowiedzieć na to pytanie i rozłączyła się tłumacząc to koniecznością skontaktowania się z pracownikami innych działów. Pierwszą dyspozycję przelewu na kwotę 19.800,00 zł bank przeprocesował, druga na kwotę 19.700,00 zł została wstrzymana. Po zakończeniu rozmowy sama zadzwoniła na infolinię banku, gdzie dowiedziała się, że najprawdopodobniej padła ofiarą oszustwa.

Tego samego dnia zablokowała konto i dokonała reklamacji w związku z nieautoryzowaną transakcją. Bank w odpowiedzi na zgłoszenie odmówił uwzględnienia reklamacji argumentując, iż transakcja była prawidłowo autoryzowana przez powódkę.

Następnie powódka złożyła zawiadomienie o popełnionym przestępstwie na Komendzie Powiatowej Policji w J..

(dowód: historia transakcji na rachunku k. 15, komunikat mailowy i formularz przesłany przez firmę kurierską (...) k. 16-17, korespondencja na komunikatorze (...) z osobą zainteresowaną zakupem wózka k. 18-21, odpowiedź banku na reklamację k. 22-26, zaświadczenie z Komendy Powiatowej Policji w J. o przyjęciu zawiadomienia o popełnieniu przestępstwa oraz zawiadomienie o wszczęciu dochodzenia k. 27-28, zeznania powódki k. 126v-127v, nagranie z dnia 5 grudnia 2024 r. od 00:12:58-00:55:50, zeznania M. P. k. 192-192v, nagranie z dnia 1 lipca 2025 r. od 00:02:59-00:36:08)

W dniu 26 czerwca 2024 r. powódka otrzymała na numer telefonu (...) od pozwanego banku następujące wiadomości sms:

- o godzinie 13:05 „Uwaga! Zablokowalismy Twoj dostep do (...) internet i mobile z powodow bezpieczenstwa. Prosimy o kontakt: (...) lub + (...) (...)”

- o godzinie 13:27 „Dziekujemy za kontakt z infolinia (...)

- o godzinie 13:56 „Dzien dobry, dziekujemy za Twoje zgłoszenie. Nadaliśmy mu numer (...). Kolejne informacje przekazemy ci wkrótce. Pozdrawiamy, (...)”

- o godzinie 14:20 „Wystapilismy do odbiorcy o zwrot platnosci. Zwrot nastapi jezeli odbiorca wyrazi zgode. Pozdrawiamy, (...)”

- o godzinie 14:58 „Potwierdz swoja tozsamosc podajac doradcy ten kod: 839-718”

- o godzinie 16:39 „Potwierdz swoja tozsamosc podajac doradcy ten kod: 074-646”

W okresie przed 26 czerwca 2024 r. bank udostępniał w usługach (...) online wiadomości dotyczące zagrożeń związanych z korzystaniem z bankowości elektronicznej. Wiadomości te zostały zamieszone w usługach online dla użytkownika A. M. i były dostępne po poprawnym zalogowaniu do usług.

(dowód: autoryzacja dyspozycji na rachunku powódki k. 62-68, zestawienie wiadomości sms wysłanych na nr telefonu powódki k. 69-70, zestawienie komunikatów mobilnej autoryzacji dla powódki k. 71-72, aneks do umowy usług (...) online z dnia 26.06.2024 r. k. 73-75, komunikaty informacyjne i ostrzegawcze k. 76-100, połączenie telefoniczne infolinii banku z powódką w dniu 26.06.2025 r. k. 101-102, zestawienie logowań do usług (...) online k. 103)

Powódka nieświadomie została oszukana przez osoby podszywające się pod pracowników banku (...) i padła ofiarą tzw. vishingu/phishingu. Tego typu ataki są przeprowadzane przez psychologiczną manipulację osobą w rozmowie telefonicznej. Oszuści podają się za pracowników banku chcących zabezpieczyć środki swojemu klientowi. Nie używają żadnych luk w systemach bankowych, a jedynie manipulacji i perswazji.

Na początku ataku phishingowego powódka zalogowała się do swojego konta bankowego przez system internetowy (...) poprzez podanie NIK oraz hasła. Następnie przeszła do zakładki Limity i zwiększyła swój limit przelewów do 42.000,00 zł otrzymując za każdym razem suche informacje od banku o tych czynnościach, odpowiednio „Odkrycie limitu przelewów 26.06.2024 12:22” oraz „Zmiana limitu przelewów z autoryzacją 42000 PLN”. Potwierdziła każdą z nich w swojej aplikacji mobilnej. Następnie po potwierdzeniu od banku, że nastąpiło zwiększenie limitu powódka zaczęła robić przelewy na swoje „nowe” konto. Po uzupełnieniu danych dostała również proste komunikaty „Sprawdź kwotę i rachunek. Przelew na kwotę 19800 PLN na rachunek … do odbiorcy (...) A. M.” oraz „Sprawdź kwotę i rachunek. Przelew na kwotę 19700 PLN na rachunek … do odbiorcy (...) A. M.” i potwierdziła je w aplikacji mobilnej. Pierwszą z wymienionych dyspozycji bank przeprocesował, a przy drugiej zadziałały już zabezpieczenia systemu internetowego banku i dyspozycja została odrzucona ze względu na błędny numer konta oraz konto powódki zostało zablokowane.

Bank zablokował konto powódki, która dostała sms z wiadomością: „Uwaga! Zablokowalismy Twoj dostep do (...) internet i mobile z powodow bezpieczenstwa. Prosimy o kontakt: (...) lub + (...) (...)”.

Po stronie banku zabrakło reguły biznesowej, bądź pewnych wyzwalaczy (triggerów), które wywołałyby alert i/lub tymczasową blokadę dyspozycji użytkownika złożonej na wysoką kwotę, poprzedzoną w szczególności zmianą limitów. Banki często blokują pierwszą tego typu transakcję i kontaktują się z klientem w celu upewnienia się, czy to on rzeczywiście składa pewne dyspozycje i dopiero po jego akceptacji następuje autoryzacja. Banki przesyłają pewne komunikaty poprzez swoje kanały informacyjne takie jak: informacje na stronie internetowej, w aplikacji mobilnej jest zakładka wiadomości, czasami wysyłają e-mail z informacją o atakach. Skuteczność tych kanałów informacyjnych jest raczej niska. Dużo skuteczniejsze są smsy.

(dowód: opinia biegłego k. 146-150)

Pismem z dnia 27 czerwca 2024 r. Bank potwierdził powódce otrzymanie reklamacji. Reklamacja została rozpatrzona negatywnie.

(dowód: odpowiedź banku na reklamację k. 22-26)

Przy odtworzeniu stanu faktycznego, który w dużej części był bezsporny kluczowe znaczenie miał dowód z opinii biegłego sądowego z zakresu informatyki M. D.. Sąd dokonując oceny tej opinii miał na uwadze wysoki poziom wiedzy biegłego, podstawy teoretyczne opinii, sposób motywowania sformułowanego stanowiska, stopień stanowczości wyrażonych w niej ocen, zgodność z zasadami logiki i wiedzy powszechnej. Biegły w sposób logiczny i jasny przedstawił tok rozumowania prowadzący do sformułowanych w opinii wniosków, a jego opinia jest zrozumiała i kompletna. Istotne jest, że opinia koresponduje z zeznaniami świadka M. P., który jasno wskazał, że jest możliwe, że rachunek docelowy na który trafiły środki powódki był „na czarnej liście” banku i dlatego drugi z przelewów mimo, że został przez powódkę autoryzowany został zablokowany. Te zaznania wzmacniają wnioski opinii biegłego co do tego, że po stronie pozwanego banku zabrakło reguły biznesowej, bądź pewnych wyzwalaczy (triggerów), które wywołałyby alert i/lub tymczasową blokadę dyspozycji użytkownika złożonej na wysoką kwotę, poprzedzoną w szczególności zmianą limitów.

Sąd zważył co następuje:

Oceniając zasadność powództwa należy odwołać się do ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz.U. z 2025 r. poz. 611, dalej u.u.p.). Stanowi ona akt prawny, który w sposób kompleksowy reguluje rynek usług płatniczych-określa zarówno zasady podejmowania i prowadzenia działalności na rynku usług płatniczych przez dostawców wskazanych w art. 4 ust. 2, jak i prawa i obowiązki dostawców usług płatniczych związane ze świadczeniem usług płatniczych (por. Barbara Bajor, Jan Brylski, Anna Zalcewicz, Ustawa o usługach płatniczych. Komentarz, wyd. II. LEX 2017). Stosownie do postanowień art. 1 ustawa określa zasady świadczenia usług płatniczych oraz wydawania i wykupu pieniądza elektronicznego. Zwrócić należy uwagę, że ustawa w swojej treści zawiera rozwiązania prawne zarówno natury prywatnoprawnej, jak i publicznoprawnej. W ustawie określone zostały warunki świadczenia usług płatniczych, w szczególności wymogi dotyczące obowiązków informacyjnych dostawców usług płatniczych w przypadku zawierania umów ramowych oraz w odniesieniu do każdej pojedynczej usługi płatniczej. Uregulowane zostały również zasady, których zasadniczym celem jest zwiększenie przejrzystości postanowień umów o świadczenie usług płatniczych i w sposób jasny oraz zrozumiały określenie praw i obowiązków stron umowy, w tym w szczególności rodzajów i wysokości pobieranych opłat z tytułu świadczonej usługi. W ten sposób został podkreślony prokonsumencki charakter rozwiązań ustawy, która wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego.

W art. 2 ww. ustawy zamieszczono tzw. słownik zawierający objaśnienia określeń ustawowych, co pozwala na identyfikację stron stosunku prawnego – powódki jako płatnika oraz strony pozwanej jako dostawcę usługi. Przez usługi płatnicze ustawa rozumie działalność polegającą między innymi na wykonywaniu transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub innego dostawcy przez wykonywanie usług polecenia przelewu. Działalność w zakresie świadczenia usług płatniczych może być wykonywana wyłącznie przez dostawców usług płatniczych, którymi mogą być podmioty wymienione w ustawie, m.in. bank krajowy w rozumieniu art. 4 ust. 1 pkt 1 ustawy Prawo bankowe.

Rozdział 2 (art. 40 i n.) działu III ustawy poświęcony został problematyce autoryzacji transakcji płatniczych, skutków braku autoryzacji transakcji oraz zasad i zakresu odpowiedzialności dostawcy i płatnika za transakcje nieautoryzowane, jak też nienależycie wykonane czy niewykonane. Autoryzacja transakcji oznacza wyrażenie zgody na dokonanie transakcji płatniczej, czyli stanowi oświadczenie woli użytkownika składane z zamiarem i świadomością wywołania określonych skutków prawnych, tj. dokonania transakcji płatniczej. Sposób wyrażenia zgody (czyli sposób autoryzacji transakcji) jest uzależniony od rodzaju transakcji płatniczej, wykorzystywanego instrumentu płatniczego czy sposobu zlecania usługi płatniczej (w formie papierowej czy drogą elektroniczną). Prawidłowa autoryzacja jest zasadniczym elementem w procesie przeprowadzania transakcji. Przede wszystkim od ustalenia, czy doszło do autoryzacji transakcji płatniczej przez użytkownika, czy też mamy do czynienia z transakcją nieautoryzowaną, zależy odpowiedzialność zarówno dostawcy, jak i płatnika za transakcję płatniczą. Natomiast od ustalenia, z jakich przyczyn doszło do wykonania nieautoryzowanej przez płatnika transakcji, zależy zakres odpowiedzialności dostawcy i obowiązku zwrotu kwot nieautoryzowanych transakcji.

W przypadku wystąpienia nieautoryzowanych przez płatnika transakcji płatniczych konieczne jest ustalenie, w jakich okolicznościach doszło do nieautoryzowanych transakcji: czy z winy płatnika wskutek naruszenia podstawowych obowiązków płatnika określonych w art. 42 u.u.p., czy też z powodu okoliczności, za które nie ponosi on odpowiedzialności, czy jednak z powodu okoliczności, za które ponosi odpowiedzialność dostawca. Od powyższych ustaleń uzależniona jest możliwość uzyskania przez płatnika zwrotu kwot nieautoryzowanych przez niego transakcji.

Przyjęte rozwiązanie sugeruje, że płatnik, zlecając wykonanie transakcji płatniczej, czyli składając oświadczenie woli, musi autoryzować transakcję. Oznacza to, że samo złożenie oświadczenia woli, na mocy którego płatnik zleca wykonanie transakcji, nie jest wystarczające - nie jest równoznaczne z wyrażeniem zgody.

W art. 42 ustawy wskazane zostały obowiązki użytkownika, które mają na celu zapewnienie minimum bezpieczeństwa transakcji płatniczych realizowanych z wykorzystaniem instrumentu płatniczego. Podstawowym obowiązkiem użytkownika jest więc korzystanie z instrumentu płatniczego zgodnie z postanowieniami umowy. Kolejny obowiązek użytkownika polega na powiadomieniu w przypadku utraty, kradzieży, przywłaszczenia czy też stwierdzenia, że doszło do nieuprawnionego skorzystania z instrumentu, dostawcy (lub podmiotu wskazanego w tym celu przez dostawcę) o zaistnieniu powyższego zdarzenia.

Artykuł 45 ustawy zawiera szczególną regułę dotyczącą ciężaru dowodu w przypadku dochodzenia roszczeń z tytułu nieautoryzowanych, nienależycie wykonanych lub niewykonanych transakcji. W przypadku powyższych roszczeń ciężar udowodnienia, że transakcja została autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Przypomnieć należy, że zgodnie z art. 6 k.c. ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu chce wywodzić skutki prawne dla siebie. Oznaczałoby to, że jeśli użytkownik kwestionuje fakt autoryzowania transakcji przez siebie, musiałby to wykazać. Rozwiązania przyjęte w omawianej ustawie przerzucają ciężar udowodnienia na dostawcę. Stanowią one wyraz prokonsumenckiego charakteru ustawy. Ciężar udowodnienia, że transakcja była autoryzowana przez użytkownika, ciąży na dostawcy, czyli na profesjonaliście, nawet jeśli to użytkownik występuje z roszczeniem, twierdząc, że nie on autoryzował transakcji. Fakt zarejestrowanego użycia instrumentu płatniczego, czyli - należy przyjąć - użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika. W przypadku zgłoszenia przez użytkownika transakcji, które obciążają jego rachunek płatniczy i które były prawidłowo autoryzowane, czyli zlecone i zrealizowane zgodnie z przewidzianą procedurą, a które użytkownik wskazuje jako przez niego nieautoryzowane, dostawca musi udowodnić fakt autoryzacji transakcji przez użytkownika. Jednak dostawca musi przywołać inne dowody niż sam fakt prawidłowego skorzystania z procedur autoryzacji przewidzianych umową. Dostawca może przytoczyć dowody wykazujące, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji (np. przekazał kartę i PIN członkowi rodziny) albo wskutek rażącego niedbalstwa naruszył jeden z obowiązków określonych w art. 42 u.u.p., czyli nie przechowywał informacji w sposób zapewniający bezpieczeństwo.

Zasady odpowiedzialności dostawcy oraz płatnika w przypadku wystąpienia nieautoryzowanych transakcji ustawodawca ustala w art. 46 ustawy. W świetle ust. 1 powołanego przepisu, w przypadku wystąpienia nieautoryzowanych transakcji dostawca jest zobowiązany do zwrotu płatnikowi kwoty nieautoryzowanej transakcji niezwłocznie. Podstawowa zasada wskazuje więc obowiązek zwrotu przez dostawcę kwot nieautoryzowanych transakcji. Zgodnie z art. 46 ust 3 ustawy, płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy.

O winie płatnika można mówić wówczas, gdy zaistniałe zdarzenie (czyli wystąpienie nieautoryzowanych transakcji) nastąpiło wskutek okoliczności, za które ponosi on odpowiedzialność.

Zobowiązanie banku jako profesjonalnego podmiotu jest determinowane poprzez ustawowe obowiązki wskazane m.in. w art. 43 ust. 1 u.p.p. Pozwany bank nie wywiązał się z ich wypełnienia w stosunku do powódki. Wyjaśnił to biegły M. D. podkreślając, że istnienie w systemie bankowości internetowej reguł biznesowych, wyzwalaczy i alertów skutecznie zabezpieczyłoby środki na koncie klienta. Istnienie w systemie bankowości internetowej skutecznych mechanizmów uwierzytelnienia i autoryzacji użytkownika w celu zabezpieczenia środków klienta wynika z Rekomendacji D Komisji Nadzoru Finansowego. Do tego typu mechanizmów zaliczyć można również istnienie reguł biznesowych, wyzwalaczy i alertów. Bank świadczący usługi z wykorzystaniem elektronicznych kanałów dostępu powinien posiadać skuteczne rozwiązania techniczne i organizacyjne zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpieczeństwa korzystania z tych kanałów. Kluczowe znaczenie w usługach bankowości świadczonych za pośrednictwem elektronicznych kanałów dostępu ma potwierdzenie, czy dana próba kontaktu, dostępu lub transakcji jest uprawniona. W związku z tym bank powinien określić i stosować możliwie niezawodne metody i środki – potwierdzenia tożsamości i uprawnień klientów korzystających z elektronicznych kanałów dostępu, minimalizując ryzyko udzielenia dostępu nieupoważnionym osobom.

W tej sprawie weryfikacja działań klienta była niewystarczająca. Bank powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania innych mechanizmów zabezpieczających, takich jak weryfikacja behawioralna. System bankowy co prawda rejestrował wszystko, ale nie posiadał skutecznych mechanizmów zabezpieczających klienta przed oszustwem poprzez tymczasową blokadę konta już przy pierwszym przelewie i wymuszenie skutecznej autoryzacji.

Banki obsługując miliony klientów mają świadomość zagrożeń, ich rodzaju i skali. Doskonale znają metody działania oszustów, które wciąż się rozwijają podążając za rozwojem technologicznym i wykorzystując postęp. Tym bardziej banki powinny wdrażać systemy weryfikacyjne i zabezpieczające zwłaszcza w przypadku oszustw polegających na manipulacji psychologicznej, które są niezwykle przebiegłe i trudno uchwytne, ponieważ oszust – przestępca działa niejako rękami swojej ofiary. Jeżeli przy wypłacie większej sumy pieniężnej w oddziale stacjonarnym banku, pracownik banku odbywa w osobnym pomieszczeniu z klientem rozmowę, której celem jest ustalenie, czy klient nie znajduje się w sytuacji przymusowej, to zabezpieczenia o podobnym stopniu skuteczności powinny dotyczyć również bankowości elektronicznej i mobilnej. Banki zachęcają swoich klientów do korzystania z usług elektronicznych i mobilnych, powołując się na dostęp, szybkość, łatwość i wręcz intuicyjność korzystania z tego typu usług. Z drugiej strony nie oferują wystarczającej ochrony i przerzucają ciężar czujności i uważności wyłącznie na klienta, powołując się na skomplikowane i obszerne regulaminy. Tymczasem ciężar zapewnienia bezpieczeństwa zdeponowanym środkom w całości obciąża bank, co wynika z ustawy i umowy rachunku bankowego. W ocenie Sądu orzecznictwo dotyczące przestępstw phishingowych, które jest niekorzystne dla osób padających ofiarą oszustwa, marginalizuje obowiązki banku związane z prawidłowym wykonywaniem swojej części zobowiązania w umowie rachunku bankowego. Bank jest silniejszą stroną tej umowy i korzysta ze znacznej przewagi przez cały czas trwania umowy. Przy ataku phishingowym nie jest zwolniony od obowiązku ochrony środków tak długo, jak znajdują się na rachunku.

W ocenie sądu istotnym było ustalenie, czy w niniejszej sprawie niedbalstwo po stronie powoda miało cechy rażącego niedbalstwa, jako kwalifikowanej formy winy czy cechy „zwykłego” niedbalstwa, o czym decydowało ustalenie wzorca staranności, wymaganego w stosunkach danego rodzaju.

Na uwagę zasługuje wyrok z dnia 24 maja 2018 r. Sądu Apelacyjnego w Warszawie w sprawie sygn. akt VI ACa 217/17, w którym to wyroku Sąd wskazał, że „jeśli transakcje zostały zrealizowane bez zgody płatnika oraz w okolicznościach, za które nie ponosi on odpowiedzialności, a następnie płatnik dokonał zgłoszenia wystąpienia nieautoryzowanych transakcji, to na dostawcy ciąży obowiązek zwrotu kwot nieautoryzowanych transakcji. Jeśli jednak do nieautoryzowanych transakcji płatnik doprowadził umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia swoich obowiązków (o których mowa w art. 42 ustawy z 2011 r. o usługach płatniczych), wówczas to on, a nie dostawca odpowiada za nieautoryzowane transakcje”.

Zgodnie z treścią art. 355 § 1 k.c., dłużnik obowiązany jest do staranności ogólnie wymaganej w stosunkach danego rodzaju (należyta staranność).

Sąd wskazuje, iż co do zasady przez należytą staranność należy rozumieć staranność ogólnie wymaganą w stosunkach danego rodzaju. Jej wzorzec ma charakter obiektywny, a z kolei jego zastosowanie w praktyce polega najpierw na dokonaniu wyboru modelu ustalającego optymalny w danych warunkach sposób postępowania, odpowiednio skonkretyzowanego i aprobowanego społecznie, a następnie na porównaniu zachowania się dłużnika z takim wzorcem postępowania. O tym, czy na tle konkretnych okoliczności można osobie zobowiązanej postawić zarzut braku należytej staranności w dopełnianiu obowiązków, decyduje nie tylko niezgodność jej postępowania z modelem, lecz także uwarunkowana doświadczeniem życiowym możliwość i powinność przewidywania odpowiednich następstw zachowania. Miernik postępowania dłużnika, którego istotą jest zaniechanie dołożenia staranności, nie może być formułowany na poziomie obowiązków niedających się wyegzekwować, oderwanych od doświadczeń, reguł zawodowych, konkretnych okoliczności czy typu stosunków (zob. wyroki SN z dnia 17 maja 2002 r., I CKN 1180/99; z dnia 23 października 2003 r., V CK 311/02; z dnia 08 lipca 1998 r., III CKN 574/97).

Pojęcie należytej staranności jest miernikiem ustalenia winy w postaci niedbalstwa, gdy stanowi ona przesłankę zastosowania określonego przepisu (wyrok Sądu Najwyższego z dnia 30 marca 2000 r. sygn. akt III CKN 709/98). O stopniu niedbalstwa świadczy stopień staranności, jakiego w danych okolicznościach można wymagać od sprawcy. Niezachowanie podstawowych, elementarnych zasad ostrożności, które są oczywiste dla większości rozsądnie myślących ludzi, stanowi o niedbalstwie rażącym. Poziom elementarności i oczywistości wyznaczają okoliczności konkretnego stanu faktycznego, związane m.in. z osobą sprawcy, ale przede wszystkim zdarzenia obiektywne, w wyniku których powstała szkoda (wyrok Sądu Najwyższego z dnia 10 sierpnia 2007r., sygn. akt II CSK 170/07, por. też wyrok Sądu Najwyższego z dnia 10 marca 2004r., sygn. akt IV CK 151/03). Art. 355 k.c. kładzie wyraźny akcent na rodzaj stosunków, przez co należy rozumieć rodzaj przedsięwziętej aktywności, przy czym uwzględniając rodzaj działalności, należy zważyć, że chodzi o miarę staranności powszechnie przyjętą, do pewnego stopnia obiektywną, wynikającą z nakazów sztuki, umiejętności lub techniki, którą można w konkretnym przypadku ustalić, stosując uchwytne mierniki staranności. Ocena stopnia staranności nie może być dowolna, musi poddawać się weryfikacji (wyrok sądu Najwyższego z dnia 21 września 2007 r., sygn. akt V CSK 178/07).

Sąd w kontekście powyższych rozważań i wniosków nie podzielił stanowiska strony pozwanej co do tego, że po stronie powodowej doszło do umyślności, czy rażącego niedbalstwa.

Powódka A. M. jako klientka banku nie naruszyła obowiązków, o których mowa w art. 46 ust. 3 u.p.p., umyślnie lub wskutek rażącego niedbalstwa. Z pewnością działanie powódki nie było umyślne, powódka uważała, że działa według wskazówek udzielanych przez pracowników pozwanego banku. Otrzymała telefon z numeru przypisanego do infolinii banku, a w trakcie rozmowy zweryfikowała ten numer i upewniła się że jest to numer wymieniony na stronie banku.

Zdaniem Sądu powódce nie można również przypisać umożliwienia dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa. A. M. nie udostępniała świadomie loginu, hasła ani innych danych jakimkolwiek osobom trzecim. W dniu 26 czerwca 2024 r. powódka wykonywała pewne czynności w systemie bankowości internetowej, jednak dokonanie wypłaty na kwotę 19.800,00 zł z jej rachunku bankowego nastąpiło na skutek błędnego przekonania, że środki trafią na rachunek założony dla niej w celu zabezpieczenia środków. Warto zwrócić uwagę, że nawet sms-y otrzymane z banku mogły utwierdzić powódkę w słuszności swoich działań, ponieważ w treści zawierały stwierdzenie: „Przelew … do odbiorcy (...) A. M.” oraz „Przelew … do odbiorcy (...) A. M.”, jasno wskazując powódkę jako odbiorcę przelewanych środków.

W tej sytuacji należy uznać, że powódka dokonując autoryzacji działała pod wpływem błędu, który został wywołany przez oszustów podstępnie. Wobec tego nie można przyjąć, że powódka działa z rażącym niedbalstwem.

Kodeks cywilny nie zawiera definicji podstępu, o którym mowa w art. 86 k.c. i nie precyzuje, jaką postać winno przybrać zachowanie osoby, której zarzuca się podstęp. Działanie podstępne polega na świadomym wywołaniu u drugiej osoby mylnego wyobrażenia o rzeczywistym stanie rzeczy, w celu skłonienia jej do złożenia określonego oświadczenia woli. Działanie podstępne jest zawsze etycznie naganne, niezależnie od pobudek i skutków działania sprawcy, gdyż zmierza do zakłócenia procesu decyzyjnego innej osoby i doprowadzenia jej, na podstawie zasugerowanych fałszywych przesłanek rozumowania, do złożenia określonego oświadczenia woli. Etyczna naganność podstępu stała się motywem surowego potraktowania przez prawo cywilne skutków wywołanego nim błędu. Uchylenie się od jego skutków prawnych jest ułatwione, może nastąpić bowiem także wtedy, gdy błąd nie był istotny oraz gdy nie dotyczył treści czynności prawnej. Działanie podstępne polega na świadomym wywołaniu u drugiej osoby mylnego wyobrażenia o rzeczywistym stanie rzeczy w celu skłonienia jej do złożenia określonego oświadczenia woli i taka sytuacja miała miejsce w tej sprawie.

Za Sądem Najwyższym (wyrok z dnia 13 stycznia 2010 r., II CSK 239/09, LEX nr 560847) wskazać należy, że działanie podstępne zmierza do zakłócenia procesu decyzyjnego innej osoby i doprowadzenia jej na podstawie zasugerowanych fałszywych przesłanek rozumowania do złożenia określonego oświadczenia woli. Etyczna naganność podstępu stała się przy tym motywem surowego potraktowania przez prawo cywilne skutków wywołanego nim błędu. Błąd może dotyczyć również sfery motywacyjnej i nie musi mieć charakteru istotnego, gdy został spowodowany przez podstęp.

Skoro ustawodawca dopuszcza możliwość uchylenia się od skutków prawnych oświadczenia woli złożonego pod wpływem błędu wywołanego podstępnie niezależnie od wagi błędu (art. 86§1 i §2 k.c.), to konsekwentnie należy uznać, że dopuszcza również możliwość zakwestionowania autoryzacji transakcji, która została uzyskana podstępem. W ocenie sądu taka autoryzacja nie jest prawidłowa i nie może dla posiadacza rachunku bankowego wywoływać negatywnych skutków prawnych.

Sąd ma świadomość rozbieżności orzeczniczych w tym zakresie. Natomiast dostrzega, że orzeczenia przychylne bankom koncentrują się na formalnej treści umów i regulaminów oraz obowiązkach nałożonych na klientach banków całkowicie pomijając możliwe wady oświadczeń woli i wagę zobowiązania banku oraz jego pozycję.

Jest niewątpliwie uchybieniem po stronie powódki, że wykazała się obniżoną czujnością i w pewnym zakresie można jej postawić zarzut nienależytej staranności, jednakże nie w stopniu rażącym. Trzeba pamiętać, że powódka została poddana manipulacji, a oszuści wykorzystali mechanizm działania dostępnych usług w internecie i schemat intuicyjnego wręcz korzystania z usług elektronicznych i mobilnych. Wiedza co do możliwości podszycia się pod cudzy nr telefonu nie jest powszechnie dostępna i powódka miała podstawy założyć, że rozmawia z pracownikiem banku. Uchybienia powódki nie mogą być jednak kwalifikowane jako rażąco niedbałe.

W tym miejscu wypada podkreślić, że przelew na tak dużą kwotę był nietypową dla dotychczasowego korzystania z konta transakcją, a mimo to system bankowy nie uruchomił żadnych zabezpieczeń.

Stosownie do art. 50 ust. 2 ustawy Prawo bankowe (t.j. Dz.U. z 2023 r. poz. 2488) na bankach ciąży powinność dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Trudno było uznać jako w pełni odpowiadające tym wymogom działanie polegające na braku odpowiedniej reakcji na dokonaną na rachunku powódki operację bankową, która była całkowicie odmienna od dotychczasowych dokonywanych przez lata.

Samo prowadzenie kampanii informacyjnej w aplikacji (...) mobile lub w usługach (...) online na temat phishingu nie jest wystarczającą formą zabezpieczeń dla banku i nie stanowi wystarczającej ochrony dla klientów pozwanego. Umieszczenie informacji o phishingu i atakach phishingowych na stronach internetowych nie oznacza bowiem, że każda osoba uzyska na ten temat wiedzę poprzez przeczytanie wyświetlanych przez pozwaną komunikatów. Wiedza na ten temat zależy bowiem od wielu czynników takich jak świadomość użytkowników, dostęp do informacji, edukacja czy doświadczenie związane z internetem. Oczywiście prowadzenie kampanii informacyjnych jest ważne, jednak w celu zapewnienia maksymalnego bezpieczeństwa klientom banku, pozwany powinien przede wszystkim wdrożyć szereg zaawansowanych technicznie i organizacyjnie środków bezpieczeństwa, aby zapobiegać lub wykrywać ataki phishingowe. Samo bowiem bazowanie na ewentualnej wiedzy klientów, którzy tak jak pozwana zauważyła „są najsłabszym elementem zabezpieczeń” nie może gwarantować ochrony i bezpieczeństwa środków gromadzonych na kontach bankowych.

Bank przyjmując środki klientów jest zobowiązany do ich właściwego przechowywania i dokonywania rozliczeń pieniężnych na zlecenie posiadacza rachunku. Jeżeli działa na zlecenie uzyskane podstępem innych osób to naraża się na wszelkie konsekwencje naruszenia umowy.

Banki wskazują, że znaczenie ma tylko to, co znajduje odzwierciedlenie w ich systemach teleinformatycznych. Jeżeli nie doszło do przełamania zabezpieczeń systemu, to transakcja jest poprawnie autoryzowana. Jest to podejście czysto formalne. Zdaniem Prezesa UOKIK oraz rzecznika finansowego liczy się nie tylko procedura, lecz także kluczowy element woli klienta. Zgoda na dokonanie transakcji stanowi oświadczenie woli w rozumieniu art. 60 kc. Dopiero, gdy klient wyrazi zgodę można mówić o prawidłowo dokonanej (autoryzowanej) transakcji płatniczej (por. wyrok SA w Warszawie z dnia 19 lipca 2018 r. I ACa 348/17). Jeżeli zgoda na wykonanie transakcji została udzielona przez inną osobę niż klient (np. przez hakera który włamał się na konto) to nie jest to zgoda klienta. W konsekwencji transakcja zlecona przez hakera jest transakcją nieautoryzowaną. Akceptacja stanowiska banków prowadziłaby do wniosku, że nie dochodzi do nieautoryzowanej transakcji płatniczej, jeżeli nie są przełamywane zabezpieczenia bankowe. Tym samym znakomita większość przypadków kradzieży z rachunków bankowych byłaby wyłączona spod omawianych regulacji. Tymczasem do nieautoryzowanych transakcji dochodzi także w efekcie uzyskania przez przestępców dostępu do bankowości elektronicznej (np. poprzez phishing lub uzyskanie duplikatu karty SIM). Jak wskazuje prezes UOKIK, na banku jako instytucji zaufania publicznego spoczywa obowiązek podjęcia wszelkich kroków, aby zabezpieczyć środki klientów Banki powinny dużo sprawniej rozwijać systemy antyfraudowe, które pozwalałyby identyfikować i odpowiednio wcześniej reagować na podejrzane operacje, choćby wykorzystując dotychczasową historię zleceń klienta, czy biometrię behawioralną do dalszego podnoszenia poziomu zabezpieczeń (tak B. Jaroni „Ciężar dowodu po stronie banku” DGP z 4 kwietnia 2023 r. nr 66).

Mając powyższe na uwadze Sąd orzekł jak w punkcie 1 wyroku. Wypada dodać, że wyżej zaprezentowane stanowisko spotkało się z akceptacją Sądu Okręgowego w Kaliszu w sprawie II Ca 128/23. Kierując się wyrokiem Sądu Okręgowego w Kaliszu z dnia 6 czerwca 2023 r. Sąd orzekł o odsetkach mając na uwadze brzmienie 46 ust. 1 u.u.p. art. 481§1 k.p.c.

O kosztach procesu orzeczono w pkt 2 na postawie w art. 98 § 1 k.p.c. nakładając na pozwanego, jako stronę przegrywającą postępowanie, obowiązek zwrotu wszystkich poniesionych w sprawie przez powódkę kosztów, tj. opłaty sądowej w wysokości 1.000,00 zł, opłaty skarbowej 17,00 zł i kosztów zastępstwa procesowego w wysokości 3.600,00 zł, łącznie 4.617,00 zł. Na tej samej zasadzie Sąd w pkt 3 wyroku obciążył pozwanego obowiązkiem zwrotu kosztów opinii biegłego które zostały pokryte przez Skarb Państwa do kwoty 2.709,68 zł.

Anna Zielińska