W ciągu ostatnich kilku lat, a zwłaszcza ostatnich kilkunastu miesięcy w naszej praktyce prawnej znacząco wzrosła liczba spraw związanych z cyberprzestępczością (o problemie pisaliśmy również w naszym Roczniku, na stronach 7-9). Wiele z nich dotyczy ataków na internetowe rachunki bankowe, z których przestępcy, posługując się głównie metodą phishingu, wyprowadzają środki pieniężne stanowiące nierzadko oszczędności całego życia.

Atak na internetowe konto bankowe

Metody działania sprawców takich ataków były i nadal są zróżnicowane, można jednak wskazać ogólny, bardzo uproszczony schemat, który pasuje do wielu ataków. Sprawcy podstępnie uzyskują dane służące logowaniu do internetowego konta bankowego użytkownika. W tym celu przesyłają mu np. podrobiony e-mail rzekomo pochodzący od banku z linkiem do sfałszowanej strony, na której ofiara podaje dane logowania, myśląc, że strona jest autentyczna. Zdarza się też infekowanie komputera użytkownika złośliwym oprogramowaniem, które samo przechwytuje dane zabezpieczające transakcje. Następnie przestępcy, często działający poza granicami kraju, wykorzystują uzyskane informacje do przelania środków pieniężnych z rachunku użytkownika na różne konta bankowe (z reguły założone w Polsce przez tzw. słupy) w kilku lub kilkunastu transzach.

Od kogo uzyskać zwrot

Właściciel rachunku, dowiedziawszy się o zniknięciu pieniędzy, powinien niezwłocznie zgłosić reklamację bankowi. Często zdarza się jednak, że bank odmawia uznania reklamacji. Nierzadko wskazuje przy tym, że użytkownik swoim zachowaniem lub zaniedbaniem sam przyczynił się do przejęcia danych i dokonania transakcji. W takiej sytuacji należy niezwłocznie zgłosić zajście na policję. Można próbować odzyskać środki od sprawców w postępowaniu karnym. Jednak wobec trudności związanych z postępowaniem dowodowym, w związku z niskimi szansami wykrycia sprawców i niewielką możliwością uzyskania od nich zwrotu pieniędzy, alternatywą lub dopełnieniem działań może być domaganie się zwrotu utraconych kwot wraz z odsetkami od banku prowadzącego zaatakowany rachunek. Z naszej praktyki i najnowszego orzecznictwa wynika, że może być to skuteczne.

Najnowsze orzecznictwo sądów cywilnych

Efektywność tej ścieżki została w ciągu ostatniego roku potwierdzona w co najmniej kilku wyrokach sądów cywilnych (część z nich jest jeszcze nieprawomocna).

W wyrokach z 15 stycznia 2016 r. (I C 307/15) i 2 lutego 2016 r. (I C 1908/14) Sąd Okręgowy w Łodzi nakazał bankowi zwrot powodom (odpowiednio) prawie 100 tys. zł i 90 tys. zł wraz z odsetkami. Obydwa wyroki są już prawomocne. W żadnej ze spraw bank nie składał apelacji. Stany faktyczne są podobne. Powodowie otrzymali komunikat o potrzebie pobrania dodatkowego oprogramowania zabezpieczającego transakcje bankowe. Zainstalowali więc oprogramowanie, które zaczęło automatycznie przechwytywać i udostępniać przestępcom wiadomości SMS z kodami jednorazowymi do autoryzowania transakcji w internetowym serwisie banku.

Z kolei w wyroku z 28 września 2015 r. Sąd Rejonowy dla Łodzi Śródmieścia (II C 383/15) nakazał innemu bankowi zwrot na rzecz powódki prawie 20 tys. zł wraz z odsetkami. Wyrok nie jest jeszcze prawomocny. Powódka wykonywała wielokrotne próby zalogowania się do swojego internetowego rachunku. Wpisywała login i hasło, lecz strona zawieszała się i klientka otrzymywała informację o braku możliwości nawiązania połączenia z bankiem. Na stronie wyświetlało się też żądanie podania kodu z listy kodów jednorazowych, służących do autoryzowania przelewów. Powódka przynajmniej dwukrotnie podała kod, który później prawdopodobnie wykorzystali przestępcy do opróżnienia jej rachunku.

Natomiast w wyroku z 15 stycznia 2015 r. Sąd Rejonowy dla Warszawy Śródmieścia w Warszawie (I C 2504/14) nakazał bankowi zwrot na rzecz powoda prawie 20 tys. zł wraz z odsetkami. Także ten wyrok nie jest jeszcze prawomocny. Powód zainstalował w telefonie komórkowym aplikację obsługującą bankowość mobilną, która – jak się okazało – zawierała złośliwe oprogramowanie, które sprawcy wykorzystali do dokonania nieautoryzowanych przelewów.

Wszystkie powyższe rozstrzygnięcia, mimo pewnych różnic wynikających z odmiennych stanów faktycznych i zebranych dowodów, mają wspólne elementy. Po pierwsze, we wszystkich sprawach transakcje prowadzące do wyprowadzenia środków z rachunków zostały uznane za nieautoryzowane przez powodów. Wszyscy powodowie niezwłocznie powiadamiali też bank o nieautoryzowanych transakcjach. Po drugie, we wszystkich sprawach sądy uznały, że banki nie zapewniły indywidualnych zabezpieczeń instrumentów płatniczych w sposób zabezpieczający je przed dostępem osób innych niż uprawniony użytkownik. Po trzecie, w żadnej ze spraw nie stwierdzono, aby działania powodów doprowadziły do dokonania nieautoryzowanych transakcji umyślnie albo przez rażące niedbalstwo. To z kolei przesądziło o zastosowaniu wobec banków we wszystkich sprawach podstaw odpowiedzialności za wykonanie nieautoryzowanej przez płatnika transakcji przewidzianej w ustawie o usługach płatniczych.

Bank odpowiada za nieautoryzowaną transakcję

Sądy w większości spraw podkreśliły, że bank jest podmiotem profesjonalnym, którego obowiązki są determinowane m.in. przez art. 43 ust. 1 ustawy o usługach płatniczych i art. 50 ust. 2 Prawo bankowe. W największym uproszczeniu przepisy te nakładają na bank obowiązek zabezpieczenia instrumentu płatniczego i dołożenia szczególnej staranności w zapewnieniu bezpieczeństwa przechowywanych środków pieniężnych. Nieautoryzowane wyprowadzenie środków pieniężnych z rachunków oznacza, że banki tym obowiązkom nie sprostały. W wyrokach wskazywano na braki stosownych zabezpieczeń bankowych (np. brak weryfikacji adresu IP, z którego loguje się użytkownik, brak przypisania danego użytkownika do kraju, z którego się loguje, brak dodatkowej weryfikacji telefonicznej w przypadku logowania się z innego kraju niż zwykle, niestosowanie oprogramowania, które bada statystykę operacji na rachunku klienta, a także okoliczność, że stosowane przez bank oprogramowanie do zwalczania oszustw finansowych (tzw. antyfraudowe), wykrywające anomalie w działaniach klientów, nie wygenerowało alertu mimo podejmowania operacji przekraczających określoną kwotę w krótkim czasie). W większości spraw banki, broniąc się przed odpowiedzialnością, wnosiły o przeprowadzenie dowodu z opinii biegłego ds. informatyki na okoliczność, że stosowane zabezpieczenia transakcji elektronicznych były właściwe. Co ciekawe, sądy uznawały, że taki dowód jest zbędny i żadne wiadomości specjalne nie są tu potrzebne. Jest bowiem oczywiste, że gdyby w powyższych okolicznościach zabezpieczenia transakcji elektronicznych stosowane przez banki były właściwe, nie dochodziłoby do dokonania transakcji przez nieuprawnione do tego osoby.

Nieautoryzowane transakcje a wina płatnika

Co do zasady we wszystkich sprawach banki obierały podobną linię obrony, próbując uchylić się od odpowiedzialności na podstawie art. 46 ust. 3 ustawy o usługach płatniczych. Wskazywały, że w zaistniałych stanach faktycznych to płatnicy (powodowie) odpowiadają za nieautoryzowane transakcje, ponieważ umyślnie albo w wyniku rażącego niedbalstwa doprowadzili do udostępnienia danych logowania i naruszenia obowiązków, o których mowa w art. 42 ustawy, a tym samym przyczynili się do powstania szkody.

Sądy jednak nie podzieliły takiej linii obrony. Uznawały, że powodowie mieli prawo pozostawać w przekonaniu co do autentyczności stron banków, komunikatów czy oprogramowania, które sprawiały wrażenie, że pochodzą od banków. Wskazywały przy tym, że umowy bankowe nie przewidywały żadnych konkretnych wymogów co do stosowanych przez klientów zabezpieczeń korzystania z bankowości elektronicznej. Odpowiedzialności banku nie wyłączają ostrzeżenia dotyczące bezpieczeństwa zawarte na stronie internetowej banku, jak i na stronie logowania do rachunku bankowego. Zignorowanie przez płatnika ostrzeżeń banku można w ocenie sądów potraktować co najwyżej jako nieuwagę w postaci braku zainteresowania ww. ostrzeżeniami. Zachowaniu takiemu nie można przypisać znamion niedbalstwa nawet w zwykłej postaci, a tym bardziej w rażącej, ani też znamion umyślności.

Chociaż część z powyższych wyroków jest jeszcze nieprawomocna, to jednak zdają się one dawać początek pewnej linii orzeczniczej, która sprzyja poszkodowanym, stanowiąc tym samym realną odpowiedź na coraz częstsze praktyczne problemy walki z cyberprzestępczością. Rzecz jasna, rozstrzygnięcia mogą różnić się w zależności od konkretnych stanów faktycznych. Pozytywne jest jednak to, że debata nad instrumentami walki z cyberprzestępczością dotyczy nie tylko zabezpieczeń technicznych, ale także instrumentów prawnych i odbywa się już w sądach cywilnych.