Portal Orzeczeń Sądów Powszechnych

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 2 stycznia 2017 roku

Sąd Rejonowy dla Łodzi Śródmieścia w Łodzi III Wydział Cywilny

w składzie następującym :

Przewodniczący: SSR Witold Ławnicki

Protokolant: sekr. Sąd. Agnieszka Zamerska

po rozpoznaniu w dniu 19 grudnia 2016 roku w Łodzi

sprawy z powództwa P. T.

przeciwko (...) Spółce Akcyjnej w W.

o nakazanie

1.  nakazuje pozwanemu (...) Spółce Akcyjnej w W. przywrócenie obciążonego rachunku płatniczego powoda P. T. prowadzonego w pozwanym Banku o nr (...) do stanu jaki istniałby gdyby nie miała miejsca nieautoryzowana transakcja płatnicza z dnia 29 stycznia 2014 roku dokonana na kwotę 20.090 zł (dwadzieścia tysięcy dziewięćdziesiąt złotych) na nr rachunku bankowego (...) oraz przywrócenie obciążonego rachunku płatniczego powoda prowadzonego w pozwanym Banku o nr (...) do stanu jaki istniałby gdyby nie miała miejsca nieautoryzowana transakcja płatnicza z dnia 29 stycznia 2014 roku dokonana na kwotę 19.856,10 zł (dziewiętnaście tysięcy osiemset pięćdziesiąt sześć 10/100 złotych) na nr rachunku bankowego (...),

2.  zasądza od pozwanego (...) Spółki Akcyjnej w W. na rzecz powoda P. T. kwotę 5.822 zł (pięć tysięcy osiemset dwadzieścia dwa złote) tytułem zwrotu kosztów procesu.

UZASADNIENIE

W pozwie z dnia 20 stycznia 2016 roku powód P. T. wniósł o nakazanie pozwanemu (...) Spółce Akcyjnej w W. przywrócenia obciążonego rachunku płatniczego powoda prowadzonego w pozwanym Banku o nr (...) do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza z dnia 29 stycznia 2014 roku dokonana na kwotę 20 090 zł na nr rachunku bankowego (...) oraz przywrócenia obciążonego rachunku płatniczego powoda prowadzonego w pozwanym Banku o nr (...) do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza z dnia 29 stycznia 2014 roku, dokonana na kwotę 19 856,10 zł, na nr rachunku bankowego (...), oraz o zasądzenie od pozwanego na rzecz powoda kosztów postępowania, w tym kosztów zastępstwa radcowskiego według norm przepisanych. W uzasadnieniu pozwu powód wskazał, że z pozwanym łączą go dwie umowy – umowa o świadczenie usług bankowych, na podstawie której posiada w pozwanym banku rachunek oszczędnościowo-rozliczeniowy (...) i rachunek bankowy (...), oraz umowa odnawialnego kredytu konsumpcyjnego, na podstawie której pozwany Bank udzielił powodowi kredytu odnawialego na kwotę 50 000 zł w rachunku oszczędnościowo-rozliczeniowym, zwanym łącznie dalej (...) Z (...). Powód podał, że w dniu 29 stycznia 2014 roku niezidentyfikowany sprawca dokonał bez wiedzy i zgody powoda szeregu operacji na wymienionych powyżej rachunkach bankowych – z konta (...) Z (...) przelał łączną kwotę 20 090,00 zł w koszt kredytu odnawialnego na rachunek (...) powoda, a z tego ostatniego dokonał przelewu kwoty 19 856,10 zł na zewnętrzny rachunek bankowy prowadzony przez (...) o numerze (...), wskazując jako odbiorcę nieznaną powodowi osobę fizyczną o nazwisku J. O., a w tytule przelewu (...). Spowodowało to znaczne ograniczenie uprawnienia powoda, wynikającego z umowy kredytu odnawialnego. Powód nigdy nie składał polecenia wykonania wymienionych wyżej operacji bankowych, nie wyrażał na nie zgody i nie wiedział o nich, jak również nigdy w żaden sposób z nich nie skorzystał, nie ustanawiał odbiorcy zdefiniowanego w osobie J. O.. Nigdy też nie udostępnił komukolwiek jakichkolwiek danych umożliwiających lub ułatwiających zalogowanie się do internetowego serwisu transakcyjnego powoda. Powód wskazał, że w dniu zdarzenia zawiadomił pozwany bank o zaistniałym zdarzeniu, składając reklamację zarejestrowaną pod numerem (...) oraz dokonał zawiadomienia o zaistniałej sytuacji na Komendzie Powiatowej Policji w Ż.. Podał, że do dnia wytoczenia powództwa złożona przez niego reklamacja nie została rozpoznana i nie ustalono, w jaki sposób pozwany bank przekazał jego środki osobie do tego nieuprawnionej ani w jaki sposób doszło do nieautoryzowanych przelewów z rachunków bankowych powoda. P. T. podniósł również, że pozwany bank nie zapewnił wymaganego przepisami bezpieczeństwa transakcji dokonywanych na prowadzonych przez niego rachunkach bankowych, nie wdrożył standardowo stosowanych przez inne banki zabezpieczeń przeprowadzanych transakcji i tak skonstruował system bankowości elektronicznej, że przechwycenie przez przestępców jednej wiadomości sms zawierającej kod potwierdzający operację ustanowienia odbiorcy zdefiniowanego, powoduje możliwość przekazania takiemu odbiorcy wszelkich środków ze wszystkich posiadanych przez daną osobę produktów bankowych, bez konieczności dodatkowej weryfikacji takich przelewów. Wskazał, że odpowiedzialność banku wynika z przepisów ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych, która to regulacja przewiduje szeroką odpowiedzialność banku za transakcje nieautoryzowane, przewidując między innymi obowiązek niezwłocznego zwrotu powodowi kwoty nieautoryzowanej transakcji płatniczej, a w przypadku korzystania z rachunku płatniczego – przywrócenia obciążonego rachunku płatniczego powoda do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.

(pozew – k. 3-9)

W odpowiedzi na pozew (...) S.A. wniósł o oddalenie powództwa w całości, zawieszenie postępowania cywilnego z uwagi na toczące się postępowanie karne, którego wynik ma wpływ na rozstrzygnięcie w przedmiotowej sprawie oraz o zasądzenie kosztów procesu, w tym kosztów zastępstwa procesowego według norm przepisanych. Wskazał, że nie ponosi winy za nienależyte wykonanie umowy rachunku bankowego, środki pieniężne zgromadzone na rachunkach klientów banku, w tym na rachunku bankowym powoda były bezpieczne, a w dacie dokonania spornego przelewu nie miało miejsca przełamanie systemów zabezpieczeń pozwanego banku. Podał, że na bieżąco informuje klientów na swoich stronach internetowych o pojawiających się zagrożeniach. Pozwany podniósł, że to powód nie dochował należytej staranności w ochronie swoich newralgicznych danych, w posiadanie których weszły osoby trzecie. Podważany przez powoda przelew miał poprawnie zdefiniowane wszystkie elementy, był wykonany z użyciem prawidłowych i poprawnych narzędzi autoryzacji, a tak zlecona operacja ze względów technicznych nie mogła podlegać jakiejkolwiek dodatkowej weryfikacji przez system banku. Z ostrożności procesowej pozwany podniósł zarzut przyczynienia się powoda w 100% do powstania szkody poprzez udostępnienie swoich danych, które obowiązek miał chronić, osobom nieuprawnionym, co z kolei umożliwiło wykonanie przedmiotowego przelewu.

(odpowiedź na pozew – k. 80-83)

W piśmie procesowym z dnia 29 kwietnia 2016 roku powód podniósł, że brak jest podstaw do zawieszenia postępowania i zakwestionował okoliczność, jakoby umyślnie lub wskutek rażącego niedbalstwa naruszył jakiekolwiek postanowienie zawartej z pozwanym umowy. Zakwestionował również wiążący charakter Regulaminu mającego stanowić integralną część tej umowy, o treści załączonej do odpowiedzi na pozew, z uwagi na nieprawidłowości w jego doręczeniu powodowi, a w konsekwencji wskazał, że powód nie miał umownego obowiązku „należytego zabezpieczenia narzędzi i urządzeń, z których korzysta w celu uzyskania dostępu do rachunku, w szczególności poprzez zainstalowanie na urządzeniu legalnego oprogramowania systemowego i antywirusowego”. Niezależnie od powyższego podał, że w treści tego Regulaminu nie jest wskazane, czy konsumenci mieli posiadać oprogramowanie antywirusowe płatne czy bezpłatne, a powód korzystał z oprogramowania bezpłatnego. Ponadto, wskazał na wynikającą z art. 8 ustawy o usługach płatniczych nieważność zawartej w Regulaminie regulacji wyłączającej odpowiedzialność Banku z tytułu szkód związanych z postępowaniem Posiadacza Rachunku w sposób sprzeczny z postanowieniami nakładającymi na niego obowiązek opisany powyżej, które wystąpiły z powodu okoliczności niezawinionych przez Bank. Powód podniósł, że bank nie może zwolnić się od obowiązku zapewnienia bezpieczeństwa rachunku niekorzystnymi dla klienta postanowieniami regulaminu, a zgodnie z art. 45 powołanej ustawy ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika, czyli na pozwanym. Powód korzysta zatem z domniemania odpowiedzialności banku za dokonanie nieautoryzowanej transakcji płatniczej, a w świetle ust. 2 powołanego przepisu, nawet dokonanie zarejestrowanego użycia instrumentu płatniczego nie obala tego domniemania. Powód podniósł również zarzut nieprawidłowego wypełnienia przez pozwany bank obowiązków informacyjnych.

(pismo procesowe – k. 176-182)

W piśmie przygotowawczym z dnia 29 sierpnia 2016 roku pozwany podtrzymał dotychczasowe stanowisko, przedstawione w odpowiedzi na pozew. Podał, że kwestionowany przez powoda regulamin został mu skutecznie doręczony i regulamin załączony przez pozwanego do odpowiedzi na pozew jest prawidłowym regulaminem obowiązującym w dacie zdarzenia. Pozwany wskazał, że powód uchybił swoim obowiązkom wymienionym w art. 42 ust. 2 ustawy, udostępniając instrument płatniczy osobom nieuprawnionym przez niedochowanie należytej ostrożności.

(pismo przygotowawcze – k. 198-200)

Sąd ustalił następujący stan faktyczny:

W dniu 1 czerwca 2010 roku P. T. zawarł z pozwanym – wówczas M. (obecnie (...) S.A.) – umowę o świadczenie usług bankowych, na podstawie której otwarty został rachunek oszczędnościowo-rozliczeniowy (...) oraz rachunek bankowy (...). W dniu 26 kwietnia 2013 roku strony zawarły umowę odnawialnego kredytu konsumpcyjnego, na podstawie której pozwany Bank udzielił powodowi kredytu odnawialnego na kwotę 50 000 zł w rachunku oszczędnościowo-rozliczeniowym, zwanym łącznie dalej (...) Z (...). Powód mógł dysponować środkami w ramach tego kredytu w formie gotówkowej, bezgotówkowej lub na podstawie polecenia przelewu na dowolny rachunek bankowy. Pozwany bank zapewnił dostęp do obydwu wskazanych powyżej rachunków za pośrednictwem systemu bankowości elektronicznej.

(bezsporne / dowód: umowa kredytu wraz z formularzem informacyjnym – k. 13-22)

W dniu 11 kwietnia 2013 roku, aktem notarialnym Rep. A nr (...), sporządzonym przez Notariusza w W. T. C., zmieniono między innymi § 1 i § 2 Statutu pozwanego, w wyniku czego, z dniem wpisu tych zmian do Krajowego Rejestru Sądowego zmianie uległa nazwa pozwanego z (...) BANK S.A. (w skład którego wchodziła marka detaliczna M.) na (...) S.A.

(bezsporne / dowód: odpis pełny z KRS pozwanego k. 23-52)

W dniu 29 stycznia 2014 roku około godziny 08.30 powód logował się na platformę transakcyjną pozwanego banku i po zalogowaniu (tj. wpisaniu identyfikatora i hasła), na ekranie komputera pojawił się komunikat, że w związku z łączeniem się banków (...) i mBanku, konieczne jest wpisanie do wyświetlonego okienka kodu otrzymanego drogą sms-ową celem zdefiniowania rachunku, w przeciwnym bowiem razie nie będzie możliwe dokonywanie niektórych czynności na stronie banku. Okienko z komunikatem stanowiło nakładkę na rzeczywistą stronę banku i łudząco ją przypominało (ze względu na zastosowane kolory, rozmiar czcionki). Nie było możliwości bezpiecznego pominięcia tego komunikatu, odłożenia wymuszonej przez niego czynności na czas późniejszy, ani zamknięcia go, gdyż po zamknięciu okna przeglądarki, po ponownym zalogowaniu pojawiał się ponownie. Uniemożliwiał on korzystanie z platformy transakcyjnej pozwanego. Aby z niej korzystać, konieczne było wybranie opcji „dalej” czy „wyślij sms”, co też powód uczynił. Wówczas na jego telefon komórkowy przyszedł sms, o treści zbieżnej z treścią powyższego komunikatu, zawierający kod sms, który należało wpisać w oknie komunikatu. Powód, pozostając w przekonaniu, że komunikat ten pochodzi od banku, zarówno ze względu na wygląd nakładki z komunikatem, fakt, że otrzymany przez niego sms wyglądał jak inne wysyłane przez bank smsy, jak również wobec powszechnej wówczas informacji o łączeniu się M. i mBanku, wpisał kod z sms-a w okienku komunikatu i mógł dalej korzystać z serwisu transakcyjnego banku.

(dowód: zeznania powoda P. T. – k. 78, czas nagrania 00:18:45-00:26:42, 00:31:19-00:31:58; k. 215, czas nagrania 00:02:15-00:02:20; zeznania świadka T. W. – k. 208, czas nagrania 00:12:38-00:24:00)

W wyniku powyższej sytuacji niezidentyfikowany sprawca dokonał bez wiedzy i zgody powoda następujących operacji na posiadanych przez niego w mBanku rachunkach bankowych – z konta (...) Z (...) przelał łączną kwotę 20 090,00 zł w koszt kredytu odnawialnego na rachunek (...), a z tego ostatniego dokonał przelewu kwoty 19 856,10 zł na zewnętrzny rachunek bankowy prowadzony przez (...) o numerze (...), wskazując jako odbiorcę nieznaną powodowi osobę fizyczną o nazwisku J. O., a w tytule przelewu (...).

(bezsporne / dowód: wydruki historii operacji na rachunku – k. 53-55)

Przeprowadzona przez pozwany bank analiza wykazała, że dnia 29 stycznia 2014 roku o godzinie 8.30 została złożona dyspozycja zmodyfikowania odbiorcy zdefiniowanego, w wyniku czego zdefiniowany został odbiorca w osobie J. O. o numerze rachunku (...). W trakcie wpisywania kodu otrzymanego w sms-ie powód nie widział, jakie dane definiuje, sms nie zawierał nazwy odbiorcy definiowanego. Stanowiło to najprawdopodobniej wynik działania wirusa, który zainfekował komputer powoda, powodując przełamanie jego zabezpieczeń, niezależnie od używanej przeglądarki internetowej. Wirus ten stworzył opisaną powyżej nakładkę na rzeczywistej stronie banku, wymuszając na powodzie czynność w postaci przejścia dalej i generował skrypt, który wywołał wydanie pozwanemu dyspozycji zmodyfikowania odbiorcy zdefiniowanego i wysłanie sms-a z rzeczywistej bramki bankowej pozwanego. Do wykonania następnie przelewu wewnętrznego w ramach rachunków posiadanych przez powoda w pozwanym banku oraz przelewu zewnętrznego, sprawca musiał posiadać dane w zakresie identyfikatora i hasła, które mógł pozyskać w wyniku wcześniejszego zainfekowania komputera powoda w trakcie standardowego korzystania z jego infrastruktury przez tego ostatniego.

(dowód: zeznania świadka T. W. – k. 208, czas nagrania 00:14:55-00:15:53, 00:25:22-00:27:10, 00:37:23-00:45:14)

Powód nigdy nie składał polecenia wykonania wymienionych wyżej operacji bankowych, nie wyrażał na nie zgody i nie wiedział o nich, nie miał świadomości, że ustanowił odbiorcę zdefiniowanego w osobie J. O., nie zna osoby o takim nazwisku. Nie podawał nikomu swojego identyfikatora i hasła logowania do banku. W okresie przed zdarzeniem nie miały miejsca żadne włamania do jego mieszkania. P. T. korzysta z legalnego, oryginalnego oprogramowania systemu i legalnego bezpłatnego programu antywirusowego A., który mając dostęp do Internetu, aktualizuje się automatycznie. Powód ma zawsze włączoną zaporę systemu W., tak było również w dniu zdarzenia. Posiadał on wówczas telefon starego typu – N. (...), który nie wykorzystuje żadnego systemu operacyjnego typu Android.

(dowód: zeznania powoda P. T. – k. 78, czas nagrania 00:15:56-00:17:03, 00:26:58-00:30:11; k. 215, czas nagrania 00:02:15-00:02:20)

W dniu zdarzenia powód zawiadomił o nim pozwany bank za pośrednictwem bankowego systemu telefonicznego mLinia. Reklamacja powoda dotycząca nieautoryzowanych przelewów została zarejestrowana tego samego dnia, pod numerem (...), o czym powód został powiadomiony wiadomością e-mail. Zgodnie z zaleceniami ze strony pozwanego P. T. przeskanował komputer różnymi programami antywirusowymi, ale nic one nie wykryły. Tego samego dnia powód złożył również na Komendzie Powiatowej Policji w Ż. zawiadomienie o popełnieniu przestępstwa. W wyniku tego zawiadomienia postanowieniem z dnia 3 lutego 2014 roku wszczęto dochodzenie w sprawie o przestępstwo z art. 278 § 1 kk, prowadzone pod sygn. akt KR-529/14 przez KPP w Ż., a nadzorowane przez Prokuraturę Rejonową w Żyrardowie.

(bezsporne / dowód: wydruki wiadomości e-mail – k. 56, k. 58; protokół przyjęcia zawiadomienia o przestępstwie – k. 97365-97366 akt prokuratora PK II WZ Ds. 7.2016, tom CDXCI ; kserokopia postanowienia o wszczęciu dochodzenia – k. 57; zeznania powoda P. T. – k. 78, czas nagrania 00:15:56-00:16:26, 00:34:34-00:34:40, k. 215, czas nagrania 00:02:15-00:02:20)

Klient pozwanego Banku, logując się z komputera do systemu bankowości elektronicznej, musi dokonać autoryzacji za pomocą loginu (identyfikatora) przypisanego do użytkownika, nadawanego przez bank, i statycznego hasła, znanego tylko klientowi. Logując się do systemu, użytkownik wpisuje całe hasło, nie jest ono maskowane. Przelew środków na rachunek innego użytkownika wymaga autoryzacji dokonywanej transakcji, na przykład poprzez kod wysyłany sms-em, który to sposób stosował powód. Przelewy pomiędzy rachunkami własnymi tego samego posiadacza nie wymagają autoryzacji kodem z sms-a. Nie wymagają jej również przelewy dokonywane na rzecz odbiorcy zdefiniowanego, sms-em potwierdza się jedynie samo zdefiniowanie takiego odbiorcy lub jego modyfikację. Do zdefiniowania odbiorcy konieczne jest podanie jego nazwy i numeru rachunku. Poza identyfikatorem i hasłem dostępu do rachunku za pomocą systemu bankowości elektronicznej, pozwany bank nie stosuje dodatkowej weryfikacji w celu zalogowania się do platformy transakcyjnej. Nie stosuje również oprogramowania, które wymusza zmianę hasła dostępu do konta co jakiś czas. W okresie zdarzenia będącego przedmiotem niniejszego postępowania bank nie stosował tokenów do autoryzacji. W dacie zdarzenia nie było w systemie mBanku możliwości wychwytywania złośliwego oprogramowania na komputerach klientów, nie były stosowane alerty.

(dowód: zeznania świadka T. W. – k. 208, czas nagrania 00:06:40-00:08:35, 00:35:23-00:41:15)

Przed zdarzeniami z dnia 29 stycznia 2014 roku mBank informował swoich klientów o zagrożeniach związanych z bezpieczeństwem, umieszczając w zakładce (...) przede wszystkim informacje dotyczące nieudostępniania innym osobom loginów i haseł. Nie było tam informacji na temat sytuacji, jaka spotkała powoda w tym dniu. Tego typu zagrożenia opisywane były w zakładce (...) lub „Pomoc/ (...). Pozwany bank nie przekazywał również powodowi takich ostrzeżeń drogą pocztową czy mailową. Ostrzeżenia nie pojawiały się wówczas na stronie banku w taki sposób, jak to ma miejsce obecnie – w sposób wyeksponowany, na stronie głównej, na czerwonym tle.

(dowód: zeznania powoda P. T. – k. 78, czas nagrania 00:21:50-00:22:35, 00:30:15-00:33:59, k. 215, czas nagrania 00:02:15-00:02:20; zeznania świadka T. W. – k. 208, czas nagrania 00:16:00-00:16:48; wydruk komunikatu dotyczącego bezpieczeństwa – k. 183)

W okresie zdarzenia będącego przedmiotem niniejszego postępowania pozwany bank stawiał swoim klientom minimalne wymagania w zakresie parametrów komputera w aspekcie możliwości korzystania z serwisu transakcyjnego. W § 41 ust. 1 Regulaminu otwierania i prowadzenia bankowych rachunków dla osób fizycznych w ramach bankowości detalicznej (...) S.A. (mBank – dawny M.), obowiązującego od dnia 25 stycznia 2014 roku i stanowiącego integralną część umowy łączącej strony, zawarta była wzmianka o konieczności posiadania i aktualizowania legalnego programu antywirusowego, bez sugerowanej konkretnej aplikacji i bez wymogu, że ma to być oprogramowanie płatne.

(dowód: zeznania świadka T. W. – k. 208, czas nagrania 00:33:14-00:34:07; wydruk Regulaminu – k. 86-102)

Powyższy stan faktyczny Sąd ustalił na podstawie zeznań powoda i świadka w osobie T. W., dokumentów znajdujących się w aktach niniejszej sprawy oraz załączonych aktach sprawy karnej. Sąd oddalił wnioski powoda i pozwanego o dopuszczenie dowodu z opinii biegłego do spraw informatyki, zgłoszone w punkcie 7 pozwu i punkcie 3 odpowiedzi na pozew. W świetle przepisów ustawy o usługach płatniczych rozstrzygnięcie sprawy nie wymagało bowiem wiadomości specjalnych z zakresu informatyki.

Sąd zważył, co następuje:

Zgodnie z art. 725 kc przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych. Zobowiązanie banku względem posiadacza rachunku kształtuje również art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe, który stanowi, iż bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności (wyrok SN z dnia 14.04.2003r., I CKN 308/61). W tym zakresie na banku zawsze spoczywa obowiązek dołożenia wszelkich starań, bowiem profesjonalny charakter jego działalności wymaga stosowania podwyższonego miernika staranności przy wykonywaniu zobowiązań (wyrok SN z dnia 22.11.2002 r., sygn. akt IV CKN 1526/00 i z dnia 8.03.2001 r., sygn. akt I CKN 991/00).

Należy podkreślić, że ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Ma to ten skutek, że równoległą podstawą odpowiedzialności banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 roku. Przewiduje ona generalną zasadę, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika (art. 40 ust. 1). Zgodnie z art. 46 ust. 1 powołanej ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. W razie dokonania wypłaty osobie nieuprawnionej, poszkodowanym tą czynnością jest bowiem bank, a nie osoba, która zdeponowała środki na rachunku. Zachowuje ona nadal roszczenie o ich zwrot w całości lub w części. Bank może się zwolnić z zobowiązania wynikającego z umowy rachunku bankowego w takim zakresie, w jakim wierzyciel ze świadczenia korzystał (art. 452 kc) albo w razie wykazania przesłanek odpowiedzialności kontraktowej posiadacza rachunku (wyrok SA w Białymstoku z dnia 3.07.2003r., I Aca 350/03).

Zgodnie z art. 45 Ustawy o usługach płatniczych, ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika, spoczywa na dostawcy tego użytkownika, przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 powołanej ustawy. Powyższa regulacja wprowadza zatem domniemanie odpowiedzialności banku za każdą nieautoryzowaną transakcję i pozwany, chcąc je obalić, musi udowodnić jedną z okoliczności enumeratywnie wymienionych w art. 46 ust. 2 Ustawy o usługach płatniczych.

W niniejszej sprawie okolicznością bezsporną jest, że powód ani nie dokonał, ani nie wyraził zgody na dokonanie transakcji z dnia 29 stycznia 2014 roku w postaci przelewu z rachunku „M. Ja z Kredytem” kwoty 20 090,00 zł w koszt kredytu odnawialnego na rachunek (...), oraz przelewu z tego ostatniego rachunku kwoty 19 856,10 zł na zewnętrzny rachunek bankowy prowadzony przez (...) o numerze (...), na rzecz nieznanej powodowi osoby fizycznej o nazwisku J. O.. Kwestią sporną pozostaje to, czy pozwany bank wypełnił ciążące na nim obowiązki względem powoda jako posiadacza rachunku.

Zobowiązanie banku jako profesjonalnego podmiotu jest determinowane poprzez konkretne ustawowe obowiązki wskazane m.in. w art. 43 ust. 1 Ustawy o usługach płatniczych, przy czym w niniejszej sprawie relewantny pozostaje przede wszystkim obowiązek wskazany w punkcie 1 tego przepisu, tj. zapewnienie, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu. W ocenie Sądu w niniejszym przypadku mBank nie dołożył szczególnej staranności w tym zakresie i nie wywiązał się z tej powinności, skoro przekazał środki zdeponowane przez powoda osobie do tego nieuprawnionej. Sam fakt przekazania tych środków oznacza właśnie brak takiej staranności (wyroki SO w Łodzi z dnia 30.12.2015r., I C 307/15 i z dnia 27.01.2016r., I C 1908/14).

Należy w tym miejscu dodać, że zbędne było przeprowadzenie wnioskowanego przez strony dowodu z opinii biegłego do spraw informatyki. Dla stwierdzenia, czy zabezpieczenia transakcji elektronicznych stosowane przez pozwanego przed dniem 29 stycznia 2014 roku były właściwe, nie były konieczne wiadomości specjalne. Gdyby bowiem zabezpieczenia te były właściwe, nie doszłoby do dokonania z rachunków powoda transakcji przez nieuprawnione do tego osoby. Należy dodać, co wiadomo Sądowi z urzędu, że takich przypadków jak powoda, było w pozwanym banku znacznie więcej, co świadczy o tym, że zabezpieczenia stosowane przez pozwanego nie były wystarczające.

Należy wskazać, że zgodnie z art. 46 ust. 3 ustawy o usługach płatniczych, płatnik (w niniejszym przypadku powód) odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Do obowiązków tych należy między innymi relewantne w niniejszej sprawie podejmowanie niezbędnych środków służących zapobieżeniu naruszeniu indywidualnych zabezpieczeń instrumentu płatniczego, z czym z kolei wiąże się obowiązek przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępnianie go osobom nieuprawnionym.

Zdaniem Sądu powodowi nie można przypisać umożliwienia dokonania nieautoryzowanych transakcji wskutek rażącego niedbalstwa, a tym bardziej działania umyślnego. Jego komputer miał w dacie zdarzenia zainstalowaną zaporę systemu W. i posiadał zainstalowane, zaktualizowane oprogramowanie antywirusowe, bezpłatne, ale regulamin nie wymagał posiadania oprogramowania płatnego ani nie zalecał żadnej konkretnej aplikacji. W ocenie Sądu wpisanie przez P. T. do wyświetlonego po zalogowaniu na stronę pozwanego banku okienka kodu z wiadomości sms (którą powód otrzymał na prywatną komórkę, na którą smsy z banku zawsze przechodziły) nie nosi cech rażącego niedbalstwa. Należy zaznaczyć, że nie było możliwości bezpiecznego pominięcia tego komunikatu, zamknięcia go czy odłożenia na czas późniejszy, uniemożliwiał on korzystanie z serwisu transakcyjnego pozwanego. Wyglądał on jak rzeczywista strona banku, a ponadto nawiązywał do przekształcenia pozwanego, która to okoliczność była wówczas powszechnie znana. Z kolei wiadomość sms otrzymana przez powoda pochodziła rzeczywiście od banku i wyglądała jak typowe smsy, które nadawał on przy dokonywaniu transakcji. Powód miał zatem prawo pozostawać w przekonaniu, że komunikat wyświetlający na platformie transakcyjnej pozwanego, nawiązujący do jego przekształcenia, pochodzi właśnie od niego. Należy podkreślić, że powód nie przekazał nikomu swojego loginu ani hasła do konta bankowego, zostały one przechwycone przez sprawcę wskutek działania na komputerze powoda szkodliwego oprogramowania. Nie naruszył więc obowiązku wskazanego w art. 42 ust. 2 ustawy o usługach płatniczych, zachował wszelkie niezbędne środków służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń instrumentu płatniczego.

W niniejszej sprawie brak również podstaw do zastosowania regulacji zawartej w art. 46 ust. 2 ustawy, stanowiącej, że jeżeli nieautoryzowana transakcja jest skutkiem nieuprawnionego użycia instrumentu płatniczego w wyniku naruszenia przez płatnika obowiązku, o którym mowa w art. 42 ust. 2 (nie noszącego cech umyślności ani rażącego niedbalstwa), płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 150 euro. W niniejszej sprawie powód jako klient banku w ogóle, w żaden sposób nie naruszył tych obowiązków, o czym świadczą powołane powyżej okoliczności. Bezzasadne jest tym samym twierdzenie pozwanego, że powód przyczynił się do powstania szkody.

Należy również dodać, iż powód spełnił wynikający z art. 42 ust. 1 pkt 2 i art. 44 ust. 1 ustawy o usługach płatniczych obowiązek niezwłocznego zawiadomienia banku o zaistnieniu nieautoryzowanej transakcji płatniczej.

Na marginesie wskazać trzeba, iż bank nie może zwolnić się od obowiązku zapewnienia bezpieczeństwa niekorzystnymi dla klienta postanowieniami regulaminu. Powoda nie wiążą te postanowienia Regulaminu otwierania i prowadzenia bankowych rachunków dla osób fizycznych w ramach bankowości detalicznej (...) S.A. (mBank – dawny M.), które są dla niego mniej korzystne niż przepisy ustawy o usługach płatniczych – w szczególności postanowienie o wyłączeniu odpowiedzialności banku w razie zaistnienia okoliczności wskazanych w przytoczonym powyżej przepisie. Zgodnie bowiem z treścią art. 8 ust. 1 i 2 Ustawy o usługach płatniczych „postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego nie mogą być mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy, chyba że ustawa stanowi inaczej. Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy są nieważne, zamiast nich stosuje się odpowiednie przepisy ustawy". Wprowadzenie przez pozwany bank mniej korzystnych dla klienta regulacji niż ustawowe stanowi naruszenie art. 8 ust. 1 Ustawy o usługach płatniczych, prowadząc do nieważności przede wszystkim regulaminowego postanowienia opisanego powyżej.

W związku z powyższym, zgodnie z art. 46 ust. 1 Ustawy o usługach płatniczych, pozwany jest zobowiązany niezwłocznie przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miały miejsca nieautoryzowane transakcje płatnicze z rachunków P. T.. Roszczenie to pozostaje aktualne w przypadku, gdy płatnik korzysta z rachunku płatniczego, co miało miejsce w niniejszej sprawie. Zgodnie bowiem z art. 2 pkt 25 powołanej ustawy rachunkiem takim jest między innymi rachunek bankowy, jeżeli służy on do wykonywania transakcji płatniczych i tak właśnie było w przypadku powoda.

Sąd orzekł o kosztach procesu na podstawie art. 98 § 1 kpc, zgodnie z którym strona przegrywająca sprawę obowiązana jest zwrócić przeciwnikowi na jego żądanie koszty niezbędne do celowego dochodzenia praw i celowej obrony (koszty procesu). Do niezbędnych kosztów procesu strony reprezentowanej przez radcę prawnego zalicza się wynagrodzenie, jednak nie wyższe niż stawki opłat określone w odrębnych przepisach i wydatki jednego adwokata, koszty sądowe oraz koszty nakazanego przez sąd osobistego stawiennictwa strony (art. 98 § 3 kpc). Stosownie do przepisu art. 99 kpc, stronom reprezentowanym przez radcę prawnego lub rzecznika patentowego oraz Skarbowi Państwa reprezentowanemu przez Prokuratorię Generalną Skarbu Państwa zwraca się koszty w wysokości należnej według przepisów o wynagrodzeniu adwokata. Sąd zasądził od pozwanego (...) Spółki Akcyjnej w W. na rzecz powoda P. T. kwotę 5 822 zł , na którą złożyły się: opłata od pozwu w wysokości 1.005 zł, opłata skarbowa od udzielonego pełnomocnictwa w wysokości 17 zł oraz koszt wynagrodzenia pełnomocnika w wysokości 4.800 zł – na podstawie § 2 pkt 5 rozporządzenia Ministra Sprawiedliwości z 22.10.2015 roku w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu. W związku z powyższym Sąd orzekł jak w punkcie 2 wyroku.

Sygn. akt III Ca 716/17

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 30 czerwca 2017 roku

Sąd Okręgowy w Łodzi III Wydział Cywilny Odwoławczy w składzie następującym:

Przewodniczący: Sędzia SO Elżbieta Gawryszczak

Sędziowie: SO Sławomir Zieliński

SR Joanna Łakomska – Grzelak

Protokolant: Anna Kuśmierska

po rozpoznaniu w dniu 30 czerwca 2017 roku w Łodzi na rozprawie

sprawy z powództwa P. T.

przeciwko (...) Spółce Akcyjnej w W.

o zapłatę

na skutek apelacji pozwanego

od wyroku Sądu Rejonowego dla Łodzi-Śródmieścia w Łodzi

z dnia 2 stycznia 2017r., sygn. akt III C 86/16

1.  oddala apelację;

2.  zasądza od (...) Spółki Akcyjnej w W. na rzecz P. T. kwotę 1.800 (jeden tysiąc osiemset) złotych tytułem zwrotu kosztów zastępstwa procesowego w postępowaniu apelacyjnym.