Portal Orzeczeń Sądów Powszechnych

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 28 września 2023 roku

Sąd Rejonowy w Częstochowie I Wydział Cywilny w składzie następującym:

Przewodniczący: SSR Marcin Szymański

po rozpoznaniu w dniu 28 września 2023 roku w Częstochowie

na posiedzeniu niejawnym

sprawy z powództwa (...) Banku (...) Spółki akcyjnej w K.

przeciwko M. P.

o zapłatę

oddala powództwo.

Sygn. akt I C 332/23

UZASADNIENIE

Podstawę dochodzonego przez powódkę roszczenia stanowiła umowa o limit zadłużenia w koncie z 7 marca 2014 roku. Bezspornie strony zawarły taką umowę. Równie bezsprzeczne pozostawało, że saldo od 22 lipca 2020 roku na prowadzonym rachunku było ujemne. Przedmiotem kontrowersji pozostawało kto ponosi za to odpowiedzialność, a ściślej rzecz ujmując za wykonane z rachunku przelewy wychodzące (wykorzystanie limitu zadłużenia) – powódka czy pozwany.

Zgodnie z dyspozycją art. 725 k.c. przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych. Umowa rachunku bankowego jest oparta na konstrukcji depozytu nieprawidłowego (art. 845 k.c.), co oznacza że bank nabywa własność wniesionych środków pieniężnych, a posiadacz rachunku bankowego nabywa roszczenie o zwrot sumy pieniężnej wynikającej z postanowień umowy łączącej klienta z bankiem. Tym samym wszelkie operacje dokonywane na rachunku bankowym wbrew woli posiadacza rachunku nie obciążają tego posiadacza, a jedynie bank. Każdy więc nieautoryzowany przelew czy nieautoryzowana wypłata gotówki w bankomacie powoduje ekonomiczną stratę banku, nie wpływając na uprawnienia posiadacza rachunku do żądania zwrotu wniesionej sumy pieniężnej. Nie można więc przyjąć, że już od chwili dokonania nieautoryzowanej wypłaty lub przelewu posiadacz rachunku bankowego ponosi szkodę. Jego szkoda powstaje dopiero w momencie, gdy bank uznając czysto techniczny stan rachunku za obowiązujący w stosunku do posiadacza rachunku bankowego odmawia wykonania dyspozycji, powołując się brak zgromadzonych środków na koncie. Za równoznaczną z odmową spełnienia dyspozycji należy również uznać odmowę skorygowania stanu środków pieniężnych zgromadzonych na koncie w sytuacji, gdy posiadacz rachunku bankowego żądając dokonania korekty z jakichkolwiek względów nie zamierza dokonywać żadnych operacji na rachunku bankowym (wyrok SA w Krakowie z 5.02.2014 roku, sygn. akt I ACa 917/12, Legalis nr 1093113).

Konieczne zatem pozostawało ustalenie czy sporne transakcje, które doprowadziły do opróżnienia ze środków pieniężnych rachunku pozwanego dokonane zostały wbrew manifestowanej woli posiadacza rachunku albo, inaczej tę kwestię ujmując, czy były przezeń autoryzowane. Oceny wspomnianego zagadnienia należało dokonać na gruncie ustawy z 19 sierpnia 2011 roku o usługach płatniczych (tekst jednolity: Dz. U. z 2022 roku, poz. 2360, ze zm., dalej: u.u.p.). Przepisy ustawy stosuje się do usług płatniczych na terytorium Rzeczypospolitej Polskiej lub w obrocie z innymi państwami członkowskimi (art. 5 ust. 1 u.u.p.). Przez usługi płatnicze rozumie się działalność polegającą na m. in. wykonywaniu transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika (czyli bank – art. 4 ust. 2 pkt 1 u.u.p.) lub u innego dostawcy przez wykonywanie usług polecenia przelewu, w tym stałych zleceń (art. 3 ust. 1 pkt 2 lit. „c” u.u.p.). Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych (art. 40 ust. 1 u.u.p.). Zasadniczo zgoda powinna zostać udzielona przed wykonaniem transakcji (por. art. 40 ust. 2 u.u.p.). Ustalenie, czy autoryzacji dokonał podmiot do tego uprawniony wiąże się z ustaleniem, czy doszło do prawidłowego uwierzytelnienia podmiotu, który zlecił i autoryzował transakcję. Uwierzytelnianie to weryfikacja tożsamości użytkownika lub ważności konkretnego instrumentu płatniczego poprzez stosowanie indywidualnych danych uwierzytelniających. Nie wydaje się możliwe rozłączenie tych dwóch procesów weryfikacji i autoryzacji – wobec powyższego transakcja autoryzowana – to taka, na którą wyraził zgodę podmiot, który został zweryfikowany zgodnie z ustaloną procedurą uwierzytelniania [B. B. (w): Ustawa o usługach płatniczych. Komentarz, wyd. II, J. B., A. Z. (red.), W. 2021, art. 40).

Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej (art. 45 ust. 1 u.u.p.). Co więcej, wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy (art. 45 ust. 2 u.u.p.).

Z zastrzeżeniem art. 44 ust. 2 u.u.p. (przewidującego maksymalny, trzynastomiesięczny okres notyfikacji nieautoryzowanych transakcji płatniczych przez użytkownika pod rygorem wygaśnięcia uprawnienia), w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą (art. 46 ust. 1 u.u.p.).

Jednak to płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 (art. 46 ust. 3 u.u.p.). Mowa tu o konieczności korzystania z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszaniu niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (art. 42 ust. 1 u.u.p.). W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (art. 42 ust. 2 u.u.p.). Umowa ramowa, o której mowa w art. 42 ust. 1 pkt 1, powinna zawierać obiektywne, niedyskryminujące i proporcjonalne postanowienia dotyczące wydawania i użytkowania instrumentu płatniczego (art. 42 ust. 3 u.u.p.). Przez „instrument płatniczy” rozumie się zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego (art. 2 pkt 10 u.u.p.).

Istotę regulacji, której przeglądu wyżej dokonano, w kontekście sporu stron można sprowadzić do następujących tez:

– bank nie odpowiada za wykonanie transakcji autoryzowanej, czyli takiej, na którą zgodę w sposób określony umową wyraził prawidłowo uwierzytelniony posiadacz rachunku (kryterium formalne, obiektywne), ponosi natomiast odpowiedzialność za transakcję nieautoryzowaną,

– to nie pozwany obowiązany jest wykazać, że nie aprobował wykonania polecenia przelewu, tylko dostawca musi udowodnić, że przelew był autoryzowany przez osobę do tego uprawnioną,

– sam fakt posłużenia się instrumentem płatniczym (zlecenia przelewu elektronicznego) z woli ustawodawcy nie może być dowodem autoryzacji transakcji lub rażącego niedbalstwa po stronie posiadacza rachunku (relikt legalnej oceny dowodów),

– wyjątkowo bank nie odpowiada za nieautoryzowaną transakcję, jeśli płatnik przynajmniej w sposób rażąco niedbały naruszył obowiązki korzystania z bankowości internetowej określone umową, w tym dotyczące ochrony danych uwierzytelniających.

Podsumowując powyższe możliwie jak najbardziej skrótowo, za transakcję nieautoryzowaną odpowiada bank, a płatnik tylko wtedy, gdy doprowadził do niej umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 u.u.p., co musi wykazać bank (powódka).

Powodowy bank – w świetle linii obrony przyjętej przez pozwanego – obowiązany był zatem wykazać przynajmniej rażąco niedbałe posługiwanie się przez M. P. instrumentem płatniczym wbrew przyjętym przez niego obowiązkom wysłowionym w art. 42 u.u.p., a zatem z naruszeniem umowy ramowej (art. 42 ust. 1 pkt 1 u.u.p.) lub z niewykonaniem obowiązku notyfikacji utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (art. 42 ust. 1 pkt 2 u.u.p.). Przy tym o zaistnieniu tej drugiej przesłanki mowy być nie mogło – pozwany jeszcze w dniu zdarzenia informował powódkę o nieautoryzowanym przelewie, co wynikało z zeznań pozwanego złożonych w niniejszym postępowaniu, jak i podczas zawiadomienia o popełnieniu na jego szkodę przestępstwa (k. 146). Potwierdzała to również data udzielenia przez powódkę odpowiedzi na reklamację (28.07.2020r. – k. 204).

W tym stanie rzeczy oczekiwać należało, że powódka przedłoży umowę ramową zawartą z pozwanym, o której mowa w art. 42 u.u.p., i wskaże te jej postanowienia, które naruszyć miał swym działaniem pozwany. Kwestii związanych z posługiwaniem się instrumentami płatniczymi nie regulowała załączona do pozwu umowa o limit zadłużenia w koncie (k. 32-38). Bank nie załączył umowy ramowej o korzystanie z systemu bankowości internetowej, a ściślej rzecz ujmując przedłożył ją dopiero wraz z pismem z 5 września 2023 roku (k. 186 i n.) – po uprzedzeniu stron stosownie do art. 224 § 3 k.p.c. o możliwości zamknięcia rozprawy na posiedzeniu niejawnym i zobowiązaniu ich do zajęcia końcowego głosu w pismach procesowych. Sąd postanowieniem z 28 września 2023 roku na podstawie art. 205 ¹² § 2 k.p.c. pominął dowód z umowy ramowej jako spóźniony. Przewodniczący bowiem zarządzeniem z 9 maja 2023 roku (k. 123) nakazał doręczyć pełnomocnikowi powódki odpis pisma pozwanego z 7 kwietnia 2023 roku (w którym przedstawił on swą linię obrony) i zobowiązał ją do ustosunkowania się wobec jej treści oraz do podania wszystkich istotnych dla rozstrzygnięcia sprawy twierdzeń i dowodów – w terminie 2 tygodni pod rygorem utraty prawa do ich powoływania na dalszym etapie postępowania. Tak zakreślony termin upływał 29 maja 2023 roku (k. 125), a na wniosek powódki został przedłużony do 12 czerwca 2023 roku (k. 135). Powódka tymczasem przekroczyła wydłużony już termin o niemal 3 miesiące. Opóźnienia tego w żaden sposób nie próbowała usprawiedliwiać. Najwidoczniej sama dopatrywała się w swym działaniu winy. Co więcej, to sama powódka w piśmie z 5 września 2023 roku powołała się na przepis art. 205 ¹² § 2 k.p.c., z którego wynikało, że strona może przytaczać twierdzenia i dowody na uzasadnienie swoich wniosków lub dla odparcia wniosków i twierdzeń strony przeciwnej aż do zamknięcia rozprawy, z zastrzeżeniem niekorzystnych skutków, które według przepisów kodeksu mogą dla niej wyniknąć z działania na zwłokę lub niezastosowania się do zarządzeń przewodniczącego i postanowień sądu. Takie zaś zarządzenie w niniejszej sprawie wydano.

O tym zresztą, że transakcja nie była autoryzowana, a przynajmniej takie jest stanowisko pozwanego, powódka wiedziała już 22 lipca 2020 roku. Powinna się ona zatem liczyć z obowiązkiem przedstawienia umowy ramowej w toku postępowania sądowego, znając stanowisko swojego klienta oraz wynikający z przepisu art. 45 u.u.p. rozkład ciężaru dowodu. Nie ma żadnego usprawiedliwienia dla twierdzenia, że taką umowę, w dyspozycji której powódka była od początku, można było przedstawić dopiero po przeszło 3 latach od zdarzenia.

Inna rzecz, że powódka na żadnym etapie postępowania – nawet w piśmie z 5 września 2023 roku – nigdy nie wskazała jakie dokładnie postanowienia umowy ramowej pozwany naruszył swym zachowaniem, mimo że Przewodniczący wyraźnie ją do tego obligował (postanowienie z 26.7.2023r., k. 136). Spółka poprzestała jedynie na ogólnikowym stwierdzeniu, że pozwany nie pozostawił w poufności danych do logowania systemu i nie poinformował niezwłocznie banku o nieuprawnionym dostępie do systemu (k. 127, 164, 180), przy czym to drugie stało w oczywistej sprzeczności ze zgromadzonym materiałem dowodowym. Bank nigdy nie odniósł się do tej kwestii szczegółowo – nawet po złożeniu zeznań przez pozwanego, w którym przedstawił on mechanizm nieautoryzowanego posłużenia się instrumentem płatniczym.

Nie było wątpliwości, że sporna transakcja była nieautoryzowana, za co odpowiadał bank na podstawie art. 46 ust. 1 u.u.p. Powódka – w świetle zeznań pozwanego, materiału zgromadzonego w aktach postępowania karnego oraz przy braku skutecznie złożonej umowy ramowej – nie wykazała przesłanek odpowiedzialności płatnika (pozwanego) w rozumieniu art. 46 ust. 3 u.u.p., a to na niej spoczywał w tym względzie ciężar dowodu (art. 45 u.u.p.). Pozwanemu wolno było przy tym poprzestać na oświadczeniu, że transakcji nie uważa za autoryzowanej przez siebie. Tym niemniej to M. P. wykazał się szerszą inicjatywą dowodową, by wykazać swoje twierdzenia, choć wyżej powołane przepisy go do tego nie obligowały.

Na marginesie wobec tego tylko Sąd zaznacza, że odpowiedź na pytanie czym jest rażące niedbalstwo w ramach bezpiecznego korzystania z instrumentów płatniczych dawało niejednokrotnie orzecznictwo. Sądy powszechne nie dopatrywały się znamion rażącego niedbalstwa w następujących sytuacjach:

- ofiara dostała dwa kody autoryzujące z czego jeden dotyczący potwierdzenia przelewu kwoty identycznej jak w fałszywym SMSie (tam: 1,36 zł) oraz drugi z pozoru niewinny z autoryzacją nowego odbiorcy zaufanego; sprawca ustanowiony „odbiorcą zaufanym” mógł następnie bez dalszych autoryzacji dokonywać na swą rzecz dowolnych przelewów (wyrok SO w Warszawie z 11.8.2021r., sygn. akt XXVII Ca 1352/21),

- na telefonie klienta banku wskutek udanego ataku phishingowego samoczynnie zainstalowało się złośliwe oprogramowanie przechwytujące kody autoryzujące wysyłane przez bank; ofiara nie miała zatem możliwości ani autoryzować transakcji ani odmówić autoryzacji, bo nie dochodziły do niej żadne SMSy z kodami (wyrok SR Szczecin-Centrum w S. z 21.2.2022r., sygn. akt I C 307/21),

- sprawcy podszywając się pod infolinię banku (na telefonie ofiary wyświetlało się rzekomo prawdziwe call-center) wmówili płatnikowi, że ktoś próbował się włamać na jego konto oraz ma zawirusowaną komórkę i polecili zainstalować aplikację, by informatyk banku mógł zdalnie usunąć złośliwe oprogramowanie; oczywiście było odwrotnie – klientka wykonując polecenia doprowadziła mimowolnie do instalacji wirusa (wyrok SR dla Łodzi-Widzewa w Łodzi z 25.5.2022r., sygn. akt II C 1313/21),

- ofiara po wejściu na podstawioną przez sprawców stronę, ale po wpisaniu prawidłowego adresu na pasku przeglądarki (potwierdzonego stosownym certyfikatem – symbolem zielonej kłódki) i zapoznaniu się z komunikatem odnośnie dodatkowego zabezpieczenia telefonu pobrała w istocie zainfekowane oprogramowanie; w tym wypadku transfer pieniędzy nie wymagał pozyskania od płatnika loginu czy hasła, a jedynie numeru telefonu komórkowego (wyrok SO w Częstochowie z 28.10.2015r., sygn. akt I C 307/15).

W tym kontekście warto było wskazać, że pozwany kliknął w podany w wiadomości SMS link, który poprowadził do wiernej kopii strony internetowej prowadzonej przez powódkę. M. P. nie podał ani razu pełnego hasła. Działanie sprawcy było bardziej wyrafinowane – nie zmusił pozwanego do tego. Pod pozorem pomyłki w logowaniu pozwany kilka razy wpisywał hasło – zawsze inne znaki – przy czym sprawcy udało się je z fałszywej strony przechwycić i wykorzystać w prawdziwym systemie bankowości elektronicznej. Działanie pozwanego nie było rażąco niedbałe, abstrahując już od tego, że bez znajomości umowy ramowej nie wiadomo na jakim etapie i w jaki sposób miał on naruszyć jej postanowienia. O uchybieniu obowiązkom wysłowionym w umowie nie może świadczyć tylko to, że sprawca wszedł w posiadanie danych do logowania.

Powództwo podlegało zatem z tych wszystkich względów oddaleniu na podstawie art. 46 ust. 1 u.u.p. – także co do prowizji dotyczącej obsługi limitu zadłużenia (68 zł, k. 61), gdyż za to zadłużenie nie odpowiadał pozwany. Zasądzeniu mogłaby co najwyżej podlegać kwota 48,07 zł (opłaty miesięczne za kartę; k. 61), jednak roszczenie pozostawało w tym zakresie niewymagalne. Dokonane przez powódkę wypowiedzenie umowy (k. 56-57) pozostawało bezskuteczne, bowiem nie doszło do niedozwolonego przekroczenia salda. Umowę zawarto na czas określony 12 miesięcy, jednak co do zasady ulegała ona automatycznemu przedłużeniu na kolejne okresy (ust. 2 umowy), a w ślad za tym także odraczany był obowiązek zapłaty prowizji (ust. 4 umowy).

Uzasadnienie wyroku, zgodnie z dyspozycją art. 505 ⁸ § 4 k.p.c., ograniczone zostało do wyjaśnienia podstawy prawnej wyroku z przytoczeniem przepisów prawa.

SSR Marcin Szymański