Portal Orzeczeń Sądów Powszechnych

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 30 grudnia 2024 roku

Sąd Okręgowy w Kielcach, II Wydział Cywilny Odwoławczy

w składzie:

Przewodniczący: Sędzia Sądu Okręgowego Hubert Wicik

po rozpoznaniu w dniu 30 grudnia 2024 roku w Kielcach na posiedzeniu niejawnym

sprawy z powództwa P. K.

przeciwko (...) Bankowi (...) S.A. z siedzibą w K.

o zapłatę

na skutek apelacji pozwanego od wyroku Sądu Rejonowego w Kielcach z dnia 12 września 2024 roku, wydanego w sprawie VIII C 391/22

I.  oddala apelację;

II.  zasądza od (...) Banku (...) S.A. z siedzibą w K. na rzecz P. K. kwotę 1.800 (jeden tysiąc osiemset) złotych tytułem kosztów postępowania apelacyjnego z odsetkami ustawowymi za opóźnienie za czas od dnia uprawomocnienia się orzeczenia zasądzającego te koszty do dnia zapłaty.

SSO Hubert Wicik

ZARZĄDZENIE

odpisy wyroku doręczyć pełnomocnikowi powoda adw. M. K. i pełnomocnikowi pozwanego adw. R. P..

SSO Hubert Wicik

Sygn. akt II Ca 1850/24

UZASADNIENIE

Wyrokiem z dnia 12 września 2024 roku, wydanym w sprawie VIII C 391/22, Sąd Rejonowy w Kielcach zasądził od pozwanego (...) Banku (...) S.A. z siedzibą w K. na rzecz powoda P. K. kwotę 33.799,67 zł wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia 4 kwietnia 2020 roku do dnia zapłaty (pkt I); oddalił powództwo w pozostałym zakresie (pkt II) oraz zasądził od pozwanego (...) Banku (...) S.A. z siedzibą w K. na rzecz powoda P. K. kwotę 5.312 zł tytułem zwrotu kosztów procesu wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia uprawomocnienia się wyroku do dnia zapłaty (pkt III).

Sąd Rejonowy ustalił, że powoda P. K. i pozwanego (...) Bank (...) S.A. w K. wiązała umowa rachunku osobistego oszczędnościowo-rozliczeniowego o nr (...). Powód korzystał w pozwanym Banku również z usług bankowości elektronicznej, do których zastosowanie ma Regulamin świadczenia usług (...) bankowości internetowej (...) Banku (...) S.A. (dalej Regulamin). Identyfikator i hasło powoda do systemu bankowości elektronicznej znała również żona powoda – I. K.. Klientom pozwanego, którzy deklarują chęć korzystania z usług bankowości elektronicznej, nie są stawiane żadne konkretne wymagania sprzętowe ani dotyczące oprogramowania. W § 37 ust. 1 Regulaminu wskazano, że użytkownik może korzystać z systemu po spełnieniu minimalnych wymagań technicznych, tj. posiadanie urządzenia elektronicznego (komputer, telefon, inne urządzenie mobilne) z dostępem do Internetu wraz z zainstalowanym na tym urządzeniu systemem operacyjnym i przeglądarką internetową. Wskazano przy tym, że w przypadku zamiaru korzystania z funkcji obsługiwanych przez odrębne aplikacje, np. aplikacji mobilnej, konieczne jest zainstalowanie danej aplikacji na urządzeniu mobilnym. Minimalne wymogi techniczne wskazane zostały w załączniku nr 3 do Regulaminu, w którym określono, że do korzystania z systemu bankowości internetowej konieczny jest system operacyjny A.lub W. oraz przeglądarka internetowa (I. E., M. F., C., S. M. E.), zaś do aplikacji mobilnej na telefon konieczny był system operacyjny I. lub A.. Klient pozwanego Banku żeby wykonać transakcje płatniczą za pośrednictwem systemu bankowości elektronicznej musi dokonać autoryzacji takiej transakcji. Autoryzacja zlecenia płatniczego przez użytkownika oznacza jego zgodę na wykonanie transakcji płatniczej. Autoryzacja dyspozycji, w tym zleceń płatniczych składanych przez użytkownika za pomocą systemu bankowości internetowej pozwanego, w tym aplikacji mobilnej obejmuje: 1) wybranie przycisku akceptacji - gdy Bank uzna, że dana dyspozycja, ze względu na zasady bezpieczeństwa może zostać w ten sposób autoryzowana, albo 2) wybranie przycisku akceptacji w aplikacji mobilnej (autoryzacja mobilna) - gdy Bank uzna, że dana dyspozycja powinna zostać autoryzowana w aplikacji mobilnej. Ten sposób autoryzacji wymaga jednocześnie fizycznego posiadania przez użytkownika zaufanego urządzenia mobilnego, na którym jest zainstalowana i aktywowana aplikacja mobilna lub 3) podanie poprawnego kodu lub kodów autoryzacyjnych, w tym identyfikatora biometrycznego i wybranie przycisku akceptacji - gdy Bank uzna, że dana dyspozycja płatnicza, ze względu na przepisy prawa lub zasady bezpieczeństwa, wymaga autoryzacji przez podanie kodu lub kodów autoryzacyjnych (§11 ust. 1 Regulaminu). Kod autoryzacyjny to natomiast ciąg cyfr lub liter lub innych znaków, który służy do uwierzytelnienia użytkownika m.in. podczas jednorazowej autoryzacji dyspozycji składanych przez użytkownika, w tym dyspozycji płatniczych. W Regulaminie wskazano, że kod ten może być wymagany także do złożenia dyspozycji. Kod ten jest generowany przez Bank chyba, że dany rodzaj kodu ustala użytkownik (§ 1 ust. 2 pkt 17). W Regulaminie określono, że telefon do autoryzacji to numer telefonu komórkowego użytkownika przeznaczony do otrzymywania kodów autoryzacyjnych lub wykonywania usług objętych umową lub Regulaminem (1 ust. 2 pkt 45). Transakcja płatnicza/transakcja to zainicjowana przez płatnika lub odbiorcę wpłata, transfer lub wypłata środków pieniężnych, powodująca zmianę stanu środków na rachunku (§1 ust. 2 pkt 47 Regulaminu). Natomiast zlecenie płatnicze to oświadczenie woli płatnika lub odbiorcy skierowane do Banku, zawierające polecenie wykonania transakcji płatniczej (§1 ust. 2 pkt 57 Regulaminu). Numer (...) należy do powoda P. K.. Powód posiadał smartfon, na którym miał zainstalowaną aplikację mobilną pozwanego Banku. Na urządzeniu mobilnym powoda zainstalowane było aktualne oprogramowanie, w tym oprogramowanie antywirusowe. W dniu 31 marca 2020 roku około godziny 12:40 powód logował się do swojego systemu bankowości elektronicznej celem dokonania przelewu kwoty 205 zł na rachunek (...). Wykonanie ww. transakcji zostało przez powoda autoryzowane za pomocą telefonu. W dniu 31 marca 2020 roku po godzinie 15:20 powód P. K. otrzymał powiadomienie z aplikacji mobilnej pozwanego banku zainstalowanej na swoim telefonie, iż z należącego do niego rachunku bankowego nr (...) dokonano przelewu w kwocie 17.200 zł na nieznany mu rachunek bankowy. Kolejno powód dostawał z aplikacji mobilnej powiadomienia o dokonaniu następnych przelewów z jego rachunku bankowego. Powód wraz z żoną zalogowali się do systemu bankowości elektronicznej celem zweryfikowania ww. powiadomień. Po zalogowaniu okazało się, że saldo na koncie powoda uległo zmniejszeniu. Wówczas powód niezwłocznie skontaktował się z infolinią pozwanego Banku i zgłosił fakt wykonania na jego rachunku bankowym nieautoryzowanych transakcji płatniczych. Pracownik pozwanego po zgłoszeniu dokonanym przez powoda zablokował dokonywanie kolejnych zleceń płatniczych z rachunku bankowego należącego do P. K.. W dniu 31 marca 2020 roku z rachunku bankowego powoda o nr (...) na rachunek bankowy nr (...) należący do K. C. dokonano następujących przelewów: na kwotę 17.200 zł – tytuł I. (...) – nr transakcji (...) – godzina 15:22, na kwotę 17.550,32 zł – tytuł I. (...) – nr transakcji (...) – godzina 15:39, na kwotę 17.550,00 zł – tytuł I. (...) – nr transakcji (...) – godzina 15:41, na kwotę 18.520,11 zł – tytuł I. (...) – nr transakcji (...) – godzina 15:42, na kwotę 17.650,11 zł – tytuł I. (...) – nr transakcji (...) – godzina 15:43, na kwotę 11.203,22 zł – tytuł I. (...) – nr transakcji (...) – godzina 15:45. Łącznie na kwotę: 99.673,76 zł. Przed wykonaniem ww. przelewów dokonano przewalutowania kwoty 24.000 EURO, która znajdowała się na koncie walutowym powoda o nr (...) i kwotę tę przelano na rachunek bankowy powoda o nr (...). Powód nie zlecał wykonania ww. transakcji na rachunek bankowy nr (...), nie zlecał również przewalutowania kwoty 24.000 Euro znajdującej się na jego koncie walutowym i jej przelewu na rachunek bankowy o nr (...). W odniesieniu do transakcji dokonywanych na nr rachunku bankowego (...) P. K. na swój smartfon nie otrzymał żadnych kodów autoryzacyjnych celem potwierdzenia zlecenia ww. transakcji płatniczych. Powód nigdy nie udostępniał swojego identyfikatora i hasła do systemu bankowości internetowej osobom trzecim (poza swoją żoną). Powód nie zgubił też telefonu, nie wyrabiał sobie dodatkowej karty SIM na numer (...). Powód ani jego żona nie znają P. C.. Podczas rozmowy telefonicznej z pracownikiem pozwanego na infolinii powód złożył reklamację dotyczącą nieautoryzowanych przelewów. Pozwany nie uwzględnił reklamacji wskazując, iż przy dokonywaniu transakcji nie zostały przełamane żadne zabezpieczenia Banku a kwestionowane przez powoda transakcje zostały potwierdzone kodem autoryzacyjnym przesłanym na numer telefonu wskazany w systemie jako numer do autoryzacji. Bank nie zmienił swojego stanowiska również po interwencji dokonanej przez Rzecznika (...) na prośbę powoda. W dniu 31 marca 2020 roku powód zgłosił na Policję zawiadomienie o popełnieniu przestępstwa kradzieży pieniędzy z jego rachunku bankowego. Zawiadomienie o popełnieniu przestępstwa złożył również (...) Bank S.A. z siedzibą w W. (jako podmiot prowadzący rachunek bankowy nr (...)). W toku postępowania przygotowawczego postanowieniem Prokurator Prokuratury Rejonowej K.-Zachód z dnia 3 kwietnia 2020 roku dokonano blokady środków finansowych zgromadzonych na rachunku bankowym nr (...) w zakresie kwoty 65.783,76 zł poprzez uniemożliwienie wypłat, przelewów, zleceń stałych, poleceń zapłaty i obciążania zablokowanych środków. Kolejno postanowieniem z dnia 9 września 2020 roku Prokurator Prokuratury Rejonowej K.-Zachód w K. uznał za dowód rzeczowy pieniądze w kwocie 65.783,76 zł, a przyjmując, że są zbędne do prowadzonego postępowania zwrócił je P. K. (pkt 2). Zwrot kwoty 65.783,76 został dokonany w dniu 2 grudnia 2020 roku. Sąd Rejonowy ustalił wreszcie, że Sąd Rejonowy w Kielcach wyrokiem z dnia 13 maja 2021 roku w sprawie IX K 2/21 uznał oskarżonego K. C. za winnego tego, że w dniu 31 marca 2020 roku w miejscu dotychczas nieustalonym ze skutkiem w K. wpływał bez upoważnienia na automatyczne przetwarzanie danych informatycznych polegających na przełamaniu elektronicznych zabezpieczeń konta bankowego o nr (...) Bank (...) należącego do P. K., a następnie po uzyskaniu do niego dostępu włamał się na jego konto i za jego pośrednictwem 6-krotnie dokonał zaboru w celu przywłaszczenia pieniędzy w kwocie 99.583,76 zł poprzez wykonanie nieautoryzowanych transakcji, przy czym czynu tego dopuścił się w ciągu 5 lat po odbyciu co najmniej 6 miesięcy kary pozbawienia wolności za umyślnie przestępstwo podobne, będąc uprzednio skazanym wyrokiem Sądu Rejonowego w Olsztynie wydanym w dniu 10.03.2015 roku w sprawie VII K 1162/14 za przestępstwo z art. 286 § 1 kk na karę w wymiarze co najmniej 6 miesięcy pozbawienia wolności, objętym następnie wyrokiem łącznym z dnia 8 lutego 2016 roku w sprawie VII K 1011/15, którą odbył w okresie od 01.12.2015 roku do 26.06.2016 z zaliczeniem okresu od 18.09.2013 roku do 19.09.2013 roku, co stanowi przestępstwo z art. 287 § 1 kk i art. 279 § 1 kk w zw. z art. 1l § 2 kk w zw. z art. 64 § 1 kk (pkt I). Nadto na podstawie art. 46 § 2 kk zasądził od oskarżonego K. C. na rzecz P. K. kwotę 2.000 złotych tytułem nawiązki (pkt II).

Sąd Rejonowy pominął na podstawie art. 235 ² § 1 pkt 4 i 5 k.p.c. wniosek dowodowy zgłoszony przez pozwanego o przeprowadzenie dowodu z opinii biegłego z zakresu informatyki, bowiem okoliczności powoływane przez pełnomocnika pozwanego, które miałyby być przedmiotem ww. dowodu, były niemożliwe do ustalenia a nadto wniosek ten zmierzał jedynie do przedłużenia postępowania.

W tych okolicznościach faktycznych Sąd Rejonowy uznał, że powództwo w przeważającej części zasługiwało na uwzględnienie. Sąd dokonał analizy przepisów ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych, w tym pojęcia autoryzacji transakcji płatniczej, ciężaru dowodowego określonego w art. 45 tej ustawy, spoczywającego na dostawcy usług płatniczych. Argumentował, że transakcja jest autoryzowana jeżeli na jej dokonanie wyraził zgodę sam płatnik. Nie wystarcza, że dokonano jej przy użyciu instrumentu płatniczego należącego do płatnika i dokonano jej uwierzytelnienia. Podkreślał konieczność odróżnienia uwierzytelnienia od autoryzacji, wskazując, że proces uwierzytelnienia poprzedza autoryzację, ale nie zawsze poprawne przejście procedury uwierzytelnienia oznacza autoryzację, co potwierdza art. 45 ust. 2 tej ustawy. Odwołał się do jej art. 46 ust. 1, przewidującego w przypadku wystąpienia nieautoryzowanej transakcji płatniczej obowiązek spoczywający na dostawcy płatnika niezwłocznego, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, zwrotu płatnikowi kwoty nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. Sąd Rejonowy wskazał dalej, że odpowiedzialność płatnika za nieautoryzowane transakcje występuje jedynie wówczas, gdy transakcje te zostały zrealizowane na skutek zachowania płatnika, który doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków o których mowa w art. 42 analizowanej ustawy. Za niewątpliwe Sąd Rejonowy przyjął to, że powód nie zlecał wykonania sześciu wyżej opisanych przelewów, zatem nie doszło do ich autoryzacji. Jednocześnie w ocenie Sądu Rejonowego, pozwany nie wykazał ziszczenia się przesłanek uwalniających go od odpowiedzialności. Nie wykazano by powód nie korzystał z oprogramowania antywirusowego, kliknął w link umożliwiający uzyskanie informacji do swojego rachunku bankowego, czy też wykonał lub nie wykonał innej czynności, która doprowadziła czy ułatwiła K. C. dokonanie wyżej opisanych przelewów. W zakresie braku niektórych urządzeń elektronicznych w ocenie Sądu nie można tym obciążać powoda, ponieważ niezwłocznie po ujawnieniu przelania środków z jego rachunku zawiadomił pozwanego, domagał się zwrotu wskazanych kwot, a także zgłosił przestępstwo do organów ścigania - co z całą pewnością przyczyniło się do zablokowania ponad połowy środków przelanych przez powoda z jego rachunku bankowego. Dodatkowo powód zgłosił pozwanemu reklamację i był gotów do współpracy z pozwanym jak również z organami ścigania, ale pozwany nie zgłaszał potrzeby analizy czy weryfikacji urządzeń, z których korzystał pozwany. Argumentował, że nawet gdyby powód te urządzenia posiadał, to i tak nie można by w niniejszym postępowaniu wydać opinii zgodnie z wnioskiem pozwanego, ponieważ jak wskazał biegły byłoby to możliwe jedynie przy założeniu, że urządzenia powoda czy jego żony w dniu 31 marca 2020 roku zostały zabezpieczone i od tego czasu nie były używane. Dodatkowo w ocenie Sądu Rejonowego nie wykazano, by fakt udostępnienia przez powoda loginu i hasła w jakikolwiek sposób doprowadził do dokonania przez K. C. nieautoryzowanych przez powoda przelewów bądź by je ułatwił. Sam fakt tego, że żona powoda znała login i hasło do rachunku powoda, nie ma związku przyczynowo-skutkowego z wyżej opisanym zdarzeniem. Nie wskazuje na umyślność powoda czy jego rażące niedbalstwo w zaistniałej sytuacji.

Z tych przyczyn Sąd Rejonowy za uzasadnione w całości uznał powództwo co do kwoty głównej żądania. Za niezasadne uznał roszczenie zasądzenia odsetek za opóźnienie od kwoty 65.783,76 zł od dnia 4 kwietnia 2020 roku do dnia 2 grudnia 2020 roku, ponieważ środki te zostały w toku postępowania przygotowawczego postanowieniem Prokurator Prokuratury Rejonowej K.-Zachód z dnia 3 kwietnia 2020 roku zablokowane poprzez uniemożliwienie wypłat, przelewów, zleceń stałych, poleceń zapłaty i obciążania zablokowanych środków. Zatem powód nie mógł w czasie obowiązywania powyższego postanowienia korzystać z tych środków, jak również nie mógł nimi dysponować pozwany oraz na pozwanym nie ciążył obowiązek udostępnienia powodowi kwoty w równowartości środków zablokowanych na skutek powyższego postanowienia.

O kosztach procesu Sąd I instancji orzekł na podstawie art. 100 zdanie drugie k.p.c. uwzględniając, że powód uległ jedynie nieznacznie w zakresie roszczenia odsetkowego.

Apelację od tego wyroku wywiódł pozwany, zaskarżając go w części, a to co do pkt I i III. Zaskarżonemu wyrokowi zarzucił:

1.  naruszenie przepisów prawa materialnego, a to:

a.  art. 46 ust. 3 ustawy o usługach płatniczych (dalej: „ustawa” lub „ustawa o usługach płatniczych”) w zw. z §31 ust. 3 oraz §33 ust. 1, 2 i 5 Regulaminu świadczenia usług (...) bankowości internetowej (...) Banku (...) S.A. obowiązującego od 17 listopada 2019 roku (dalej (...)) poprzez jego niezastosowanie i uznanie odpowiedzialności pozwanego z tytułu nieautoryzowanych transakcji pomimo, iż to powód doprowadził do nich wskutek rażącego naruszenia zasad bezpieczeństwa korzystania instrumentu płatniczego przewidzianych w ustawie i Regulaminie, w tym w szczególności poprzez:



brak przechowywania danych służących do uwierzytelnienia i autoryzacji w bezpiecznym miejscu (podanie danych do logowania i kodów autoryzacyjnych osobom trzecim lub wprowadzenie kodów bez ich czytania);



brak utrzymania w poufności wszystkich danych służących do uwierzytelnienia lub autoryzacji użytkownika przez (...) pozwanej oraz ujawnienie tych danych osobom trzecim (ujawnienie danych do logowania żonie, bezrefleksyjne wykonywanie poszczególnych operacji na telefonie, ujawnienie kodów autoryzacyjnych do transakcji na podstawionej, fałszywej stronie internetowej);



brak zapoznania się przez powoda z komunikatami ostrzegawczymi oraz rekomendacjami pozwanej dotyczącymi bezpiecznego korzystania z bankowości elektronicznej publikowanymi przez pozwaną na stronie internetowej banku w najbardziej poczytnych miejscach m.in. na stronie logowania do bankowości elektronicznej;

b.  art. 46 ust. 4a w zw. z art. 2 pkt 26aa) ustawy o usługach płatniczych w zw. z §11 Regulaminu poprzez jego niezastosowanie w przypadku, gdy z przepisu tego a contrario wynika, że to płatnik (powód) ponosi odpowiedzialność za nieautoryzowaną transakcję płatniczą wówczas, gdy bank wymaga silnego uwierzytelnienia, co miało miejsce w niniejszej sprawie;

c.  art. 46 ust. 3 ustawy o usługach płatniczych poprzez brak uwzględnienia przez Sąd faktu zignorowania przez powoda ostrzeżeń i komunikatów publikowanych przez pozwanego na stronie Internetowej dotyczących bezpiecznego korzystania z bankowości elektronicznej oraz metod działania cyberprzestępców przy ocenie stopnia niedbalstwa powoda, a w konsekwencji uznanie, iż stopień tego niedbalstwa nie był rażący;

d.  art. 50 ust. 2 prawa bankowego poprzez jego niewłaściwą wykładnię i pominięcie, iż żadna procedura zabezpieczeń nie może skutecznie zadziałać, o ile po stronie osoby w ten sposób chronionej nie ma realizowanej w praktyce woli skorzystania z tych zabezpieczeń, a w konsekwencji uznanie, że to bank a nie powód nie dochował szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych;

2.  naruszenie przepisów postępowania, a to:

a.  art. 235 ² § 1 pkt 2 k.p.c. w zw. art. 227 k.p.c. w zw. art. 278 § 1 k.p.c. poprzez pominięcie wniosku pozwanej o dopuszczenie dowodu z opinii innego biegłego z zakresu informatyki śledczej oraz telekomunikacyjnej, podczas gdy okoliczność czy powód miał zainstalowane aktualne, legalne oprogramowanie oraz program antywirusowy na swoim telefonie i komputerach, z których korzystał powód i jego żona miało istotne znaczenie dla prawidłowego rozstrzygnięcia sprawy, albowiem zgodnie z Regulaminem brak takiego oprogramowania stanowi rażące niedbalstwo użytkownika i przesądza o jego odpowiedzialności za nieautoryzowane transakcje;

b.  art. 233 § 2 k.p.c. poprzez brak nadania właściwego znaczenia odmowie powoda dotyczącej udostępnienia telefonu do badania przez biegłego, podczas gdy odmowa udostępnienia przez powoda telefonu do badania powinna była zostać oceniona na niekorzyść powoda i potraktowana jako niewykazanie przez powoda zarówno należytego zabezpieczenia urządzenia przed złośliwym oprogramowaniem, jak i niewykazania przebiegu zdarzenia w dniu 31 marca 2020 roku, w tym treści otrzymanych przez powoda SMS-ów, co wskazuje na rażące niedbalstwo po stronie powoda.

W oparciu o tak sformułowane zarzuty, pozwany wniósł o:

1.  zmianę zaskarżonego wyroku poprzez oddalenie powództwa oraz zasądzenie od powoda na rzecz pozwanego kosztów postępowania przed sądem I instancji, w tym kosztów zastępstwa procesowego według norm przepisanych;

2.  zasądzenie od powoda na rzecz pozwanego kosztów postępowania apelacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych.

W odpowiedzi na apelację, powód wniósł o jej oddalenie w całości oraz o zasądzenie od pozwanego na rzecz powoda kosztów postępowania apelacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych wraz z odsetkami.

Sąd Okręgowy zważył, co następuje:

Apelacja nie zasługiwała na uwzględnienie.

Ustalenia faktyczne Sądu Rejonowego są prawidłowe, Sąd Okręgowy podziela je i przyjmuje za własne.

Nietrafne okazały się zarzuty skarżącego związane z regulacją art. 233 § 2 k.p.c. i wskazywaną odmową przedstawienia przez powoda do badań telefonu komórkowego. Nie zostały zakwestionowane zeznania powoda i jego żony, że od początku byli zainteresowani wyjaśnieniem tej sprawy, byli gotowi współpracować zarówno z Bankiem, jak i z organami ścigania, udostępnić swoje urządzenia do badania, ale podmioty te nie były tym zainteresowane. Żona powoda wskazywała, że nie dostali żadnego wsparcia ze strony Banku, nikt jej nie wyjaśnił co ma zrobić, musiała umówić się z kierownikiem oddziału, który zalecił tylko wypłatę środków, nikt z nimi nie współpracował. Takie odczucie miał także Rzecznik (...), który podjął interwencję na wniosek powoda i negatywnie ocenił postawę pozwanego Banku, również w ramach postępowania reklamacyjnego. To w interesie Banku jako profesjonalisty, który powinien znać reguły dowodowe wynikające z art. 46 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych, Dz.U.2024.30 t.j., dalej też jako u.u.p., było poinstruowanie powoda jak powinien postępować po ujawnieniu nieautoryzowanych transakcji, w tym w zakresie zabezpieczenia urządzeń, jeśli było to konieczne. Fakt, że powód w 2023 roku nie dysponował już telefonem, z którego korzystał w dniu zdarzenia, zdaniem Sądu Okręgowego nie powinien być negatywnie dla niego oceniony z wykorzystaniem art. 233 § 2 k.p.c. Trudno oczekiwać zabezpieczenia i to w stanie niezmienionym tych urządzeń przez ponad 3 lata do chwili zlecenia opinii biegłego, gdy wcześniej ani organy ścigania ani pozwany Bank nie widziały takiej potrzeby. Powód nie odmówił przeprowadzenia dowodu w rozumieniu tego przepisu ani nie stawiał przeszkód w jego przeprowadzeniu. Dowód ten był po prostu obiektywnie niemożliwy do przeprowadzenia w okresie kiedy został dopuszczony (co potwierdza pismo biegłego z zakresu informatyki D. B. z dnia 05.01.2024 roku – k. 257).

Omawiając problematykę dowodową wskazać należy, że Sąd Okręgowy nie podzielił zarzutów pozwanego dotyczących zaniechania przeprowadzenia przez Sąd I instancji dowodu z opinii biegłego. Sąd Rejonowy dowód z tej opinii dopuścił, ale okazało się, że jego przeprowadzenie nie jest możliwe z powodu braku urządzeń, ale i braku zabezpieczenia ich stanu na dzień 31 marca 2020 roku. Biegły z zakresu informatyki D. B. wskazał, że odpowiedź na zadane pytania jest możliwa jedynie przy założeniu, że komputery w dniu 31.03.2020 roku zostały zabezpieczone do sprawy i od tego czasu nie były używane. Jeżeli komputery były po tej dacie użytkowane, to nie jest możliwa odpowiedź na te pytania (tak w piśmie biegłego k. 257). Pozwany Bank nie wykazał, aby było inaczej. Nie wskazał żadnego innego biegłego z imienia i nazwiska, który w podobnych sytuacjach podejmuje się sporządzenia opinii, twierdząc jedynie, że inni biegli takie opinie wydają. Zauważyć należy, że takie twierdzenia pozwany przedstawił dopiero w apelacji, bowiem jego reakcja na postanowienie Sądu Rejonowego z dnia 26 marca 2024 roku o pominięciu dowodów z opinii biegłego ograniczyła się do zgłoszenia zarzutu naruszenia przepisów art. 278 k.p.c. i art. 235 ² § 1 pkt 4 i 5 k.p.c. polegającego na pominięciu tego dowodu. Na żadnym etapie do wydania zaskarżonego wyroku pozwany nie powoływał się na wiedzę, że inni biegli w podobnych sytuacjach wydają opinię mimo braku zabezpieczenia urządzeń oraz ich stanu, nie wskazał też konkretnego biegłego. Zresztą i teza dowodowa wskazywana w apelacji nie była wystarczająca do wykazania, że to nie pozwany tylko powód powinien odpowiadać za nieautoryzowane transakcje. W apelacji pozwany dowód ten wiązał jedynie z tym czy powód miał zainstalowane aktualne, legalne oprogramowanie oraz program antywirusowy na swoim telefonie i komputerach, z których korzystał on i jego żona. Dokonanie ustaleń w tym zakresie, nawet gdyby były możliwe i doprowadziłoby do ustalenia braku tego oprogramowania i tak nie uzasadniałoby zmiany zaskarżonego wyroku, bowiem dalej pozostawałby niewykazany przez pozwany Bank związek przyczynowy pomiędzy ewentualnym brakiem aktualnego, legalnego oprogramowania i programu antywirusowego a dokonaniem nieautoryzowanych transakcji płatniczych. Sąd Rejonowy trafnie przywołał ogólnikowe wymogi jakie pozwany Bank stawiał klientom w tym zakresie, nie określając na ile aktualne ma być oprogramowanie czy program antywirusowy, nie wskazując konkretnego programu antywirusowego. Zapis § 33 pkt 5 in fine Regulaminu jest ogólnikowy. Wynika z niego jedynie tyle, że użytkownik zobowiązany jest zabezpieczyć używane urządzenie elektroniczne, w tym mobilne oraz używane oprogramowanie programem antywirusowym. § 37 Regulaminu określa minimalne wymogi techniczne korzystania z systemu, które nie dotyczą zabezpieczenia programem antywirusowym, tym bardziej o określonych cechach. Ograniczają się do urządzenia z dostępem do internetu wraz z zainstalowanym na tym urządzeniu systemem operacyjnym i przeglądarką internetową, a w przypadku urządzenia mobilnego konieczne jest zainstalowanie danej aplikacji na urządzeniu mobilnym. Minimalne wymogi precyzuje załącznik nr 3 do Regulaminu, w którym także nie ma mowy o programie antywirusowym, tylko o wymogach co do wersji systemu operacyjnego i przeglądarki internetowej. W apelacji nie zakwestionowano wprost zeznań powoda, w których wskazywał, że posiadał w dacie zdarzenia aktualny program antywirusowy na wszystkich urządzeniach. Uznano je jedynie za niewystarczające. Powód posiadanie zabezpieczenia antywirusowego uzasadniał tym, że prowadzi działalność gospodarczą i nie może sobie pozwolić na brak zabezpieczeń. Zeznania powoda w tym zakresie nie były ogólnikowe, skoro uściślił, że było to oprogramowanie antywirusowe firmy (...) z licencją do 30.09.2020 roku i posiada mail od dystrybutora z rejestracją licencji. Fakt posiadania tego zabezpieczenia potwierdziła żona powoda. W tej sytuacji zarzut apelacji, że powód nawet nie wskazał jakiej firmy posiadał program antywirusowy należy uznać za nieprzystający do okoliczności sprawy.

Argumentacja pozwanego Banku odwołująca się do naruszenia przez powoda przepisów i procedur była ogólnikowa. W myśl art. 42 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych, użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (ust. 1), przy czym w celu spełnienia obowiązku korzystania z instrumentu płatniczego zgodnie z umową ramową użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (ust. 2). Powód niezwłocznie, bo w ciągu kilkunastu minut po zorientowaniu się o dokonywanych bez jego udziału i zgody transakcjach, podjął czynności zmierzające do powiadomienia o tym pozwanego Banku, które z uwagi na okres pandemii oraz zasady działania infolinii trwały kilkadziesiąt minut, co zostało zobrazowane w zeznaniach powoda i jego żony. Dzięki tej niezwłocznej reakcji udało się zresztą zapobiec dalszym nieautoryzowanym przelewom oraz odzyskać znaczną część środków, które wypłynęły z rachunku bankowego powoda (a zostały mu następnie zwrócone w postępowaniu karnym). Z art. 44 ust. 1 analizowanej ustawy wynika, że użytkownik niezwłocznie powiadamia dostawcę o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych. Z ust. 2 wynika, że istotne jest to czy powiadomienie, o którym mowa w ust. 1 zostało dokonane w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana. Dopiero w razie niezachowania tego terminu, roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają. Skarżący Bank zarzucał rażące naruszenie przez powoda zasad bezpieczeństwa, jednakże nie wykazał ani naruszenia tych zasad, ani tym bardziej związku przyczynowego pomiędzy takim naruszeniem a szkodą doznaną przez powoda. Co do podania innym osobom danych do logowania, to dotyczyło to wyłącznie żony, przy czym Sąd Rejonowy trafnie przyjął niewykazanie przez pozwany Bank, że udostępnienie tych danych żonie powoda umożliwiło dokonanie przelewów przez osobę trzecią, ustaloną w postępowaniu karnym. Brak związku przyczynowego nie pozwala na uwolnienie pozwanego Banku od odpowiedzialności. Gołosłowne były zarzuty apelacji, że powód podał kody autoryzacyjne bez weryfikacji, że wprowadzał te kody bez ich czytania, że nie przechowywał danych służących do uwierzytelniania i autoryzacji w bezpiecznym miejscu, że nie utrzymywał w poufności wszystkich danych do uwierzytelnienia i autoryzacji, że bezrefleksyjnie wykonywał poszczególne operacje na telefonie, że ujawnił kody do transakcji na podstawionej, fałszywej stronie internetowej. To tylko zarzuty pozwanego, nie poparte żadnym materiałem dowodowym. Powód zeznał, że żadnych kodów autoryzacyjnych nie podawał, nie dostawał z Banku sms o planowanych przelewach i danych do autoryzacji tych konkretnych transakcji, tylko informacje o ich dokonaniu i wypływie środków z jego konta, które to operacje odbyły się poza jego wiedzą i zgodą. Pozwany Bank nie wykazał, że było inaczej. Ogólnikowa pozostawała argumentacja pozwanego, że powód na bieżąco nie zapoznawał się z komunikatami ostrzegawczymi pozwanego Banku i rekomendacjami dotyczącymi bezpieczeństwa transakcji internetowych. Pozwany nie wykazał, które konkretnie rekomendacje i komunikaty ostrzegawcze, o jakiej treści, zostały przez powoda pominięte, a tym bardziej, że dostosowanie się do ich treści wykluczałoby możliwość dokonania nieautoryzowanych transakcji, o których mowa w sprawie. Przepis art. 46 u.u.p. za istotne uznaje naruszenie obowiązków, o których mowa w jej art. 42 umyślnie lub wskutek rażącego niedbalstwa (gdy bank wymagał silnego uwierzytelnienia) lub tylko umyślnie (gdy bank nie wymagał takiego silnego uwierzytelnienia). Ocena, czy zachodzi wypadek rażącego niedbalstwa wymaga uwzględnienia obiektywnego stanu zagrożenia oraz kwalifikowanej postaci braku zwykłej staranności w przewidywaniu skutków, a więc uwzględnienia staranności wymaganej od działającej osoby oraz okoliczności, w których doszło do zaniechania pożądanych zachowań z jej strony. "Rażące niedbalstwo" to coś więcej niż brak zachowania zwykłej staranności w działaniu. Wykładnia tego pojęcia powinna zatem uwzględniać kwalifikowaną postać braku zwykłej lub podwyższonej staranności w przewidywaniu skutków działania. Chodzi tu o takie zachowanie, które graniczy z umyślnością (por. wyrok Sądu Najwyższego z dnia 29 stycznia 2009 roku, sygn. akt V CSK 291/08). Rażące niedbalstwo można zatem przypisać w wypadku nieprzewidywania szkody jako skutku zaniechania określonego działania, o ile doszło do przekroczenia podstawowych, elementarnych zasad staranności. Należy przy tym wyraźnie odróżnić "rażące niedbalstwo" od "zwykłego niedbalstwa", czyli takiego zachowania osoby, która przewiduje skutki swojego działania lub zaniechania, lecz spodziewa się, że ich uniknie oraz gdy skutków tych nie przewiduje, chociaż może i powinna była je przewidzieć. Przypisanie określonej osobie niedbalstwa uznaje się za uzasadnione wtedy, gdy osoba ta zachowała się w określonym miejscu i czasie w sposób odbiegający od właściwego dla niej miernika należytej staranności. Przez rażące niedbalstwo rozumie się natomiast niezachowanie minimalnych (elementarnych) zasad prawidłowego zachowania się w danej sytuacji. Stopień naruszenia obowiązków musi być przy tym rażący, co oznacza brak elementarnej staranności płatnika (K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz, Warszawa 2022; B. Bajor w: Ustawa o usługach płatniczych. Komentarz, wyd. II, red. J. Byrski, A. Zalcewicz, Warszawa 2021, art. 46). Na gruncie analizowanych przepisów w orzecznictwie za rażące niedbalstwo nie uznaje się nawet takich zachowań jak kliknięcie w link zawarty w wiadomości od nadawcy podszywającego się pod operatora, co zainicjowało proces pobierania złośliwego oprogramowania i umożliwiło dokonanie nieautoryzowanych transakcji (tak w wyroku Sądu Apelacyjnego w Łodzi z dnia 30 czerwca 2023 roku, w sprawie I ACa 785/22).

Odwołując się do umowy i Regulaminu świadczenia usług (...) bankowości internetowej (...) Banku (...) S.A. pamiętać należy o przepisie art. 8 ustawy o usługach płatniczych. Zgodnie z nim, postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego nie mogą być mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy, chyba że ustawa stanowi inaczej (ust. 1). Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy są nieważne; zamiast nich stosuje się odpowiednie przepisy ustawy (ust. 2). Uregulowania te mają istotne znaczenie dla oceny zarzutu pozwanego, że brak aktualnego legalnego oprogramowania i programu antywirusowego według Regulaminu stanowią rażące niedbalstwo. Bank nie mógł w drodze Regulaminu narzucić definicji rażącego niedbalstwa. Podobnie Bank nie mógł w drodze Regulaminu narzucić niekorzystnego dla powoda zapisu § 32 ust. 2, że użytkownik powinien przestrzegać rekomendacji i zaleceń, a w przypadku ich nieprzestrzegania działa na własne ryzyko i odpowiedzialność. Dotyczy to także skutku nieodebrania przez użytkownika wiadomości zawierającej informacje o kolejnych aktualizacjach rekomendacji, czy braku odpowiedzialności Banku za ewentualne konsekwencje niestosowania się do przedmiotowych zaleceń. Powyższe zapisy pozostają w sprzeczności z ciężarem dowodowym wynikającym z art. 45 ust. 1 u.u.p.

Co do pojęć uwierzytelnienia i autoryzacji, to Sąd Okręgowy w pełni zgadza się z argumentacją Sądu I instancji, nie podzielając zarzutów pozwanego w tym względzie. Z przepisu art. pkt 33b u.u.p. wynika, że uwierzytelnianie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających. Autoryzacji zaś jest poświęcony cały rozdział 2 tej ustawy. Zgodnie z jej art. 40 ust. 1 transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. Z ust. 2 wynika, że zgoda powinna być udzielona przez płatnika przed wykonaniem transakcji płatniczej albo kolejnych transakcji płatniczych, chyba że płatnik i jego dostawca uzgodnili, że zgoda może zostać udzielona także po ich wykonaniu. Zgody na wykonanie transakcji płatniczej można również udzielić za pośrednictwem odbiorcy, dostawcy odbiorcy albo dostawcy świadczącego usługę inicjowania transakcji płatniczej. Samo uwierzytelnienie transakcji za pomocą określonych danych jest zatem pojęciem odmiennym od pojęcia autoryzacji, które oznacza wyrażenie zgody na przeprowadzenie operacji.

W orzecznictwie trafnie wskazuje się, że ryzyko dokonania wypłaty środków z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością elektroniczną. Wynika to z regulacji zawartej w art. 45 ust. 1 i 2 ustawy o usługach płatniczych. Skoro dostawcy samodzielnie oraz zarobkowo organizują swoją działalność gospodarczą na rynku usług płatniczych, można od nich oczekiwać odpowiedniego poziomu profesjonalizmu i przypisać im ciężar udowodnienia, że transakcja, która podlega wykonaniu, została autoryzowana przez płatnika albo wystąpiły inne relewantne okoliczności dotyczące jego odpowiedzialności za transakcję nieautoryzowaną. Użytkowników - w relacjach z dostawcami - traktuje się jako stronę strukturalnie słabszą, która wymaga ochrony prawnej przez korzystne dla nich ukształtowanie reguł dowodowych w odniesieniu do autoryzacji transakcji płatniczych oraz kwestii pokrewnych związanych z odpowiedzialnością. Powyższa reguła pozostaje również w związku z zasadą wskazaną w art. 46 ustawy, która kształtuje generalną zasadę odpowiedzialności dostawcy za nieautoryzowane transakcje płatnicze, która jest oparta na zasadzie ryzyka. Dostawca - bank nie może zwolnić się od odpowiedzialności poprzez wykazanie, że realizował umowę z zachowaniem należytej staranności. Podkreślenia wymaga, że udowodnienie autoryzowania transakcji nie może ograniczać się do wywodu, że transakcje zostały potwierdzone przez wprowadzenie danych uwierzytelniających. Samo uwierzytelnienie transakcji za pomocą określonych danych jest pojęciem odmiennym od pojęcia autoryzacji. Obowiązek należytego zabezpieczenia środków powoda był obowiązkiem Banku (por. art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe, Dz.U.2024.1646 t.j.), który powinien opracować takie procedury weryfikacji transakcji, aby niemożliwe było dokonywanie transakcji przez osoby nieuprawnione. Bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W aktualnym orzecznictwie nie znajduje już aprobaty prezentowane przed laty stanowisko wyrażające się minimalizacją wymagań co do staranności banków przy wykonywaniu zobowiązań wobec swoich kontrahentów (wyrok Sądu Najwyższego z dnia 7 stycznia 1964 roku, III CR 365/63, OSNC 1964/11/231). W licznych orzeczeniach z późniejszego okresu dominuje już restryktywne, a zarazem w pełni uzasadnione jurydycznie, podejście, stawiające bankom wysokie wymagania pod względem oceny staranności zachowań niezbędnych przy wykonywaniu ich zobowiązań (por. uchwała Sądu Najwyższego z dnia 20 listopada 1992 roku, III CZP 138/92, OSNC 1993/6/96; wyroki Sądu Najwyższego z dnia 28 maja 1999 roku, III CKN 196/98, OSNC 2000/1/8; z dnia 16 stycznia 2001 roku, II CKN 344/00; z dnia 26 lipca 2001 roku, II CKN 1269/00, OSP 2002/9/121). W wyroku z dnia 14 kwietnia 2003 roku w sprawie I CKN 308/01 Sąd Najwyższy wyraził zapatrywanie, że zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności. Stosownie do art. 46 ust. 1 powołanej ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Art. 45 ust. 1 analizowanej ustawy stanowi, że ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika spoczywa na dostawcy tego użytkownika, przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

Rację ma Sąd Rejonowy kiedy zauważa, że pozwany Bank nie nałożył na powoda obowiązków korzystania z określonego programu antywirusowego, w szczególności płatnego. Pozwany nie wykazał, że telefon i laptop powoda i jego żony nie były zabezpieczone programem antywirusowym, a tym bardziej nie wykazał, że brak takiego programu umożliwił osobie trzeciej dokonanie nieautoryzowanych transakcji (zwłaszcza gdy Bank nie wymagał zabezpieczenia określonym programem antywirusowym, a na rynku takich programów jest bardzo dużo, o różnej funkcjonalności, poziomie zabezpieczenia). Kwestia odpowiedniego oprogramowania jest poruszana w judykaturze. Dorobek orzeczniczy w tym przedmiocie można podsumować w ten sposób, że to bank powinien zadbać o odpowiednie regulacje umowne, w tym w regulaminach, jeśli zamierza nałożyć na klienta obowiązek stosowania określonego oprogramowania. Ponadto dla uwolnienia się od odpowiedzialności nie jest wystarczające wykazanie braku takiego oprogramowania. Należy także wykazać związek przyczynowy pomiędzy jego brakiem a dokonaniem nieautoryzowanych transakcji płatniczych. Dal przykładu zagadnienie to analizowano w wyroku Sądu Apelacyjnego w Białymstoku z dnia 2 marca 2020 roku, I AGa 4/19. Wskazano w nim, że samo korzystanie z nieaktualizowanego oprogramowania operacyjnego, jak i darmowego oprogramowania antywirusowego - choć miało miejsce - to nie daje jeszcze wystarczających przesłanek do oceny, że miało rzeczywiście wpływ na przestępcze wyprowadzenie środków z konta powoda przez osobę trzecią, nieznaną powodowi. W sprawie tej Sąd Apelacyjny zwrócił uwagę m.in. na to, że z przedłożonego regulaminu nie wynikało, by Bank stawiał użytkownikowi szczegółowe wymogi co do używanego oprogramowania operacyjnego, czy antywirusowego (podobnie jak w naszej sprawie).

W kwestii ciężaru dowodowego, prawidłowo ocenionego przez Sąd Rejonowy, należy się odwołać do regulacji art. 45 ustawy o usługach płatniczych. Z jego ust. 1 wynika, że na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Z jego ust. 2 wynika z kolei, że wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy. Choć w literaturze można spotkać stanowiska, że polska regulacja (wymagająca wykazania autoryzacji) odbiega od zapisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 (jej art. 72 wymaga wykazania uwierzytelnienia), to w judykaturze nie ma wątpliwości co do tego, że brzmienie art. 45 analizowanej ustawy nakłada na dostawcę usług płatniczych ciężar udowodnienia, że transakcja płatnicza została autoryzowana a nie tylko uwierzytelniona (por. np. wyrok Sądu Najwyższego z dnia 18 stycznia 2018 roku, V CSK 141/17 oraz wyrok Sądu Najwyższego z dnia 15 września 2023 roku, II CSKP 1013/22). W tym ostatnim wyroku wskazano, że wykazanie uwierzytelnienia przez dostawcę usług nie jest równoznaczne z wykazaniem autoryzacji, co potwierdza art. 45 ust. 2 ustawy o usługach płatniczych. W sprawie tej Sąd Najwyższy analizował m.in. różnice pomiędzy tym przepisem a art. 72 ust. 1 dyrektywy, gdy zdaniem skarżącego brzmienie art. 45 ust. 1 tej ustawy, nakładającego na dostawcę użytkownika - w razie, gdy użytkownik kwestionuje autoryzację transakcji - ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika, nie oddaje prawidłowo treści art. 72 ust. 1 dyrektywy, który rozróżnia autoryzację oraz uwierzytelnienie i wskazuje na ciężar udowodnienia przez dostawcę uwierzytelnienia transakcji płatniczej. W uzasadnieniu tego wyroku Sąd Najwyższy m.in. wskazał, że wprawdzie część doktryny zwraca uwagę, że wykazanie przez dostawcę uwierzytelnienia przenosi ciężar dowodu co do braku autoryzacji na użytkownika (płatnika), jednakże in casu jest to o pozbawione znaczenia, ponieważ Sąd odwoławczy ustalił jednoznacznie, iż powód nie udzielił zgody na przedmiotowe przelewy, a więc ich nie autoryzował. Również w naszej sprawie nie budzi wątpliwości, że powód nie udzielił zgody na przedmiotowe transakcje, które odbyły się poza jego wiedzą i zgodą, co potwierdza zarówno niezwłoczna reakcja powoda w postaci nawiązania kontaktu z Bankiem przez infolinię w celu zablokowania możliwości dokonywania dalszych transakcji, jak i zawiadomienie jeszcze tego samego dnia organów ścigania o wyprowadzeniu środków z jego konta. Brak autoryzacji potwierdza też wynik sprawy karnej, charakter popełnionego przestępstwa oszustwa komputerowego, jego znamiona. W opisie czynu przypisanego K. C. wyrokiem Sądu Rejonowego w Kielcach z dnia 13 maja 2021 roku, wydanego w sprawie IX K 2/21 wskazano, że K. C. wpływał bez upoważnienia na automatyczne przetwarzanie danych informatycznych polegających na przełamaniu elektronicznych zabezpieczeń konta bankowego należącego do P. K., a następnie po uzyskaniu do niego dostępu włamał się na jego konto i za jego pośrednictwem 6-krotnie dokonał zaboru w celu przywłaszczenia pieniędzy w kwocie 99.583,76 zł poprzez wykonanie nieautoryzowanych transakcji. Powód wiedzę o przeprowadzeniu poszczególnych transakcji powziął następczo dopiero po ich dokonaniu, co prowadzi do oczywistego wniosku, że nie wyraził na nie zgody.

Podkreślenia wymaga, że powództwo zostało oparte na przesłankach z art. 46 ust. 1 ustawy o usługach płatniczych. W uzasadnieniu pozwu pełnomocnik powoda argumentował, że zwrot kwoty nieautoryzowanej transakcji stanowi obowiązek bezwzględny, a ustalenie ewentualnej odpowiedzialności płatnika za jego zaistnienie następuje dopiero po dokonaniu tego zwrotu. Stanowisko to podtrzymał w dalszych pismach procesowych, w tym zawłaszcza w piśmie z dnia 21 lutego 2024 roku (k. 262-272), w którym wskazywał na nieprawidłową praktykę banków, naruszającą ten przepis, co stało się powodem interwencji Prezesa UOKiK dotyczącej 15 banków. Zgodnie z art. 46 ust. 1 u.u.p., z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą. Z ust. 3 tego przepisu wynika, że płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Użycie słów „doprowadził” oraz „w wyniku” oznacza, że pomiędzy umyślnym lub będącym skutkiem rażącego niedbalstwa naruszeniem obowiązków z art. 42 ustawy a przeprowadzeniem nieautoryzowanej transakcji płatniczej musi istnieć adekwatny związek przyczynowy. Nie ma podstaw do formułowania w tym zakresie jakichkolwiek domniemań korzystnych dla dostawcy usług płatniczych. Odpowiedzialność dostawcy ma charakter odpowiedzialności gwarancyjnej, albowiem dostawca odpowiada w razie wystąpienia określonego zdarzenia (wykonania nieautoryzowanej transakcji płatniczej). Odpowiedzialność ta nie jest odpowiedzialnością odszkodowawczą, w związku z czym nie znajdują tu zastosowania przepisy ogólne dotyczące odpowiedzialności odszkodowawczej w prawie cywilnym. Można nawet bronić poglądu, że jeśli powództwo zostało oparte na regulacji art. 46 ust. 1 ustawy o usługach płatniczych, to zbędne jest prowadzenie postępowania dowodowego nakierowanego na ustalenie czy płatnik nie działał umyślnie lub nie wykazał się rażącym niedbalstwem. Przepis ten przewiduje bowiem jedynie jeden wyjątek, jedną okoliczność uwalniającą dostawcę usług płatniczych od niezwłocznego (nie później niż następnego dnia) przywrócenia rachunku do stanu, który istniał przed dokonaniem nieautoryzowanej transakcji. Jest nią przypadek gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. Takie rozumowanie jest prezentowane nie tylko przez powoda, ale i przez Rzecznika Finansowego oraz Prezesa UOKiK, którzy opowiadają się za zasadą bezwarunkowego zwrotu środków gdy transakcja nie była autoryzowana, wskazując, że kwestia stopnia współodpowiedzialności klienta za nieautoryzowaną transakcję powinna być dokonywana przez sąd po zwrocie środków. Ten wyjątek w rozważanej sprawie nie wystąpił, bowiem pozwany Bank nie wykazał, aby podejrzewając oszustwo niezwłocznie powiadomił w formie pisemnej właściwe organy ścigania. Postępowanie karne toczyło się nie z zawiadomienia pozwanego Banku tylko z zawiadomienia powoda.

Dodać należy, że wskazywane przez skarżącego silne uwierzytelnienie nie zmienia tych reguł odpowiedzialności. Nie zasługuje na podzielenie pogląd skarżącego, że jeśli Bank wymagał silnego uwierzytelnienia, to za nieautoryzowaną transakcję płatniczą odpowiada płatnik. Gdy dostawca nie wymagał silnego uwierzytelnienia użytkownika, płatnik nie ponosi odpowiedzialności za nieautoryzowane transakcje płatnicze, chyba że działał umyślnie (por. art. 46 ust. 4a). Wymóg silnego uwierzytelnienia, zdaniem Sądu Okręgowego oznacza, że dostawca może się uwolnić od odpowiedzialności nie tylko gdy wykaże winę umyślną płatnika, ale i jego rażące niedbalstwo. W analizowanym wypadku pozwany Bank nie wykazał ani winy umyślnej ani rażącego niedbalstwa oraz związku przyczynowego pomiędzy zachowaniami powoda a dokonaniem nieautoryzowanych transakcji płatniczych.

Analiza przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE nie prowadzi do odmiennych wniosków. Przywołać należy jej motyw 71, z którego wynika, że w przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych powinien bezzwłocznie zwrócić płatnikowi kwotę tej transakcji, co szczegółowo regulują art. 73 i 74. Z motywu 72 wynika, że aby ocenić ewentualne zaniedbanie lub rażące zaniedbanie ze strony użytkownika usług płatniczych, należy uwzględnić wszystkie okoliczności. Fakt i stopień domniemanego zaniedbania powinny być zasadniczo oceniane zgodnie z prawem krajowym. O ile jednak pojęcie zaniedbania oznacza niedopełnienie obowiązku dochowania należytej staranności, rażące zaniedbanie powinno oznaczać więcej niż zwykłe zaniedbanie i odnosić się do postępowania odznaczającego się znaczącym stopniem niedbalstwa; na przykład przechowywanie danych uwierzytelniających stosowanych do autoryzacji transakcji płatniczej w pobliżu instrumentu płatniczego, w formie jawnej i łatwo rozpoznawalnej dla stron trzecich. Warunki umowne dotyczące dostarczenia i używania instrumentu płatniczego, których skutkiem byłoby zwiększenie ciężaru dowodu spoczywającego na konsumencie lub zmniejszenie ciężaru dowodu spoczywającego na wydawcy, powinny być uznane za nieważne. Ponadto w szczególnych sytuacjach, a w szczególności w przypadku gdy instrumentu płatniczego nie ma w punkcie sprzedaży, jak ma to miejsce w przypadku płatności online, należy postanowić, że obowiązek przedstawienia dowodów domniemanego zaniedbania spoczywa na dostawcy usług płatniczych, ponieważ płatnik dysponuje w takich przypadkach bardzo ograniczonymi środkami w tym względzie. Zwrócić należy uwagę, że pojęcie autoryzacji, którego używa dyrektywa w istocie nie odbiega od pojęcia autoryzacji użytego w ustawie o usługach płatniczych. Z art. 64 ust. 1 dyrektywy wynika, że państwa członkowskie zapewniają, aby transakcję płatniczą uznawano za autoryzowaną tylko pod warunkiem udzielenia przez płatnika zgody na wykonanie transakcji płatniczej. Z ust. 2 wynika, że w przypadku braku zgody transakcję płatniczą uznaje się za nieautoryzowaną. Przepis art. 64 ust. 1 i 2 dyrektywy nawiązuje nie do samego uwierzytelnienia lecz do zgody płatnika na wykonanie transakcji płatniczej. Odpowiada to brzmieniu art. 40 ust. 1 ustawy o usługach płatniczych, który za transakcję autoryzowaną uznaje taką, na którą płatnik wyraził zgodę w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Wskazywany przez pozwanego art. 72 ust. 1 dyrektywy posługuje się wprawdzie sfomułowaniem „udowodnienie, że transakcja została uwierzytelniona”, jednakże nie w wąskim pojęciu uwierzytelnienia używanym w ustawie o usługach płatniczych. Zwrócić bowiem należy uwagę na ust. 2 art. 72 tej dyrektywy, z którego wynika, że w przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował wykonaną transakcję płatniczą, użycie instrumentu płatniczego zarejestrowane przez dostawcę usług płatniczych, w tym dostawcę świadczącego usługę inicjowania płatności, stosownie do sytuacji, samo w sobie niekoniecznie jest wystarczające do udowodnienia, że dana transakcja płatnicza została przez płatnika autoryzowana albo że płatnik działał w nieuczciwych zamiarach lub dopuścił się celowego lub rażącego zaniedbania co najmniej jednego z obowiązków przewidzianych w art. 69. Ponadto jest to przepis dotyczący jedynie ciężaru dowodowego, a nie jest wykluczone uregulowanie w prawie krajowym zasad ciężaru dowodowego w sposób korzystniejszy dla osób korzystających z usług płatniczych, jako strony słabszej w relacjach z dostawcą takich usług, w tym z bankami. W orzecznictwie dostrzega się zresztą, że wykładanie zapisów art. 72 ust. 1 dyrektywy jako nawiązujących jedynie do uwierzytelnienia, w rozumieniu jakie starają się narzucić dostawcy usług płatniczych, mianowicie, że do uwolnienia się od odpowiedzialności wystarcza wykazanie samego prawidłowego uwierzytelnienia transakcji, nie byłoby zgodne z celami dyrektywy i prowadziłoby do istotnego osłabienia ochrony strony słabszej w stosunku dostawca usług płatniczych-odbiorca usług płatniczych. Nałożenie na bank obowiązku wykazania jedynie uwierzytelnienia a nie autoryzacji prowadziłoby choćby do takich sytuacji, gdzie nawet skazanie wyrokiem karnym bezpośredniego sprawcy szkody pozwalałoby dowieść bankowi, że transakcja taka, przy wykorzystaniu skradzionego instrumentu płatniczego, została prawidłowo wykonana przez bank, po jej uwierzytelnieniu. Odpowiedzialność banku byłaby w zasadzie ograniczona do transakcji zakłóconych jedynie przez awarię techniczną, czy inny defekt (por. trafne rozważania w uzasadnieniu wyroku Sądu Apelacyjnego w Warszawie z dnia 24 maja 2018 roku, VI ACa 217/17).

Ubocznie już tylko zauważyć należy, że pozwany Bank nie do końca wywiązał się z obowiązku należytego zabezpieczenia środków powoda, nie zwracając uwagi na nietypowość kwestionowanych przelewów. Z materiału dowodowego nie wynika, aby powód wcześniej dokonywał tak nietypowych dyspozycji (kilku przelewów do tej samej osoby w odstępach kilkuminutowych). Nie wzbudził zwiększonej czujności pozwanego fakt dokonania następujących bezpośrednio po sobie kilku przelewów do tej samej osoby, co sugeruje zamierzone obniżenie kwoty pojedynczego przelewu dla ukrycia rzeczywistego rozmiaru dokonywanego transferu. Z podwyższonej staranności Banku przy wykonywaniu umowy z powodem wywieść można obowiązek wychwycenia nietypowej transakcji i przykładowo - telefonicznego potwierdzenia u powoda, czy aby na pewno ma zamiar zlecić kolejny przelew środków pieniężnych zdeponowanych na jej rachunku (por. w tej kwestii rozważania w wyroku Sądu Apelacyjnego w Łodzi z dnia 30 czerwca 2023 roku, I ACa 785/22).

Z tych wszystkich przyczyn Sąd Okręgowy uznał, że apelacja nie zasługiwała na uwzględnienie, o czym orzekł w punkcie I sentencji na podstawie art. 385 k.p.c.

Orzeczenie o kosztach postępowania apelacyjnego oparto na regulacji art. 98 § 1 i 3 k.p.c., art. 108 § 1 k.p.c. w zw. z art. 391 § 1 k.p.c. Powód wygrał w całości sprawę w postępowaniu apelacyjnym. Złożył odpowiedź na apelację wraz z wnioskiem o zasądzenie na jego rzecz od pozwanego kosztów postępowania apelacyjnego według norm przepisanych wraz z odsetkami. Należy mu się zatem zwrot kosztów wynagrodzenia adwokackiego w kwocie 1.800 zł, ustalonej na podstawie § 2 pkt 5, § 10 ust. 1 pkt 1 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 roku w sprawie opłat za czynności adwokackie, Dz.U.2023.1964 t.j. O odsetkach od zasądzonych kosztów orzeczono na podstawie art. 98 § 1 ¹ k.p.c. w zw. z art. 391 § 1 k.p.c.

SSO Hubert Wicik

ZARZĄDZENIE

odpis wyroku z uzasadnieniem doręczyć pełnomocnikowi pozwanego adw. R. P..

SSO Hubert Wicik