Portal Orzeczeń Sądów Powszechnych

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 11 grudnia 2024 roku

Sąd Okręgowy w Poznaniu Wydział II Cywilny Odwoławczy

Przewodniczący Sędzia Marcin Miczke

po rozpoznaniu 11 grudnia 2024 roku w Poznaniu

na posiedzeniu niejawnym

sprawy z powództwa A. S.

przeciwko (...) Bank (...) S. A. z siedzibą w W.

o zapłatę

na skutek apelacji pozwanego

od wyroku Sądu Rejonowego w Poznań – Grunwald i Jeżyce w Poznaniu

z 31 lipca 2023 roku

sygn. akt I C 1906/21

I.  odrzuca apelację w zakresie dotyczącym pkt 2) i 4) zaskarżonego wyroku,

II.  zmienia zaskarżony wyrok:

a)  w pkt 1) w ten sposób, że powództwo oddala,

b)  w pkt 3) w ten sposób, że zasądza od powódki na rzecz pozwanego 3.617 zł z ustawowymi odsetkami za opóźnienie za czas po upływie tygodnia od dnia doręczenia niniejszego orzeczenia powódce do dnia zapłaty tytułem zwrotu kosztów procesu,

III.  zasądza od powódki na rzecz pozwanego 3.175 zł z ustawowymi odsetkami za opóźnienie od dnia uprawomocnienia się niniejszego rozstrzygnięcia o kosztach do dnia zapłaty tytułem zwrotu kosztów procesu za postępowanie apelacyjne.

Marcin Miczke

UZASADNIENIE

A. S. wniosła o zasądzenie od pozwanego (...) Bank (...) spółka akcyjna z siedzibą w W. kwoty 27.500 zł wraz z ustawowymi odsetkami za opóźnienie liczonymi od dnia 30 października 2019 r. do dnia zapłaty oraz zasądzenie od pozwanego kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych oraz kwoty 17 zł tytułem opłaty skarbowej od pełnomocnictwa.

W uzasadnieniu pozwu powódka wskazała, że w dniu 3 lutego 2012 r. zawarła z poprzednikiem prawnym powoda – Bankiem (...) S.A. z siedzibą we W. – umowę rachunku oszczędnościowo – rozliczeniowego oraz umowę o kartę płatniczą. Natomiast 18 sierpnia 2016 r. zawarła z poprzednikiem prawnym pozwanego umowę usług bankowości elektronicznej (...), która upoważniała powódkę m.in. do dokonywania transakcji na jej rachunku z wykorzystaniem metody autoryzacji w postaci smsKod. W dniu 29 października 2019 r. na rachunkach bankowych powódki doszło do niekontrolowanych przez nią zdarzeń. Najpierw bez wiedzy i zgody powódki wydano dyspozycję przewalutowania znajdujących się na rachunku walutowym środków pieniężnych w wysokości 5.000 EUR, w wyniku którego uzyskano kwotę 20.578,50 zł. Następnie kwotę tę przelano, również bez autoryzacji powódki, na połączony z rachunkiem walutowym rachunek bieżący powódki prowadzony w walucie polskiej. O godzinie 18:16 powódka otrzymała wiadomość tekstową z informacją o „rozpoczęciu egzekucji z tytułu zaległości wobec (...) S.A.” i możliwością polubownej spłaty kwoty 13,11 zł. Powódka skorzystała z linku strony internetowej wskazanej w wiadomość i została przekierowana na stronę banku, gdzie po zalogowaniu się widniała kwota 13,11 zł. Powódka wykorzystała kod wskazany w wiadomości z godziny 18:23, mając przeświadczenie, że potwierdza nim przelew na kwotę 13,11 zł. Ostatecznie z rachunku bieżącego dokonano przelewu kwoty 27.500 zł na rachunek niejakiego A. K. (1). Powódka nigdy nie autoryzowała transakcji opiewającej na kwotę 27.500 zł. Jeszcze tego samego dnia około godziny 18:26 powódka poinformowała bank o nieautoryzowanej transakcji. Została wówczas zapewniona o przyjęciu zgłoszenia, wskutek czego Dział Bezpieczeństwa miał wdrożyć niestandardową procedurę dotyczącą zdarzenia. Następnie powódka złożyła w Komisariacie Policji w T.zawiadomienie o popełnieniu na jej szkodę przestępstwa polegającego na kradzieży pieniędzy w kwocie 27.500 zł. Pismem z dnia 31 października 2019 r. Prokuratura Rejonowa w S.zawiadomiła powódkę o wszczęciu śledztwa w sprawie o przestępstwo z art. 299 § 1 k.k., w którym powódka ma status pokrzywdzonej. Pismem z dnia 4 listopada 2019 r., a także reklamacjami i odwołaniami składanymi w okresie późniejszym, powódka wzywała pozwanego do zwrotu kwoty 27.500 zł, lecz pozwany odmówił zwrotu wskazanej kwoty. Pozwany twierdzi, że transakcja przelewu kwoty 27.500 zł została prawidłowo autoryzowana. Jednocześnie pozwany zarzucił powódce rażące niedbalstwo poprzez ujawnienie danych pozwalających na logowanie do usług bankowości elektronicznej. Powódka natomiast posiada zainstalowany program antywirusowy zabezpieczający przed złośliwym oprogramowaniem, a to pozwany jako profesjonalna instytucja finansowa winien zapewnić najwyższy stopień bezpieczeństwa wykonywanych za jego pośrednictwem transakcji. Powódka podkreśliła, że wprawdzie samodzielnie wpisała SMSkod, potwierdzając dokonanie przelewu, lecz jej zamiarem było dokonanie transakcji wyłącznie na kwotę 13,11 zł, a nie kwotę 27.500 zł. Już kilka minut po zniknięciu pieniędzy zgłosiła sprawę do banku, a następnie powiadomiła policję. Nie ma zatem podstaw do uznania, że powódka była inicjatorką dyspozycji przelewu środków na kwotę 27.500 zł. Powódka zaznaczyła, że podstawę dochodzonego roszczenia stanowią przepisy ustawy o usługach płatniczych. Niezależnie powódka zaznaczyła również, że w ostatnim piśmie pozwanego z dnia 13 lutego 2020 r. przyznano, iż odpowiedzi na reklamację z dnia 22 listopada 2019 r. udzielono w dniu 16 stycznia 2020 r., co stoi w sprzeczności z wynikającym z art. 6 ustawy o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o rzeczniku finansowym 30 – dniowym terminie na odpowiedź, licząc od dnia otrzymania reklamacji. Zgodnie natomiast z art. 8 ww. ustawy nieustosunkowanie się do reklamacji w ustawowym terminie uważa się za rozpatrzenie jej zgodnie z wolą klienta, wobec czego ww. przepis stanowi kolejną przesłankę do zasądzenia na rzecz powódki dochodzonej kwoty (k. 2 – 6v).

W odpowiedzi na pozew pozwany wniósł o oddalenie powództwa i zasądzenie od powódki na jego rzecz kosztów procesu, w tym kosztów zastępstwa procesowego według norm przepisanych oraz kwoty 17 zł tytułem opłaty skarbowej od pełnomocnictwa.

W uzasadnieniu pozwany wskazał, że kwestionuje powództwo zarówno co do zasady, jak i co do wysokości. Pozwany przyznał, że w dacie realizacji spornych dyspozycji strony były związane umowami rachunków bankowych oraz umową usług (...) online dla klientów indywidualnych. Pozwany zaznaczył, że do autoryzacji spornych dyspozycji, złożonych za pośrednictwem usług (...) online, doszło wskutek działań powódki. Istotne jest bowiem to, że powódka otwierając link do strony nadesłany w wiadomości SMS, nie zalogowała się do usług (...) online w sposób wskazany i wykorzystywany dotychczas, tj. ze stron banku. Powódka wprowadziła wszelkie dane niezbędne do korzystania z usług (...) online wprost na stronie, do której link otrzymała na swój telefon, co jest niezgodne z łączącą strony umową. Zgodnie z § 39 ust. 6 Regulaminu usług (...) online dla klientów indywidualnych powódka nie powinna używać do logowania do usługi (...) adresu lub linku przesłanego drogą elektroniczną, np. w wiadomości SMS. Z okoliczności sprawy należy wywieść, że otrzymana przez powódkę wiadomość nosiła znamiona phishingu, czyli oszustwa, dzięki któremu podstępem wyłudzane są od klienta określone dane. Pozwany zaznaczył, że treść przesłanych powódce smsKodów (do logowania i autoryzacji przelewu) wprowadzonych przez powódkę, wyraźnie wskazywała rodzaj dokonywanych czynności, co powinno wzbudzić czujność powódki. Tymczasem powódka przekazała aż 2 smsKody, dopuszczając się w ten sposób rażącego niedbalstwa. Nie można natomiast, jak błędnie czyni to powódka, utożsamiać transakcji z wewnętrznym odczuciem powódki w sensie jej osobistego stosunku do danej czynności, aby móc zweryfikować, czy na daną transakcję powódka się zgadza czy nie, bowiem pozwany nie ma możliwości oceny subiektywnej relacji powódki do danej dyspozycji. Zgodnie zaś z art. 40 ust. 1 ustawy o usługach płatniczych transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Pozwany odnotował w systemie wyrażenie zgody w umówiony z powódką sposób i ta zgoda, wyrażona wpisaniem smsKodu po uprzednim prawidłowym zalogowaniu, była podstawą realizacji spornych dyspozycji. W świetle powyższego należy uznać, że pozwany otrzymał dyspozycje autoryzowane zgodnie z regułami przyjętymi przez strony w umowie. Pozwany podniósł ponadto, że powódka dopuściła się istotnego zaniedbania, albowiem zgodnie z Regulaminem usług (...) online dla klientów indywidualnych powódka powinna upewnić się, że wszelkie dyspozycje są jednoznaczne i zgodne z jej intencją oraz określają rachunki, które mają być obciążane/uznawane, właściciela tych rachunków i tytuł płatności. Powódka nie dopełniła powyższego aktu staranności, co stanowiło naruszenie zasad bezpieczeństwa. Pozwany za pośrednictwem usług (...) online ostrzegał przed wiadomościami e-mail i SMS z linkiem, wskazując schemat ataku i informując, że nie wolno klikać w linki w takich wiadomościach. Powódka otrzymała wiele takich komunikatów i miała możliwość zdobycia wiedzy na temat występujących zagrożeń. Sporne transakcje zostały zatem zlecone wskutek zbagatelizowania przez powódkę podstawowych zasad bezpieczeństwa i braku refleksji co do wykonywanych czynności. Niezależnie od powyższego pozwany podniósł, że dokonał szeregu czynności prewencyjnych, m.in. zablokował usługi (...) online powódki, tym samym uniemożliwiając wypływy dalszych środków. Pozwany niezwłocznie przekazał sprawę do jednostki antyfraudowej banku, a w efekcie dalszych czynności na podstawie postanowienia prokuratora została założona blokada środków na kwotę 23.501 zł i środki te są do dziś zablokowane w pozwanym banku. Pozostała kwota została natychmiast rozdysponowana. Zdaniem pozwanego fakt zablokowania przez prokuratora kwoty 23.501 zł stanowi podstawę do oddalenia powództwa w tym zakresie, bowiem po zakończeniu postępowania środki te zostaną najprawdopodobniej zwolnione z blokady i zwrócone powódce. Dodatkowo pozwany podniósł, że powódka miała obowiązek korzystać z usług (...) online zgodnie z umową i nie udostępniać osobom nieuprawnionym narzędzi do logowania i autoryzacji dyspozycji. Powódka winna również sprawdzić certyfikat serwera w trakcie korzystania z usługi (...) online. Tymczasem strona powodowa nie wykazała, aby jej telefon był należycie chroniony m.in. programem antywirusowym. Mając na uwadze powyższe, w ocenie pozwanego powódce należy przypisać rażące niedbalstwo, wskutek którego doszło do autoryzowania spornych dyspozycji. Odpowiedzialność pozwanego jest zatem wyłączone na podstawie art. 46 ust. ustawy o transakcjach płatniczych oraz zapisów umownych. Jednocześnie w rozpoznawanej sprawie brak było podstaw do natychmiastowego zwrotu środków w trybie art. 46 ust. 1 ww. ustawy, albowiem przepis ten dotyczy wyłącznie transakcji, do wykonania których doszło bez winy płatnika, natomiast w niniejszej sprawie wina leży po stronie powódki, która winna odpowiadać za transakcje w pełnej wysokości. Jednocześnie pozwany zaprzeczył, aby zaistniały przesłanki do zastosowania art. 8 ustawy o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o rzeczniku finansowym. Domniemanie wynikające z powyższego przepisu może być bowiem obalone w toku postępowania przed sądem, jeżeli podmiot rynku finansowego wykaże brak zasadności roszczenia klienta, co też pozwany uczynił (k. 55 – 61v).

Wyrokiem z 31 lipca 2023 r. Sąd Rejonowy Poznań – Grunwald i Jeżyce w Poznaniu

w pkt 1. zasądził od pozwanego na rzecz powódki kwotę 27.500 zł (dwadzieścia siedem tysięcy pięćset złotych) wraz z odsetkami ustawowymi za opóźnienie od dnia 31 października 2019 r. do dnia zapłaty, w pkt 2. oddalił powództwo w pozostałym zakresie, w pkt 3. zasądził od pozwanego na rzecz powódki 4.617 zł tytułem zwrotu kosztów procesu wraz z odsetkami ustawowymi za opóźnienie od dnia uprawomocnienia się wyroku do dnia zapłaty, w pkt 4. zwrócił pozwanemu kwotę 84,89 zł (osiemdziesiąt cztery złote i osiemdziesiąt dziewięć groszy) tytułem niewykorzystanej zaliczki.

Sąd Rejonowy ustalił następujące fakty:

3 lutego 2012 r. powódka A. S. (wówczas P.) zawarła z pozwanym (...) Bank (...) spółka akcyjna z siedzibą w W. (wówczas Bank (...) spółka akcyjna z siedzibą we W.) umowę rachunku oszędnościowo – rozliczeniowego oraz umowę o kartę płatniczą. Zgodnie z tą umową pozwany zobowiązał się do otwarcia i prowadzenia dla powódki rachunku o numerze (...). Umowa rachunku oszczędnościowo – rozliczeniowego została zawarta na czas nieoznaczony. Oprócz tego powódka miała u pozwanego rachunek walutowy o numerze (...) przeznaczony dla waluty euro. Przewalutowanie pomiędzy rachunkiem walutowym, a złotowym nie wymagało autoryzacji.

W dniu 1 października 2018 r. pomiędzy powódką, a pozwanym została zawarta umowa usług (...) online dla klientów indywidualnych. Zasady dostępu do usług (...) online oprócz umowy określał stanowiący jej integralną część regulamin usług (...) online dla klientów indywidualnych (dalej powoływany jako Regulamin). W ramach tej umowy powódka uzyskała dostęp do rachunków prowadzonych przez pozwanego m.in. poprzez internet i telefon. W umowie wskazano, że autoryzacja następuje poprzez smsKod wysłany na numer telefonu. Logowanie do usług online następowało poprzez wpisanie loginu (NIK) i hasła.

Zgodnie z § 2 ust. 3 Regulaminu autoryzacja oznacza udzielenie przez Klienta/Użytkownika zgody na wykonanie dyspozycji, przed jej realizacją przez bank, w sposób określony w umowie lub Regulaminie poprzedzone uwierzytelnieniem lub silnym uwierzytelnieniem Klienta.

Zgodnie z § 2 ust. 112 Regulaminu uwierzytelnienie to procedura umożliwiająca Bankowi weryfikację tożsamości Klienta/Użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidulanych danych uwierzytelniających.

Zgodnie z § 2 ust. 14 Regulaminu dyspozycja to oświadczenie woli Klienta/Użytkownika złożone za pośrednictwem usług (...) online i autoryzowane w sposób właściwy dla danego oświadczenia, w tym zlecenie płatnicze w rozumieniu UUP.

Zgodnie z § 2 ust. 81 Regulaminu skrzynka odbiorcza to skrzynka Klienta/Użytkownika w usłudze (...) internet oraz w aplikacji S. mobile, do której Bank doręcza korespondencję w zakresie wskazanym w Regulaminie.

Zgodnie z § 15 ust. 11 Regulaminu w celu dokonania identyfikacji i rozpoczęcia korzystania z usług (...) online Klient/Użytkownik korzysta z adresów/numerów dostępowych wskazanych na Portalu Banku, tj. stronie internetowej Banku www.santander.pl na której dostępny jest serwis informacyjny Banku (§ 2 ust. 53 Regulaminu).

Zgodnie z § 18 ust. 6 lit. a) Regulaminu o ile inne postanowienia nie stanowią inaczej, sposób autoryzacji dyspozycji w usługach (...) online uzależniony jest od rodzaju usługi i następuje w usłudze (...) internet poprzez wybranie na ekranie odpowiedniego przycisku i – w przypadku, gdy dla danej dyspozycji jest wymagane potwierdzenie narzędziem autoryzacji – podanie również kodu autoryzacyjnego lub autoryzacja mobilnym podpisem. Kod autoryzacji to zgodnie z § 2 ust. 27 Regulaminu jednorazowy kod uwierzytelniający służący do autoryzacji dyspozycji – kodami autoryzacji są smsKod, kod generowany przez token albo Kod BLIK.

Zgodnie z § 24 ust. 1 Regulaminu Klient/Użytkownik powinien upewnić się, że wszelkie dyspozycje składane w ramach usług (...) online są jednoznaczne i zgodne z jego intencją, zawierają prawidłowo wskazane dane, o których mowa w § 18 ust. 3, a ponadto określają rachunki, które mają być obciążane/uznawane, właściciela tych rachunków oraz tytuł płatności.

Zgodnie z § 24 ust. 7 Regulaminu Klient/Użytkownik zobowiązany jest na bieżąco sprawdzać prawidłowość wykonania zlecanych dyspozycji przeglądając wyciągi bankowe z rachunku klienta oraz zestawienia dyspozycji dostępne na bieżąco w ramach usług (...) online w tym listę dyspozycji i historię rachunków.

Zgodnie z § 39 ust. 5 Regulaminu w trakcie korzystania z usługi (...) internet/mobile komunikacja pomiędzy komputerem Klienta/Użytkownika a serwerem Banku jest szyfrowana z zastosowaniem certyfikatu wystawionego i uwierzytelnionego, dla serwera bankowego o nazwie (...). Przed zalogowaniem się Klient/Użytkownik, aby upewnić się, że rzeczywiście nawiązał połączenie z serwerem Banku, powinien sprawdzić certyfikat serwera.

Zgodnie z § 39 ust. 6 Regulaminu Klient/Użytkownik nie powinien używać do logowania do usługi (...) internet/mobile adresu lub linku przesłanego drogą elektroniczną np. w wiadomości e-mail, sms, mms albo za pomocą komunikatorów internetowych i innych narzędzi służących do komunikowania się w internecie. Adres do logowania wskazany jest wyłącznie na Portalu Banku. W razie jego zmiany Klient/Użytkownik zostanie poinformowany komunikatem przesłanym do skrzynki odbiorczej.

W skrzynce odbiorczej powódki były zamieszczane informacje przypominające o ogólnych zasadach bezpiecznego korzystania z bankowości internetowej i mobilnej.

Częściowo bezsporne, a nadto dowody: umowa rachunku oszczędnościowo – rozliczeniowego oraz umowa o kartę płatniczą (k. 20 – 20v), zaświadczenie z dnia 21 września 2020 r. (k. 23), umowa usług (...) online dla klientów indywidulanych wraz z aneksem (k. 64 – 66), regulamin usług (...) online dla klientów indywidualnych (k. 67 – 83), komunikaty informacyjne (k. 87 – 88v)

29 października 2019 r. o godzinie 18:16 powódka otrzymała sms o treści „Informujemy o rozpoczęciu egzekucji z tytułu zaległości wobec (...) S.A. Sygn. Akt. 8811/19. Możliwość polubownej spłaty 13.11 PLN (...)”. Nie był podany numer z jakiego wiadomość ta została wysłana, a jako nadawca wyświetlił się Komornik. Wiadomość ta nie wzbudziła w powódce żadnych obaw i wątpliwości. Powódka była kiedyś klientem (...) S.A., a do tego przez ostatnie trzy lata mieszkała we Włoszech. Chciała zatem załatwić tę sprawę, szczególnie, że chodziło o tak niewielką kwotę. Powódka kliknęła w podany w sms link. Została przeniesiona na stronę, która swoim wyglądem przypominała stronę pozwanego. Powódka była przekonana, że jest na stronie pozwanego banku, chociaż w rzeczywistości była to strona jedynie imitująca stronę internetową pozwanego. Powódka zalogowała się podając login i hasło. W tym samym czasie o godzinie 18:20:34 inna nieznana osoba wykorzystując login i hasło powódki z numeru IP(...) rozpoczęła logowanie do usług (...) online powódki. O godzinie 18:21:35 został wygenerowany i wysłany na telefon powódki smsKod do logowania, który nie został wykorzystany. Następnie o godzinie 18:22:44 powtórnie wygenerowano i wysłano smsKod do logowania. Powódka kod ten wpisała na stronie, na którą została wcześniej przeniesiona. Jednocześnie przy użyciu tego smsKod o godzinie 18:23:11 z numeru IP(...) nieznana osoba zalogowała się do usług (...) online powódki. Na stronie, na której była powódka pojawił się komunikat czy powódka akceptuje przelew na kwotę 13,11 zł. Powódka zaakceptowała przelew na kwotę 13,11 zł poprzez kliknięcie. Kiedy powódka wykonywała wskazane czynności o godzinie 18:23:35 osoba, która zalogowała się do usług (...) online powódki z numeru IP (...)dokonała przewalutowania kwoty 5.000 euro z rachunku (...) na rachunek (...), a następnie o godzinie 18:23:58 przygotowała dyspozycję przelewu. Dyspozycja ta wywołała wygenerowanie smsKodu, który przyszedł na telefon powódki o godzinie 18:23, o treści: „Przelew na (...) A. K. (1) 27500,00 PLN (...) smsKod: (...)”. Powódka po otrzymaniu smsKodu wpisała go na stronie na której była. Powódka była przekonana, że dokonuje przelewu na kwotę 13,11 zł. Powódka była przekonana, że stan rachunku bieżącego wynosi około 8.000 – 9.000 zł. Nie miała bowiem świadomości, że wcześniej dokonano przewalutowania. W tym czasie smsKod, który otrzymała powódka o godzinie 18:24:28 posłużył do uwierzytelnienia przez nieznaną osobę przelewu na kwotę 27.500 zł z rachunku powódki o numerze (...) na rachunek bankowy o numerze (...) prowadzony także przez pozwany bank. Powódka dopiero po wpisaniu otrzymanego smsKod zobaczyła, że w sms podane są dane nieznanej jej osoby, a także inna kwota. O 18:26 powódka telefonicznie zgłosiła na infolinii pozwanego zaistniałą sytuację informując, że najprawdopodobniej doszło do przestępstwa i ktoś bez jej autoryzacji dokonał przelewu na kwotę 27.500 zł. Powódka została poinformowana, że sprawa została przekazana do działu bezpieczeństwa celem wszczęcia niestandardowej procedury. O godzinie 18:46 powódka otrzymała od pozwanego wiadomość sms o przyjęciu zgłoszenia – numer zgłoszenia (...).

Powódka jeszcze w dniu 29 października 2019 r. po godzinie 19:00 udała się na Policję. Została jednak poinformowana, że o tej godzinie nie ma pracownika, który przyjąłby zgłoszenie.

Następnego dnia, tj. 30 października 2019 r., powódka udała się do Komisariatu Policji w T. celem złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa. Z potwierdzeniem złożenia zawiadomienia powódka jeszcze tego samego dnia udała się do placówki pozwanego. Tam pracownik pozwanego poinformował powódkę, że najpierw w trakcie logowania za pomocą bankowości elektronicznej doszło do przewalutowania kwoty 5.000 euro na rachunek bieżący, a następnie doszło do przelewu kwoty 27.500 zł. Pracownik pozwanego poinformował powódkę, że doszło do popełnienia przestępstwa, a także, iż takie sytuacje ostatno zdarzały się w pozwanym banku.

Dowody: wiadomość sms z dnia 29 października 2019 r. z godziny 18:16 (k. 24 i k. 115), wiadomość sms z dnia 29 października 2019 r. z godziny 18:22 (k. 114), wiadomość sms z dnia 29 października 2019 r. z godziny 18:23 (k. 114), wiadomość sms z dnia 29 października 2019r. z godziny 18:46 (k. 114), potwierdzenie złożenia zawiadomienia (k. 28), zawiadomienie o wszczęciu śledztwa (k. 29), historia rachunku numer (...) (k. 26), historia rachunku numer (...) (k. 27), autoryzacja dyspozycji (k. 84 – 85v), zestawienie logów (k. 86), pismo z dnia 18 lutego 2022 r. (k. 127 – 128), zeznania świadka M. P. (1) (protokół z rozprawy z dnia 4 kwietnia 2022 r. – k. 130 – 131 i k. 133), zeznania świadka S. M. (protokół z rozprawy z dnia 4 kwietnia 2022 r. – k. 131 – 131v i k. 133), pisemna opinia biegłego sądowego z dziedziny informatyki mgr inż. M. P. (2) z dnia 24 stycznia 2023 r. (k. 144 – 149) oraz ustna uzupełniająca opini tego biegłego z dnia 27 kwietnia 2023 r. (k. 180 – 181 i k. 182), zeznania powódki A. S. (protokół z rozprawy z dnia 7 lutego 2022 r. – k. 116v – 117v i k. 111)

29 października 2019 r. rachunek na który dokonano przelewu kwoty 27.500 zł, a prowadzony przez pozwanego, nie mógł zostać zablokowany, gdyż pracownicy pozwanego zajmujący się blokadą rachunków pracowali do godziny 18:00. Rachunek ten został zablokowany dopiero następnego dnia. Obecnie pracownicy tego działu mają dyżury od godziny 18:00 do godziny 22:00. Do tego czasu na rachunku numer (...) pozostała kwota 23.501,10 zł i tak też kwota została zablokowana.

W pozwanym banku są systemu „wyłapujące” transakcje podejrzane. To czy dana transakcja zostanie „wyrzucona” do analizy zależy od wielu czynników.

Postanowieniem z dnia 31 stycznia 2020 r. Prokurator Prokuratury Rejonowej w S.w sprawie o czyn z art. 299 § 1 k.k. uznał za dowód rzeczowy środki płatnicze w kwocie 23.501,10 zł przelane na rachunek bankowy o numerze (...) i postanowił dowód ten przechowywać na rachunku bankowym o numerze (...).

Dowody: zeznania świadka S. M. (protokół z rozprawy z dnia 4 kwietnia 2022 r. – k. 131 – 131v i k. 133), postanowienie z dnia 31 stycznia 2020 r. (k. 176 – 176v)

Numer IP(...)z którego zalogowano się do usług (...) online powódki w dniu 29 października 2019 r., nie był wcześniej wykorzystywany do logowania się przez powódkę do tych usług.

W dniu 29 października 2019 r. w bankowym systemie informatycznym pozwanego nie wystąpiły naruszenia lub zagrożenia zmniejszające bezpieczeństwo usług bankowości elektronicznej. Pozwany w trakcie dokonywania ww. transakcji na rachunkach powódki sprawdził indywidulane zabezpieczenia instrumentu płatniczego oraz dokonał uwierzytelnienia użytkownika usług (...) online.

Phishing to oszustwo polegające na podszywaniu się pod inną osobę, firmę lub instytucję, które ma na celu wyłudzenie prywatnych, poufnych danych od ich odbiorców. Atak phishingowy rozpoczyna się od masowego rozsyłania wiadomości do różnych osób wraz z linkami do fałszywych stron internetowych, które mają za zadanie wyłudzić następnie dane od ich adresatów. Skutkiem takich ataków jest nieświadome przekazywanie przez ofiary danych do logowania osobom, które prowadzoną działalność przestępczą.

Dowody: pisemna opinia biegłego sądowego z dziedziny informatyki mgr inż. M. P. (2) z dnia 24 stycznia 2023 r. (k. 144 – 149) oraz ustna uzupełniająca opinia tego biegłego z dnia 27 kwietnia 2023 r. (k. 180 – 181 i k. 182)

4 listopada 2019 r. powódka powołując się na wcześniejsze zgłoszenie zwróciła się do pozwanego o zwrot środków pieniężnych na jej rachunek.

W odpowiedzi pozwany pismem z dnia 14 listopada 2019 r. poinformował, że nie może uznać za zasadnej złożonej reklamacji. Pozwany wskazał, że płatność została autoryzowana.

W piśmie z dnia 22 listopada 2019 r. powódka wskazał, że nie zgadza się, iż transakcje na jej rachunkach były autoryzowane, gdyż zostały zlecone przez osobę nieuprawnioną.

W piśmie z dnia 16 stycznia 2020 r. pozwany podtrzymał swoje dotychczasowe stanowisko.

W piśmie z dnia 27 stycznia 2020 r. powódka ponownie zwróciła się o wyjaśnienie sprawy i zwrot środków w kwocie 27.500 zł.

W piśmie z dnia 13 lutego 2020 r. pozwany podtrzymał swoją decyzję i przeprosił za wydłużony termin oczekiwania na odpowiedź udzieloną w piśmie z dnia 16 stycznia 2020 r.

W piśmie z dnia 20 lutego 2020 r. powódka zwróciła się do pozwanego o zwrot kwoty 27.500 zł tytułem nieautoryzowanej transakcji.

W piśmie z dnia 9 marca 2020 r. pozwany podtrzymał swoje dotychczasowe stanowisko.

Dowody: pismo z dnia 4 listopada 2019 r. (k. 30), pismo z dnia 14 listopada 2019 r. (k. 31 – 32), pismo z dnia 22 listopada 2019 r. (k. 33 – 33v), pismo z dnia 16 stycznia 2020 r. (k. 34 – 34v), pismo z dnia 27 stycznia 2020 r. (k. 35), pismo z dnia 13 lutego 2020 r. (k. 36 – 38), pismo z dnia 20 lutego 2020 r. (k. 39 – 41), pismo z dnia 9 marca 2020 r. (k. 43 – 44)

Powyższy stan faktyczny Sąd Rejonowy ustalił jako częściowo bezsporny, w pozostałym zakresie został ustalony na podstawie powołanych dokumentów, zeznań świadków M. P. (1) i S. M., pisemnej oraz ustnej opinii biegłego sądowego z dziedziny informatyki mgr inż. M. P. (2), a także zeznań powódki A. S.. Dokumenty nie były przez strony kwestionowane co do ich prawdziwości, a Sąd Rejonowy nie dostrzegł podstaw, aby w tym zakresie kwestionować je z urzędu.

Za wiarygodne Sąd I instancji uznał zeznania świadków M. P. (1) i S. M.. Świadkowie w sposób spójny i logiczny przedstawili jak transakcje na rachunkach bankowych powódki dokonane w dniu 29 października 2019 r. przedstawiają się z perspektywy zapisów w systemie informatycznym (przede wszystkim świadek M. P. (1)), a także jak wygląda „wyłapywanie” podejrzanych transakcji przez system oraz w jakich godzinach w 2019 r., a w jakich dzisiaj, pracują pracownicy odpowiedzialni za blokowanie dostępu do rachunków (przede wszystkim świadekS. M.).

Sąd Rejonowy ocenił jako przydatna dla rozstrzygnięcia sprawy pisemną i ustną opinię biegłego sądowego z dziedziny informatyki mgr inż. M. P. (2). Według Sądu opinie te ostatecznie nie były przydatne do oceny, czy transakcje na rachunku powódki w dniu 29 października 2019 r., w tym przede wszystkim dokonanie przelewu na kwotę 27.500 zł, było autoryzowane przez powódkę w rozumieniu art. 40 ust. 1 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych, czy też nie. Kwestia ta jest bowiem oceną prawną dokonywaną przez sąd, która to ocena zostanie przedstawiona w części zważającej.

Dokonując w oparciu o wskazane kryteria oceny opinii biegłego sądowego mgr inż. M. P. (2) Sąd uznał, że stanowią one wiarygodny materiał dowodowy do dokonania ustaleń w zakresie tego jak z punktu widzenia zapisów systemowych i przy wykorzystaniu jakich numerów IP były dokonywane transakcje na rachunkach powódki w dniu 29 października 2019 r., a także na czym polega atak phishingowy i jak mógł wyglądać przebieg tego ataku w dniu 29 października 2019 r. Jednocześnie opinie biegłego posłużyły do dokonania ustaleń, że w dniu 29 października 2019 r. w bankowym systemie informatycznym pozwanego nie wystąpiły naruszenia lub zagrożenia zmniejszające bezpieczeństwo usług bankowości elektronicznej. Biegły w tym zakresie w sposób przekonujący wyjaśnił i umotywowała wnioski opinii. Powódka zarzuty do pisemnej opinii zgłosiła w piśmie z dnia 2 marca 2023 r. (k. 161 – 161v). Do zarzutów tych biegły odniósł się w ustnej uzupełniającej opinii z dnia 27 kwietnia 2023 r. Biegły wyjaśnił m.in. że od strony zapisów czynności w systemie informatyczny (odzwierciedlają to tzw. logi) w dniu 29 października 2019 r. nie było żadnych awarii i błędów. Wyjaśnienia te Sąd uznała za jasne i zrozumiałe, szczególnie, że w tym zakresie opinia biegłego była oparta na zapisach systemów informatycznego przedstawionych przez pozwanego, których to zapisów powódka nie kwestionowała. Trzeba też zaznaczyć, że po złożeniu ustnej opinii powódka opinii biegłego już nie kwestionowała.

Za wiarygodne Sąd Rejonowy uznała zeznania powódki A. S.. Zeznania powódki były spójne i logiczne, a do tego zostały złożone w sposób szczery i spontaniczny. Powódka opisała cały przebieg czynności dokonanych w dniu 29 października 2019 r., w tym z odniesieniem się do wiadomości sms, które otrzymywała, a także czynności, które po kolei były przez nią dokonywane. Zeznania powódki w zakresie mającym znaczenie dla poczynienia istotnych dla sprawy ustaleń korespondowały z pozostałym zebranym materiałem dowodowym. Wiarygodność zeznań powódki umacnia zachowanie powódki po tym jak zdała sobie sprawę, że w rzeczywistości smsKod, który wpisała dotyczył innej transakcji, tj. dokonania przelewu kwoty 27.500 zł. Powódka bowiem już kilka minut po transakcji na wskazaną kwotę skontaktowała się z pozwanym i poinformowała o dokonaniu przelewu bez jej autoryzacji.

Przy tak ustalonych faktach i ocenionych dowodach Sąd Rejonowy ocenił powództwo jako uzasadnione, oprócz części roszczenia odsetkowego.

Sąd Rejonowy powołał art. 725 k.c., art. 50 ust. 1 i 2 prawa bankowego. Stwierdził, że na gruncie tego przepisu w judykaturze przyjmuje, że w odniesieniu do banku, zarówno zawodowy charakter prowadzonej działalności, jak i jej specyfika związana z przechowywaniem i dysponowaniem środkami pieniężnymi klienta, wymagają stosowania podwyższonego miernika staranności (por. wyrok Sądu Apelacyjnego w Warszawie z dnia 8 października 2021 r., sygn. akt VII AGa 228/20, Lex nr 3370728 i powołane tam orzecznictwo).

Sad Rejonowy powołał przepisy ustawy o usługach płatniczych. Wyjaśnił, że przez usługi płatnicze na gruncie tej ustawy rozumie się m.in. działalność polegającą na:

1) przyjmowaniu wpłat gotówki i dokonywaniu wypłat gotówki z rachunku płatniczego oraz wszelkie działania niezbędne do prowadzenia rachunku;

2) wykonywaniu transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy:

a) przez wykonywanie usług polecenia zapłaty, w tym jednorazowych poleceń zapłaty,

b) przy użyciu karty płatniczej lub podobnego instrumentu płatniczego,

c) przez wykonywanie usług polecenia przelewu, w tym stałych zleceń (art. 3 ust. 1 pkt 1 i 2 ustawy o usługach płatniczych).

Z art. 4 ust. 1 i 2 pkt 1 ustawy o usługach płatniczych wynika, że działalność w zakresie świadczenia usług płatniczych może być wykonywana wyłącznie przez dostawców usług płatniczych, którym to dostawcą może być m.in. bank krajowy w rozumieniu art. 4 ust. 1 pkt 1 ustawy – Prawo bankowe. Z kolei płatnikiem w rozumieniu ustawy o usługach płatniczych jest osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, której ustawa przyznaje zdolność prawną, składająca zlecenie płatnicze (art. 2 pkt 22 ustawy o usługach płatniczych). Przez zlecenie płatnicze należy zaś rozumieć oświadczenie płatnika lub odbiorcy skierowane do jego dostawcy zawierające polecenie wykonania transakcji płatniczej (art. 2 pkt 36 ustawy o usługach płatniczych). Transakcja płatnicza oznacza natomiast zainicjowaną przez płatnika lub odbiorcę wpłatę, transfer lub wypłatę środków pieniężnych (art. 2 pkt 29 ustawy o usługach płatniczych). Instrument płatniczy to natomiast zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego (art. 2 pkt 10 ustawy o usługach płatniczych w brzmieniu obowiązującym na dzień 29 października 2019 r.). Z kolei uwierzytelnianie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających (art. 2 pkt 33b ustawy o usługach płatniczych). Do uwierzytelnienia w praktyce wykorzystuje się m.in. hasło, kod PIN, SMS, kod jednorazowy z karty kodów (TAN) lub aplikacji mobilnej, kod QR, okazanie instrumentu płatniczego, token, pytania weryfikacyjne o wiadomości znane użytkownikowi (por. K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz. Wyd. 2, Warszawa 2022 r.).

Sad Rejonowy dalej uzasadniał, że zgodnie z art. 40 ust. 1 ustawy o usługach płatniczych transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. Z ust. 2 powołanego artykułu wynika, że zgoda powinna być udzielona przez płatnika przed wykonaniem transakcji płatniczej albo kolejnych transakcji płatniczych, chyba że płatnik i jego dostawca uzgodnili, że zgoda może zostać udzielona także po ich wykonaniu. Zgody na wykonanie transakcji płatniczej można również udzielić za pośrednictwem odbiorcy, dostawcy odbiorcy albo dostawcy świadczącego usługę inicjowania transakcji płatniczej.

Jak stanowi art. 42 ust. 1 ustawy o usługach płatniczych użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:

1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz

2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. W celu spełnienia obowiązku, o którym mowa w powołanych ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (art. 42 ust. 2 ustawy o usługach płatniczych).

Obowiązkiem użytkownika jest niezwłoczne powiadomienie dostawcy o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych (art. 44 ust. 1 ustawy o usługach płatniczych). Jeżeli użytkownik nie dokona tego powiadomienia, w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają (art. 44 ust. 2 ustawy o usługach płatniczych).

Zasady rozkładu ciężaru dowodu w zakresie wykazania, czy doszło do autoryzacji transakcji przez użytkownika zostały uregulowane w art. 45 ustawy o usługach płatniczych. Zgodnie z ust. 1 tego artykułu na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Z ust. 2 powołanego artykułu wynika, że wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

Zgodnie z art. 46 ust. 1 zd. 1 ustawy o usługach płatniczych z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw.

Płatnik odpowiada zaś za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 50 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem:

1) posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub

2) przywłaszczenia instrumentu płatniczego (art. 46 ust. 2 ustawy o usługach płatniczych). Przy czym przepisu tego nie stosuje się, w przypadku gdy:

1) płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej, z wyjątkiem przypadku gdy płatnik działał umyślnie, lub

2) utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy płatnika lub podmiotu świadczącego na jego rzecz usługi, o których mowa w art. 6 pkt 10 (art. 46 ust. 2a ustawy o usługach płatniczych).

Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 (art. 46 ust. 3 ustawy o usługach płatniczych).

Na gruncie powołanych powyżej przepisów ustawy o usługach płatniczych słusznie zwraca się uwagę, że autoryzację trzeba odróżnić od uwierzytelnienia. Uwierzytelnienie jest bowiem czynnością wykonywaną przez dostawcę i ma na celu upewnienie się, że do transakcji użyty jest prawidłowy instrument płatniczy, jak również, że zlecenie płatnicze pochodzi od uprawnionego użytkownika. Autoryzacja jest z kolei oświadczeniem woli użytkownika – płatnika, skierowanym do jego dostawcy usług płatniczych i wyrażającym zgodę wykonanie transakcji płatniczej (por. M. Grabowski, Ustawa o usługach płatniczych. Komentarz, Warszawa 2020 r.). Inaczej rzecz ujmując autoryzacja transakcji oznacza wyrażenie zgody na dokonanie transakcji płatniczej, czyli stanowi oświadczenie woli użytkownika składane z zamiarem i świadomością wywołania określonych skutków prawnych, tj. dokonania transakcji płatniczej (tak w wyroku Sądu Okręgowego w Warszawie z dnia 11 sierpnia 2021 r., sygn. akt XXVII Ca 1352/21, Lex nr 3246485). Przy czym samo wykazanie faktu, że doszło do autoryzacji (np. wpisania kodu z SMS) jeszcze nie oznacza, że transakcja została autoryzowana przez płatnika (tak w wyroku Sądu Okręgowego w Olsztynie z dnia 28 stycznia 2022 r., sygn. akt V Ga 328/21, Lex nr 3318251).

Zdaniem Sądu Rejonowego pozwany nie wykazał, aby transakcja przelewu kwoty 27.500 zł dokonana w dniu 29 października 2019 r. z rachunku powódki była przez nią autoryzowana. To ostatecznie w tej transakcji, a nie dokonanym wcześniej przewalutowaniu kwoty 5.000 euro, powódka upatrywała podstaw dla domaga się zasądzenia kwoty 27.500 zł. Ciężar wykazania, że transakcja przelewu tej kwoty była przed powódkę autoryzowana zgodnie z powołany art. 45 ust. 1 i 2 ustawy o usługach płatniczych spoczywał zaś na pozwanym.

Z dokonanych ustaleń wynika, że dokonanie przelewu wskazane kwoty 27.500 zł w dniu 29 października 2019 r. zostało wprawdzie uwierzytelnione w sposób przewidziany w umowie, tj. poprzez wpisanie smsKodu, to jednak transakcja ta nie była autoryzowana przez powódkę. Powódka nie miała bowiem zamiaru dokonania wskazane transakcji, a przez to nie można uznać, aby złożyła oświadczenie woli o wyrażeniu zgody na tę transakcję. Do takiej konkluzji prowadzą ustalenia dotyczące okoliczności poprzedzających dokonanie tego przelewu, a także samo dokonanie przelewu. Jak bowiem ustalono powódka otrzymała wiadomość sms o zadłużeniu wobec (...) S.A. na kwotę 13,11 zł, w której to wiadomości znajdował się link do strony internetowej. Powódka w link ten kliknęła w skutego czego doszło do przekierowania jej na stronę, która przypominała stronę internetową pozwanego, jednak w rzeczywistości stroną tą nie była. W ten sposób doszło do wyłudzenia od powódki loginu i hasała do logowania. W momencie bowiem, kiedy powódka dane te wpisywała na stronie imitującej stronę pozwanego, w tym samym czasie inna nieustalona osoba z wykorzystaniem tych danych zalogowała się do usługi (...) online, a następnie dokonała przewalutowania kwoty 5.000 euro. Następnie ta nieustalona osoba, wykorzystując smsKod wpisany przez powódką na stronie imitującej stronę pozwanego, dokonała przelewu z rachunku powódki kwoty 27.500 zł. Trzeba podkreślić, że powódka wpisując otrzymany smsKod nie była świadoma, że przelew ma być wykonany na wskazaną kwotę. Była bowiem przekonana, że chodzi o transakcję 13,11 zł. Taka informacja widniała bowiem na stronie imitujące stronę pozwanego, na której powódka otrzymany smsKod wpisała. Należy w tym miejscu zaznaczyć, że powódka klikając w stronę otrzymaną w wiadomości sms postąpiła wbrew postanowieniom umowy (§ 39 ust. 6 Regulaminu Klient/Użytkownik) i w sposób lekkomyślny. Także za lekkomyślne należy uznać automatyczne wpisanie smsKod bez dokładnego przeczytania treści całej otrzymanej wiadomości. Jednocześnie jednak nie można uznać, aby zachowanie to świadczyło o umyślności, czy rażącym niedbalstwie, co zwalniałoby pozwanego z odpowiedzialności za nieautoryzowaną transakcję bądź ograniczało jego odpowiedzialność (powołany art. 46 ust. 2, 2a i 3 ustawy o usługach płatniczych). Zwraca się uwagę w orzecznictwie, że „rażące niedbalstwo” to coś więcej niż brak zachowania zwykłej staranności w działaniu. Wykładnia tego pojęcia powinna zatem uwzględniać kwalifikowaną postać braku zwykłej lub podwyższonej staranności w przewidywaniu skutków działania. Chodzi tu zatem o takie zachowanie, które graniczy z umyślnością (por. wyrok Sądu Najwyższego z dnia 29 stycznia 2009 r., sygn. akt V CSK 291/08, Lex nr 484739 i powołane tam judykaty). Uwzględniając dynamiczny charakter całego zdarzenia (od otrzymania pierwszego sms do dokonania przelewu upłynęło 7 minuty), a także to że powódka padła ofiarą ataku phishingowego w wyniku, którego została podstępnie skłoniona do podania wskazanych danych, jej działanie świadczy o niezachowaniu należytej staranności, a więc stanowi co najwyżej tzw. zwykłe, a nie rażące niedbalstwo (por. wyrok Sądu Apelacyjnego w Warszawie z dnia 24 maja 2018 r., sygn. akt VI ACa 217/17, Lex nr 2589538). Nie można bowiem pominąć, że całe zdarzenie miało miejsce w 2019 r., kiedy wiedza co do schematów ataków phishingowych nie była powszechna. Jednocześnie należy zauważyć, że powódka już kilka minut po tym jak doszło fizycznie do dokonania przelewu, skontaktowała się z pozwanym i poinformowała o dokonaniu na jej rachunku nieautoryzowanej transakcji. Powódka wypełniła zatem obowiązek, o którym mowa w art. 44 ust. 1 ustawy o usługach płatniczych. Trzeba też zaznaczyć, że z zeznań pracownika pozwanego S. M. wynika, iż w okresie kiedy doszło do dokonania nieautoryzowanej przez powódkę transakcji, pracownicy, którzy mogli dokonać blokady rachunku na który przelew został dokonany (rachunek prowadzony także przez pozwanego), pracowali wyłącznie do godziny 18:00, a dopiero obecnie pracują do godziny 22:00. Uwzględniając to, a także charakter obowiązków spoczywających na pozwanym jako profesjonalnym podmiocie zobowiązanym do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, należałoby oczekiwać od pozwanego, aby wprowadził dodatkowe instrumenty umożliwiające identyfikację podejrzanych transakcji, szczególnie tych dokonywanych z wykorzystaniem numerów IP, z których użytkownik dotychczas się nie logował, jeśli dodatkowo w krótkim czasie podejmowane są także inne czynności, np. przewalutowanie, a następnie dokonanie przelewu znacznej kwoty w stosunku do dokonywanych do tej pory operacji i stanu rachunku.

Konkludując należy stwierdzić, że skoro powódka nie autoryzowała w dniu 29 października 2019 r. przelewu na kwotę 27.500 zł, a brak autoryzacji tej transakcji nie jest był wynikiem umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy o usługach płatniczych, a przy tym nie zachodziły okoliczności, o których mowa w art. 46 ust. 2 tej ustawy, to pozwany zgodnie z art. 46 ust. 1 zd. 1 tej ustawy powinien nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji zwrócić powódce kwotę nieautoryzowanej transakcji płatniczej, tj. 27.500 zł. Skoro stwierdzenie, że transakcja była nieautoryzowana mogło nastąpić już w dniu 29 października 2019 r., kiedy to powódka o tym fakcie poinformowała pozwanego, to wskazaną kwotę pozwany powinien zwrócić powódce najpóźniej do końca kolejnego dnia roboczego tj. 30 października 2019 r. Od dnia następnego, tj. 31 października 2019 r. pozwany pozostawał już w opóźnieniu ze spełnieniem tego świadczenia. Od tego dnia należne były zatem powódce odsetki ustawowe za opóźnienie, o których mowa w art. 481 § 1 i 2 k.c. Jednocześnie należy podkreślić, że wbrew twierdzeniom pozwanego nie można uznać, aby fakt, iż środki w kwocie 23.501,10 zł zostały uznane za dowód rzeczowy i przechowywane są na rachunku na który zostały przelane z rachunku powódki, sprawiał, że co do tej kwoty powództwo nie zasługiwało na uwzględnienie. Przedmiotem oceny w niniejszej sprawie było bowiem to, czy transakcja na kwotę 27.500 zł była autoryzowana, czy też nie przez powódkę. Brak autoryzacji tej transakcji jest wystarczającą przesłanką do uznania, że wskazaną kwotę pozwany powinien zwrócić na rzecz powódki.

Sąd Rejonowy zasądził zatem w pkt 1. wyroku od pozwanego na rzecz powódki 27.500 zł wraz z odsetkami ustawowymi za opóźnienie od dnia 31 października 2019 r. do dnia zapłaty, a w pkt. 2 wyroku oddalił powództwo w pozostałym zakresie.

O kosztach procesu Sąd Rejonowy orzekła na podstawie art. 100 zd. 2 k.p.c. w zw. z art. 98 § 1, 1 ¹ i 3 k.p.c. i art. 99 k.p.c. Powódka uległa tylko co do nieznacznej części swego żądania, a zatem koszty procesu w całości powinien ponieść pozwany. Na koszty procesu poniesione przez powódkę złożyły się: opłata od pozwu w kwocie 1.000 zł, koszty zastępstwa procesowego w kwocie 3.600 zł (§ 2 pkt 5 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych) oraz uiszczona opłata skarbowa od pełnomocnictwa w kwocie 17 zł. Łączne poniesione przez powódkę koszty procesu wyniosły zatem 4.617 zł i taką też kwotę Sąd zasądził od pozwanego na rzecz powódki w pkt. 3 wyroku.

W pkt. 4 wyroku Sąd zwrócił pozwanemu kwotę 84,89 zł tytułem niewykorzystanej zaliczki. Z uiszczonej przez pozwanego zaliczki w kwocie 2.000 zł, kwota 1.915,11 zł została bowiem wykorzystana na wynagrodzenie biegłego.

(...) Bank (...) S.A. w W. zaskarżył wyrok apelacją w całości. Zarzucił Sądowi Rejonowemu:

1. naruszenie przepisów postępowania, które miało wpływ na wynik sprawy tj. art. 233 § 1 KPC poprzez błędną i sprzeczną z zasadami logiki i doświadczeniem życiowym, ocenę zebranego w sprawie materiału dowodowego i w konsekwencji:

a.  błąd w ustaleniach faktycznych polegający na przyjęciu, że:

-

udostępniając Login, PIN i dwukrotnie smsKod osobom nieuprawnionym,

-

logując się do usług elektronicznych z wykorzystaniem linku przesłanego SMS-em, bez weryfikacji nadawcy tego SMS-a bez weryfikacji przez powódkę, czy znajduje się na stronach pozwanego banku,

-

wpisując smsKod dotyczący spornej transakcji na kwotę 27.500,00 zł bez zapoznania się z jego treścią,

-

nie zapoznając się z zasadami bezpieczeństwa wyrażonymi w Regulaminie usług (...) dla klientów indywidualnych oraz w przesłanymi do usług (...) komunikatami o zagrożeniach w Internecie,

takim działaniom powódki nie można przypisać rażącego niedbalstwa,

b.  błąd w ustaleniach faktycznych polegający na pominięciu dowodu z nagrania rozmowy

telefonicznej zapisanej na CD (w aktach sprawy) przeprowadzonej tuż po zdarzeniu, z której wynika, że powódka wykonała czynności bezrefleksyjnie z pominięciem jakiejkolwiek ostrożności.

I tak odnośnie sms-a z linkiem oświadczyła cyt.: Nie wiem co to jest, ale dobra zrobię (nagranie_l_l_601578040-w ⁷av ok. minuty 1:30-2:10)

c.  błąd w ustaleniach faktycznych polegający na przyjęciu, że przekonanie powódki o

dokonywaniu przelewu na kwotę 13,11 zł było wystarczające i uzasadniało zaniechanie czynności wskazanych w lit. a niniejszego punktu,

d.  błąd w ustaleniach faktycznych polegający na przyjęciu, że przeczytanie przez powódkę

smsKod-u dotyczącego spornej transakcji na kwotę 27.500,00 zł po autoryzacji transakcji nie świadczy o dopuszczeniu się przez powódkę rażącego niedbalstwa,

e.  błąd w ustaleniach faktycznych polegający na przyjęciu, że w 2019 roku wiedza co do

schematów ataków phishingowych nie była powszechna podczas, gdy podstawową wiedzę w tym zakresie powódka mogła powziąć z Regulaminu usług (...) online dla klientów indywidualnych oraz komunikatów przesyłanych przez pozwanego, a zapoznanie się z nimi było obowiązkiem powódki wynikającym z zawartej między stronami Umowy,

f.  błąd w ustaleniach faktycznych polegający na przyjęciu, że transakcja na kwotę 27.500,00 zł nie była autoryzowana przez powódkę podczas, gdy pozwany wykazał nie tylko uwierzytelnienie użytkownika usług (...) online, ale również czynność autoryzacji,

g.  błąd w ustaleniach faktycznych polegający na przyjęciu, że:

-

autoryzacja następuje poprzez smsKod wysłany na numer telefonu, podczas gdy zgodnie Regulaminem usług (...) online dla klientów indywidualnych, autoryzacja następuje również poprzez wybranie na ekranie odpowiedniego przycisku (§18 ust. 6 lit. a ww. Regulaminu)

i wskutek tego przyjęcie, że przewalutowanie pomiędzy rachunkiem walutowym a złotowym powódki nie wymagało autoryzacji, gdyż autoryzacja między rachunkami własnymi użytkownika usług elektronicznych odbywa się w drodze wybrania na ekranie odpowiedniego przycisku,

h.  błąd w ustaleniach faktycznych polegający na przyjęciu, że sms-Kod przesłany o godzinie 18:24 służył do uwierzytelnienia przelewu podczas, gdy o 18:24 nie przesłano żadnego sms-Kodu, a sms-Kod przesłany o 18:23 służył do autoryzacji transakcji, który powódka wprowadziła,

i wskutek tego zamienne używanie pojęcia uwierzytelnienie i autoryzacja, podczas gdy zgodnie z § 2 pkt 3 Regulaminu usług (...) online dla klientów indywidualnych autoryzacja to udzielnie zgody przez klienta na wykonanie dyspozycji przed jej realizacją przez pozwany bank, w sposób określony w Umowie lub Regulaminie poprzedzone uwierzytelnieniem,

2. naruszenie prawa materialnego tj. art. 46. ust. 3 Ustawy o usługach płatniczych poprzez jego niezastosowanie i przyjęcie przez Sąd I instancji że powódka nie odpowiada za wszystkie transakcje płatnicze wykonane w dniu 29.10.2019 r. w pełnej wysokości w sytuacji, gdy ze

zgromadzonego w sprawie materiału dowodowego wynika, że powódka próbowała się zalogować do usług (...) online niezgodnie z Umową usług (...) online dla klientów indywidualnych z 1.10.2018 r., a przede wszystkim wprowadziła aż dwa razy sms-Kod w warunkach odbiegających od standardowych i to jednocześnie otrzymując w treści sms-kodów informacje wskazujące treść dokonywanych czynności, które nie pokrywały się z rzekomo dokonywanymi przez powódkę tj. nie w celu zapłaty 13,11 zł, przez co na skutek rażącego niedbalstwa naruszyła postanowienia umowy ramowej oraz art. 42 ust. 1 pkt) i ust. 2 Ustawy o usługach płatniczych, wobec czego powódka odpowiada w pełnej wysokości za wszystkie kwestionowane transakcje z 29.10.2019 r.

Pozwana wniosła zamianę zaskarżonego wyroku w całości i oddalenie powództwa w całości oraz zasądzenie oraz zasądzenie od powódki na rzecz pozwanego kosztów procesu za obie instancje, w tym kosztów zastępstwa procesowego według norm przepisanych, ewentualnie na wypadek uznania przez Sąd, że nie zachodzi podstawa do zmiany i oddalenia w całości zaskarżonego wyroku, o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy Sądowi I instancji do ponownego rozpoznania, pozostawiając temu Sądowi rozstrzygnięcie o kosztach postępowania apelacyjnego.

W odpowiedzi na apelację powódka wniosła o jej oddalenie i zasądzenie od pozwanego zwrotu kosztów procesu, w tym zastępstwa procesowego według norm przepisanych.

Sąd Okręgowy zważył, co następuje:

Apelacja jest uzasadniona.

Sąd Okręgowy podziela ustalenia faktyczne Sądu Rejonowego i przyjmuje za własne (art.382 k.p.c.) Podziela ocenę dowodów dokonana przez Sąd Rejonowy oraz podstawę prawną rozstrzygnięcia. Nie podziela natomiast sposobu zastosowania art.46 ust.3 i 42 ust.1 pkt 1) ustawy o usługach płatniczych.

Częściowo błędnie został postawiony zarzut naruszenia przez Sąd Rejonowy art.233 § 1 k.p.c. Apelujący odnosi jego naruszenie do oceny rażącego niedbalstwa (zarzut 1.a., 1.c., 1.d., 1.f., 1.g). Pkt 1.a., 1.c., 1.d. dotyczy oceny materialnoprawnej wymienionych w nim faktów pod kątem stopnia nienależytej staranności i art.46 ust.3 w zw.z art.42 ust.1 pkt 1) ustawy o usługach płatniczych. Fakty wymienione w pkt 1.a. i przekonanie powódki wymienione w pkt 1.c. ustalił wszak Sąd Rejonowy. Pkt 1.f. dotyczy oceny faktów pod kątem autoryzacji, a więc także oceny materialnoprawnej pod kątem art.40 ustawy. Natomiast pkt 1.g. dotyczy sposobów autoryzacji transakcji przewalutowania, a więc odnieść go trzeba do Regulaminu wykonywania usług płatniczych.

Sąd Rejonowy nie ustalił, aby do autoryzacji przewalutowania potrzebne było wpisanie sms-kodu. Kwestie przewalutowania nie są istotne dla rozstrzygnięcia. Oczywiście rację ma apelujący, że autoryzacja przewalutowania wymagała jedynie wybrania na ekranie odpowiedniego przycisku (§ 18 ust.6 pkt a i b Regulaminu k.71v) Istotne są okoliczności autoryzacji samego przelewu kwoty 27.500 zł. Z kolei w kwestii autoryzacji ocena Sądu Rejonowego jest prawidłowa. Udowodnić ją powinien dostawca użytkownika (art.45 ust.1 ustawy) Autoryzacja to oświadczenie woli osoby użytkownika. Wynika t jasno z art.40 ust.1 ustawy. Na transakcję musi wyrazić zgodę płatnik, a nie ktokolwiek. Bezsporne jest, że kod sms został wpisany na prawdziwej stronie pozwanego nie przez powódkę, ale przez osobę o nieustalonej tożsamości – oszusta. Samo użycie kodu autoryzującego nie oznacza autoryzacji. Autoryzacja byłaby prawidłowo dokonana, gdyby powódka uwierzytelniła się na stronie płatności elektronicznych pozwanego i następnie autoryzowała transakcję przelewu. Czynności te mogą zostać też dokonane przez przedstawiciela ustawowego płatnika albo pełnomocnika. Samo zatem użycie narzędzi do uwierzytelniania i autoryzacji nie przesądza o uwierzytelnieniu i autoryzacji. (tezy 6-9, 48, 50 do art.40 ustawy o usługach płatniczych Osajda/Dybiński Legalis, w pkt 2 do tezy 48 wprost wymienia jako przykład nieautoryzowanej transakcji zlecenie płatnicze złożyła osoba podszywająca się pod płatnika, rozwija myśl w tezy 50, podając adekwatny do niniejszej sprawy przykład w tezie 50.4)

Zarzut naruszenia art.233 § 1 k.p.c. dotyczy oceny dowodów. Jako taki dotyczy go pkt 1.b. apelacji. Apelujący zarzuca pominięcie przez Sąd Rejonowy rozmowy telefonicznej nagranej na płycie CD, na której słowa powódki przytoczone w zarzucie mają świadczyć o jej bezrefleksyjnym podejściu. Otóż zapoznanie się z nagraniem pozwoliło Sądowi Rejonowemu na ustalenie, że powódka wypowiedziała słowa: Nie wiem, co to jest, ale dobra zrobię. Tyle tylko, że słowa te odnoszą się do treści sms-a, który powódka otrzymała feralnego dnia o godzinie 18.16 o rozpoczęciu egzekucji kwoty 13,11 zł na rzecz (...), a nie odnosi się do innych faktów, w tym przede wszystkim treści sms-a z 18.23.58. Nie ma sporu, że ze względu na bagatelną kwotę 13,11 zł powódka chciała ją jak najszybciej zapłacić i nie zaprzątać się sobie tym głowy. To natomiast, że powódka nie dochowała należytej staranności logując się na stronie przez link przysłany w tym sms-się, jest oczywiste i jako takie zostało ocenione przez Sąd I instancji.

Zarzut naruszenia art.233 § 1 k.p.c. dotyczy nieprawidłowego ustalenia przez Sąd Rejonowy, który sms posłużył do autoryzacji przelewu na kwotę 27.500 zł na rzecz A. K. (1). Otóż rzeczywiście Sąd Rejonowy przyjął najpierw, że chodzi o sms z 18.23, co jest oparte na wydruku z telefonu komórkowego powódki (k.114) Jest to nielogiczne z ustaleniem Sądu, że o 18.23.58 oszust przygotował dyspozycję przelewu kwoty 27.500 zł. trudno, aby przez dwie sekundy ją przygotował. Na kolejnej stronie uzasadnienia Sąd Rejonowy ustalił, że sms-kod do autoryzacji (nazwany przez Sąd nieprawidłowo do uwierzytelnienia) jest z 18.24.28. Otóż jak wynika z wydruku operacji przedstawionej przez pozwanego oraz z opinii biegłego logowanie przez oszusta na strone pozwanego miało miejsce o 18.23.11, następnie o 18.23.35 doszło do przewalutowania kwoty 5.000 EURO na PLN, następnie o 18.23.58 przygotowano dyspozycję i wygenerowano sms-kod (przelew kwoty 27.500 zł na rzecz A. K. (1)). Wygenerowanie dyspozycji nie miało miejsca w tej samej sekundzie, co wygenerowanie sms-koda, ale kilka sekund wczesnej. Sms z 18.23.58 dotyczył tej dyspozycji i zawierał jej dane – przelew kwoty 27.500 zł na rzecz A. K. (1) oraz nr rachunku bankowego. Ten sms posłużył do autoryzacji, a dokładnie do użycia tego sms-a do wpisania go przez oszusta na stronie pozwanego celem autoryzacji transakcji przelewu kwoty 27.500 zł. ta czynność miała miejsce o 18.24.28. (to, ze nie była to autoryzacja, wynika z prostego faktu, ze wpisania sms-a na stronie pozwanego dokonał oszust, a nie powódka, chodzi wiec o użycie danych do autoryzacji) Uporządkowanie tych faktów jest konieczne, ale niczego nie zmienia co do faktów istotnych dla rozstrzygnięcia. Ciąg zdarzeń przedstawiony został przez Sąd Rejonowy generalnie prawidłowo, a wpisanie kodu z sms-a przez powódkę na stronie nie-banku bez przeczytania przed wykonaniem tej czynności, że dotyczy kwoty 27.500 zł na rzecz A. K. (1), a następnie użycie tego sms-kodu przez oszusta przez wpisanie go na stronie pozwanego jest bezsporne.

Istota sprawy nie sprowadza się do kwestii uwierzytelnienia i autoryzacji, ale do tego, że powódce można przypisać rażące niedbalstwo. Zatem do wykładni i zastosowania art.46 ust.3 i 42 ust.1 pkt 1) ustawy.

W okolicznościach sprawy nie ma mowy o winie umyślnej. Powódka nie była świadoma, że przelewa taką kwotę na konto A. K. (1). Nikt nie stawia powódce zarzutu działania umyślnego, do czego ta świadomość byłaby konieczna. Powódka wykonała czynność zamieszczenia sms-kodu na fałszywej stronie banku (czyli nie na stronie banku) automatycznie i bezrefleksyjnie, co w okolicznościach sprawy jest oczywiste. Gdyby była świadoma konsekwencji tego działania, nie zrobiłaby tego, bo nie miała żadnych podstaw do autoryzacji takiego przelewu, a jak należy zakładać, racjonalnie dysponuje swoimi pieniędzmi. Rzecz w tym jednak, czy nie mając zamiaru autoryzacji transakcji i nie mając świadomości skutków wpisania kodu na fałszywej stronie banku (stronie nie-banku), a więc nie przewidując szkody jako skutku swojego działania powódka powinna taki skutek przewidzieć, gdyby zachowała podstawową, elementarną staranność.

W odniesieniu do pojęcia rażącego niedbalstwa z art.827 § 1 k.c. Sąd Najwyższy wyraził trafny pogląd, że rażące niedbalstwo można przypisać w wypadku nieprzewidywania szkody jako skutku m.in. zaniechania ubezpieczającego, o ile doszło do przekroczenia podstawowych elementarnych zasad staranności. (Wyrok Sądu Najwyższego - Izba Cywilna z dnia 11 maja 2005 r. III CK 522/04) Rażące niedbalstwo polega na przekroczeniu podstawowych, elementarnych zasad staranności (por. wyr SN z 16.1.2013 r., II CSK 202/12, Legalis). Jak wskazuje się w orzecznictwie i doktrynie, rażące niedbalstwo to kwalifikowana postać winy nieumyślnej, oznaczająca zachowanie odbiegające w sposób rażący od przyjętego miernika staranności, polegające na zaniedbaniu takich reguł staranności, których dochowanie jest czymś absolutnie oczywistym w świetle doświadczenia życiowego dostępnego każdemu przeciętnemu uczestnikowi obrotu prawnego. (teza 1 do art.827 KC Komentarz Gutowski/ Raczyński Legalis) Przy jego ocenie powinna być brana pod uwagę sytuacja, w jakiej znalazł się sprawca szkody, przy uwzględnieniu miernika staranności przeciętnego człowieka, który znalazł się w takiej samej sytuacji. Zgodnie z poglądem SN stopień naganności zachowania kwalifikowanego jako rażące niedbalstwo wyznaczają okoliczności konkretnego stanu faktycznego. Obowiązek uruchomienia w takich okolicznościach wyższych aktów staranności musi więc być oceniany jako mieszczący się w regułach przewidywalności. (wyr. SN z 7.3.2008 r., III CSK 270/07, Legalis) (też teza 11 do art.827 KC Komentarz Osajda/Borysiak Legalis)

Prawdą jest, że jak pokazują badania aktowe orzecznictwo sądowe w Polsce na ogół bardzo wąsko interpretuje przesłankę rażącego niedbalstwa. Dominuje tendencja przychylna wobec użytkowników (zwłaszcza konsumentów). Nawet przypadków daleko posuniętej lekkomyślności albo zaniedbań odnośnie do zachowania środków bezpieczeństwa nie uznaje się za rażące niedbalstwo. Tym niemniej to samo orzecznictwo podaje przykłady zachowań użytkowników ocenione jako rażące niedbalstwo. Wymienia między innymi: 1)skorzystanie z linku w mailu otrzymanym od nieznanego nadawcy, który przekierowuje na fałszywą stronę internetową dostawcy, a następnie podanie kodów uwierzytelniających na tej stronie 2) wykonanie czynności na fałszywej stronie internetowej dostawcy wbrew informacjom podanym w autoryzującym komunikacie SMS; 3) podanie jednorazowego kodu podczas logowania na fałszywej stronie internetowej dostawcy. (tezy 31.9 i 31.10 Osajda/Dybiński, Czech do art.46 ustawy o usługach płatniczych Legalis) Sąd Okręgowy zdecydowanie opowiada się za oceną rażącego niedbalstwa zachowania użytkownika, który nie czyta podstawowych informacji tak ważnych dla należytego wykonania autoryzacji, jakimi są kwota transakcji i jej beneficjent.

Powódka otrzymywała przed sporną transakcją na skrzynkę odbiorczą na jej koncie płatności elektronicznych informacje o fałszywych stronach szybkich płatności. Otrzymała informacje z 29.03.2019 r., 26.06.2019 r. i 29.11.2018 r., że należy czytać sms-y co do zgodności transakcji przed potwierdzeniem: nr rachunku bankowego, dane osobowe odbiorcy, kwoty przelewu. Otrzymywała informacje, że bardzo często klienci zgłaszają, że otrzymują sms-y i mejle z prośbami o dopłatę małej kwoty do przesyłek kurierskich, faktur lub ogłoszeń w serwisach aukcyjnych zawierające link do nieprawdziwej strony internetowej szybkich płatności, kliknięcie w link prowadzi o przekierowania do fałszywej strony logowania i przejęcia podanych danych do logowania wpisanych na tą stronę przez przestępców, co może prowadzić do kradzieży pieniędzy z konta. Informacje uczulały także co do bezpiecznego korzystania z Internetu podczas dokonywania transakcji elektronicznych, nieotwieranie linków otrzymywanych we wiadomościach sms o mejlach Sąd nie bierze pod uwagę wiadomości z 29.11.2019 r., bo to dzień zdarzenia, raz, że nie wiemy, o której godzinie wiadomość wysłano, dwa, że i tak mała szansa, aby powódka natychmiast się z nią zapoznała. Z § 39 ust.6 Regulaminu wynika, że klient nie powinien używać do logowania do usługi (...)/mobile adresu lub linku przesłanego droga elektroniczną np. w wiadomości e-mail, sms, msm albo za pomocą komunikatorów internetowych. Sąd Okręgowy ocenia, podobnie, jak Sąd Rejonowy, że samo skorzystanie z linka do strony logowania przysłanego przez sms oraz uwierzytelnienie na takiej stronie może nie stanowić o rażącym niedbalstwie w wykonaniu umowy o korzystanie z usług płatniczych, ale o zwykłym niedochowaniu należytej staranności (art.355 § 1 k.c.). Jest oczywiście sprzeczne z treścią Regulaminu. Powódka powinna przeczytać Regulamin oraz ostrzeżenia na stronie www bankowych usług płatniczych. Szczególnie te ostatnie są podawane językiem przystępnym i zrozumiałym, są krótkie i trafnie opisują zagrożenia. Natomiast ten brak staranności w wykonaniu umowy trzeba oceniać w kontekście klejnego aktu nienależytej staranności w wykonaniu umowy, to jest braku przeczytania sms-kodu z poleceniem wykonania przelewu kwoty 27.500 zł na konto A. K. (2) przez jego wpisaniem na stronę nie-banku. Zgodnie z § 18 ust.12 regulaminu klient przed autoryzacją dyspozycji zobowiązany upewnić się, czy dyspozycja jest prawidłowa i odpowiada jego zamierzeniom. Brak odczytania w całości sms-sa z kodem do autoryzacji transakcji przelewu kwoty 27.500 zł na konto A. K. (2) przesądza o ocenie zachowania powódki w kategoriach rażącego niedbalstwa w wykonaniu umowy i naruszenia w tej formie art.42 ust.1 pkt 1) ustawy o usługach płatniczych. Sms-kod stanowi podstawowe zabezpieczenie przelewu. Informacje w nim zawarte są krótkie i zrozumiałe dla osób nawet o niskich zdolnościach percepcyjnych. Przede wszystkim oprócz samego kodu, we wiadomości sms są informacje o kwocie dyspozycji przelewu i beneficjencie. Czyli informacje absolutnie podstawowe. Trudno przyjąć, aby powódka nie zdawała sobie sprawy, jaką treść mają takie informacje z kodem do potwierdzenia transakcji, skoro korzystała czynnie od wielu lat z usług płatności internetowych. To jest, że są w nich zawarte informacje takie, jak nr konta, na który dokonywany jest przelew środków pieniężnych, kwota transakcji oraz jej beneficjent. Jeśli numer konta jako ciąg cyfr może być trudny do natychmiastowej weryfikacji, to już kwota transakcji i beneficjent nie. Przeczytanie takiego sms-a przesłanego na telefon użytkownika należy do podstawowych, elementarnych aktów staranności użytkownika usług płatniczych. Przyjęcie odmiennego wniosku oznacza, że dopuszcza się bezrefleksyjne autoryzacje transakcji dowolnej treści i zwalnia użytkownika z konsekwencji takiego działania. Do zachowania tego aktu staranności (przeczytania sms-sa celem ustalenia kwoty transakcji i beneficjenta) nie jest potrzebna nawet znajomość Regulaminu usług płatniczych ani ostrzeżeń zamieszczanych na stronie internetowej tych usług na koncie powódki. Wszak treści smsów autoryzacyjnych przelewy zawierają te same kategorie informacji, a powódka przelewała wcześniej kwoty pieniężne i płaciła rachunki, dokonywała zakupów przez Internet i płatności elektroniczne. Z samej praktyki korzystania z płatności elektronicznych wynika, że powódka znała strukturę tego typu sms-ów. Zatem do uniknięcia przelewu kwoty 27.500 zł na konto A. K. (2) wystarczała ze strony powódki podstawowa, elementarna uważność połączona z dbałością o interesy swoje i banku.

Powódka w pozwie wybiórczo przedstawiła fakty. Nie wskazała na treść sms-a z kodem do autoryzacji przelewu kwoty 27.500 zł na konto A. K. (2). Powódka zaakceptowała co prawda przelew na 13,11 zł, ale na fałszywej stronie banku (stronie nie-banku). Natomiast po otrzymaniu sms-a o 18.23.58 z kodem do autoryzacji przelewu kwoty 27.500 zł na konto A. K. (2) z podanym numerem konta, nie przeczytała tej wiadomości w zakresie kwoty transakcji i beneficjenta, ale jedynie w zakresie kodu autoryzacyjnego, po czym wprowadziła ten sms-kod na fałszywą stronę banku (stronę nie-banku). Racjonalnie rozumując, powódka swoje przekonanie, że autoryzuje przelew na 13,11 zł brała z akceptacji transakcji tego rodzaju na stronie nie-banku, a nie z sms-a z kodem, który by ją miał potwierdzać. Takiego sms-a na autoryzację transakcji na 13,11 zł na rzecz (...) powódka nie otrzymała. Otrzymała inny, z kodem do autoryzacji przelewu kwoty 27.500 zł na konto A. K. (2) z podanym numerem konta. Tego sms-a powódka przed wpisaniem kodu autoryzacji na stronie nie-banku nie przeczytała, oprócz treści samego kodu. Wpisując kod z sms-a na stronie nie-banku udostępniła sms-kod do wykonania przez oszusta transakcji przelewu 27.500 zł z jej konta na konto oszusta. Powódka bezwzględnie powinna była przeczytać sms-a w całości przed wpisaniem kodu. Już pobieżny rzut oka na kwotę przelewu i nazwisko odbiorcy nie tylko wzbudziłyby wątpliwości co do rodzaju transakcji, ale wskazałyby jasno, że nie tę transakcję powódka zlecała bankowi. Zresztą sama powódka przeczytała sms-a krótko po jego wpisaniu na stronie nie-banku i zorientowała się bez trudu, że padła ofiarą oszustwa. Bank tylko to potwierdził. Na skutek rażąco niedbałego zachowania powódki udostępniła ona sms-kod oszustowi, czym naruszyła § 39 ust.1 Regulaminu.

Każdy sąd ma pewien luz oceny w zakresie tego, co uzna za rażące niedbalstwo. Sąd Rejonowy miał prawo do własnej oceny, jakkolwiek można stwierdzić, że okazał się pobłażliwy dla powódki. Z ludzkiego punktu widzenia można to zrozumieć, kto z nas nie popełniał błędów w dość skomplikowanej rzeczywistości elektronicznej. Jednakże zdaniem Sądu Okręgowego błąd powódki został spowodowany niezachowaniem przez nią podstawowej, elementarnej staranności polegającej na braku weryfikacji transakcji płatniczej we wiadomości sms. Treść sms-a jest prosta, dostosowana do poziomu intelektualnego i obycia nie tylko przeciętnego człowieka, ale wręcz człowieka o niskiej inteligencji i małym społecznym rozeznaniu. Z telefonów komórkowych korzysta prawie każdy dorosły człowiek, a przesyłanie wiadomości sms jest podstawową funkcjonalnością najczęściej używaną obok prowadzenia rozmów głosowych. SMS służy do wpisania wiadomości i ich odczytywania. Brak odczytania przysłanej na telefon wiadomości, a więc brak wykonania operacji podstawowej umożliwiającej przystąpienie do procesu zrozumienia jej treści, to brak wykonania podstawowej czynności związanej z komunikacją elektroniczną. Skoro natomiast powódka korzystała z elektronicznych usług bankowych od wielu lat, to trudno przyjąć, aby nie wiedziała, jaki jest schemat sms-ów do autoryzacji transakcji, co one zawierają i jakie mają znaczenie. To, że są dodatkowym narzędziem zabezpieczającym transakcję, powódka rozumiała. Zresztą choćby w tym samym dniu, wcześniej, bo o 13.14 powódka autoryzowała przelew kwoty 204,99 zł na konto F..pl (k.114), co wskazuje na wykonywanie przez powódkę płatności elektronicznych zabezpieczanych sms-kodem. Do serwisu płatności bankowych natomiast logowała się w sierpniu, wrześniu i październiku 2019 roku wielokrotnie (k.86). To, że powódka mieszkała przez 3 lata we Włoszech niczego nie zmienia, bo posługując się zdrowym rozsądkiem, doświadczeniem życiowym i logicznym rozumowaniem nie można przyjąć, że problemy związane z oszustwami w związku usługami płatnościach elektronicznych oraz systemami autoryzacji nie były tam znane w 2019 roku czy wcześniej.

Skoro powódce można zarzucić rażące niedbalstwo w wykonaniu umowy o wykonywanie usług płatniczych z art.42 ust.1 pkt 1), powódka odpowiada za nieautoryzowaną transakcję płatniczą w pełnej wysokości (art.46 ust.3 ustawy). W konsekwencji powództwo jest bezzasadne, a wyrok Sądu Rejonowego podlegał zmianie przez oddalenie powództwa na podstawie art.386 § 1 k.p.c.

Konsekwencją oddalenia powództwa było obciążenie powódki kosztami procesu za I instancje (na podstawie art.98 § 1 , 1 ¹ i 3 k.p.c.) i za II instancje (ten przepis w związku z art.391 § 1 k.p.c.)

Koszty pozwanego poniesione w I instancji: zaliczka na koszty opinii biegłego 2.000 zł, koszty opinii wyniosły 1.915,11 zł i wynagrodzenie radcy prawnego 3.600 zł na podstawie § 2 pkt 5 i § 10 ust.1 pkt 1) rozporządzenia MS w sprawie opłat za czynności radców prawnych. Pozwanemu należy się powódki 5.515,11 zł z ustawowymi odsetkami za opóźnienie.

Koszty pozwanego poniesione w II instancji: opłata od apelacji 1.375 zł, wynagrodzenie radcy prawnej 1.800 zł wyliczona na podstawie § 2 pkt 5 i § 10 ust.1 pkt 1) rozporządzenia MS w sprawie opłat za czynności radców prawnych.

Marcin Miczke