Portal Orzeczeń Sądu Rejonowego dla Warszawy-Mokotowa w Warszawie

UZASADNIENIE

wyroku z dnia 17 marca 2021 r.

Pozwem z dnia 28 lutego 2020 r. (data prezentaty) powód B. R. wniósł o zasądzenie od P. K. O. P.Spółki Akcyjnej z siedzibą w W. kwoty 45.000 zł wraz z odsetkami ustawowymi za opóźnienie od dnia 10 września 2019 r. do dnia zapłaty. Nadto wniósł o zasądzenie zwrotu kosztów procesu, w tym zwrotu kosztów zastępstwa procesowego według norm przepisanych, wraz z odsetkami ustawowymi za opóźnienie.

W uzasadnieniu pozwu powód wskazał, iż dochodzi zapłaty z tytułu zwrotu nieautoryzowanych przez powoda transakcji płatniczych, dokonanych z rachunku powoda prowadzonego przez pozwany bank. Powód powołał się na przepisy ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (zwana dalej „u.u.p.”).

(pozew k. 1-12)

W odpowiedzi na pozew pozwany wniósł o oddalenie powództwa w całości oraz zasądzenie od powoda na rzecz pozwanego zwrotu kosztów procesu, w tym kosztów zastępstwa procesowego według norm przepisanych.

W uzasadnieniu pozwany przyznał, że powód jest jego klientem oraz że w dniu 29 sierpnia 2019 r. doszło do wykonania z rachunku powoda przelewów, o których mowa w pozwie. Powód skorzystał z linku otrzymanego w wiadomości od osoby trzeciej i podał poufne dane na stronie otwartej z tego linku, mimo że na stronach internetowych banku publikowane są informacje o tym, że logując się do serwisów banku, nie należy korzystać z linków nieznanego pochodzenia, umieszczonych w wiadomościach e-mail i sms bądź na stronach www nienależących do banku; że linki te mogą prowadzić na fałszywą stronę banku i służą wyłudzaniu poufnych danych od klientów. Podanie danych autoryzacyjnych na stronie internetowej otwartej z linku nieznanego pochodzenia w sytuacji, gdy bank ostrzega przed takim postępowaniem, można – zdaniem pozwanego – uznać za rażąco niedbałe, co zgodnie z art. 46 ust. 3 u.u.p. skutkuje pełną odpowiedzialnością powoda za nieautoryzowane operacje.

(odpowiedź na pozew k. 98-105)

Do czasu zamknięcia rozprawy strony niniejszego postępowania podtrzymały swoje dotychczasowe stanowiska w sprawie.

Sąd ustalił, co następuje:

W dniu 27 lutego 2019 r. powód zawarł z P. P. Spółką Akcyjną z siedzibą w W. umowę o prowadzenie bankowego rachunku oszczędnościowo-rozliczeniowego Konto A. o nr (...). W ramach tej umowy powód korzystał z usług bankowości elektronicznej. Ponadto otwarty został dla powoda rachunek oszczędnościowy o nr (...) skorelowany z rachunkiem oszczędnościowo-rozliczeniowym.

(bezsporne, a nadto umowa rachunku k. 121-122)

W dniu 08 września 2019 r. powód dostrzegł w historii rachunków bankowych transakcje, których nie zlecał. Były to następujące przelewy z dnia 29 sierpnia 2019 r.:

1.  z rachunku o nr (...) należącego do powoda na rachunek o nr (...) należący do nieznanego powodowi odbiorcy o danych S. M. na kwotę 21.500 zł,

2.  z rachunku o nr (...) należącego do powoda na rachunek powoda o nr(...) (...)na kwotę 23.500 zł,

3.  z rachunku o nr (...)należącego do powoda na rachunek o nr (...) należący do nieznanego powodowi odbiorcy o danych S. M. na kwotę 23.500 zł.

(bezsporne)

Dostęp do rachunków bankowych powoda posiadał wyłącznie powód. Logowania następowały wyłącznie przy użyciu sprzętu posiadającego legalne oprogramowanie, który wyposażony był w program antywirusowy. Żadne dane wymagane do uzyskania dostępu do bankowości internetowej powoda np. hasło lub login, nie były zapisane w pamięci przeglądarki internetowej. Ponadto powód nie zapisywał ich na żadnych nośnikach.

(zeznania powoda k. 154-156)

Logowanie, które nastąpiło na rachunki bankowe powoda w dniu 29 sierpnia 2019 r. o godzinie 23:34, w wyniku którego doszło następnie do nieautoryzowanych przelewów, nastąpiło z innego adresu IP niż adres powoda. Do zdarzenia doszło w wyniku tzw. phishingu. Jest to forma oszustwa, polegająca na podszyciu się przez przestępców pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji typu np. dane do logowania lub dane karty kredytowej, bądź też zainfekowania komputera szkodliwym oprogramowaniem. W dniu 29 sierpnia 2019 r. powód padł ofiarą takich działań, gdyż nieznana osoba przy pomocy fałszywej wiadomości „. wysłanej ze skrzynki (...) uzyskała login i hasło do jego bankowości elektronicznej poprzez podszycie się pod serwis internetowy pozwanego banku, z którego to fałszywego serwisu powód wykonał przelew na kwotę 1,36 zł. W tamtym czasie powód kupował kilka akcesoriów samochodowych na portalu (...) i wykonywał kilka przelewów za te zakupy. Uznał, że mógł w którymś przelewie jakiejś kwoty nie dopłacić. Kliknął więc w link prowadzący do systemu płatności i wykonał przelew brakującej kwoty. Według niego, to była strona systemu płatniczego stosowana przy zakupach na allegro. Były tam prostokąty z wyborem banku. Powód wybrał z tej strony (...). Podał login i hasło. Nie było żadnego kodu sms przy logowaniu. Następnie wykonał przelew na kwotę 1,36 zł. Autoryzował przelew sms-em. Kolejny raz powód zalogował się 08 września 2019 r. o wtedy zauważył, że ktoś wykonał z jego konta przelewy na łączną kwotę 45.000 zł.

(zeznania powoda k. 154-156)

Logowanie do serwisu internetowego pozwanego banku odbywa się poprzez podanie loginu i hasła, dodatkowo wyświetla się obrazek bezpieczeństwa. W przypadku powoda, powód zalogował się poprawnie do serwisu internetowego banku, nie wyświetlił mu się jednak obrazek bezpieczeństwa, a następnie zdefiniował szablon zaufanego odbiorcy i przelał kwotę 1,36 zł – które to czynności wymagały autoryzacji sms-kodem. W pierwszym sms-ie widniała informacja, że jest to autoryzacja nowego odbiorcy, a w drugim sms-ie była podana informacja o autoryzacji kwoty 1,36 zł. Kolejne przelewy, które odbyły się bez wiedzy powoda, były nieautoryzowane, w wyniku wprowadzenia rzeczonego zaufanego odbiorcy. Z punktu widzenia systemu bankowego pozwanego banku nieautoryzowane transakcje na łączną kwotę 45.000 zł zostały zlecone przez powoda.

Na stronach internetowych banku publikowane są informacje o tym, że logując się do serwisów banku, nie należy korzystać z linków nieznanego pochodzenia, umieszczonych w wiadomościach e-mail i sms bądź na stronach www nienależących do banku; że linki te mogą prowadzić na fałszywą stronę banku i służą wyłudzaniu poufnych danych od klientów. Na początku 2019 r. prowadzona była dodatkowo specjalna kampania dotycząca bezpieczeństwa w sieci.

(zeznania świadka J. G. zapisane na nośniku CD k. 145)

Tego samego dnia, tj. 08 września 2019 r. złożył zawiadomienie na policję, jak też reklamację do pozwanego banku.

Zostało wszczęte w tym zakresie postępowanie przygotowawcze prowadzone przez KRP W. (...) pod nadzorem Prokuratury Rejonowej W.-W.. Dochodzenie pod sygn. (...), zostało najpierw umorzone postanowieniem z dnia 19 marca 2020 r., a następnie Sąd uchylił postanowienie o umorzeniu dochodzenia.

Z kolei reklamacją skierowaną do pozwanego banku powód zażądał zwrotu kwoty 45.000 zł. W odpowiedzi na reklamację powoda bank pismem z dnia 09 września 2019 r. wskazał na brak podstaw do zwrotu żądanej kwoty. Powód złożył odwołanie od tego stanowiska banku pismem z dnia 11 września 2019 r., a pozwany bank pismem z dnia 02 października 2019 r. podtrzymał swoje poprzednie stanowisko. W wyniku tego powód złożył pismo do pozwanego banku w dniu 25 października 2019 r., w którym przedstawił swoje argumenty przemawiające za żądaniem zwrotu dochodzonej kwoty. Powód też w dniu 11 września 2019 r. złożył wniosek o podjęcie interwencji do Rzecznika Finansowego. Rzecznik Finansowy w swoim stanowisku z dnia 03 stycznia 2020 r. skierowanym do pozwanego banku poprosił o ponowne rozpatrzenie sprawy powoda.

(potwierdzenie złożenia zawiadomienia na Policji k. 25; pismo KRP W. (...) z dnia 19 września 2019 r. k. 60; postanowienie Sądu k. 142-143; reklamacja powoda k. 23-24; odpowiedź banku na reklamację k. 26-28; odwołanie powoda od stanowiska banku k. 29-32; pismo banku k. 33-36; pismo powoda k. 37-39; wniosek o podjęcie interwencji k. 40-43; stanowisko Rzecznika Finansowego k. 49-59)

Zgodnie z § 14 ust. 3 regulaminu świadczenia usług bankowości elektronicznej, obowiązującym w pozwanym banku, klienta obciążają w pełnej wysokości nieautoryzowane transakcje płatnicze, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia, co najmniej jednego z obowiązków, o których mowa w § 12 ust. 1-3 oraz § 13 ust. 1.

Z kolei zgodnie z § 12 ust. 1-4 oraz § 13 ust. 1 w/w regulaminu:

1.  Klient jest zobowiązany do logowania oraz wykonywania dyspozycji za pośrednictwem elektronicznych kanałów dostępu wyłącznie osobiście z użyciem instrumentów uwierzytelniających.

2.  Klient jest zobowiązany do zachowania w tajemnicy informacji zapewniających bezpieczne korzystanie z usług bankowości elektronicznej, w tym informacji przekazanych P. P. S.A. dla celów weryfikacji oraz nieudostępniania i nieujawniania innym osobom instrumentów uwierzytelniających.

3.  Klient jest zobowiązany do należytego zabezpieczenia urządzeń i oprogramowania, o których mowa w § 3 ust. 2, którymi posługuje się w celu korzystania z usług bankowości elektronicznej poprzez stosowanie:

1)  wyłącznie legalnego oprogramowania, jego bieżącą aktualizację i instalację poprawek systemowych zgodnie z zaleceniami producentów,

2)  aktualnego oprogramowania antywirusowego i antyspamowego oraz zapory firewall,

3)  najnowszych wersji przeglądarek internetowych,

4)  haseł zabezpieczających przed nieuprawnionym dostępem do komputera osób trzecich.

4.  Szczegółowy opis środków, jakie powinien przedsięwziąć Klient w celu zapewnienia bezpieczeństwa dostępu do usług bankowości elektronicznej podawany jest do wiadomości Klientów i Użytkowników na stronie internetowej, oraz w serwisie telefonicznym.

5.  Klient jest zobowiązany do niezwłocznego zgłoszenia utraty, kradzieży, przewłaszczenia, nieuprawnionego użycia albo zniszczenia instrumentów uwierzytelniających bądź nieuprawnionego dostępu do usług bankowości elektronicznej:

1)  w serwisie telefonicznym pod numerami telefonów, dostępnymi 24 godziny na dobę, podanymi na stronie internetowej,

2)  w oddziałach P. P. S.A., których aktualny wykaz dostępny jest na stronie internetowej,

3)  za pośrednictwem serwisu internetowego.

(regulamin świadczenia usług bankowości elektronicznej k. 125-130)

Powyższy stan faktyczny Sąd ustalił na podstawie wskazanych powyżej dokumentów, które Sąd w całości uznał za wiarygodne, gdyż ich rzetelność i prawdziwość nie była przez strony kwestionowana oraz w oparciu o okoliczności między stronami bezsporne.

Sąd uznał, że zeznania powoda stanowiły pełnowartościowy dowód w sprawie. Zeznania te były spójne, logiczne, a nadto korelowały z pozostałym zebranym w sprawie materiałem dowodowym. Ani zeznania świadka, ani dowody z dokumentów, nie podważyły wiarygodności zeznań powoda.

Za wiarygodne Sąd uznał zeznania świadka J. G., pracownika pozwanego banku. Sąd wziął pod uwagę ogólną wiedzę świadka o procedurach obowiązujących w banku oraz okoliczności zlecenia nieautoryzowanych przelewów, będące przedmiotem sporu i w tym zakresie Sąd dał wiarę świadkowi w całości.

Sąd zważył, co następuje:

Powództwo nie mogło podlegać uwzględnieniu.

Stosownie do art. 6 k.c. i art. 232 k.p.c. na powodzie ciąży obowiązek wykazania roszczenia - zarówno co do zasady jak i wysokości. Powód nie wywiązał się z tego obowiązku.

Zgodnie z art. 46 ust 3 ustawy z dnia 19 sierpnia 201l r. o usługach płatniczych płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy. Podobny zapis znalazł się w § 14 ust. 3 regulaminu świadczenia usług bankowości elektronicznej pozwanego banku.

W wyroku z dnia 24 maja 2018 r. Sąd Apelacyjny w Warszawie w sprawie sygn. akt VI ACa 217/17 wskazał, że „jeśli transakcje zostały zrealizowane bez zgody płatnika oraz w okolicznościach, za które nie ponosi on odpowiedzialności, a następnie płatnik dokonał zgłoszenia wystąpienia nieautoryzowanych transakcji, to na dostawcy ciąży obowiązek zwrotu kwot nieautoryzowanych transakcji. Jeśli jednak do nieautoryzowanych transakcji płatnik doprowadził umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia swoich obowiązków (o których mowa w art. 42 ustawy z 2011 r. o usługach płatniczych), wówczas to on, a nie dostawca odpowiada za nieautoryzowane transakcje ”. W podobnym tonie wypowiedział się Sąd Okręgowy w Warszawie w sprawie o sygn. akt V Ca 1275/19 w wyroku z dnia 11 grudnia 2020 r.

W oparciu o zebrany w sprawie materiał dowodowy Sąd Rejonowy ustalił, że sam powód doprowadził do tego, że przestępcy znaleźli dostęp zarówno do loginu jak i hasła, jak i sms-kodów i to umożliwiło im wyprowadzenie pieniędzy z kont powoda – rachunku rozliczeniowo-oszczędnościowego o nr (...)i rachunku oszczędnościowego o nr (...).

W ocenie Sądu okoliczność ta bezspornie wskazywała, że to powód dopuścił się rażącego niedbalstwa.

Istotnym było ustalenie, czy w niniejszej sprawie niedbalstwo po stronie powodowej miało cechy rażącego niedbalstwa, jako kwalifikowanej formy winy czy cechy „zwykłego” niedbalstwa, o czym decydowało ustalenie wzorca staranności, wymaganego w stosunkach danego rodzaju.

Zgodnie z treścią art. 355 § 1 k.c. „dłużnik obowiązany jest do staranności ogólnie wymaganej w stosunkach danego rodzaju (należyta staranność).”

Co do zasady przez należytą staranność należy rozumieć staranność ogólnie wymaganą w stosunkach danego rodzaju. Jej wzorzec ma charakter obiektywny, a z kolei jego zastosowanie w praktyce polega najpierw na dokonaniu wyboru modelu ustalającego optymalny w danych warunkach sposób postępowania, odpowiednio skonkretyzowanego i aprobowanego społecznie, a następnie na porównaniu zachowania się dłużnika z takim wzorcem postępowania. O tym, czy na tle konkretnych okoliczności można osobie zobowiązanej postawić zarzut braku należytej staranności w dopełnianiu obowiązków, decyduje nie tylko niezgodność jej postępowania z modelem, lecz także uwarunkowana doświadczeniem życiowym możliwość i powinność przewidywania odpowiednich następstw zachowania. Miernik postępowania dłużnika, którego istotą jest zaniechanie dołożenia staranności, nie może być formułowany na poziomie obowiązków niedających się wyegzekwować, oderwanych od doświadczeń, reguł zawodowych, konkretnych okoliczności czy typu stosunków (zob. wyroki SN z dnia 17 maja 2002 r., I CKN 1180/99; z dnia 23 października 2003 r., V CK 311/02; z dnia 08 lipca 1998 r., III CKN 574/97).

Pojęcie należytej staranności jest miernikiem ustalenia winy w postaci niedbalstwa, gdy stanowi ona przesłankę zastosowania określonego przepisu (wyrok Sądu Najwyższego z dnia 30 marca 2000 r. sygn. akt III CKN 709/98).

O stopniu niedbalstwa świadczy stopień staranności, jakiego w danych okolicznościach można wymagać od sprawcy. Niezachowanie podstawowych, elementarnych zasad ostrożności, które są oczywiste dla większości rozsądnie myślących ludzi, stanowi o niedbalstwie rażącym. Poziom elementarności i oczywistości wyznaczają okoliczności konkretnego stanu faktycznego, związane m.in. z osobą sprawcy, ale przede wszystkim zdarzenia obiektywne, w wyniku których powstała szkoda (wyrok Sądu Najwyższego z dnia 10 sierpnia 2007r., sygn. akt II CSK 170/07, por. też wyrok Sądu Najwyższego z dnia 10 marca 2004r., sygn. akt IV CK 151/03).

Artykuł 355 k.c. kładzie wyraźny akcent na rodzaj stosunków, przez co należy rozumieć rodzaj przedsięwziętej aktywności, przy czym uwzględniając rodzaj działalności, należy zważyć, że chodzi o miarę staranności powszechnie przyjętą, do pewnego stopnia obiektywną, wynikającą z nakazów sztuki, umiejętności lub techniki, którą można w konkretnym przypadku ustalić, stosując uchwytne mierniki staranności. Ocena stopnia staranności nie może być dowolna, musi poddawać się weryfikacji (wyrok sądu Najwyższego z dnia 21 września 2007 r., sygn. akt V CSK 178/07).

Sąd podzielił w pełni stanowisko strony pozwanej co do okoliczności, że to po stronie powodowej doszło do rażącego niedbalstwa, które musiało skutkować oddaleniem powództwa w niniejszej sprawie, bowiem strona pozwana nie zawiniła w żaden sposób tego rodzaju działaniom.

Rażące niedbalstwo powoda polegało na braku zachowania wymaganej staranności obejmującej obowiązek i konieczność przestrzegania i respektowania ostrzeżeń dostawcy usługi. Zarówno w chwili zdarzenia, jak i przed oraz po zdarzeniu, na stronie pozwanego banku widniały ostrzeżenia dotyczące zagrożeń w sieci. Jak wynikało z zebranego w sprawie materiału dowodowego – od początku 2019 r. na stronach internetowych pozwanego banku widniała informacja o zagrożeniach w sieci; była to specjalna kampania dotycząca bezpieczeństwa w bankowości internetowej. Dodatkowo bank wprowadził tzw. „obrazek bezpieczeństwa” konieczny do logowania na stronie banku. Powód logując się po uzyskaniu maila wzywającego go do zapłaty kwoty 1,36 zł. nie zwrócił uwagi, że na fałszywej stronie banku nie było obrazka bezpieczeństwa, a powinno to wzbudzić jego podejrzenia. Obrazek bezpieczeństwa praktycznie nie jest możliwy do użycia przez oszustów, którzy na fałszywych stronach ograniczają dostęp do aplikacji do loginu i hasła.

Istotnym więc w niniejszej sprawie był fakt, że powód zignorował ostrzeżenia pozwanego, które stale i nieprzerwanie widniały na jego stronie od początku 2019 r. i ta okoliczność świadczyła o rażącym niedbalstwie po stronie powodowej. Wobec potwierdzenia przez powoda dwoma sms-kodami zaufanego odbiorcy, wbrew ostrzeżeniom widniejącym na stronie internetowej pozwanego, kolejne przelewy były nieautoryzowane i spowodowały wyprowadzenie z kont powoda 45.000 zł. Uznać więc należało za zawinione naruszenie elementarnych zasad bezpiecznego korzystania z bankowości elektronicznej, co skutkowało przypisaniem stronie powodowej rażącego niedbalstwa.

Reasumując, gdyby więc powód dochował należytej staranności i czujności przy posługiwaniu się systemem bankowości elektronicznej, nie udostępniłby przestępcom wszystkich danych potrzebnych do dokonania przelewów.

Przy tym, nie doszło do złamania zabezpieczeń systemu bankowego, bowiem sam powód ujawnił osobom nieuprawnionym swoje poufne dane, a więc login, hasło, sms-kod – na fałszywej stronie, umożliwiając w ten sposób sprawcom przestępstwa ich przejęcie, a następnie wykorzystanie bez jego wiedzy. W tym zakresie pozwany zastosował z należytą starannością zabezpieczenia, przyjęte w stosunkach tego rodzaju, a wyłudzenie danych nie wynikało z niesprawności systemów bankowych, czy nieszczelności stosowanych przez bank zabezpieczeń bądź niedochowania należytej staranności w sprawowaniu pieczy nad powierzonymi mu środkami finansowymi klientów, lecz ze sprawności działania oszustów, którzy korzystając z ludzkiej nieświadomości, naiwności, niedbalstwa i pośpiechu, a także innych czynników osłabiających czujność klienta dokonywali tego rodzaju przestępstw, przy korzystaniu przez takie osoby z usług bankowości elektronicznej.

Sąd w oparciu o zgromadzony w sprawie materiał dowodowy ustalił, że to powód dopuścił się rażącego niedbalstwa w wyniku nie zachowania podstawowych zasad bezpieczeństwa, a sprawność i kreatywność sprawców przestępstwa doprowadziła do włamania się na jego konto i ściągnięcia stamtąd znajdujących się tam środków finansowych.

Wobec ustalenia, że to rażące niedbalstwo miało miejsce po stronie powodowej, nie sposób było przypisać pozwanemu niewłaściwego wykonania umowy rachunku bankowego.

Z tych względów, działając na podstawie wyżej cytowanych przepisów, sąd oddalił powództwo.

O kosztach procesu Sąd orzekł jak w punkcie II. wyroku na podstawie art. 98 § 1 i § 3 k.p.c. tj. zgodnie z zasadą odpowiedzialności za wynik procesu, nakładając na powoda, jako stronę przegrywającą postępowanie, obowiązek zwrotu wszystkich kosztów. Na zasądzoną od powoda na rzecz pozwanego kwotę 3.617 zł złożyły się: opłata od pozwu w kwocie 1.000 zł, wynagrodzenie zawodowego pełnomocnika pozwanego – radcę prawnego w stawce minimalnej w wysokości 3.600 zł ustalone zgodnie z przepisem § 2 pkt 5 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2015, poz. 1804 ze zm.), 17 zł z tytułu opłaty skarbowej od dokumentu pełnomocnictwa.

sędzia Krystyna Dąbrowska

ZARZĄDZENIE

Odpis wyroku z uzasadnieniem doręczyć pełnomocnikowi powoda bez pouczenia.

sędzia Krystyna Dąbrowska