To bank musi udowodnić, że właściciel rachunku autoryzował przelewy albo też dopuścił się rażącego niedbalstwa w przypadku włamania hakerów na konto – stwierdził Sąd Okręgowy w Łodzi w opublikowanym niedawno uzasadnieniu wyroku.
Sprawa dotyczyła zniknięcia prawie 50 tys. zł z rachunku klientki jednego z polskich banków. Kobieta twierdziła, że padła ofiarą hakerów, którzy przełamali zabezpieczenia bankowe. Gdy próbowała się zalogować przez platformę cyfrową, otrzymała komunikat o możliwości ubezpieczenia karty kredytowej. Kliknęła na niego, bo inaczej nie weszłaby na swoje konto.
Następnego dnia po zalogowaniu się na rachunek ekran monitora miał rozświetlić się na biało, uniemożliwiając dokonanie jakiejkolwiek transakcji. Posiadaczka konta zadzwoniła na infolinię banku, ale od konsultanta dowiedziała się, że nie odnotowano żadnych zagrożeń. Dzień później sytuacja się powtórzyła. I tego właśnie dnia z rachunku kobiety wyparowało prawie 50 tys. zł. Najpierw ktoś przelał je na subkonto syna, a następnie na zewnętrzny rachunek. Jak się okazało, należał on do mężczyzny, który współpracował z hakerami i udostępnił im swoje konto do przelewów i wypłat.
Dopiero w tym momencie zareagował system antyfraudowy banku. Konsultant skontaktował się z właścicielką rachunku i spytał, czy dokonywała transakcji. Ta zaprzeczyła i poprosiła o zablokowanie środków. Okazało się to już niemożliwe.
Choć policja dotarła do osoby, która udostępniła hakerom swoje konto, nie ustaliła bezpośrednich sprawców. Bank zaś nie uwzględnił reklamacji pokrzywdzonej, uznając, że musiała przyczynić się do transferu środków. Tylko bowiem z pomocą jednorazowego kodu SMS możliwe było dodanie rachunku ze statusem odbiorcy zdefiniowanego, co z kolei pozwalało na dalszy transfer pieniędzy już bez autoryzacji.
Sprawa trafiła do sądu, a ten w obydwu instancjach uznał rację klientki banku i nakazał zwrócić jej pieniądze. Za kwestię bezsporną uznano, że hakerzy przełamali zabezpieczenia banku i wykonali przelewy. Potwierdziło to wcześniejsze postępowanie karne przeciwko osobie, która udostępniła im do tych przelewów własny rachunek. W przeszłości miały również miejsce podobne ataki hakerskie, w tym z użyciem fikcyjnego komunikatu o możliwości ubezpieczenia kart kredytowych.
Zdaniem sędziów bank nie udowodnił, że to klientka dokonała autoryzacji przelewów bądź też dopuściła się rażącego niedbalstwa. A to na nim, ze względu na odwrócony ciężar dowodowy przewidziany na mocy art. 45 ust. 1 ustawy o usługach płatniczych (t.j. Dz.U. z 2016 r., poz. 1572 ze zm.), spoczywał taki obowiązek.
„Samo wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja została przez użytkownika autoryzowana (...). Dostawca jest bowiem obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji (...) albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 u.u.p.” – napisano w uzasadnieniu wyroku drugiej instancji.
„Ta regulacja ma zaś na celu ochronę słabszej strony umowy, która jest konsumentem, a nadto nie dysponuje należytym zapleczem technologicznym dla udowodnienia swych racji. Takie ukształtowanie stosunku prawnego łączącego strony powinno zatem skłonić dostawcę do należytego zabezpieczenia transakcji i niedokonywania oszczędności kosztem użytkownika przez niewdrożenie odpowiednich standardów” – podkreślił sąd.
ORZECZNICTWO
Wyrok Sądu Okręgowego w Łodzi z 5 maja 2017 r., sygn. akt III Ca 43/17.