Jeśli pieniądze z waszego konta znikną w tajemniczych okolicznościach, bank nie będzie chętny do pokrywania straty. Bank nie ma też obowiązku blokować każdej dziwacznej transakcji. W jednej z takich spraw wypowiedział się Sąd Najwyższy i to na korzyść klientki banku. Przy okazji warto przypomnieć o innych sprawach, gdzie bank zarzucał klientowi tzw. “rażące niedbalstwo”, ale sąd ostatecznie kazał zwracać pieniądze.

Co robić, kiedy okradną Ci konto w banku?

Niedawno przez media i Wykop przewinął się temat wyroku Sądu Najwyższego, który dotyczył odpowiedzialności banku za “internetową kradzież”. Sprawa została potraktowana jako nowość, ale ten wyrok zapadł już 18 stycznia. Gdybyście szukali sygnatury to jest ona następująca: V CSK 141/17 (niestety wiele mediów nie podaje nawet daty wydania wyroku, o sygnaturze już nie wspominając).

Ofiara grupy przestępczej

Tło sprawy było następujące. Pewna kobieta w styczniu 2015 roku zawarła umowę z bankiem i umowa ta obejmowała dostęp do bankowości elektronicznej. Kilka miesięcy później (dokładnie 5 maja 2015) logując się do usługi kobieta zobaczyła komunikat o tym, że strona jest w trakcie przebudowy.

Powódka po jakimś czasie podjęła kolejne próby logowania, lecz również ze skutkiem negatywnym. W dniu 7 maja 2015 r. ok. godz. 19:00 powódka zalogowała się (…) i stwierdziła, że na jej koncie bankowym nie ma pieniędzy. W dniu 5 maja 2015 r. system CUI (Centrum Usług Internetowych – red.) zarejestrował o godzinie 14:41:03 poprawne logowanie z adresu IP […], a następnie o godz. 14:43:31 błędne logowanie z adresu IP […]. Kolejne logowania miały miejsce w dniu 7 maja 2015 r. z adresu IP komputera powódki, przy czym cztery pierwsze z nich były błędne, a ostatnie o 19:05:27 poprawne. Powódka, po stwierdzeniu, że na jej rachunku brakuje spornej kwoty, powiadomiła o tym pozwanego.

“Sporna kwota” w tej sprawie to było ponad 60 tys. zł. Sprawa trafiła do Sądu Rejonowego. Ten ustalił, że…

…nieustalona osoba. z wykorzystaniem logowań powódki na podsuniętej jej umiejętnie stronie, dokonała zlecenia przelewu kwoty 60 981 zł z konta powódki na rachunek M.C. w „C” S.A.

Tą samą sprawą zajęła się jedna z prokuratur apelacyjnych. Ustalono, że kobieta padła ofiarą zorganizowanej grupy przestępczej, która zajmowała się kradzieżą pieniędzy z kont bankowych i transferowaniem tych środków na Ukrainę. Postępowanie objęło 134 podejrzanych.

Dodajmy jeszcze, że na zlecenie Banku przeprowadzono (w dniu 10 czerwca 2015 r.) sprawdzenie komputera kobiety pod kątem oprogramowania i historii logowania do banku.

Bank: To wina klientki!

Tak czy owak kobieta złożyła reklamację, którą bank odrzucił. Rozpatrujący sprawę Sąd Rejonowy uznał, że pracownicy Banku wcale nie musieli wychwycić dziwnego logowania, które nastąpiło z innego adresu IP niż zwykle używany przez powódkę. Pracownicy banku nie musieli też – zdaniem sądu – potwierdzać przelewów telefonicznie (a zauważcie, że z konta w krótkim czasie wypłynęło sporo pieniędzy). Sąd Rejonowy uznał, że to powódka zachowała się niezgodnie z zasadami bezpieczeństwa choć… nie bardzo wiadomo na czym to niewłaściwe zachowanie miałoby polegać.

Apelacja i skarga kasacyjna

Sprawa trafiła do Sądu Okręgowego, który wydał swój wyrok w roku 2016. Sąd Okręgowy uznał, że Sąd Rejonowy powinien wziąć pod uwagę przepisy zawarte w Ustawie o usługach płatniczych. Powołując się na tę ustawę SO stwierdził, że transakcja dokonana na rachunku powódki nie była autoryzowana, gdyż została wykonana przez osobę nieuprawnioną. Jeśli zaś klientka dopuściła się “rażącego niedbalstwa” i przez to miałaby ułatwić sprawę złodziejom, bank powinien to rażące niedbalstwo udowodnić.

Bank wniósł skargę kasacyjną, zaskarżając wyrok Sądu Okręgowego. W ten sposób sprawa trafiła do Sądu Najwyższego.

Sąd Najwyższy: Bank ma udowodnić “rażące niedbalstwo”

Sąd Najwyższy oddalił skargę kasacyjną. Uznał, że bank powinien udowodnić, że jego klientka dopuściła się rażącego niedbalstwa. Najlepiej przytoczmy tutaj fragment uzasadnienia.

W niniejszej sprawie nie ma podstaw do przyjęcia, że powódka naruszyła obowiązek korzystania z instrumentu płatniczego (…) Do utraty pieniędzy z rachunku bankowego powódki nie doszło bowiem w okolicznościach opisanych w przytoczonych przepisach, ale wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez Bank świadczenia usługi CUI. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.

Podobne wyroki

“Rażące niedbalstwo” to kluczowy termin przy tego typu sprawach. Tylko czym jest “rażące niedbalstwo”?

W czerwcu 2016 r. pisaliśmy o wyroku dotyczącym kobiety, która ustawiła datę urodzenia jako PIN. Choć takie zachowanie trudno uznać za ostrożne to zdaniem sądu nie było to “rażące niedbalstwo”. Bank musiał zwrócić znaczną część ukradzionych pieniędzy.

Co jeszcze może być “rażącym niedbalstwem”? Czy będzie nim noszenie karty w portfelu schowanym tylko w kieszeni? A może ustalenie wysokich limitów wypłat może być “rażącym niedbalstwem”? Na to pytanie odpowiada inny ciekawy wyrok wydany 18 lipca 2016 przez Sąd Rejonowy w Gliwicach (sygn. akt I C 2524/14).

Tło sprawy: mężczyzna wybrał się na wakacje do Grecji. Tam niestety skradziono mu portfel, w którym mężczyzna przechowywał karty, dowód osobisty, prawo jazdy i gotówkę. Do kradzieży prawdopodobnie doszło rano, ale mężczyzna zorientował się dopiero wieczorem. Niestety już na infolinii banku dowiedział się, że z jego konta wypłacono 12.054,98 zł. Wszystkich transakcji dokonano za pomocą karty i tylko pierwsza próba podania PIN była nieudana. Później nastąpiła seria wypłat.

Mężczyzna uznał, że bank powinien oddać mu pieniądze. Tymczasem bank zarzucił mężczyźnie brak ostrożności. Skoro PIN został “złamany” tak szybko to – zdaniem banku – gdzieś w portfelu musiała być informacja wskazująca na ten PIN. Poza tym mężczyzna zbyt późno zorientował się, że został okradziony. Zdaniem banku nieostrożne było także trzymanie kart w kieszeni krótkich spodenek i nieograniczenie limitów transakcji przed wyjazdem za granicę.

Zgadnięcie PIN-u jest… prawdopodobne (1:3333)

Sąd uznał, że mężczyzna nie wykazał się niedbalstwem. Nie można bowiem domniemywać, że skoro ktoś “trafił” PIN to ten numer musiał być gdzieś zapisany.

Należy zauważyć, że kod do karty składa się z czterech cyfr, zatem występuje 10.000 kombinacji (od kodu: 0000 do kodu 9999). Uwzględniając możliwość trzykrotnej próby do zablokowania karty, prawdopodobieństwo trafienia kodu wynosi w ocenie Sądu 1:3333, a nie jak wskazywał biegły i pełnomocnik strony pozwanej. Nie jest to przecież sytuacja niemożliwa do zaistnienia.

Sąd nie zgodził się również, że mężczyzna miał obowiązek ustalić niższe limity wypłat. Skoro przebywał daleko od domu to mógł nagle potrzebować dużej gotówki. Poza tym nie można uznać, że ustalenie wyższego limitu jest “rażącym niedbalstwem”. Sam bank nie widział nic niepokojącego w tym, że jego klient nagle wypłaca 12 tys. złotych w Grecji.

Noszenie karty w kieszeni spodenek też nie było niedbalstwem. Niedbalstwem byłoby np. pozostawienie karty na stole w restauracji. Jeśli jednak ktoś chronił kartę jak mógł (trzymał ją w kieszeni) a złodziej naruszył prawo kradnąc tę kartę to trudno mówić o niedbalstwie ze strony posiadacza karty.

Dorzućmy jeszcze fragment z uzasadnienia wyroku.

Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.). Okoliczności tych pozwana nie wykazała – czytamy w uzasadnieniu

Rozumowanie Sądu Okręgowego było tu podobne jak rozumowanie SN ze sprawy przywołanej na początku. W tym drugim przypadku sąd zasądził od banku na rzecz mężczyzny kwotę 11.434,87 zł. Zaistniała bowiem sytuacja o jakiej mowa w treści art. 46 ust. 2 pkt 1 Ustawy o usługach płatniczych. Płatnik odpowiadał za transakcje nieautoryzowane do kwoty 150 euro według kursu NBP z dnia kradzieży (150 x 4,1341 zł), tj. do kwoty 620,11 zł. Pozostałą kwotę bank ma oddać.

Banki mają technologie antyfraudowe i powinny ponosić odpowiedzialność za fraudy, ale…

Przytoczone powyżej wyroki są dobre i potrzebne. Banki wymuszają na ludziach, którzy niekoniecznie “urodzili się ze smartfonem w ręku i dostępem do internetu” korzystanie z komputera jako w zasadzie jedynego sprawnie działającego kanału dostępu do ich pieniędzy. Każą ludziom używać technologii — która nie jest w pełni zrozumiała, jednocześnie niewiele robiąc aby klienta wyedukować i uczulić na ataki, pokazać poprawny sposób postępowania i upewnić się, że klient rozumie.

Nie ma (niestety!) “egzaminów” przed uzyskaniem dostępu do serwisu internetowego banku. To powoduje, że nawet ludzie techniczni, nienadążający za wciąż nowymi formami ataków komputerowych, tracą pieniądze (znamy takie przypadki!). Często są to oszczędności całego życia. A najgorzej mają osoby starsze, mniej techniczne, zmuszone przez bank do korzystania z komputera aby zarządzać swoim kontem. Kontem, na którym mają oszczędności całego swojego życia. Jedno przeoczenie i zarabiane przez lata pieniądze znikają bez śladu, a bank mówi:

Twoja wina babciu! Powinnaś wiedzieć, co to jest phishing i zauważyć, że w domenie banku zamiast litery k była litera ķ.

Skoro banki “zamykają marmurowe oddziały” i zmuszają klienta do korzystania z niezrozumiałej technologii to powinny brać odpowiedzialność za to, że mniej techniczni ludzie klikają w co popadnie i się infekują. To powinien być problem banków i to one powinny myśleć nad tym jak podnosić świadomość klientów i uodparniać ich przed atakami. Wina za fraud powinna leżeć po stronie banku, jeśli nie udowodni on, że odpowiednio skutecznie uczulił klienta na zagrożenia. Ale przez uczulenie nie rozumiemy zapisu maczkiem na siódmej stronie regulaminu będącego załącznikiem do 20 stronnicowej umowy. Dziś do klienta banki mogą skutecznie dotrzeć na wiele sposobów. Niestety póki co, większość banków, tego typu możliwości skutecznego dotarcia wykorzystuje jedynie w trakcie prób sprzedaży kredytów lub ubezpieczeń, a nie edukacji związanej z bezpieczeństwem. Choć są drobne wyjątki oczywiście, bo istnieją w Polsce banki, które otwarcie w mediach mówią o atakach, ostrzegają przed nimi i starają się na nie uczulać klientów (brawo mBank!).

Żeby nie było, że jesteśmy tylko po stronie ofiar… Uważamy, że nie zawsze banki powinny całą winę brać na siebie i zwracać pieniądze każdej ofierze fraudu. Jedną z klarownych sytuacji, kiedy w 100% winny jest klient jest kradzież “autoryzowana” przez klienta wynikająca z tego, że klient nie przeczytał SMS-a, w którym było napisane, że autoryzowany jest nie przelew, a dodanie odbiorcy zaufanego. To w naszej opinii jest rażące niedbalstwo. Z tym, że odmowa zwrotu wykradzionych środków powinna dotyczyć tylko tych klientów, którzy wcześniej przeszli przez “samouczek” lub inną ścieżkę edukacji, gdzie było napisane:

DOKŁADNIE CZYTAJ SMS-Y Z BANKU, TAM ZAWSZE* JEST NAPISANE CO POTWIERDZASZ.

W wielu bankach klientom nie zapewnia się tej wiedzy przy otwieraniu konta… Ba! Jak wynika z rozmów z uczestnikami naszych wykładów “Jak nie dać się zhackować?” — wiele osób nie wie nawet, że może sobie ustawić limity na koncie albo szyfrowanie wyciągów, czy powiadomienia SMS o transakcjach wychodzących… Dlatego każdego, kto płaci przez internet, zachęcamy do lektury naszego artykułu pt. 6 rad, jak bezpiecznie wykonywać przelewy przez internet.

* — tak, wiemy, że nie dotyczy to każdego banku. Na marginesie, jeśli nie zauważyłeś przy którym zdaniu umieściliśmy gwiazdkę, to jesteś jak ofiara bankowego fraudy. One też “nie zauważają”, czasem mniejszych różnic niż ta duża gwiazdka w adresie domeny, czasem większych niż ta gwiazdka różnic w numerze rachunku na który wysyłają przelew. Nie przejmuj się, to zdarza się każdemu. Warto jednak, abyś podniósł swoją czujność i wiedzę w zakresie phishingu.



Przeczytaj także: