Bank oddaje ofierze złośliwego oprogramowania utracone z konta pieniądze

Przykładem orzeczenia korzystnego dla poszkodowanego klienta banku jest wyrok Sądu Okręgowego w Warszawie z dnia 12 maja 2018 roku w sprawie I C 566/17. Klient trzy lata temu zlecał przelew przez internet logując się na stronie swojego banku. Podczas próby dokonania przelewu wyświetlił mu się komunikat łudząco podobny do wiadomości bankowych, informujący o konieczności „dodatkowego ubezpieczenia”. Wskutek szeregu kolejnych, zainicjowanych już przez hakerów operacji na koncie klienta utworzony został dodatkowy zaufany odbiorca. W ten sposób w kolejnych dniach z konta klienta wyprowadzono ponad 100 tys. zł.

Klient złożył reklamację w banku i zgłosił sprawę na Policję. Bank odmówił klientowi zwrotu utraconych przez niego środków podnosząc, że to klient swoim działaniem umożliwił przestępcom kradzież środków pieniężnych ze swojego rachunku bankowego poprzez zatwierdzenie kodem sms przystąpienia do ubezpieczenia, co skutkowało dodaniem odbiorcy definiowanego i ujawnieniem przez klienta nieznanym osobom loginu i hasła, które to dane winny być przez powoda szczególnie chronione. Bank podniósł jednocześnie zarzut przyczynienia się klienta w stu procentach do powstania szkody poprzez niezachowanie należytej staranności w ochronie swoich danych, co doprowadziło do ich udostępnienia osobom nieuprawionym, co z kolei umożliwiło wykonanie przelewów. Zdaniem banku nie można banku obarczać odpowiedzialnością za brak należytej staranności, albowiem to klient bezrefleksyjnie udostępnił swoje dane, które winny być przez niego szczególnie chronione.

Sąd jednak nie zgodził się z taką argumentacją. Zdaniem Sądu klient miał prawo być przekonany, iż komunikat pochodzi od banku, ponieważ był identyczny jak komunikaty dotychczas przez bank generowane, komunikat pojawił się po poprawnym zalogowaniu się klienta do serwisu transakcyjnego banku. Nadto wiadomość sms została przesłana na numer telefonu podany przez klienta bankowi do autoryzacji transakcji. Wcześniej brak było jasnych komunikatów i ostrzeżeń ze strony banku do których z łatwością mógł dotrzeć klient ostrzegających o tych nieuczciwych i nielegalnych praktykach, w tym o cyberprzestępczości czy działaniu zorganizowanej grupy przestępczej wymuszającej potwierdzenie zabezpieczenia transakcji, co prowadzi do przechwycenia danych umożliwiających dostęp do konta klienta.

Bank twierdził, iż umieszczał na swoich stronach internetowych ostrzeżenia, jednak załączone wydruki nie wskazywały w jakim konkretnie okresie były one widoczne na stronach internetowych, czy przede wszystkim obejmowało to okres przed przedmiotowym zdarzeniem, jakie dokładnie treści przekazywał bank. Klient nie informował nikogo o swoim loginie ani haśle do konta. Nie korzystał z opcji zapamiętywania haseł. Ponadto logował się z komputera zainstalowanego w Instytucie (...) z komputera posiadającego legalne oprogramowanie oraz aktywny i aktualny program antywirusowy.

W konkluzji Sąd stwierdził, że nieuzasadnione byłoby przyjęcie zwalniające bank z odpowiedzialności, iż klient reagując na wyświetlony komunikat umyślnie doprowadził do nieautoryzowanej transakcji płatniczej bądź umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych. Bank nie wykazał w toku postępowania, by klient umyślnie czy wskutek rażącego niedbalstwa naruszył któryś z obowiązków o których mowa w art. 42 ustawy, a w szczególności poprzez udostępnienie instrumentu płatniczego osobom nieuprawnionym, bowiem jego działanie które doprowadziło do zdefiniowania osoby na której zostały przelane środki z konta nie było działaniem umyślnym, a niezamierzonym i nieświadomym, co wskazuje na niedbalstwo jednak w żadnym wypadku nie w stopniu rażącym.

Ostatecznie klient odzyskał od banku utracone środki, pomniejszone o kwotę 150 euro, do której według przepisów obowiązujących w dacie zdarzenia płatnik nie odpowiadał za nieautoryzowane transakcje płatnicze.

Obecne przepisy obniżyły tę kwotę do 50 euro.