4°C zamglenie

Czy Bank musi zwrócić pieniądze skradzione wskutek ataku hakerskiego?

Porady prawne, zwrócić pieniądze skradzione wskutek ataku hakerskiego - zdjęcie, fotografia

Tytułowe pytanie to stało się przedmiotem postępowania sądowego zakończonego wyrokiem Sądu Okręgowego w Łodzi z dnia 02 maja 2017 r., sygn. akt III Ca 43/17.

Przeanalizujmy jego treść.

Powódka posiadała rachunek oszczędnościowo rozliczeniowy, z którym powiązany był rachunek oszczędnościowo – rozliczeniowy ( subkonto) utworzony dla jej małoletniego syna J.K. Powódka posiadała dostęp on-line do tegoż rachunku i uzyskiwała go z urządzenia dostępowego w postaci laptopa. Co ważne – system tego urządzenia był regularnie aktualizowany i zaopatrzony w legalne oprogramowanie antywirusowe. Aktualizacje systemu były wykonywane przez informatyka.

Powódka nigdy nie logowała się za pośrednictwem telefonu komórkowego, natomiast otrzymywała niezbędne hasła za pomocą wiadomości SMS.

W dniu 25 maja 2014 r. po uruchomieniu komputera zalogowała się do systemu bankowości elektronicznej pozwanego. Wówczas na ekranie pojawił się komunikat dotyczący ubezpieczenia kart klientów a jego zaakceptowanie było konieczne do wykonania kolejnych czynności. Powódka, nieświadoma jakichkolwiek zagrożeń, postępowała zgodnie z żądaniami systemu i dokonała wszelkich planowanych w tym dniu czynności.

Jak się później okazało w/w komunikat nie pochodził od pozwanego.

Kiedy kolejnego dnia powódka próbowała się zalogować na swoje konto po wyświetleniu strony banku ekran komputera zaczął emitować białe światło. Serwis nie odpowiadał na żadne komendy, konieczne było nawet ręczne wyłączenie komputera. Powódka niezwłocznie zgłosiła ten fakt pozwanemu w drodze rozmowy telefonicznej, jednak uzyskała informację, iż nie stwierdzono żadnego zagrożenia, ponowna próba logowania do serwisu w tym dniu, w godzinach wieczornych okazała się niestety bezskuteczna. W dniu 26 maja 2014 r. w godzinach porannych powódka po raz kolejny powtórzyła w/w czynności, jednak znów ekran komputera przybrał kolor biały.

Okazało się, że właśnie w tym dniu, w godzinach 11:31 oraz 13:17 doszło do przekazania kwot o łącznej wartości ok. 49 000 zł z rachunku powódki na rachunek jej syna J.K., a następnie w drodze dwóch kolejnych transakcji z rachunku J.K. na rachunek osoby trzeciej R.P., nie znanej powódce.  Odbiorca R.P. wypłacił większość środków w bankomatach, na terenie miejscowości B.

Powyższe operacja nie wymagały potwierdzenia hasłem przekazywanym wiadomością sms, ponieważ syn powódki miał status tzw. odbiorcy zdefiniowanego a przed wykonaniem operacji nastąpiła autoryzacja przelewu, której jednak nie dokonała powódka.

Dopiero po dokonaniu transferów system antyfraudowy pozwanego wygenerował alert wskazujący na nieprawidłowości w dokonanych na rachunku operacjach. Z powódką skontaktował się pracownik pozwanego, powódka w trakcie rozmowy telefonicznej złożyła reklamację w sprawie nieautoryzowanego transferu środków z jej rachunku.

Bank nie uwzględnił reklamacji, więc powódka zwróciła się z wnioskiem o ponowne rozpoznanie sprawy opierając się na ustaleniach poczynionych we wszczętym w sprawie postępowaniu karnym. Zgodnie bowiem ze stanem faktycznym przeciwko R.P. skierowano do Sądu akt oskarżenia. W jego toku laptop powódki został poddany ekspertyzie biegłego informatyka, który stwierdził, że nie znajdowało się na nim oprogramowanie, które umożliwiałoby przejęcie danych teleinformatycznych, a następnie dokonanie nieautoryzowanych transakcji w systemie bankowości internetowej w dniu 26 maja 2014 r.

Prawomocnym wyrokiem z dnia 27 października 2015 r. wydanym w sprawie Sąd Rejonowy uznał R. P. za winnego popełnienia zarzuconego mu czynu polegającego na tym, że w dniu 26 maja 2014 r. w B., działając w celu osiągnięcia korzyści majątkowej, udzielił pomocy innym osobom w celu popełnienia przestępstwa w ten sposób, że założył rachunek bankowy w (...), po czym przekazał im dane dostępowe do rachunku, ułatwiając im w ten sposób przełamanie elektronicznych zabezpieczeń oraz uzyskanie bez uprawnień informacji dotyczącej hasła dostępu do konta bankowego powódki a następnie dokonanie w/w czynności zabronionych przepisami prawa.

Z uwagi na fakt, iż bank nie znalazł podstaw do pozytywnego rozpatrzenia reklamacji powódki zdecydowała ona o konieczności skierowania sprawy na drogę postępowania sądowego.

Sąd I instancji uwzględnił jej roszczenie, z czym nie zgodził się przeciwnik procesowy powódki.  Na skutek apelacji pozwanego Banku sprawą zajął się Sąd Apelacyjny w Łodzi, który w wyroku z dnia 02 maja 2017 r. uznał, iż orzeczenie sądu Rejonowego jest prawidłowe, trafne i zgodne                  z prawem.

W treści wyroku Sąd Okręgowy wskazał, iż zgodnie a art. 40 ust. 1 ustawy o usługach płatniczych „transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda ta stanowi przy tym oświadczenie woli w rozumieniu art. 60 k.c. (…).Wypada przy tym zauważyć, że zgoda powinna być udzielona przez płatnika przed wykonaniem transakcji płatniczej albo kolejnych transakcji płatniczych, chyba że płatnik i jego dostawca uzgodnili, że zgoda może zostać udzielona także po ich wykonaniu (art. 40 ust. 2 u.u.p.). Co istotne, udzielenie zgody przez posiadacza jest w istocie jedyną przesłanką autoryzacji danej transakcji płatniczej. ( …)”¹

Zdaniem Sądu Okręgowego, potwierdzającego w całości ustalenia sądu I instancji, transakcje będące przedmiotem postępowania nigdy nie zostały autoryzowane przez powódkę, Pozwany z kolei nie przedstawił żadnego dowodu przeciwnego uzasadniającego przyjęcie, iż powódka świadomie wyraziła zgodę na wykonanie czynności na jej rachunku bankowym poprzez użycie określonych haseł i kodów. Bank nie zaoferował również odpowiedniego materiału dowodowego pozwalającego na poczynienie ustaleń co do sposobów i rodzajów używanych przez siebie zabezpieczeń w zakresie bankowości internetowej.

Niewątpliwie natomiast czynności dokonane na koncie powódki wskazują na nieprawidłowe regulacje w pozwanym banku określające możliwość wykonania przelewu.

Zdaniem Sądu Okręgowego w niniejszym postępowaniu pozwany bank podjął ewidentnie nieudaną próbę wykazania zaistnienia okoliczności wyłączających jego odpowiedzialność. Negatywna ocena stanowiska przedstawionego przez bank wynika zaś głównie z tego, iż nie udowodnił on, że powódka swoim zachowaniem w jakikolwiek sposób naruszyła postanowienia umowy łączącej strony.

Powódka, wbrew twierdzeniem pozwanego, nie dopuściła się również rażącego niedbalstwa. W ocenie Sądu Okręgowego „Sąd I instancji prawidłowo przyjął, iż zachowania powódki w żaden sposób nie daje się podciągnąć do tej kategorii. Przede wszystkim powódka posługiwała się systemem informatycznym, programami, aplikacjami i sprzętem aprobowanymi przez bank. Cała zaś procedura związana z obsługą rachunku oraz dokonywaniem przelewów została utworzona przez bank, co obejmowało w sobie także wszystkie zabezpieczenia. Z kolei od samej powódki nie wymagano już żadnych dodatkowych zabezpieczeń. Tak naprawdę powódka w swoim przekonaniu korzystała ze strony banku i działała w zaufaniu do wyświetlanych tam poleceń. Co więcej identycznie jak ona postępowałby także każdy inny klient banku. Oprócz tego nie można przeoczyć, że powódka wcześniej korzystała wielokrotnie z usług bankowości elektronicznej, prawidłowo wykonując operacje i stosując się do wymagań banku. Natomiast pojawiające się komunikaty wskazujące na konieczność zatwierdzenia operacji hasłem w połączeniu z wyglądem strony internetowej usprawiedliwiały przekonanie powódki o działaniu zgodnym z poleceniami banku. (…)Ponadto bezsporną okolicznością było to, iż w tym okresie pojawiło się więcej podobnych przypadków dokonania operacji przez osoby nieuprawnione. Dokładną wiedzą w tym przedmiocie dysponował wtedy sam bank, który jednak zaniechał ostrzeżenia klientów we właściwy sposób. W tym zakresie poprzestał on wyłącznie na zamieszczeniu ogólnikowej informacji w zakładce blog, do której można się było dostać dopiero po jej otwarciu. Natomiast należyta staranność wymagała zamieszczenia stosownego komunikatu na stronie głównej. Nadmierną przesadą nie byłoby też czasowe zawieszenie funkcjonowania serwisu płatniczego do czasu wyeliminowania zagrożenia. Tymczasem po stronie banku zabrakło takich działań, który bezpodstawnie uważał, iż nie ma żadnego niebezpieczeństwa dla przeprowadzanych za jego pośrednictwem operacji płatniczych.

Reasumując, bank powinien stworzyć pewny i bezpieczny system płatniczy, eliminujący możliwość dostępu dla osób nieuprawnionych. W kontrolowanej sprawie bank, mimo posiadanych zasobów personalnych i rzeczowych, nie sprostał jednak temu zadaniu, wobec czego za niedopuszczalną należało uznać następczą próbę przerzucenia odpowiedzialności na powódkę. Po jej stronie nie wystąpiły bowiem żadne uchybienia ani wadliwości, za czym przemawia też jej szybka reakcja, sprowadzająca się do niezwłocznego powiadomienia banku i policji o „wyczyszczeniu” jej konta. Tym samym racja leży po stronie Sądu Rejonowego, który prawidłowo ocenił, iż transakcje dokonane z konta powódki nie były przez nią autoryzowane”².

Mam nadzieję, iż powyższy artykuł skłoni Państwa do krótkiej refleksji, gdyż większość z nas czynności związane z logowaniem na rachunkach bankowym wykonuje odruchowo, w pełnym zaufaniu do prowadzącego je podmiotu. Czytajmy zamieszczone przez bank ostrzeżenia i niezwłocznie reagujmy w przypadku zaistnienia niepokojących nas nieprawidłowości. Może to uchronić nas przed negatywnymi konsekwencjami finansowymi.

Radca prawny

Ewa Ciesielska

Źródło:

1. Wyrok Sądu Okręgowego w Łodzi z dnia 02 maja 2017 r., sygn. akt: III Ca 43/17, http://orzeczenia.lodz.so.gov.pl/content/$N/152510000001503_III_Ca_000043_2017_Uz_2017-05-02_001

2.ibidem

 

 

 

Czy Bank musi zwrócić pieniądze skradzione wskutek ataku hakerskiego? komentarze opinie

Dodajesz jako: Zaloguj się

Ostatnie video - filmy na Lowicz24.eu