Portal Orzeczeń Sądu Okręgowego w Warszawie

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 23 października 2025 r.

Sąd Okręgowy w Warszawie, I Wydział Cywilny w składzie:

Przewodniczący: Sędzia Agnieszka Nakwaska-Szczepkowska

Protokolant: Kajetan Michałowski

po rozpoznaniu w dniu 23 października 2025 r. w Warszawie na rozprawie

sprawy z powództwa E. S.

przeciwko Bank (...) S.A. z siedzibą w Warszawie

o zapłatę i ustalenie

1.  zasądza od Bank (...) S.A. z siedzibą w W. na rzecz E. S. 43.948,73 zł (czterdzieści trzy tysiące dziewięćset czterdzieści osiem złotych i siedemdziesiąt trzy grosze) wraz z odsetkami ustawowymi za opóźnienie od 30 grudnia 2023 r. do dnia zapłaty;

2.  oddala powództwo w pozostałej części;

3.  odstępuje od obciążania powódki obowiązkiem zwrotu kosztów procesu na rzecz pozwanego.

Sędzia Agnieszka Nakwaska-Szczepkowska

Sygn. akt I C 53/24

UZASADNIENIE

Pozwem z dnia 30 grudnia 2023 r. (ponownie wniesionym w trybie art. 130(1a) § 3 k.p.c. 1 lipca 2024 r.), skierowanym przeciwko Bankowi (...) S.A. z siedzibą w W., powódka E. S. wniosła o:

1.  ustalenie nieważności umowy kredytu nr (...) z dnia 18 grudnia 2020 r.;

2.  zasądzenie od pozwanego na jej rzecz kwoty 103.948,73 zł wraz z odsetkami ustawowymi za opóźnienie od dnia wniesienia pozwu do dnia zapłaty tytułem „zwrotu za nieautoryzowane transakcje”, przy czym na kwotę tę składać się miały: 43.000 zł z zerwanej lokaty, 60.000 zł przekazane na podstawie umowy kredytu i 948,73 zł wolnych środków na rachunku.

Powódka domagała się nadto zasądzenia od pozwanego na jej rzecz „zwrotu kosztów sądowych, w tym kosztów zastępstwa procesowego według norm przepisanych”.

W uzasadnieniu pozwu powódka wskazała, że w dniu 18 grudnia 2020 r. padła ofiarą oszustwa bankowego, a nieznani sprawcy uzyskali nieuprawniony dostęp do jej konta bankowego, a następnie zaciągnęli w jej imieniu kredyt oraz zerwali posiadaną przez nią lokatę. Środki pieniężne pochodzące zarówno w kredytu, jak i lokaty zostały przelane na rachunek bankowy zarejestrowany w Estonii, po ich przewalutowaniu na euro. Powódka została wcześniej, drogą mailową, zachęcona do inwestycji w bitcoiny. Następnego dnia, podczas rozmowy telefonicznej z mężczyzną, który podawał się za osobę mającą ją przeszkolić w zakresie inwestowania w kryptowaluty, zostawała wprowadzona w błąd i oszukana. Sprawcy, korzystając z zainstalowanej na jej komputerze aplikacji (...), uzyskując od powódki dane niezbędne do korzystania z bankowości elektronicznej, wyprowadzili z jej konta łącznie ponad 100.000 zł, z czego 60.000 zł pochodziło z zaciągniętego w czasie rozmowy telefonicznej kredytu, 43.000 zł z zerwanej lokaty, a 948,73 zł ze środków zgromadzonych na jej koncie bankowym. Bank nie uznał reklamacji złożonych przez powódkę, a wierzytelność z tytułu ww. umowy kredytu sprzedał na rzecz funduszu inwestycyjnego.

(pozew – k. 42-49)

W odpowiedzi na pozew pozwany wniósł o oddalenie powództwa w całości oraz zasądzenie od powódki na jego rzecz zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych. W uzasadnieniu wskazano, że z samych twierdzeń powódki wynika, że samodzielnie udzieliła ona osobom postronnym dostępu do swojego rachunku bankowego i umożliwiła dokonanie transakcji oraz zaciągnięcie w jej imieniu kredytu. Z ustaleń dokonanych przez pracowników pozwanego wynika, że kwestionowane transakcje zostały autoryzowane w sposób prawidłowy, przy użyciu danych do logowania do systemu bankowości elektronicznej klientki, tj. loginu i hasła, które, stosownie do postanowień umowy o prowadzenie rachunku bankowego i regulaminu świadczenia usług pozwanego banku, nie powinny być udostępniane osobom trzecim, a znane powinny być wyłącznie powódce. Nadto, z zapisów systemu bankowego wynika, że zarówno umowa kredytu, jak i dyspozycja przelewu kwoty 49.759,92 zł zostały uwierzytelnione kodem SMS wysłanym na numer telefonu wskazany uprzednio przez powódkę. Pozwany prowadził weryfikację przelewów w granicach swoich możliwości, a dostępu osobom nieuprawnionym najprawdopodobniej udzieliła sama powódka. Powódka wykazała się rażącym niedbalstwem w prowadzeniu swoich interesów majątkowych, a więc doszło do ziszczenia się przesłanki wyłączającej odpowiedzialność instytucji finansowej, określonej w art. 46 ust. 3 ustawy o usługach płatniczych.

(odpowiedź na pozew – k. 71-73v)

Na rozprawie w dniu 23 października 2025 r. pełnomocnik powódki wskazał, że fundusz, który nabył od pozwanego Banku wierzytelność z kwestionowanej w sprawie umowy kredytu, wystąpił przeciwko powódce z roszczeniem o zapłatę, jednak pozew został ostatecznie cofnięty po powzięciu przez fundusz informacji o okolicznościach zaciągnięcia kredytu.

(protokół rozprawy z 23.10.2025 r. – protokół skrócony – k. 150-152v)

Sąd Okręgowy ustalił następujący stan faktyczny:

E. S. według stanu na 18 grudnia 2020 r. miała 65 lat, pracowała jako księgowa w prywatnej firmie. Od około 30 lat była klientką banku (...) S.A. (dalej Bank lub (...)). W Banku tym prowadzony był na jej rzecz rachunek bankowy, a także założona była lokata na 43.000 zł.

Powódka korzystała z bankowości elektronicznej, przy czym dokonywała w ten sposób wyłącznie przelewów za rachunki i zawsze na komputerze, nie umiała korzystać z bankowości elektronicznej na telefonie komórkowym. Nigdy nie wykonywała przelewów na rachunki zagraniczne lub prowadzone w walucie obcej. Nie zaciągała też za pośrednictwem bankowości elektronicznej kredytów bądź pożyczek i nie zakładała lokat.

(okoliczności bezsporne, nadto zeznania powódki – protokół rozprawy z dnia 23.10.2025 r., min. 00:06:31 i n./ protokół skrócony – k. 150-152)

By zalogować się do bankowości elektronicznej (...) należało podać login oraz hasło, a transakcje zatwierdzało się kodem otrzymywanym każdorazowo drogą SMS na numer telefonu.

(okoliczności bezsporne, nadto zeznania powódki – protokół rozprawy z dnia 23.10.2025 r., min. 00:06:31 i n./ protokół skrócony – k. 150-152)

W dniu 17 grudnia 2020 r. E. S. otrzymała e-mail na swoją skrzynkę służbową, w treści którego proponowano jej zakup bitcoinów. Wiadomość zawierała także informacje dotyczące korzyści wynikających z tego typu inwestycji. Powódka wówczas nie posiadała szczegółowej wiedzy na temat bitcoinów – wiedziała jedynie, że jest to kryptowaluta i być może opłaca się w nią inwestować. W treści maila zawarto link umożliwiający dokonanie zakupu za kwotę minimum 950 zł. Powódka wykonała przelew owej minimalnej kwoty inwestycji na podany numer rachunku bankowego.

Kolejnego dnia, 18 grudnia 2020 r., do powódki zadzwonił obcy mężczyzna, który stwierdził, że powódka poprzedniego dnia zakupiła bitcoiny za 950 zł. Jednocześnie zaproponował, że przeszkoli ją, jak obsługiwać bitcoiny i jak na tym zarabiać. Mężczyzna ten dzwonił z numeru zastrzeżonego, przedstawił się, zaznaczając, że dzwoni w imieniu firmy; wypowiadał się w sposób elokwentny i profesjonalny, nie miał obcego akcentu, budził zaufanie.

E. S. była wówczas w pracy, w swoim gabinecie, korzystała z komputera firmowego, na którym wcześniej wykonywała operacje na rachunku firmowym prowadzonym w (...). Zgodziła się porozmawiać z mężczyzną, który do niej zadzwonił i odbyć szkolenie, które proponował.

Rozmówca zapewnił powódkę o korzyściach związanych z inwestycją w kryptowaluty. Zaproponował, aby powódka zalogowała się do bankowości elektronicznej w swoim banku i on wówczas wyjaśni jej, co dokładnie ma robić w związku z inwestycją w bitcoiny. Powódka zalogowała się do bankowości elektronicznej (...) i postępowała zgodnie z instrukcjami rozmówcy, które ograniczały się do poleceń „kliknięcia” danych ikon na ekranie, czy rozwinięcia listy opcji w danym miejscu na stronie Banku. W pewnym momencie rozmowy mężczyzna zaczął ponaglać powódkę, by ta wykonywała polecenia szybciej. Ostatecznie po około 30 minutach rozmowy zniecierpliwiony mężczyzna zaczął krzyczeć na powódkę. Wówczas w tle powódka usłyszała głos innego mężczyzny, z wyraźnym wschodnim akcentem. Powódka przerwała połączenie. Od razu po zakończeniu rozmowy telefonowano do powódki jeszcze wielokrotnie, przy czym raz powódka odebrała telefon i poprosiła, aby już się z nią nie kontaktowano, co nie odniosło skutku – telefon nadal dzwonił.

Niedługo później do pokoju powódki przyszła Prezes firmy z informacją, że z konta firmowego zniknęły pieniądze. Przełożona od razu podjęła działania i zgłosiła sprawę do banku, a także na Policję. Powódka bardzo się tym zdenerwowała i nie od razu pomyślała, żeby sprawdzić stan swojego prywatnego konto. Dopiero około godziny 15:00-16:00 mąż powódki poinformował ją, że nie może wypłacić pieniędzy. Powódka była też przesłuchiwana na policji w związku z wyprowadzeniem środków z konta firmowego i wówczas także poinformowano ją, że sama również jest osobą pokrzywdzoną. Jeszcze tego samego dnia powódka zadzwoniła na infolinię Banku z prośbą o zablokowanie transakcji na jej rachunku, zgłaszając, że prawdopodobnie padła ofiarą oszustów. Zgłoszenie zostało przyjęte, natomiast był to piątek wczesnym wieczorem, a Bank w soboty i niedziele był nieczynny. Dopiero po weekendzie, w poniedziałek, powódka wraz z mężem udała się do oddziału banku, by zgłosić sprawę osobiście. Wówczas dowiedziała się, że oprócz wyprowadzenia środków z jej konta i z lokaty na konto zagraniczne w euro, zaciągnięty został w jej imieniu kredyt, a wypłacone środki również zostały przelane na to samo konto zagraniczne.

(okoliczności niezaprzeczone; zeznania powódki – protokół rozprawy z dnia 23.10.2025 r. min. min. 00:06:31 i n./ protokół skrócony – k. 150-152)

W dniu 18 grudnia 2020 r. w imieniu powódki, lecz bez jej wiedzy, zaciągnięto pożyczkę ekspresową nr (...) w wysokości 70.000 zł, z czego całkowita kwota kredytu przelana na konto powódki wynosiła 54.188,81 zł, oraz zerwano lokatę na kwotę 43.000 zł. Złożenie wniosku o udzielenie pożyczki oraz zawarcie umowy, jak również dyspozycji zakończenia lokaty, nastąpiło w bankowości elektronicznej (...), po uprzednim poprawnym logowaniu danymi powódki (numerem klienta i hasłem do serwisu). Krótko po wpływie środków z pożyczki i z lokaty na bieżący rachunek bankowy powódki, dokonano w imieniu powódki, także bez jej wiedzy, kolejnych transakcji – dwóch przelewów ekspresowych środków na rachunek bankowy nr (...) prowadzony w Estonii. Jeden przelew obejmował kwotę 11.800 EUR, co przy zastosowaniu kursu 4,6074 zł stanowiło równowartość 54.367,32 zł, drugi przelew był na kwotę 10.800 EUR, co przy zastosowaniu ww. kursu stanowiło równowartość 49.759,92 zł. Jako odbiorcę przelewu w obu wypadkach wskazano (...) w Estonii, a jako tytuły przelewów wpisano (...).

(okoliczności bezsporne bądź niezaprzeczone; zeznania powódki – protokół rozprawy z dnia 23.10.2025 r. min. min. 00:06:31 i n./ protokół skrócony – k. 150-152, potwierdzenia przelewów – k. 25-26, 144. wniosek o udzielenie pożyczki – k. 106, formularz informacyjny wraz z informacją i symulacją wysokości rat – k. 107-114, umowa pożyczki – k. 116-119v)

Z punktu widzenia systemu Banku wszystkie ww. transakcje wykonane w dniu 18 grudnia 2020 r. w imieniu E. S. zostały w odpowiedni sposób autoryzowane kodami SMS wysłanymi na jej numer telefonu. Nie doszło do przełamania zabezpieczeń bankowych. Jednocześnie, system Banku nie zidentyfikował żadnej z tych operacji jako nietypowej.

(okoliczności niezaprzeczone)

Na komputerze, z którego w dniu 18 grudnia 2020 r. korzystała powódka, zainstalowany był program (...) – niejednokrotnie używany przez informatyków w związku z jej pracą. Najprawdopodobniej to ten program posłużył przestępcom do przeprowadzenia ww. operacji bankowych bez wiedzy powódki.

( zeznania powódki – protokół rozprawy z dnia 23.10.2025 r., min. 00:06:31 i n./ protokół skrócony – k. 150-152, domniemanie faktyczne)

Przed 18 grudnia 2020 r. po zalogowaniu do bankowości elektronicznej (...) nie wyświetlały się komunikaty informujące klientów o stosowanych przez przestępców metodach oszustw bankowych, w tym w postaci phishingu. Takich informacji powódka nie otrzymała od Banku także w inny sposób – w szczególności w wiadomościach email.

( zeznania powódki – protokół rozprawy z dnia 23.10.2025 r., min. 00:06:31 i n./ protokół skrócony – k. 150-152)

Bank negatywnie rozpoznał złożone przez M. T. reklamacje, wskazując, że umowę pożyczki gotówkowej zawarto w serwisie (...) po uprzednim poprawnym logowaniu, a przelewy były autoryzowane jednorazowymi kodami wysłanymi w wiadomości SMS na numer telefonu powódki.

(okoliczności bezsporne, nadto odpowiedź na reklamację – k. 27, k. 145-146, pismo z 30.12.2020 – k. 145, pismo z 13.04.2021 r. – k. 30-31 pisma powódki z 04.01.2021 r i 12.02.2021 r. – k. 28-29, k. 147-148)

Na skutek złożonego przez powódkę zawiadomienia o podejrzeniu popełnienia przestępstwa na jej szkodę prowadzone było postępowanie przygotowawcze, które jednak ostatecznie umorzono wobec niewykrycia sprawcy. Prokuraturze udało się jedynie zidentyfikować osobę, na rzecz której powódka w dniu 17 grudnia 2020 r. wykonała przelew kwoty 950 zł i tę kwotę powódce zwrócono.

(okoliczności niezaprzeczone, zawiadomienie o popełnieniu przestępstwa – k. 13-14, postanowienia z 22.03.2021 r. i 02.03.2022 r., sygn. akt I Ds. (...), Prokuratura Rejonowa w P. – k. 15-19; postanowienie z 9 września 2021 r., sygn. akt 2 Ds. (...), Prokuratura Rejonowa w K. – k. 20-21)

Wierzytelność wynikająca z umowy pożyczki zawartej w imieniu E. S. w dniu 18 grudnia 2020 r. została przez Bank (...) zbyta na rzecz podmiotu trzeciego – funduszu inwestycyjnego.

(okoliczności niezaprzeczone)

Powyższy stan faktyczny Sąd ustalił przede wszystkim na podstawie twierdzeń stron, w zakresie w jakim dotyczyły one okoliczności bezspornych bądź nie zostały zaprzeczone przez stronę przeciwną, oraz dowodów z dokumentów, których prawdziwość nie była kwestionowana, a nadto na podstawie zeznań powódki. Powódka zeznawała w sposób szczery i spontaniczny. Jej zeznania nie zawierały wewnętrznych sprzeczności, a nadto korespondowały z pozostałym materiałem dowodowym w postaci dokumentów. W szczególności Sąd nie miał podstaw, aby odmówić powódce wiary w zakresie, w jakim wskazała ona, że na służbowym komputerze miała zainstalowaną aplikację (...) (jest to częsta praktyka w firmach). Na zasadzie domniemania faktycznego Sąd przyjął (podobnie zresztą jak pozwany Bank), że to właśnie przy użyciu aplikacji (...) osoby trzecie uzyskały dostęp do komputera powódki i do bankowości elektronicznej (...). Na podstawie samych zasad doświadczenia życiowego i logiki należy przyjąć, że gdyby powódka widziała na ekranie otworzoną stronę bankową i widziała operacje wykonywane na jej rachunku, polegające na złożeniu wniosku o udzielenie pożyczki, a następnie dokonywaniu kolejnych przelewów do nieznanych powódce osób, to zareagowałaby niezwłocznie.

Podkreślenia wymaga, że znaczna część okoliczności faktycznych nie była przedmiotem sporu. W szczególności nie było wątpliwości co do tego, że:

- powódka była klientką Banku i prowadziła tam rachunek bieżący, a także miała założoną lokatę na kwotę 43.000 zł,

- w dniu 18 grudnia 2020 r. z powódką skontaktowały się osoby trzecie, dążące do wyprowadzenia środków pieniężnych z rachunku powódki,

- powódka posiadała zainstalowaną aplikację (...) umożliwiającą przechwycenie pulpitu jej komputera,

- powódka w dniu 18 grudnia 2020 r. nie była świadoma tego, jakie operacje wykonywane są w jej imieniu w ramach bankowości elektronicznej (...),

- żadna z wykonanych na rachunku bankowym powódki transakcji w dniu 18 grudnia 2020 r. nie została przez nią zlecona, i także wniosek o zawarcie umowy pożyczki nie został przez nią złożony,

- w dniu 18 grudnia 2020 r. z konta powódki wykonano dwa przelewy: na 10.800 euro i 11.800 euro, to jest przed przewalutowaniem na kwoty: 49.759,92 zł oraz 54.367,32 zł,

- na etapie przedprocesowym pozwany odmówił zwrotu na rzecz powódki kwoty stanowiącej wartość przedmiotu sporu w tej sprawie, nie uwzględnił też jej reklamacji co do umowy pożyczki z dnia 18 grudnia 2020 r.

Podkreślenia wymaga, że Bank nie twierdził, aby przed 18 grudnia 2020 r. informował swoich klientów o próbach wyłudzenia przez przestępców danych i np. wyprowadzenia środków przy użyciu aplikacji do udostępniania pulpitu. Na tę okoliczność nie zaoferowano też żadnych dowodów. Natomiast z twierdzeń i zeznań powódki wynikała okoliczność przeciwna.

Sąd Okręgowy zważył, co następuje:

Powództwo podlegało uwzględnieniu w części.

Oceniając zasadność roszczenia powódki, należało mieć na względzie przede wszystkim przepisy ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. obowiązujący w grudniu 2020 r. - Dz. U. z 2020 r. poz. 794; dalej również jako „ustawa”). Usługami płatniczymi w rozumieniu ustawy, zgodnie z art. 3 ust. 1 pkt 2, jest działalność polegająca m.in. na wykonywaniu transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy:

a)przez wykonywanie usług polecenia zapłaty, w tym jednorazowych poleceń zapłaty,

b)przy użyciu karty płatniczej lub podobnego instrumentu płatniczego,

c)przez wykonywanie usług polecenia przelewu, w tym stałych zleceń.

Nie budziło wątpliwości, że jako usługi płatnicze należało zakwalifikować transakcje wykonane na rachunku bankowym powódki w dniu 18 grudnia 2020 r., w tym zwłaszcza wykonanie dwóch przelewów na rachunek bankowy w Estonii na kwoty 10.800 euro i 11.800 euro.

Z kolei zaś zawarta w imieniu powódki w dniu 18 grudnia 2020 r. umowa pożyczki była umową o kredyt konsumencki zawartą na odległość w rozumieniu art. 5 pkt 13 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (wersja obowiązująca na grudzień 2020 r. - tj. Dz.U. z 2019 r. poz. 1083).

W pierwszej kolejności wypadało odnieść się do twierdzenia powódki co do tego, że zarówno złożenie wniosku o udzielenie pożyczki, jak i samo zawarcie umowy pożyczki, a także zerwanie lokaty terminowej, a następnie wykonanie dwóch ww. przelewów na 10.800 euro i 11.800 euro, odbyło się bez jej wiedzy i zgody. Pozwany w istocie nie przeczył powyższemu twierdzeniu. Pozwany wprost wskazywał, że powódka najprawdopodobniej padłą ofiara ataku phishingowego i że doszło do wykonania szeregu czynności w ramach bankowości elektronicznej (...) przez osoby nieuprawnione, które posłużyły się danymi pozyskanymi od powódki na podstawie dostępu do jej komputera poprzez aplikację (...). Nie zostało ustalone, w jaki sposób przestępcy uzyskali kody wysłane przez Bank w wiadomościach SMS, które posłużyły do zatwierdzenia poszczególnych operacji, natomiast z ustaleń Sądu wynikało, że kodów tych powódka nie podała swojemu rozmówcy w dniu 18 grudnia 2020 r. Możliwe zatem, że także dostęp do telefonu powódki sprawcy uzyskali za pomocą aplikacji (...).

W świetle powyższego nie budziło wątpliwości, że to nie powódka złożyła oświadczenia woli w zakresie wnioskowania o pożyczkę, zawarcia tej umowy, przedterminowego zakończenia lokaty bankowej i w końcu dyspozycji przelewów na zagraniczne konto w Estonii. Oświadczenia w tym zakresie złożyła nieustalona osoba trzecia, podszywająca się pod powódkę. Osoba ta wykorzystała fakt, że bankowość elektroniczna umożliwia składanie ww. oświadczeń woli według uproszczonej procedury, a dla potwierdzenia tożsamości osoby składającej oświadczenie woli Bank za wystarczające uznawał samo poprawne zalogowanie się do bankowości elektronicznej przy użyciu loginu i hasła przypisanych do powódki, a następnie podanie kodów wysłanych w wiadomościach SMS na telefon powódki.

Skoro oświadczenia woli nie zostały złożone przez powódkę ani też w jej imieniu w granicach umocowania pełnomocnika, należało uznać je za nieważne. W konsekwencji nieważna jest także umowa pożyczki z dnia 18 grudnia 2020 r., skoro powódka wyraźnie oświadczyła Bankowi, że umowy tej nie potwierdza (art. 103 § 1 k.c.).

W tym zakresie Sąd podzielił argumentację powódki. O oddaleniu powództwa w odniesieniu do roszczenia o ustalenie nieważności umowy pożyczki zadecydowało natomiast to, że powódka, zdaniem Sądu, nie wykazała, aby posiadała tu interes prawny w rozumieniu art. 189 k.p.c. Sama powódka wskazała, że Bank sprzedał wierzytelność z tytułu ww. umowy pożyczki funduszowi inwestycyjnemu, który jednak – po uzyskaniu informacji o okolicznościach zaciągnięcia pożyczki – odstąpił od dochodzenia od powódki zapłaty.

Zdaniem Sądu, nie istnieje na ten moment realne zagrożenie dochodzenia od powódki jakichkolwiek roszczeń z tytułu ww. umowy pożyczki przez sam Bank – skoro ten zbył wierzytelność. Z kolei zaś fundusz inwestycyjny, który nabył wierzytelność od Banku, cofnął powództwo wytoczone przeciwko M. T., przy czym z danych zapisanych w systemie wewnętrznym Sądu Okręgowego w Warszawie wynika, że postępowanie w sprawie II C 1472/23 zostało prawomocnie umorzone na skutek cofnięcia powództwa. Wypada zauważyć, że powódka będzie mogła skutecznie obronić się przed ewentualną ponowną próbą dochodzenia od niej świadczenia z tytułu umowy pożyczki przez fundusz inwestycyjny za pomocą zarzutu przedawnienia.

Skoro umowa pożyczki okazała się nieważna, wypłata na jej podstawie kwoty 54.188,81 zł na rachunek bankowy powódki nie miała podstawy prawnej. Powódka w niniejszym postępowaniu niezasadnie dochodziła zatem od Banku zwrotu tej kwoty, bowiem ta nigdy nie powinna była znaleźć się na rachunku powódki i nie były to środki powódki. Także w tej części Sąd zatem powództwo oddalił. Podkreślenia wymaga, że powódka dochodziła tu zapłaty 60.000 zł, błędnie wskazując, że taka kwota została przekazana na rachunek bankowy powódki tytułem wypłaty pożyczki.

Jako zasadne Sąd ocenił natomiast dochodzenie przez powódkę zwrotu pozostałej części środków wyprowadzonych z jej rachunku w dniu 18 grudnia 2020 r., przelanych na rachunek prowadzony w Estonii, przy czym powódka domagała się z tego tytułu zapłaty łącznej kwoty 43.948,73 zł, z czego 43.000 zł pierwotnie zgromadzone były na lokacie terminowej, a 948,73 zł to środki na rachunku bieżącym.

Przypomnieć wypada, że zgodnie z art. 40 ust. 1 ustawy: Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.

W świetle przywołanej wyżej definicji transakcji autoryzowanej, nie powinno budzić wątpliwości, że transakcje wykonane na rachunku powódki w dniu 18 grudnia 2020 r. były transakcjami nieautoryzowanymi. Poza sporem było przecież, że powódka nie wyrażała zgody na ich wykonanie. Ciężar wykazania, że sporne transakcje płatnicze były przez powódkę autoryzowane spoczywał, zgodnie z art. 45 ust. 1 ustawy, na pozwanym. Pozwany w istocie nie przedstawił zaś żadnych dowodów na tę okoliczność. Mając na uwadze brzmienie art. 45 ust. 3 ustawy, nie sposób uznać, że o autoryzowaniu transakcji ma świadczyć samo to, że transakcje przeprowadzono po zalogowaniu się na konto powódki oraz przy użyciu przekazanych przez Bank kodów jednorazowych. Nie ma także znaczenia to, że z punktu widzenia Banku nie doszło do przełamania zabezpieczeń.

Dalej należało mieć na względzie treść art. 46 ustawy:

1. Z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą.

1a. W przypadku gdy transakcja płatnicza jest inicjowana za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej, dostawca prowadzący rachunek niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej oraz, w stosownych przypadkach, przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.

1b. Jeżeli dostawca świadczący usługę inicjowania transakcji płatniczej odpowiada za dokonanie nieautoryzowanej transakcji płatniczej, na wniosek dostawcy prowadzącego rachunek, niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia danej transakcji lub doręczenia wniosku, rekompensuje mu poniesione straty lub zwraca kwoty zapłacone w wyniku dokonania przez niego zwrotu na rzecz płatnika, w tym kwotę nieautoryzowanej transakcji płatniczej. Przepis art. 45 ust. 1a stosuje się odpowiednio.

1c. Roszczenia, o których mowa w ust. 1b, nie wyłączają roszczeń wynikających z umowy zawartej między płatnikiem a dostawcą prowadzącym rachunek lub umowy zawartej między płatnikiem a dostawcą świadczącym usługę inicjowania transakcji płatniczej oraz z przepisów prawa właściwego dla tych umów.

2. Płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 50 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem:

1) posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub

2) przywłaszczenia instrumentu płatniczego.

2a. Przepisu ust. 2 nie stosuje się, w przypadku gdy:

1) płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej, z wyjątkiem przypadku gdy płatnik działał umyślnie, lub

2) utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy płatnika lub podmiotu świadczącego na jego rzecz usługi, o których mowa w art. 6 pkt 10.

3. Płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.

4. Po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 płatnik nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że płatnik doprowadził umyślnie do nieautoryzowanej transakcji.

4a. W przypadku gdy dostawca płatnika nie wymaga silnego uwierzytelniania użytkownika, płatnik nie ponosi odpowiedzialności za nieautoryzowane transakcje płatnicze, chyba że działał umyślnie. W przypadku gdy odbiorca lub dostawca odbiorcy nie akceptują silnego uwierzytelniania użytkownika, odpowiadają oni za szkody poniesione przez dostawcę płatnika.

5. Jeżeli dostawca, wbrew obowiązkowi, o którym mowa w art. 43 ust. 1 pkt 3, nie zapewnia odpowiednich środków umożliwiających dokonanie w każdym czasie zgłoszenia, o którym mowa w art. 42 ust. 1 pkt 2, płatnik nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że płatnik doprowadził umyślnie do nieautoryzowanej transakcji.

6. Przepisów ust. 1-5 nie stosuje się do pieniądza elektronicznego, jeżeli dostawca płatnika nie ma możliwości zablokowania instrumentu płatniczego lub rachunku płatniczego.

Podkreślenia wymaga, że ustawodawca w art. 46 ust. 1 ustawy wprowadził generalną zasadę, zgodnie z którą to dostawca usługi płatniczej ponosi odpowiedzialność za skutki przeprowadzenia nieautoryzowanej transakcji. Jeżeli dostawca chce się uwolnić od odpowiedzialności, powinien wykazać, że zachodziły okoliczności wskazane w art. 46 ust. 3 ustawy.

W niniejszej sprawie pozwany podnosił, że do wykonania kwestionowanych przez powódkę operacji na jej rachunku doszło w warunkach, o których mowa w art. 46 ust. 3 ustawy, bowiem doprowadziła do nich sama powódka w wyniku „rażącego niedbalstwa w prowadzeniu swoich interesów majątkowych”. Sąd nie podzielił tego stanowiska.

Wypada w tym miejscu zwrócić uwagę na treść art. 42 ustawy:

1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:

1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz

2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.

2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

3. Umowa ramowa, o której mowa w ust. 1 pkt 1, powinna zawierać obiektywne, niedyskryminujące i proporcjonalne postanowienia dotyczące wydawania i użytkowania instrumentu płatniczego.

Instrument płatniczy to w rozumieniu ustawy zindywidualizowane urządzenie lub uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywane przez użytkownika do złożenia zlecenia płatniczego.

W ocenie Sądu, nie można uznać, że do wykonania kwestionowanych przez powódkę operacji na jej rachunku doszło na skutek naruszenia przez powódkę obowiązków, o których mowa w art. 42 ustawy, które wprawdzie było umyślne bądź nosiło cechy rażącego niedbalstwa.

Poza sporem było, że w dniu 18 grudnia 2020 r. powódka odbyła rozmowę telefoniczną z nieustalonym mężczyzną, który podawał się za przedstawiciela firmy zajmującej się inwestycjami w kryptowaluty. Zważywszy na fakt, że poprzedniego dnia powódka otrzymała wiadomość email z propozycją zainwestowania w bitcoiny i wykonała przelew na 950 zł celem zakupienia bitcoinów, telefon z firmy, która miała obsługiwać tę inwestycję, nie zdziwił powódki. Jej rozmówca wiedział o dokonanym przez nią dzień wcześniej przelewie na 950 zł, czym uwiarygodnił to, że faktycznie dzwoni z ramienia firmy inwestycyjnej. Mężczyzna zaproponował powódce szkolenie przez telefon w zakresie inwestowania w kryptowaluty, na co powódka przystała. Trudno winić powódkę za to, że nie uznała owej propozycji za podejrzaną, zwłaszcza, że jej rozmówca wyjaśnił, że dzięki temu, że ona będzie inwestować w kryptowaluty, on też będzie zarabiać – co w wystarczającym stopniu uzasadniło chęć przeprowadzenia przez niego nieodpłatnego szkolenia. Mężczyzna ten był przy tym elokwentny, mówił po polsku bez akcentu i sprawiał wrażenie profesjonalisty. Dlatego właśnie cała sytuacja nie wzbudziła początkowo u powódki żadnych podejrzeń. Dopiero, kiedy rozmowa przedłużała się, a mężczyzna zaczął zdradzać przejawy zniecierpliwienia, a nawet krzyczał na powódkę, a nadto gdy powódka usłyszała w tle głos innego mężczyzny, z wyraźnie wschodnim akcentem, u powódki pojawił się niepokój i w efekcie zakończyła ona połączenie i pomimo kolejnych telefonów nie kontynuowała już rozmowy.

Powódka miała wówczas już 65 lat i mimo że korzystała z bankowości elektronicznej, to tylko w ten sposób, że wykonywała z jej użyciem przelewów za rachunki. Potrafiła to przy tym zrobić wyłącznie na komputerze, a na telefonie komórkowym już nie. Nie była osobą dobrze obeznaną w tym zakresie, co czyniło z niej łatwą ofiarę z punktu widzenia przestępców, którzy skontaktowali się z nią 18 grudnia 2020 r.

Poza sporem było, że powódka miała zainstalowany na komputerze stacjonarnym program (...), z którego często korzystali informatycy w jej firmie. Prawdopodobnie powódka udzieliła swojemu rozmówcy w dniu 18 grudnia 2020 r. dostępu do pulpitu komputera i być może także do telefonu komórkowego poprzez tę właśnie aplikację. Dzięki temu wszystkie operacje wykonywane przez przestępców podszywających się pod powódkę z punktu widzenia systemu bankowego jawiły się jako wykonane poprawnie.

Podkreślenia w tym miejscu wymaga, że powódka w dacie zdarzenia nie zdawała sobie sprawy z tego, czym jest „phishing” i że aplikacja (...) jest wykorzystywana przez przestępców do wyłudzania danych celem między innymi wyprowadzenia środków z rachunków bankowych. Okoliczność ta nie dziwi, bowiem w 2020 r. taki sposób działania oszustów nie był jeszcze rozpowszechniony i z pewnością nie był wiedzą powszechną w społeczeństwie. Jednocześnie należy podkreślić, iż bank – jako profesjonalny uczestnik obrotu gospodarczego oraz instytucja zaufania publicznego – powinien był posiadać wiedzę o występowaniu tego rodzaju przestępczych praktyk oraz powinien był podejmować aktywne działania informacyjne i prewencyjne wobec swoich klientów. Tymczasem w okolicznościach tej sprawy Bank ze swojej strony nie podjął żądnych aktów staranności, aby swoich klientów uczulić przed tego rodzaju działaniami przestępczymi. W toku postępowania Bank nawet nie twierdził, aby według stanu na grudzień 2020 r. przeprowadzał kampanie informacyjne, czy w jakikolwiek inny sposób starał się uświadomić swoim klientom, że mogą paść ofiarą przestępstwa w taki sposób, jak to miało miejsce w przypadku powódki.

Przypomnieć wypada, że rażące niedbalstwo (culpa lata) stanowi kwalifikowaną postać winy nieumyślnej i zbliżone jest do winy umyślnej. Tymczasem powódka działała w przeświadczeniu, że rozmawia z reprezentantem firmy inwestycyjnej, dzięki któremu uzyska wiedzę i umiejętności, pozwalające jej inwestować w kryptowaluty. Nie zdawała sobie sprawy z tego, że w trakcie rozmowy wykonywane są przez osoby trzecie operacje bankowe w ramach jej bankowości elektronicznej. W momencie, kiedy rozmowa zaczęła jawić się powódce jako podejrzana, przerwała ona połączenie. Natomiast wówczas było już za późno. Środki z jej rachunku zostały wyprowadzone dzięki skorzystaniu przez przestępców z opcji przelewów ekspresowych.

Przy rozstrzyganiu która ze stron winna ponosić skutki przeprowadzenia nieautoryzowanej transakcji, nie można zapominać, że zapewnienie bezpieczeństwa środków pieniężnych powierzonych bankowi, w tym zapisanych na rachunku bankowym, jest jednym z najważniejszych obowiązków banku. Zgodnie z art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz.U. z 2020 r. poz. 1896): Bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.

Z uwagi na przewidziany w art. 50 ust. 2 Prawa bankowego obowiązek banków zachowania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, pozwany po odnotowaniu próby przeprowadzenia ataku phishingowego w dany sposób powinien niezwłocznie podejmować działania mające na celu udaremnienie podobnych ataków w przyszłości. Publikowanie na stronie internetowej komunikatów informacyjnych w zakresie zasad bezpiecznego korzystania z bankowości elektronicznej, opisujących metody działania przestępców, to działanie o charakterze absolutnie podstawowym. Niezależnie jednak od tego, bank powinien dążyć do opracowania takich procedur i zabezpieczeń, które mogłyby uchronić środki klientów przed działaniami cyberprzestępców. Zdziwienie budzi, że system informatyczny pozwanego Banku nie zidentyfikował przestępczych transakcji z 18 grudnia 2020 r. jako anomalii, w szczególności dwóch przelewów w euro wykonanych na rachunek w Estonii z podaniem jako tytułu przelewu dziwnego kodu.

Dotychczas powódka, wieloletnia klientka banku, w wieku emerytalnym, korzystała z bankowości elektronicznej wyłącznie w celu wykonywania przelewów za rachunki. Nigdy nie dokonywała transakcji na konta zagraniczne lub w walucie obcej. Wydaje się, że powinno było wzbudzić czujność Banku wykonanie jednego dnia tak nietypowych dla powódki transakcji, polegających na wykonaniu dwóch przelewów na duże kwoty, w wyniku których całość środków powódki, w tym zgromadzonych uprzednio na lokacie terminowej oraz uzyskanych z zaciągniętej kilka minut wcześniej, także przez internet, pożyczki ekspresowej, miała być przekazana na rachunek w euro prowadzony w Estonii dla firmy. Sam tytuł przelewu w obu wypadkach też był przy tym nietypowy. Gdyby Bank wstrzymał realizację przelewów do czasu zatwierdzenia tych czynności przez klientkę i zadzwonił do powódki z zapytaniem, czy to ona zlecała transakcje, udałoby się zapobiec utracie środków.

Mając na względzie wszystkie opisane wyżej okoliczności, Sąd doszedł do przekonania, że powódce nie można zarzucić rażącego niedbalstwa, w tym w zakresie naruszenia obowiązków określonych w art. 42 ustawy. Powyższe prowadzi do wniosku, że nie zostało wykazane, aby zachodziły okoliczności określone w art. 46 ust. 3 ustawy, a zatem pozwany nie zdołał uwolnić się od odpowiedzialności za skutki nieautoryzowanych transakcji na rachunku powódki. Co więcej, w ocenie Sądu, to pozwany Bank nie zdołał dochować należytej staranności, zwłaszcza mając na uwadze profesjonalny charakter działalności tego podmiotu i obowiązek szczególnej dbałości o bezpieczeństwo deponowanych przez klientów środków.

Zgodnie z art. 46 ust. 1 ustawy w razie wystąpienia nieautoryzowanej transakcji dostawca jest zobowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji, czego Bank w okolicznościach tej sprawy zaniechał. Termin spełnienia świadczenia został przez ustawodawcę określony precyzyjnie, tj. nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia. W okolicznościach rozpatrywanej tu sprawy Bank już w dniu 18 grudnia 2020 r. został przez powódkę powiadomiony o tym, że to nie ona zleciła przelewy z tego dnia. Do końca następnego dnia roboczego, czyli do końca dnia 21 grudnia 2020 r., Bank powinien był zatem zwrócić kwotę pobraną z rachunku powódki. Tymczasem Bank nie zwrócił powódce pieniędzy i to pomimo złożenia przez nią reklamacji, w których szczegółowo wyjaśniła, jak doszło do zdarzenia. Począwszy od dnia 22 grudnia 2020 r. pozwany popadł w opóźnienie, co uzasadniało zasądzenie na rzecz powódki odsetek ustawowych za opóźnienie na podstawie art. 481 § 1 i 2 k.c. już od tej daty. Powódka dochodziła natomiast odsetek od daty późniejszej, bo od dnia wniesienia pozwu, i tylko w tym zakresie Sąd – mając na uwadze zasadę zakazu orzekania ponad żądanie (art. 321 § 1 k.p.c.) - mógł przyznać powódce odsetki.

W świetle powyższego na rzecz powódki należało zasądzić 43.948,73 zł wraz z odsetkami ustawowymi za opóźnienie od dnia 30 grudnia 2023 r. do dnia zapłaty, o czym Sąd orzekł w pkt. 1 sentencji wyroku. W pozostałym zakresie powództwo oddalono – pkt 2 sentencji wyroku.

W punkcie 3. wyroku Sąd orzekł o kosztach procesu na podstawie art. 102 k.p.c. odstępując od obciążania powódki kosztami procesu należnymi stronie pozwanej.

Formalnie powódka przegrała niniejsze postępowanie. Postanowieniem z 11 lipca 2024 r. Sąd ustalił wartość przedmiotu sporu w tej sprawie na 158.138 zł. Na rzecz powódki zasądzona zaś została kwota 43.948,73 zł, co odpowiada mniej niż 1/3 owej wartości przedmiotu sporu.

W ocenie Sądu, w niniejszej sprawie zachodził natomiast szczególnie uzasadniony wypadek w rozumieniu art. 102 k.p.c. Sąd nie miał wątpliwości co do tego, że powódka padła ofiarą przestępstwa. W istocie pozwany Bank także tego nie kwestionował. Mimo to Bank nie tylko nie uznał reklamacji powódki w zakresie żądania zwrotu kwot wyprowadzonych z jej rachunku na podstawie nieautoryzowanych transakcji, ale nadto – mając świadomość tego, że umowa pożyczki w dniu 18 grudnia 2020 r. nie została zaciągnięta przez powódkę, a przez osobę podszywającą się pod nią – zbył na rzecz funduszu inwestycyjnego rzekomą wierzytelność z tytułu owej pożyczki. Działania Banku należy ocenić negatywnie. Banki zwykło się traktować jako instytucje zaufania publicznego. W okolicznościach tej sprawy sposób zachowania Banku, zarówno w postaci zaniechania podjęcia próby wstrzymania przelewów odbiegających od zwykłego sposobu zachowań powódki jako użytkowniczki bankowości elektronicznej, celem uzyskania dodatkowej ich weryfikacji, jak i działania Banku po zgłoszeniu przez powódkę, że doszło do włamania do jej bankowości elektronicznej, nie licują ze statusem instytucji zaufania publicznego.

Sąd miał też na uwadze fakt, że powódka miała rację co do tego, że umowa pożyczki z dnia 18 grudnia 2020 r. była nieważna, zaś oddalenie powództwa o ustalenie wynikało z uznania przez Sąd, że nie został wykazany po stronie powódki interes prawny, co do pewnego stopnia pozostaje kwestią ocenną.

Mając to wszystko na uwadze, Sąd doszedł do przekonania, że obciążenie powódki w jakiejkolwiek części kosztami procesu na rzecz pozwanego byłoby niesprawiedliwe i niezgodne z zasadami współżycia społecznego.

Sędzia Agnieszka Nakwaska – Szczepkowska