XXV C 483/22 - wyrok z uzasadnieniem Sąd Okręgowy w Warszawie z 2023-10-16
S
ygn. akt
XXV C 483/22
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 16 października 2023 r.
Sąd Okręgowy w Warszawie XXV Wydział Cywilny, w składzie:
|
Przewodniczący: |
sędzia Tomasz Gal |
|
Protokolant: |
stażysta Adam Darnikowski |
po rozpoznaniu na rozprawie w dniu 16 października 2023 r. w Warszawie
sprawy z powództwa D. N.
przeciwko (...) S.A. w W.
o zapłatę i ustalenie
Zasądza od (...) S.A. w W. na rzecz D. N. kwotę 45.000 zł (czterdzieści pięć tysięcy złotych) z odsetkami ustawowymi za opóźnienie od dnia 25 września 2021 r. do dnia zapłaty,
Ustala, że nie istnieją pomiędzy D. N. a (...) S.A. w W. w całości następujące stosunku prawne wynikające z:
umowy kredytu nr (...) zawartej w dniu 23 września 2021 r. na kwotę 40.000 zł,
umowy kredytu nr (...) zawartej w dniu 23 września 2021 r. na kwotę 49.500 zł,
umowy kredytu nr (...) zawartej w dniu 23 września 2021 na kwotę 50.000 zł,
umowy kredytu nr (...) zawartej w dniu 23 września 2021 na kwotę 50.000 zł,
Oddala powództwo w pozostałej części,
Ustala, że strona powodowa wygrała niniejszy proces w 68,80 %, a strona pozwana wygrała go w 31,20 %, pozostawiając wyliczenie kosztów procesu referendarzowi sądowemu.
Sygn. akt XXV C 483/22
UZASADNIENIE
Powód D. N. , w pozwie z dnia 21 lutego 2022 r., wniesionym 23 lutego 2022 r. przeciwko pozwanemu (...) S.A. domagał się:
zasądzenia od pozwanego kwoty 51.330,05 zł wraz z odsetkami w wysokości ustawowej liczonymi od dnia 24 września 2021 r. do dnia zapłaty,
ustalenia nieistnienia stosunku prawnego pomiędzy powodem a pozwanym w postaci:
zobowiązania umowy kredytu nr (...) zawartej w dniu 23 września 2021 r. na kwotę 40.000 zł wraz z kosztami odsetkowymi,
zobowiązania z umowy kredytu nr (...) zawartej w dniu 23 września 2021 r. na kwotę 49.500 zł wraz z kosztami odsetkowymi,
zobowiązania z umowy kredytu nr (...) zawartej w dniu 23 września 2021 na kwotę 50.000 zł wraz z kosztami odsetkowymi,
zobowiązania z umowy kredytu nr (...) zawartej w dniu 23 września 2021 na kwotę 50.000 zł wraz z kosztami odsetkowymi,
zasądzenie od pozwanego kwoty 100.000 zł tytułem zadośćuczynienia za krzywdę doznaną przez powoda wskutek naruszenia przez pozwanego dóbr osobistych powoda z odsetkami ustawowymi za okres od dnia wytoczenia powództwa do dnia zapłaty.
Powód wniósł także o zasądzenie od pozwanego kosztów procesu.
W uzasadnieniu powód wskazał, że pozwany otworzył i prowadził dla powoda dwa rachunki bankowe – osobisty oraz firmowy. Ponadto powód korzysta z innego produktu pozwanego tj. limitu odnawialnego rachunku, który to produkt został uruchomiony przez pozwany bank i jest nadal utrzymywany. Powód ma dostęp do swoich produktów za pośrednictwem bankowości elektronicznej.
Powód wskazał, że w dniu 23 września 2021 r. nieokreślona osoba trzecia przy wykorzystaniu systemów teleinformatycznych pozwanego banku, dokonała szeregu operacji na rachunkach bankowych powoda, wskutek czego powód poniósł szkodę majątkową. Osoba trzecia zaciągnęła w imieniu powoda zobowiązania finansowe oraz zadysponowała jego środkami pieniężnymi zgromadzonymi na rachunkach bankowych, a także środkami pochodzącymi z zaciągniętych pożyczek i kredytów. Powód podkreślił, że nie udostępniał nikomu danych umożliwiających korzystanie z jego rachunków bankowych, oraz kanałów komunikacji teleinformatycznej z pozwanym bankiem. Należy zatem przyjąć, że dane te zostały pozyskane przez osobę trzecią w sposób nieuprawniony. W tym przedmiocie toczy się już postępowanie przygotowawcze w Prokuraturze Rejonowej w Z..
Zdaniem powoda, bank nie wykonał wobec niego swoich obowiązków umownych i ustawowych bowiem nie zapewnił powodowi odpowiednich zabezpieczeń podczas korzystania z usług bankowych świadczonych drogą elektroniczną. W ramach szkody poniesionej przez powoda należy wyodrębnić dwa jej rodzaje 1) szkodę faktycznie poniesioną na kwotę 51.330,05 zł utraconą przez powoda wskutek ingerencji bliżej nieokreślonej osoby trzeciej i zadysponowanie zgromadzonymi w tym dniu na rachunku bankowym powoda środkami pieniężnymi, oraz 2) szkodę polegającą na nieuprawnionym przypisywaniu powodowi przez pozwany bank zobowiązania w wysokości 189.500,00 zł którego powód nie zaciągał.
Powód podkreślił, że bank ponosi odpowiedzialność w sytuacji dokonania nieautoryzowanych transakcji płatniczych z rachunku swojego klienta. Powód powołał się w tym względzie na przepisy ustawy z 31 stycznia 1989 Prawo bankowe, ustawy z dnia 18 lipca 2004 r. o świadczeniu usług drogą elektroniczną, oraz ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych.
Powód wskazał również, że ma interes prawny w ustaleniu nieistnienia zobowiązań z tytułu wskazanych w pozwie umów kredytu i pożyczek, albowiem pozwany zawarł te umowy z osobą trzecią podającą się za powoda w warunkach nieuprawnionego i nieautoryzowanego przez powoda dostępu do systemu teleinformatycznego banku.
Nadto, w ocenie powoda, pozwany bank naruszył jego dobra osobiste w postaci dobrego imienia, godności, czci i poczucia bezpieczeństwa albowiem wiedząc o prowadzonym postępowaniu przygotowawczym, żąda od powoda spłaty kredytu potęgując w ten sposób poczucie krzywdy powoda wywołane oczernianiem jego dobrego imienia, zaburzaniem jego bezpieczeństwa i stabilizacji finansowej. (pozew – k. 3-24)
W odpowiedzi na pozew z dnia 29 marca 2022 r. (...) S.A. z siedzibą w W. wniósł o oddalenie powództwa w całości oraz o zasądzenie od powoda kosztów procesu.
Pozwany wskazał, że z przeprowadzonych ustaleń a także udowodnionych już okoliczności sprawy wynika, że umowy kredytów i pożyczek, których istnienie zakwestionował powód, zostały zawarte prawidłowo i pozostają skuteczne. Nawet jednak gdyby uznać, że do zawarcia przedmiotowych umów doszło w wyniku działań przestępczych, to brak jest podstaw do obciążania odpowiedzialnością z tego tytułu pozwanego banku.
Powód zawierając z pozwanym umowy rachunków bankowych, zapoznał się z obowiązującymi u pozwanego regulaminami, w tym obowiązującymi u pozwanego zasadami bezpieczeństwa.
Pozwany podkreślił, że po próbie wykonania przez powoda wysokokwotowej transakcji internetowej kartą płatniczą na ogólnoświatowej giełdzie kryptowalut (...), pozwany zareagował prawidłowo, ograniczając powodowi możliwość realizacji dalszych transakcji. Dopiero po skontaktowaniu się przez powoda z infolinią (...) celem zniesienia tego ograniczenia, zostało ono zdjęte. Powód przyznał przy tym, że nie zapoznawał się z opinią o firmie inwestycyjnej, z którą nawiązał współpracę. Zdaniem pozwanego, powód albo udostępnił doradcom finansowym pełne dane dostępowe do bankowego serwisu internetowego oraz samodzielnie i świadomie autoryzował przeprowadzane transakcje, do których zachęcany był przez osoby trzecie, lub zainstalował na swoim komputerze oprogramowanie typu (...) (standardową procedurę oszustów), do zdalnego zarządzania urządzeniami tym samym zezwalając osobom trzecim na podgląd danych na swoim urządzeniu mobilnym w tym odczyt poufnych kodów SMS wysyłanych przez Bank.
Pozwany podniósł, że powód korzystał z oferty platformy brokerskiej, która na swojej stronie internetowej nie udostępnia podstawowych informacji umożliwiających potencjalnemu inwestorowi weryfikację jego wiarygodności. Z analizy danych pozwanego wynika, że powód udostępnił indywidualnie dane uwierzytelniające (login i poufne hasło) osobom trzecim, czym załamał obowiązujący u pozwanego regulamin. Zdaniem pozwanego powód nie zachował nawet minimum należytej staranności, bezpośrednio współpracując z doradcą inwestycyjnym bez sprawdzenia opinii na jego temat, jak również pomimo poprzedniej reakcji pozwanego, polegającej na blokadzie serwisu transakcyjnego, a nadto nie zabezpieczając odpowiednio swoich danych.
W ocenie pozwanego, powód nie wykazał interesu prawnego w ustaleniu nieistnienia przedmiotowych zobowiązań zawartych z pozwanym w dniu 23 września 2021 r. Pozwany podkreślił przy tym, że jeśli sporne transakcje zostały przeprowadzone przez osoby trzecie bez zgody i inicjatywy powoda, to nastąpiło to tylko i wyłącznie na skutek działania bądź zaniechania powoda, nie zaś pozwanego banku. Według pozwanego, powód wykazał się rażącym niedbalstwem o czym świadczy m.in. fakt korzystania z oferty platformy brokerskiej, odblokowanie zabezpieczeń nałożonych przez pozwanego w sytuacji pierwszej próby transakcji internetowej kartą płatniczą klienta na giełdzie kryptowalut, ignorowanie komunikatów i ostrzeżeń bezpieczeństwa publikowanych przez pozwanego w ogólnym serwisie internetowym.
Pozwany zaprzeczył również jakoby w wyniku jego standardowych działań miało dojść do naruszenia dóbr osobistych powoda, w postaci godności czy też prawa do życia w bezpieczeństwie. Pozwany podniósł, że nie zachodzi adekwatny związek przyczynowy pomiędzy zachowaniem pozwanego, a wskazanym przez powoda naruszeniem dóbr osobistych. Zachowanie pozwanego, tj. zawarcie umów, wypłata środków, a następnie egzekwowanie spłaty rat z umów jest działaniem całkowicie normalnym. Również wpisanie do Biura Informacji Kredytowej jest typowym postępowaniem na wypadek braku spłaty zaległości przez każdego klienta pozwanego. (odpowiedź na pozew k. 109 -121)
W replice na odpowiedź na pozew z dnia 23 maja 2022 r. powód podtrzymał swoje dotychczasowe stanowisko w sprawie.
Powód podniósł, że zaprezentowane przez pozwanego dowody nie wykazują faktów zawarcia przez powoda z pozwanym spornych w niniejszym postępowaniu umów, jak również dokonania przez powoda autoryzacji spornych operacji bankowych, oraz faktu dopełnienia przez pozwanego określonych obowiązków informacyjnych w zakresie obowiązujących o pozwanego zasad bezpieczeństwa.
Odnosząc się do dowodów w postaci nagrań rozmów telefonicznych, powód zwrócił szczególną uwagę na rozmowę, która miała miejsce 23 września 2021 r. w godzinach wieczornych, w której powód niezwłocznie po powzięciu wiadomości o uzyskaniu przez osobę trzecią dostępu do jego konta bankowego zgłosił reklamację oraz złożył pierwsze wyjaśnienia dotyczące spornych sytuacji. Treść tej rozmowy nie wskazuje w żadnym razie na to, jakoby powód był odpowiedzialny za zaistniałą sytuację. Powód podkreślił przy tym, że przedstawione przez pozwanego nagranie tej rozmowy jest niekompletne. Powód wskazał, że pozwany bank, jako profesjonalista, powinien był podjąć intensywne czynności zmierzające do wyjaśnienia okoliczności sprawy. (replika na odpowiedź na pozew k. 254-262)
Na podstawie przedstawionego materiału dowodowego, a w szczególności na podstawie: umowy kredytu gotówkowego o numerze (...) (k. 124-127), umowy kredytu gotówkowego (...) (k. 132-135), umowy pożyczki dla firm nr (...) (k. 136-137), umowy pożyczki dla firm nr (...) (k. 142-143), Regulaminu obsługi klientów w ramach bankowości detalicznej(...) (144-147), zestawienia operacji na rachunkach powoda za okres od 23 września 2021 r. do 23 września 2021 r. (k.28-29, k. 30-31), wydruków z wiadomości SMS od (...) (k. 32-41), wiadomości e-mail w sprawie reklamacji (k. 42-43, k. 49-50, 51) potwierdzenia zawiadomienia o możliwości popełnienia przestępstwa (k. 59), zawiadomienia o wszczęciu śledztwa (k. 61) wypowiedzenia umów kredytów (k. 228-229) nagrań rozmów telefonicznych z konsultantem(...) złożone na płycie CD (k. 218-219) oraz ich stenogramów (k. 275-285), zeznań świadków M. F. (k. 322-352), i D. B. (k354-386), przesłuchania powoda (k394-396), a także opinii biegłego z zakresu informatyki (424-461v, 483-483v., 514 – 523 v., 564 v.) Sąd ustalił następujący stan faktyczny:
D. N. jest klientem (...) S.A. od blisko 11 lat. W ramach tej współpracy (...) S.A. otworzył i prowadził dla powoda rachunki bankowe:
rachunek osobisty o numerze (...)
rachunek firmowy o numerze (...)
limit odnawialny w rachunku (...)
Do każdego ze wskazanych wyżej rachunków bankowych (...)wydał powodowi karty płatnicze (debetowe) a także zapewnił powodowi dostęp do rachunków bankowych i pozostałych produktów banku za pomocą systemu bankowości internetowej.
(okoliczności bezsporne)
Powód korzystając z usług pozwanego banku związany był treścią obowiązujących u pozwanego regulaminów, w szczególności Regulaminu obsługi klientów w ramach bankowości detalicznej (...) S.A.
Zgodnie z Regulaminem obsługi klientów w ramach bankowości detalicznej (...) S.A., aby korzystać z serwisu transakcyjnego na stronie(...) oraz aplikacji mobilnej, klient musi posiadać odpowiedni sprzęt, taki jak komputer, telefon czy inne urządzenie mobilne wraz z niezbędnym oprogramowaniem. W celu korzystania z serwisu transakcyjnego, należy aktywować do niego dostęp i umożliwić bankowi weryfikację tożsamości klienta. Podobnie w przypadku aplikacji mobilnej – aby umożliwić korzystanie z niej, należy ją aktywować oraz pozwolić na weryfikację tożsamości przez bank.
Również składanie oświadczeń wymaga weryfikacji tożsamości klienta. Wśród sposobów weryfikacji tożsamości klienta celem skutecznego złożenia oświadczenia, Regulamin w Rozdziale 7 przewidział m.in.:
a) wprowadzenie:
- identyfikatora lub hasła,
- PINu do aplikacji mobilnej,
- identyfikatora i wybranych cyfr hasła,
- hasła jednorazowego,
b) potwierdzenie tożsamości mobilną autoryzacją
Stosownie do postanowień zawartych w Rozdziale 8 Regulaminu potwierdzenie złożenia dyspozycji przez posiadacza rachunku bankowego również wymaga weryfikacji jego tożsamości, co może nastąpić w drodze elektronicznej:
- hasłem jednorazowym w postaci kodu SMS wysłanym na podany wcześniej przez klienta numer telefonu
- mobilną autoryzacją lub PINem do aplikacji mobilnej.
W Rozdziale 10 Regulaminu zawarte zostały ogólne zasady bezpieczeństwa dotyczące sposobów dostępu. Klient powinien korzystać ze środków dostępu zgodnie z ich przeznaczeniem, dbać o to, by oświadczenia były prawidłowe i zgodne z jego intencją. W szczególności, po zakończeniu korzystania z serwisu transakcyjnego na stronie internetowej banku należy się wylogować. Ustalanie indywidualnych danych uwierzytelniających oraz identyfikatora następuje zgodnie z procedurą zapewniająca ich bezpieczeństwo. Uzyskanie informacji o jednej z tych danych, nie pozwala na równoczesne pozyskanie informacji o innej. Indywidualne dane uwierzytelniające są poufne i powinna znać je tylko osoba, której one dotyczą. W szczególności, nie należy:
- stosować aplikacji i innych mechanizmów, które umożliwiają zapisanie danych na komputerze, telefonie lub innym urządzeniu,
- korzystać z aplikacji automatyzujących na komputerze, telefonie lub innym urządzeniu,
- ujawniać innym osobom dodatkowych informacji, które mogą posłużyć do potwierdzenia tożsamości.
(Regulamin obsługi klientów w ramach bankowości detalicznej (...) S.A., k. 144-147).
D. N. planował zainwestować posiadane środki pieniężne w instrumenty przynoszące wyższy zysk niż lokaty bankowe, i z tej przyczyny zaczął interesować się inwestowaniem w kryptowaluty. We wrześniu 2023 r. D. N. zalogował się do aplikacji umożliwiającej handel kryptowalutami. Powód nigdy wcześniej nie korzystał z takiej aplikacji. Logując się powód korzystał z własnego komputera – podał swój adres elektroniczny, imię i nazwisko. Po zalogowaniu otrzymał zwrotny link aktywacyjny. W wyniku aktywowania linku, powód został przeniesiony na stronę internetową firmy, która handlowała kryptowalutami. Na tej stronie internetowej powód dokonał transakcji w postaci nabycia kryptowalut za kwotę 1000 zł. Przy tej transakcji powód podał numer karty kredytowej (...), oraz jej datę ważności. D. N. z przedstawicielami tej firmy kontaktował się tylko elektronicznie.
(przesłuchanie powoda – k. 394-396)
W dniu 23 września 2021 r. na rachunku bankowym powoda prowadzonym przez pozwany bank dokonano zmiany limitów transakcji internetowej dla karty debetowej powoda. Taka dyspozycja mogła być wykonana przy współudziale D. N., gdyż niezbędne było dodatkowe potwierdzenie operacji kodem autoryzacyjnym SMS. (...) Drugim krokiem była próba wykonania wysokokwotowej transakcji internetowej kartą płatniczą powoda na ogólnoświatowej giełdzie kryptowalut (...). Transakcja ta była zabezpieczona dodatkowym, poufnym kodem autoryzacyjnym SMS (3D-Secure) wysłanym na numer telefonu należącego do powoda. Powyższa próba transakcji spowodowała poprawną reakcję systemu bezpieczeństwa Banku, który wykrył anomalię na rachunku Następnie doszło do próby wykonania wysokokwotowej transakcji internetowej kartą płatniczą powoda na ogólnoświatowej giełdzie kryptowalut (...). D. N. o godzinie 18:55 (1 h, 15 minut później) skontaktował się z infolinią Banku celem zniesienia takiego ograniczenia oświadczając, że inwestycje przeprowadza świadomie, a (...) uprzedził go o schemacie przestępczym dotyczącym fałszywych inwestycji.
W reakcji na tę transakcję system pozwanego banku czasowo zablokował powodowi możliwość dokonywania dalszych transakcji. Dopiero gdy powód skontaktował się z infolinią (...), ograniczenie zostało zniesione, po uprzednim ostrzeżeniu powoda o zagrożeniu jakie może wywołać zakup kryptowalut oraz skutkach oszustwa „na inwestycje”. Powód oświadczył, że został ostrzeżony przez (...) o powyższych zagrożeniach.
(treść rozmowy telefonicznej powoda z pracownikiem (...) - stenogram – 275-276, nagranie na płycie CD – 217, 218, przesłuchanie powoda – k. 394-396, zeznania świadka M. F. – k.322-352, zeznania świadka D. B. – k. 354-386)
Po odblokowaniu przez powoda systemu na infolinii (...), z rachunku powoda wystosowano dwa wnioski o udzielenie kredytu gotówkowego oraz dwa wnioski o udzielenie pożyczki dla firm. Wnioski te zostały zrealizowane. W związku z powyższym doszło do zawarcia między pozwanym bankiem a osobą składającą w/w wnioski następujących umów:
umowy kredytu gotówkowego nr (...) na kwotę 40.000 zł,
umowy kredytu gotówkowego nr (...) na kwotę 49.500 zł,
umowy kredytu gotówkowego (pożyczki dla firm) nr (...) na kwotę 50.000 zł,
umowy kredytu gotówkowego (pożyczki dla firm) nr (...) na kwotę 50.000 zł.
Tego samego dnia (tj. 23 września 2021 r.), na rachunkach bankowych powoda zrealizowano szereg transakcji.
Na prywatnym rachunku powoda (e-konto) o numerze (...) miały miejsce następujące operacje:
przelew własny (tj. przelew na konto firmowe powoda o numerze: (...)) w wysokości 20.000 zł;
przelew wewnętrzny wychodzący na rachunek L. K. o numerze (...) (rachunek osoby trzeciej) w wysokości 4.500 zł;
uznanie kredytu w wysokości 55.930,05 zł w tym z tytułu prowizji bank pobrał kwotę 6.430,05 zł;
przelew własny (tj. przelew na konto firmowe powoda o numerze: (...)) w wysokości 49.500 zł;
uznanie kredytu w wysokości 40.000 zł w tym z tytułu prowizji bank pobrał kwotę 400 zł;
przelew własny (tj. przelew na konto firmowe powoda o numerze: (...)) w wysokości 40.000 zł;
Z kolei na rachunku firmowym powoda ((...) konto standard o numerze (...)) miały miejsce następujące operacje:
przelew wewnętrzny przychodzący (tj. przelew z konta prywatnego powoda o numerze: (...)) w wysokości 20.000 zł;
przelew wewnętrzny wychodzący na rachunek L. K. o numerze (...) (rachunek osoby trzeciej) w wysokości 40.500 zł;
przelew wewnętrzny przychodzący (tj. przelew z konta prywatnego powoda o numerze: (...)) w wysokości 49.500 zł (środki pochodzące z kredytu z pkt. 6 wyżej minus prowizja)
przelew wewnętrzny wychodzący na rachunek L. K. o numerze (...) (rachunek osoby trzeciej) w wysokości 49.500 zł (środki pochodzące z kredytu);
przelew wewnętrzny przychodzący (tj. przelew z konta prywatnego powoda o numerze: (...)) w wysokości 40.000 zł;
przelew wewnętrzny wychodzący na rachunek L. K. o numerze (...) (rachunek osoby trzeciej) w wysokości 40.000 zł (środki podchodzące z kredytu);
uznanie kredytu w wysokości 50.000,00 zł
przelew wewnętrzny wychodzący na rachunek L. K. o numerze (...) (rachunek osoby trzeciej) w wysokości 50.000 zł (środki pochodzące z kredytu)
uznanie kredytu w wysokości 50.000,00 zł
przelew wewnętrzny wychodzący na rachunek L. K. o numerze (...) (rachunek osoby trzeciej) w wysokości 50.000 zł (środki pochodzące z kredytu)
(zestawienie operacji k. 28-31, umowy kredytu gotówkowego nr (...) k. 124-127, (...) k. 132-135, (...) k. 136-137, (...) k. 142-143, wyciąg z treści wiadomości wysłanych na skrzynkę mail do klienta k. 128-131, korespondencja e-mail z powoda z (...)k. 42, okoliczności bezsporne, przesłuchanie powoda – k. 394-396, zeznania świadka M. F. – k. 322-352, zeznania świadka D. B. – k. 354-386)
W chwili, w której powód zdał sobie sprawę z tego co się stało, ponownie zadzwonił na infolinię (...), aby zgłosić kradzież środków z rachunków bankowych i wyjaśnić sprawę zawarcia czterech umów kredytów. Powód otrzymał informację, że prawdopodobnie doszło do włamania się przez osobę trzecią do jego serwisu transakcyjnego w(...). Pracownik(...) wdrożył środki bezpieczeństwa w postaci blokady środków na rachunkach bankowych powoda, oraz uruchomił procedurę reklamacyjną. Konsultant poinformował również powoda o konieczności zgłoszenia całej sprawy na Policję.
(treść rozmowy telefonicznej powoda z pracownikiem (...) – k. 277- 285)
W dniu 24 września 2021 r. powód złożył w Komendzie Powiatowej Policji w Z. zawiadomienie o popełnieniu włamania na jego internetowe konto w (...)
(zaświadczenie o złożeniu zawiadomienia k. 60)
W dniu 1 października 2021 r. Prokurator Prokuratury Rejonowej w Z. wszczął śledztwo w sprawie wyrządzenia szkody majątkowej (oszustwo internetowe) tj. o czyn z art. 278 § 1 kk w zw. z art. 294 § 1 kk
(zawiadomienie k. 61)
Powód nie autoryzował wyżej wymienionych transakcji. Powód stał się ofiarą wieloetapowego ataku socjotechnicznego polegającego na nakłonieniu go jako ofiary do wejścia w interakcję z osobami podającymi się za ekspertów w dziedzinie inwestycji. W dniu 23 września 2021 o godz. 18:27 atakujący uzyskał dostęp do konta powoda w systemie bankowości elektronicznej (pierwszy ujawniony dostęp) i utrzymał go co najmniej do godz. 21:28 (ostatni ujawniony dostęp). W tym czasie przeprowadził szereg operacji w systemie transakcyjnym(...), które zostały opisane powyżej. Do logowań w dniu 23 września 2021 r. do systemu bankowego (...) S.A. na konto D. N. doszło przy użyciu należącego do niego indywidualnego loginu i hasła. Nie naruszono przy tym zabezpieczeń banku lub systemu bankowego (...) S.A. D. N. otrzymał hasło do dodania nowego urządzenia do listy urządzeń zaufanych, które udostępnił poprzez uruchomiony na komputerze program (...) (w związku z trwającą sejsą). Powód został nakłoniony przez bliżej nieokreśloną osobę do użycia oprogramowania(...) (opinia biegłego – k. 564 v.). Prawdopodobnie sprawca dodał nowe urządzenie wykorzystując dane logowania, które pozyskał w trakcie jednej z sesji (...). Po dodaniu nowego urządzenia, sprawca logował się z własnego urządzenia o adresie IP (...) Na komputerze powoda zostało ujawnione oprogramowanie narzędziowe umożliwiające zdalne sterowanie systemem operacyjnym, które nie było oprogramowaniem złośliwym, m.in (...). Program (...) znajdował się na pulpicie użytkownika i był uruchamiany wielokrotnie w systemie operacyjnym. Pierwsze uruchomienie nastąpiło 4.11.2020r. o godz. 18:26:41 ( (...)). Ostatnich 8 uruchomień nastąpiło w dniach od 31.12.2022r. do 03.01.2023r. Program ten został również uruchomiony w dniu 23 września 2021 r.
W dniu 23 września 2021 r. o godzinie 16:01:13.386 ( (...)) został utworzony na komputerze powoda plik (...)., który został następnie zmodyfikowany o godzinie 20:03)53.175 ( (...)). Zawartość pliku stanowiła zapis rozmowy:
„Ja: cześć
T. W.: Witam
T. W.: ok
Ja: jest wiadomość
Ja: (...)
T. W.: +
Ja: (...)”
Oraz rozmowy:
„Ja: Witam, Odzyskałem dostęp do konta w (...)
T. W. (...): super
T. W. (...): już dzwonie do Pana
A. K. (...): Jak Pan jeszcze rozmawia z bankiem, to proszę do nich tam powiedzieć że Pan dokonuje transakcji na platformie (...). Poprosi Pan żeby nie przeszkadzali panu w tym.
Ja: ok , tak powiem
A. K. (...): super, dziękuje
Ja: mam już dostęp do konta i mogę robić przelewy
Ja: i jak się rozwija sytuacja?”
L. K., właściciel konta o numerze (...) (na które przelewane były środki D. N.) sam padł ofiarą podobnego ataku. Atakujący po otrzymaniu środków na przejęte konto niezwłocznie transferował środki na giełdę kryptowalut (...). Wyżej opisane czynności doprowadziły do uzyskania dostępu przez nieznaną osobę trzecią do jego konta w systemie transakcyjnym (...) S.A. Osoba ta (w sposób nieuprawniony) doprowadziła do zawarcia szeregu umów o udzielenie kredytów i pożyczek oraz wykonała szereg przelewów wychodzących wyprowadzając zgromadzone na kontach powoda środki pieniężne.
(opinia biegłego z zakresu informatyki – k. 424-461v, 483-483v)
W dniu 24 września 2021 r., w drodze wiadomości e-mail, (...) poinformował powoda o nieuwzględnieniu jego reklamacji dotyczącej zawartych umów kredytów o numerach: (...), nr (...), nr (...), nr (...), i wykonanych w dniu 23 września 2021 r. przelewów. W treści wiadomości wskazano, że przelewy zgłoszone przez powoda były wykonane poprawnie, tj. po poprawnym logowaniu do serwisu w dniu 23 września 2021 r. zaś do potwierdzenia wykonania przelewów i zmiany limitów zostały użyte hasła z wiadomości SMS, które zostały przekazane na numer telefonu powoda. Wskazano również, że jeśli to nie powód wykonał przedmiotowe transakcje, to najprawdopodobniej osoba trzecia miała dostęp do jego serwisu transakcyjnego i urządzenia mobilnego.
(wydruk wiadomości e-mail k. 43)
Powód w dniu 24 września 2021 r. wysłał do pozwanego banku wiadomość e-mail z prośbą o ponowne rozpatrzenie reklamacji i anulowanie wszystkich zawartych w dniu 23 września 2021 r. umów kredytowych.
(wydruk wiadomości e-mail k. 45,47)
W odpowiedzi pozwany Bank wskazał, że reklamacja została rozpatrzona negatywnie. Z analizy banku wynika, że wszystkie cztery wnioski o zawarcie umów kredytów zostały wysłane z poziomu serwisu transakcyjnego powoda, do którego zalogował się użytkownik używając poprawnego identyfikatora i hasła powoda. Umowy kredytowe są zatem obowiązujące. Bank wskazał również, że powód nie zachował należytej staranności przy zabezpieczeniu dostępu do bankowości internetowej.
(wydruk wiadomości e-mail k. 49)
W dniu 23 marca 2022 r. pozwany bank dokonał wypowiedzenia zawartych powodem umów kredytu gotówkowego o numerach: (...), (...), z uwagi na brak spłaty zaległości przez powoda. Bank wskazał, że w wyniku wypowiedzenia powyższych umów, powód obowiązany jest spłacić kapitał, oraz odsetki najpóźniej następnego dnia po upływie okresu wypowiedzenia., który wynosi 30 dni
(wypowiedzenie umów kredytów k. 270, 271)
Sąd dokonał następującej oceny dowodów:
Za wiarygodny materiał dowodowy w sprawie Sąd uznał przedstawione przez obie strony dokumenty, bowiem ich autentyczność, jak i zawartość nie była kwestionowana przez żadną ze stron i Sąd także nie znalazł podstaw do ich podważania. Podstawą ustaleń faktycznych Sąd uczynił również zeznania świadków M. F. i D. B., które uznał za wiarygodne w całości, gdyż ich treść była spójna z pozostałym zebranym w sprawie materiałem dowodowym w szczególności z dowodami z dokumentów.
Podstawą ustaleń faktycznych Sądu były również zeznania powoda D. N., chociaż Sąd uznał je za wiarygodne jedynie w części w jakiej zeznania te znajdowały potwierdzenie w pozostałym zebranym w sprawie materiale dowodowym. Sąd nie dał wiary zeznaniom powoda, w zakresie w jakim twierdził on, że w dacie kwestionowanych transakcji oraz w dacie nabycia kryptowalut powód nie posiadał na swoim komputerze zainstalowanego oprogramowania do zdalnego zarządzania urządzeniami. Powyższe stwierdzenie stoi bowiem w sprzeczności w opinią biegłego z zakresu informatyki, według której na komputerze powoda były zainstalowane aż trzy tego typu oprogramowania, w tym mające istotne znaczenie dla rozstrzygnięcia niniejszej sprawy oprogramowanie (...), którego użycie – stosownie do opinii biegłego – doprowadziło osoby trzecie do uzyskania dostępu do danych logowania do systemu bankowości elektronicznej powoda. Z opinii biegłego z zakresu informatyki wynika, że pierwsze uruchomienie programu (...) na komputerze powoda miało miejsce 4 listopada 2020 r. zaś ostatnie w dniu 3 stycznia 2023 r. Nadto program ten pozostawał w użyciu w dniu 23 września 2021 r. Nie ulega zatem wątpliwości, że omawiane oprogramowanie było zainstalowane na komputerze powoda w dacie dokonania spornych transakcji na jego rachunkach bankowych.
Sąd uznał opinię złożoną przez biegłego sądowego z zakresu informatyki J. K. co do zasady za bezstronny i wiarygodny dowód w sprawie. W ocenie Sądu opinia ta jest przekonywująca i wyczerpująco uzasadniona. Z jej treści wynika, iż przedmiotem analizy sporządzającego opinię były wszystkie czynniki, od których zależy udzielenia na pytania Sądu zawarte w tezie postanowienia dowodowego. Przedmiotowa opinia jest jasna i logiczna. Sąd nie wziął jedynie pod uwagę tej części opinii, w której biegły stwierdził że powód przez rażące niedbalstwo doprowadził do uzyskania dostępu przez nieznaną osobę trzecią do konta w systemie transakcyjnym (...) S.A. Wskazać należy, że badanie zachowania powoda pod kątem uznania go za rażące niedbalstwo należy do sfery oceny prawnej i pozostaje w gestii Sądu orzekającego w sprawie, nie zaś biegłego, którego zadaniem, zgodnie z art. 278 k.p.c., jest wydanie opinii w zakresie wiadomości specjalnych, których uzyskanie jest niezbędne do rozstrzygnięcia sprawy. Kwestia stwierdzenia, czy działania lub zaniechania powoda można uznać za rażące niedbalstwo było istotą sporu prawnego w sprawie niniejszej bowiem przesądzało o istnieniu bądź nieistnieniu odpowiedzialności prawnej pozwanego za nieautoryzowane transakcje z konta bankowego powoda. Pozostaje zatem poza wszelką wątpliwością, że ocena ta należała tylko i wyłącznie do Sądu.
Sąd zważył, co następuje:
Powództwo zasługiwało na częściowe uwzględnienie.
W niniejszej sprawie powód wystąpił przeciwko pozwanemu z trzema roszczeniami. Powód domagał się od pozwanego zapłaty kwoty 51.330,05 zł wraz z odsetkami w wysokości ustawowej liczonymi od dnia 24 września 2021 r. do dnia zapłaty. Zdaniem powoda, kwota ta odpowiadała wysokości środków, które zostały przelane z rachunku bankowego powoda przez osoby, które jako nieuprawnione uzyskały dostęp do bankowości elektronicznej prowadzonej przez pozwanego. Powód domagał się również ustalenia nieistnienia stosunków prawnych wynikających z czterech umów kredytów gotówkowych zawartych z pozwanym bankiem przez osoby trzecie przy wykorzystaniu dostępu do serwisu transakcyjnego rachunków bankowych powoda. Powód wywodził, że przelewy, wskutek których utracił ww. środki pieniężne nie zostały przez niego autoryzowane a mimo to pozwany je zrealizował. Nie autoryzował również składanych z jego konta wniosków o udzielenie kredytów. Źródła leżącego po stronie pozwanego obowiązku zwrotu utraconych środków powód upatrywał w przepisach ustawy o usługach płatniczych, ustawy prawo bankowe oraz ustawy o świadczeniu usług drogą elektroniczną, wskazując, że pozwany nie dochował obowiązków zapewnienia bezpieczeństwa korzystania z bankowości elektronicznej. Powód domagał się również zasądzenia na jego rzecz zadośćuczynienia za krzywdę wyrządzoną naruszeniem przez bank dóbr osobistych powoda, w szczególności dobrego imienia oraz prawa do poczucia bezpieczeństwa.
Strony pozostawały w sporze co do tego, czy powód autoryzował sporne transakcje, czy swoim zachowaniem, które polegało na zainstalowaniu na komputerze oprogramowania pozwalającego na zdalne sterowanie jego systemem operacyjnym naruszył obowiązki nałożone na niego w umowie o prowadzenie rachunku bankowego, w regulaminie bankowości elektronicznej i w ustawie o usługach płatniczych oraz czy bank ponosi odpowiedzialność za uznane za nieautoryzowane transakcje dokonane z rachunku bankowego powoda.
Odnośnie roszczenia o ustalenie
Podstawą roszczenia o ustalenie jest art. 189 k.p.c., który stanowi, że powód może żądać ustalenia przez sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny. Kumulatywnymi przesłankami powództwa o ustalenie stosunku prawnego lub prawa są więc interes prawny powoda w dokonaniu żądanego ustalenia oraz istnienie stosunku prawnego lub prawa, którego powództwo dotyczy. Interes prawny w rozumieniu art. 189 k.p.c. zachodzi, jeżeli sam skutek, jaki wywoła uprawomocnienie się wyroku ustalającego, zapewni powodowi ochronę jego prawnie chronionych interesów w tym znaczeniu, że zakończy spór istniejący lub prewencyjnie zapobiegnie powstaniu takiego sporu w przyszłości. Zgodnie ze stanowiskiem prezentowanym w doktrynie Interes prawny jest kategorią obiektywną, zatem pod jego pojęciem należy w procesie rozumieć potrzebę uzyskania wyroku odpowiedniej treści, wywołaną rzeczywistym naruszeniem albo zagrożeniem określonej sfery prawnej. Musi to być jednak potrzeba obiektywna w świetle obowiązujących przepisów, tj. rzeczywiście istniejąca i uzasadniona potrzeba udzielenia ochrony prawnej w wyniku ustalenia istnienia (nieistnienia) prawa lub stosunku prawnego, a nie tylko wynikająca z subiektywnego zapatrywania strony, które nie decyduje o prawnym charakterze interesu. Interes prawny wyraża się wówczas w usunięciu stanu niepewności. (T. Szanciło (red.), Kodeks postępowania cywilnego. Komentarz. Komentarz. Art. 1–45816. Tom I. Wyd. 2, Warszawa 2023)
W toku niniejszej sprawy ustalono, że powód padł ofiarą oszustwa ze strony bliżej nieokreślonej osoby trzeciej, która posługując się danymi dostępu do konta internetowego powoda zawarła cztery umowy kredytu z pozwanym bankiem. Pozostaje zatem poza dyskusją, że to nie powód jest stroną wskazanych wyżej umów, lecz ta osoba trzecia. Nie ulega wątpliwości, że powód posiada interes prawny w ustaleniu stanu niepewności przejawiającego się w tym, że formalnie, widnieje on jako strona umów kredytu, mimo że nie złożył oświadczeń woli o ich zawarciu. Biorąc pod uwagę istotne konsekwencje jakie niesie za sobą zawarcie z pozwanym bankiem umów kredytu, w tym przede wszystkim istniejący po stronie kredytobiorcy obowiązek zapłaty rat kredytowych, ustalenie nieistnienia tych stosunków prawnych stanowi jedyną możliwą ochronę sfery prawnej powoda.
W świetle ustalonych w sprawie faktów Sąd uznał, że powództwo o ustalenie nieistnienia stosunków prawnych stosunku prawnego pomiędzy powodem a pozwanym w postaci zobowiązania umowy kredytu nr (...) zawartej w dniu 23 września 2021 r. na kwotę 40.000 zł wraz z kosztami odsetkowymi, zobowiązania z umowy kredytu nr (...) zawartej w dniu 23 września 2021 r. na kwotę 49.500 zł wraz z kosztami odsetkowymi, zobowiązania z umowy kredytu nr (...) zawartej w dniu 23 września 2021 na kwotę 50.000 zł wraz z kosztami odsetkowymi, zobowiązania z umowy kredytu nr (...) zawartej w dniu 23 września 2021 na kwotę 50.000 zł wraz z kosztami odsetkowymi, zasługiwało w całości na uwzględnienie, o czym Sąd orzekł jak w punkcie 1 wyroku.
Odnośnie roszczenia o zapłatę
Na wstępie należy podnieść, iż strony są związane umową rachunku bankowego. Zgodnie z treścią art. 725 k.c. przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych. Zakres usług świadczonych przez bank został umową stron rozszerzony o usługę bankowości elektronicznej. W ramach obsługi klienta, powód mógł korzystać z serwisu transakcyjnego na stronie internetowej (...) i z aplikacji mobilnej. (...) S.A. zapewniał powodowi indywidualne dane uwierzytelniające, aby powód mógł potwierdzić nimi swoją tożsamość lub składane oświadczenie (m.in. hasło lub PIN do aplikacji mobilnej).
Zgodnie z art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2021 r. poz. 2439) bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Powyższe oznacza w szczególności, że bank ponosi ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną. Bank, podmiot profesjonalny o dominującej w stosunku do posiadacza rachunku pozycji, zobowiązany jest przy wykonywaniu umów do szczególnej staranności, wynikającej z zawodowego charakteru tej działalności. Obowiązek przewidziany w art. 50 ustawy Prawo bankowe ma charakter publicznoprawny, co oznacza, że jego przestrzeganie lub nieprzestrzeganie nie ma bezpośredniego wpływu na odpowiedzialność cywilną banku wobec posiadacza rachunku, tym niemniej formułuje on podstawę dla dyrektyw interpretacyjnych, które są wykorzystywane przy wykładni przepisów określających odpowiedzialność banku za zwrot środków deponentowi w przypadku wypłaty osobie nieupoważnionej (B. Smykla w: Prawo bankowe. Komentarz, red. A. Mikos-Sitek, P. Zapadka, LEX/el. 2022, art. 50).
Ustawodawca nałożył zatem na banki odpowiedzialność za środki pieniężne powierzane przez klientów. Z chwilą ich wpłacenia, posiadacze rachunków tracą bowiem kontrolę nad tym, jak środki te będą zabezpieczone. Odpowiedzialność banku nie jest jednak nieograniczona, gdyż wyłączają ją sytuacje, w których klient umyślnie lub na skutek rażącego niedbalstwa doprowadzi do tego, że osoba nieuprawniona dokona wypłaty środków z jego rachunku bankowego.
Zasady świadczenia usług płatniczych reguluje ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2021 r. poz. 1907). Przez usługi płatnicze zgodnie z art. 3 ust. 1 pkt 2 ustawy rozumie się m.in. działalność polegającą na wykonywaniu transakcji płatniczych, w tym transferu środków pieniężnych na rachunek płatniczy u dostawcy użytkownika lub u innego dostawcy:
przez wykonywanie usług polecenia zapłaty, w tym jednorazowych poleceń zapłaty,
przy użyciu karty płatniczej lub podobnego instrumentu płatniczego,
przez wykonywanie usług polecenia przelewu, w tym stałych zleceń.
Zgodnie z art. 2 ustawy o usługach płatniczych „płatnik” oznacza m.in. osobę fizyczną składającą zlecenie płatnicze (pkt 22), zaś „transakcja płatnicza” oznacza zainicjowaną przez płatnika lub odbiorcę wpłatę, transfer lub wypłatę środków pieniężnych (pkt 29).
Zgodnie z art. 46 ust. 1 ustawy, w brzmieniu obowiązującym w dacie dokonania spornych przelewów, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika (w tym przypadku bank – art. 4 ust. 2 pkt 1 ustawy) niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.
Transakcję płatniczą uważa się za autoryzowaną, stosownie do treści art. 40 ust. 1 ustawy, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.
Artykuł 46 ustawy o usługach płatniczych stanowi transpozycję art. 73 i 74 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającej dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającej dyrektywę 2007/64/WE. Przepisy te konstruują samodzielny i kompleksowy system odpowiedzialności prawnej dostawców usług płatniczych w Unii Europejskiej. Odpowiedzialność dostawcy ma charakter odpowiedzialności gwarancyjnej, albowiem dostawca odpowiada w razie wystąpienia określonego zdarzenia (wykonania nieautoryzowanej transakcji płatniczej). Odpowiedzialność ta nie jest odpowiedzialnością odszkodowawczą, w związku z czym nie znajdują tu zastosowania przepisy ogólne dotyczące odpowiedzialności odszkodowawczej w prawie cywilnym. Kwestia wystąpienia i wysokości szkody w ich majątku płatnika nie ma w tym przypadku znaczenia. Przesłanką odpowiedzialności nie jest także naruszenie obowiązku zachowania środków bezpieczeństwa przez dostawcę usług płatniczych. W pewnych okolicznościach ma jednak to, czy użytkownik wykonał ciążące na nim obowiązki w zakresie bezpieczeństwa instrumentów płatniczych, o czym poniżej (K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz, Warszawa 2022).
Ustawodawca w art. 46 ust. 2 i 3 ustawy przewidział wyjątki od generalnej zasady zwrotu użytkownikowi kwoty nieautoryzowanej transakcji. W myśl ust. 2 to płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 50 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem:
posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub
przywłaszczenia instrumentu płatniczego.
Natomiast zgodnie z ust. 3 płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.
Podstawowe obowiązki użytkownika, a więc osoby fizycznej, osoby prawnej oraz jednostki organizacyjnej niebędącej osobą prawną, której ustawa przyznaje zdolność prawną, korzystającej z usług płatniczych w charakterze płatnika lub odbiorcy (art. 2 pkt. 34 ustawy), w zakresie bezpieczeństwa płatności, określa wspomniany art. 42 ustawy. Zgodnie z nim użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:
korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (art. 42 ust. 1 ustawy).
W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (art. 42 ust. 2 ustawy).
W powołanych powyżej przepisach wymieniono niezbędne środki bezpieczeństwa, które obowiązany jest podjąć użytkownik, celem zapobieżenia nieuprawnionym, nieautoryzowanym transakcjom. Posiadacz rachunku bankowego jest w szczególności obowiązany do przechowywania danych dostępu do systemu bankowości elektronicznej i danych uwierzytelniających transakcje.
Jak wynika z przytoczonych powyżej przepisów odpowiedzialność płatnika za nieautoryzowaną płatność jest znacznie ograniczona. Odpowiedzialność dostawcy jest wyłączona jedynie wówczas, gdy płatnikowi można postawić zarzut umyślnego doprowadzenia do wykonania nieautoryzowanej transakcji albo też naruszenia obowiązków ustawowych w sposób umyślny lub rażąco niedbały. Umyślność na gruncie omawianych przepisów należy rozumieć jako zamiar spowodowania transakcji nieautoryzowanej lub przynajmniej godzenie się, że taka transakcja zostanie zrealizowana. W przypadku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia obowiązku z art. 42 ustawy chodzi o możliwość przypisania płatnikowi zachowania cechującego się zamiarem naruszenia obowiązków ustawowych lub godzeniem się, że obowiązek taki nie zostanie należycie wykonany. Stopień naruszenia obowiązków musi być przy tym rażący, co oznacza brak elementarnej staranności płatnika (K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz, Warszawa 2022, B. Bajor w: Ustawa o usługach płatniczych. Komentarz, wyd. II, red. J. Byrski, A. Zalcewicz, Warszawa 2021, art. 46).
Interpretacji użytych w art. 46 pojęć należy dokonywać z uwzględnieniem przepisów dyrektywy 2015/2366. Jak wskazano w motywie 72 preambuły: „Aby ocenić ewentualne zaniedbanie lub rażące zaniedbanie ze strony użytkownika usług płatniczych, należy uwzględnić wszystkie okoliczności. Fakt i stopień domniemanego zaniedbania powinny być zasadniczo oceniane zgodnie z prawem krajowym. O ile jednak pojęcie zaniedbania oznacza niedopełnienie obowiązku dochowania należytej staranności, rażące zaniedbanie powinno oznaczać więcej niż zwykłe zaniedbanie i odnosić się do postępowania odznaczającego się znaczącym stopniem niedbalstwa; na przykład przechowywanie danych uwierzytelniających stosowanych do autoryzacji transakcji płatniczej w pobliżu instrumentu płatniczego, w formie jawnej i łatwo rozpoznawalnej dla stron trzecich. Warunki umowne dotyczące dostarczenia i używania instrumentu płatniczego, których skutkiem byłoby zwiększenie ciężaru dowodu spoczywającego na konsumencie lub zmniejszenie ciężaru dowodu spoczywającego na wydawcy, powinny być uznane za nieważne”.
Podsumowując tę część rozważań podkreślić należy, że bank co do zasady jest obowiązany niezwłocznie zwrócić posiadaczowi rachunku kwotę nieautoryzowanej transakcji płatniczej (art. 46 ust. 1 ustawy), chyba że posiadacz rachunku doprowadził do nieautoryzowanej transakcji umyślnie lub w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków dotyczących korzystania z instrumentów płatniczych (art. 46 ust. 3 ustawy).
Zwrócić należy także uwagę, że zgodnie z art. 45 ust. 1 ustawy to na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana. Dostawca musi zatem także wykazać, że posiadacz rachunku umyślnie lub w wyniku rażącego niedbalstwa naruszył obowiązki dotyczące zapobieżenia naruszeniu indywidualnych zabezpieczeń spoczywa na pozwanym banku. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika, ciąży na dostawcy nawet jeśli to użytkownik występuje z roszczeniem, twierdząc, że nie on autoryzował transakcji, tak jak miało to miejsce na gruncie niniejszej sprawy. Fakt zarejestrowanego użycia instrumentu płatniczego, czyli - należy przyjąć - użycia instrumentu płatniczego zgodnie z procedurami i przy zastosowaniu ustalonych sposobów autoryzacji, nie oznacza, że transakcja została autoryzowana przez użytkownika. W przypadku zgłoszenia przez użytkownika transakcji, które obciążają jego rachunek płatniczy i które były prawidłowo autoryzowane, czyli zlecone i zrealizowane zgodnie z przewidzianą procedurą, a które użytkownik wskazuje jako przez niego nieautoryzowane, dostawca musi udowodnić fakt autoryzacji transakcji przez użytkownika. Jednak dostawca musi przywołać inne dowody niż sam fakt prawidłowego skorzystania z procedur autoryzacji przewidzianych umową. Dostawca może przytoczyć dowody wykazujące, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji (tak też wyrok Sądu Okręgowego w Warszawie z dnia 11 sierpnia 2021 r., XXVII Ca 1352/21).
Przenosząc powyższe zasady na grunt niniejszej sprawy należy uznać, iż na podstawie w/w przepisów zostały spełnione przesłanki odpowiedzialności banku wobec powoda za utratę przez niego środków finansowych.
Z uwagi w/w charakter prawny odpowiedzialności dostawcy usługi elektronicznej, czyli pozwanego banku, odpowiedzialność ta jest wyłączona jedynie wówczas, gdy płatnikowi, czyli powodowi można byłoby postawić zarzut umyślnego doprowadzenia do wykonania nieautoryzowanej transakcji albo też naruszenia obowiązków ustawowych w sposób umyślny lub rażąco niedbały. Pozwany nie wykazał i nie udowodnił, a na nim spoczywał w tym zakresie ciężar dowodu zgodnie z przepisem art. 6 kc, aby powód autoryzował sporne transakcje, albo też aby umyślnie lub działając rażąco niedbale umożliwił innej osobie wejście w posiadanie danych umożliwiających dokonanie takiej autoryzacji. Z ustalonego powyżej przez Sąd stanu faktycznego wynika, iż powód stał się ofiarą zaplanowanego i złożonego przestępstwa oszustwa, które doprowadziło do kradzieży jego środków finansowych poprzez wykorzystanie przez nieznanych sprawców systemu bankowości elektronicznej. Sprawca ten podstępnie wszedł w posiadanie danych powoda używając w tym celu oprogramowania o nazwie (...), do użycia którego to oprogramowania nakłonił powoda (k. 564 v. – wyjaśnienia biegłego). D. N. otrzymał hasło do dodania nowego urządzenia do listy urządzeń zaufanych, które udostępnił poprzez uruchomiony na komputerze program(...) (w związku z trwającą sejsą). Prawdopodobnie sprawca dodał nowe urządzenie wykorzystując dane logowania, które pozyskał w trakcie jednej z sesji (...). Po dodaniu nowego urządzenia, sprawca logował się z własnego urządzenia o adresie IP (...) Dzięki temu programowi przestępcy mieli dostęp do systemu bankowości elektronicznej powoda. Warto w tym miejscu podkreślić, że chociaż w toku postępowania dowodowego ustalono, że oprogramowanie (...) było zainstalowane na komputerze powoda i używane przez niego również przed zdarzeniem z dnia 23 września 2021 r. nie można automatycznie uznać, że powód doprowadził do nieautoryzowanej transakcji umyślnie lub w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków dotyczących korzystania z instrumentów płatniczych. Innymi słowy, nie zachodzą określone w art. 46 ust. 2 i 3 wyżej cytowanej ustawy wyjątki od generalnej zasady zwrotu użytkownikowi kwoty nieautoryzowanej transakcji. Trzeba mieć bowiem na względzie, że sam fakt używania wcześniej przez powoda oprogramowania, które jak wskazał sam biegły, jest znane i nie ma charakteru złośliwego, (k. 448, 564 v.) nie jest równoznaczny ze stwierdzeniem, że powód obejmował swoją świadomością ryzyko nieplanowanego przekazania osobom trzecim wrażliwych danych, jakimi były dane dostępu do bankowości elektronicznej. Okoliczność, że powód najprawdopodobniej wiedział na jakich zasadach działa program (...) (program był zainstalowany na komputerze powoda od dłuższego czasu i był używany również przed 23 września 2021 r.) nie oznacza, że powód mógł z dużą dozą prawdopodobieństwa przewidzieć wystąpienie oszustwa i wyłudzenie danych przez osoby trzecie. Warto zaznaczyć, że stosowanie oprogramowania (...) nie jest zabronione przez przepisy powszechnie obowiązującego prawa ani też przez przepisy umowne wiążące powoda z pozwanym bankiem w dacie dokonywania spornych transakcji. Funkcjonalność tego typu programów co do zasady ma pozytywny aspekt i jest wykorzystywana jako ułatwienie w korzystaniu z komunikacji elektronicznej. Niestety, w przypadku powoda została wykorzystana przez osoby trzecie w niegodziwym celu. Co istotne, cała sytuacja wynikła z podjęcia przez powoda prób inwestowania w kryptowaluty, co samo w sobie nie jest zakazane ani nie może być oceniane negatywnie. Oczywiście obiektywnie powód otrzymawszy hasło do dodania nowego urządzenia do listy urządzeń zaufanych, nie powinien udostępniając go następnie poprzez uruchomiony na komputerze program (...). Takie postępowanie z pewnością może zostać ocenione jako brak ostrożności wymaganej od przeciętnego uczestnika obrotu. Jednakże ów brak ostrożności nie jest równoznaczny z rażącym niedbalstwem. Sytuacja, w której znalazł się powód nie była na tyle oczywista, by mógł on przewidzieć próbę wyłudzenia środków pieniężnych. Nie bez znaczenia pozostaje również w ocenie Sądu fakt, że powód podjął próbę zainwestowania na rynku kryptowalut, pierwszy raz w życiu – a zatem nie orientował się w praktyce postępowania przy zawieraniu tego typu transakcji i o ewentualnych zagrożeniach.
Powód domagał się od pozwanego banku zwrotu kwoty 51.330,05 zł wskazując, że jest to szkoda jaką faktycznie poniósł w wyniku ingerencji bliżej nieokreślonej osoby trzeciej i zadysponowania zgromadzonymi w tym dniu na rachunku bankowym powoda środkami pieniężnymi. Powyższe roszczenie podlegało uwzględnieniu jedynie w części bowiem powód w toku postępowania dowodowego zdołał wykazać powyższą utratę środków pieniężnych jedynie w wysokości 45.000 zł, na co wskazują dane zawarte w zestawieniach operacji przeprowadzonych na kontach bankowych powoda, mianowicie: przelew wewnętrzny wychodzący z prywatnego konta powoda na rachunek L. K. o numerze (...) (rachunek osoby trzeciej) w wysokości 4.500 zł; (k. 28) oraz przelew wewnętrzny wychodzący z firmowego konta powoda na rachunek L. K. o numerze (...) (rachunek osoby trzeciej) w wysokości 40.500 zł; (k. 30) Pozostałe przelewy obejmowały kwoty udzielonych powodowi kredytów, a zatem nie pochodziły ze zgromadzonych przez niego na koncie oszczędności, biorąc pod uwagę powyższe Sąd zasądził na rzecz powoda od pozwanego kwotę 45.000 zł, zaś w pozostałym zakresie oddalił powództwo.
Sąd orzekł o odsetkach ustawowych za opóźnienie na podstawie przepisu art. 481 par. 1 kc, zgodnie z którym jeśli dłużnik opóźnia się ze spełnieniem świadczenia pieniężnego to wierzyciel może żądać odsetek za czas opóźnienia. Natomiast zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych, w brzmieniu obowiązującym w dacie dokonania spornych przelewów, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika (w tym przypadku bank – art. 4 ust. 2 pkt 1 ustawy) niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej. W przedmiotowej sprawie do zgłoszenia przez powoda nieautoryzowanej transakcji doszło w dniu 23 września 2021 r, co oznacza, iż bank powinien zwrócić powodowi środki w dniu 24 września 2021 r., czego nie uczynił, a zatem od dnia 25 września 2021 r. bank pozostaje w opóźnieniu.
Odnośnie roszczenia o zadośćuczynienie:
Powód wystąpił przeciwko pozwanemu także z roszczeniem ukierunkowanym na ochronę dóbr osobistych. Roszczenie to okazało się niezasadne.
Ramy przysługujących podmiotom prawa cywilnego materialnoprawnych roszczeń o ochronę dóbr osobistych wyznaczają trzy zasadnicze przepisy Kodeksu cywilnego, mianowicie: art. 23 k.c., 24 k.c., 448 k.c. Dwie pierwsze normy prawne, odczytywane łącznie przewidują, że dobra osobiste człowieka są chronione oraz że osoba, której dobro osobiste zostało zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny, do którego należy stosować przepis art. 448 k.c. W myśl ostatniego artykułu w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. Ponadto jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych (art. 24 § 2 k.c.).
Proces subsumpcji ustalonych okoliczności faktycznych na kanwie oceny roszczeń o naruszenie dóbr osobistych w oparciu o przywołane wyżej normy prawne sprowadza się do czterech etapów (przesłanek): I/ zbadania czy wskazywane przez powoda zdarzenia i sytuacje z którym wiąże naruszenie dóbr osobistych przez pozwanego faktycznie nastąpiło we wskazywanym rozmiarze i natężeniu (ciężar dowodu wykazania tych okoliczności obciąża powoda); II/ w przypadku pozytywnej weryfikacji pkt I. - oceny czy określone działanie pozwanego stanowi naruszenie wskazywanych przez powoda dóbr osobistych (po uprzednim rozstrzygnięciu, czy wskazywane przez powoda dobra, można zakwalifikować do katalogu dóbr osobistych); III/ w przypadku pozytywnej weryfikacji pkt. I i II, podniesienia przez pozwanego zarzutu braku bezprawności działania naruszyciela (występuje tutaj domniemanie bezprawności) - zbadania czy istnieją okoliczności wyłączające ową bezprawność (ciężar dowodu spoczywa tutaj na pozwanym, który musi obalić domniemanie bezprawności); IV/ w przypadku ziszczenia się dwóch przesłanek pozytywnych (pkt I i II), przy jednoczesnym braku okoliczności wyłączających bezprawność działania (pkt III), ostatnim, właściwym etapem procesu stosowania prawa przez Sąd, jest ustalenie sankcji za naruszenie dóbr osobistych (w granicach żądań pozwu) adekwatnej do wykazanej przez powoda skali naruszenia dóbr osobistych, niezbędnej do usunięcia negatywnych skutków naruszenia dóbr osobistych w określonych okolicznościach faktycznych danej sprawy.
Powód podnosił, że bank naruszył jego dobra osobiste w postaci dobrego imienia, godności, czci i poczucia bezpieczeństwa, ponieważ mimo prowadzonego postępowania karnego w sprawie włamania na internetowe konto bankowe powoda, bank nadal żąda od powoda spłaty zaciągniętych kredytów.
W ocenie Sądu powyższe roszczenie jest niezasadne. W realiach przedmiotowej sprawy nie można bowiem uznać, że bank naruszył dobra osobiste powoda, ponieważ działania, których skutkiem miało być naruszenie tych dóbr, nie były bezprawne.
Wskazać w tym kontekście należy, iż do okoliczności wyłączających bezprawność naruszenia dóbr osobistych zalicza się działanie w ramach porządku prawnego, czyli zachowania dozwolone przez obowiązujące przepisy prawa, działania zgodne z wolą pokrzywdzonego, działania w wykonaniu prawa podmiotowego lub też działanie w obronie społecznie uzasadnionego interesu. (Tak też Sąd Najwyższy w wyroku z dnia 30 kwietnia 1970 r., II CR 103/70, OSPiKA 1971, nr 4, poz. 83.)
Po przeprowadzeniu analizy materiału dowodowego zgromadzonego w niniejszej sprawie, Sąd doszedł do wniosku, że bank uruchamiając wypłaty kredytów oraz żądając od powoda spłaty rat zgodnie z zawartymi umowami, wykonywał własne prawa podmiotowe, co jednocześnie mieści się w pojęciu działań realizowanych w obronie uzasadnionego interesu, w tym innych klientów banku. Bank podjął wszystkie wymagane przepisami czynności po dokonaniu przez powoda zgłoszenia odnośnie kradzieży środków z jego rachunków bankowych oraz zawarcia umów kredytów przed osobę trzecią - tj. założył blokadę środków na rachunkach bankowych powoda a także wdrożył procedurę reklamacyjną. Po negatywnym rozpoznaniu reklamacji, bank przystąpił do wykonywania, w jego ocenie, ważnie zawartych umów kredytu a następnie realizując ich postanowienia, wypowiedział zawarte z powodem umowy kredytu gotówkowego o numerze (...), oraz o numerze (...) z uwagi na brak spłaty zaległości. W ocenie Sądu od chwili, kiedy bank uzyska informację o prawdopodobnym wyłudzeniu kredytu, do momentu w którym dojdzie do pełnej weryfikacji takiego zgłoszenia, ma pełne prawo podejmować czynności wynikające z zawartej umowy, jak przykładowo wnioskować o wpisanie klienta do bazy BIK, czy wysyłać klientowi wezwania do zapłaty. Nie ma bowiem podstaw do stwierdzenia, że każde zgłoszenie oszustwa dokonane przez klienta banku jest prawdziwe. W niniejszej sprawie postępowanie karne dotyczące oszustwa i wyłudzenia kredytów, których ofiarą padł powód, znajduje się dopiero na etapie postępowania przygotowawczego. Trudno więc w tym momencie wymagać od banku by uznał dokonane przez powoda zgłoszenie za prawdziwe i zaprzestał realizowania swych uprawnień wynikających z umów kredytów.
Wprawdzie zasady logiki i doświadczenia życiowego nakazują przypuszczać, że powód, który nigdy wcześniej nie wnioskował o udzielenie kredytów w tak dużych kwotach, najprawdopodobniej rzeczywiście i w tym przypadku nie był stroną spornych umów, ani autorem wspomnianych wyżej przelewów. Jednak w chwili dokonywania takiego zgłoszenia, same przypuszczenia nie mogą stać się dla banku, który jest przecież podmiotem profesjonalnym, podstawą do zaprzestania czynności zmierzających do realizowania zawartych umów kredytu. Stąd też nie ma żadnych podstaw do uznania, że na tym etapie doszło do naruszenia dóbr osobistych powodach. Działanie pozwanego banku nie nosiło bowiem znamion bezprawności.
Biorąc pod uwagę powyższe, Sąd oddalił powództwo w zakresie żądania zadośćuczynienia w kwocie 100.000 zł za krzywdę wywołaną naruszeniem dóbr osobistych powoda jako pozbawione podstaw.
Sąd rozstrzygnął o kosztach procesu na podstawie art. 98 i 100 kpc stosując zasadę stosunkowego rozdzielenia kosztów, albowiem każda ze stron wygrała niniejszy proces jedynie w części. Łączna wartość przedmiotu sporu dla trzech zgłoszonych przez powoda roszczeń wynosiła kwotę 340.830,05 zł, a powód wygrał proces na poziomie kwoty 45.000 zł (roszczenie o zapłatę) i 189.500 zł (roszczenia o ustalenie), czyli łącznie na poziomie 234.500 złotych. Powyższe oznacza, iż powód wygrał proces w 68,80 % (234.500 zł z 340.830,05 zł). Na podstawie art. 108 kpc Sąd zlecił wyliczenie kosztów procesu referendarzowi sądowemu.
Mając na uwadze całokształt poczynionych powyżej rozważań Sąd orzekł jak w sentencji wyroku.
Podmiot udostępniający informację: Sąd Okręgowy w Warszawie
Osoba, która wytworzyła informację: sędzia Tomasz Gal
Data wytworzenia informacji: