Klienci bankowości internetowej doczekali się korzystnego dla siebie orzeczenia Sądu Najwyższego. Choć wyrok z dnia 18.01.2018 r. (sygn. akt V CSK 141/17) przede wszystkim potwierdza literalną wykładnię przepisów i nie powinien być zaskoczeniem, to jednak przedstawiona w nim argumentacja pokazuje, jak trudno będzie bankom uwolnić się od odpowiedzialności za cyberataki.
Stan faktyczny
Powódka – klientka banku korzystająca z usługi CUI (Centrum Usług Internetowych), podjęła w przeciągu jednego dnia kilkukrotne, nieudane próby logowania do systemu CUI w celu wykonania przelewu. Po wpisaniu przez nią danych ze wszystkich środków dostępu, w tym wskazania z tokena, wyświetliła się informacja o przebudowie strony. Kiedy powódka zalogowała się do systemu dwa dni później, stwierdziła, że na jej rachunku brakuje znacznej kwoty, o czym powiadomiła pozwany bank. Strona, na której powódka dokonała nieudanych logowań i z której najprawdopodobniej pozyskano jej dane, wyświetliła się po wpisaniu adresu internetowego pozwanego banku i była graficznie podobna do strony banku. Właściciel rachunku, na który dokonano przelewu środków powódki, jest jednym z podejrzanych w postępowaniu przygotowawczym dotyczącym zorganizowanej grupy przestępczej, zajmującej się kradzieżą pieniędzy z kont bankowych, a następnie transferowaniem tych środków na Ukrainę.
Powództwo odszkodowawcze
W postępowaniu reklamacyjnym bank odmówił zwrotu kwoty objętej nieautoryzowaną transakcją. Klientka wystąpiła zatem na drogę sądową, żądając zrekompensowania przez bank poniesionej szkody. Sąd Rejonowy oddalił pozew uznając, że powódka zachowała się niezgodnie z zasadami bezpieczeństwa obowiązującymi w bankowości elektronicznej, brak jest zaś podstaw do przyjęcia, iż autoryzacyjna strona banku była nienależycie zabezpieczona.
W wyniku wniesionej przez powódkę apelacji Sąd Okręgowy zmienił zaskarżony wyrok i uwzględnił powództwo w przeważającej części. Uzasadniając swoje orzeczenie podkreślił, że stosownie do art. 725 KC ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej obciąża bank, także w sytuacji objęcia rachunku bankowością internetową. Równoległą podstawą odpowiedzialności banku jest bowiem ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. Dz. U. z 2017 r. poz. 2003, dalej jako „u.o.u.p.”), którą Sąd Rejonowy pominął. Sąd Okręgowy przyjął, że sporna transakcja nie była autoryzowana, a zatem bank ma obowiązek zwrotu kwoty tej transakcji na podstawie art. 46 u.o.u.p. Z przepisów rzeczonej ustawy jednoznacznie wynika, że obowiązek taki nie istniałby tylko wtedy, gdyby bank udowodnił, iż powódka umyślnie doprowadziła do nieautoryzowanego przelewu albo umyślnie lub przez rażące niedbalstwo naruszyła obowiązki wynikające z art. 42 u.o.u.p. Pozwany bank nie przedstawił zaś żadnych dowodów w tym zakresie, poprzestając jedynie na przypuszczeniach co do sposobu dokonania spornej transakcji.
W skardze kasacyjnej bank zarzucił naruszenie przepisów prawa materialnego, w tym art. 42 ust. 1 pkt 1 i 2 oraz art. 42 ust. 2 u.o.u.p. wskazując, że powódka dopuściła się rażącego niedbalstwa i naruszyła swoje obowiązki w zakresie korzystania z instrumentu płatniczego.
Rozstrzygnięcie SN
Sąd Najwyższy oddalił skargę kasacyjną pozwanego banku wskazując, że w sprawie brak jest podstaw do przyjęcia, iż powódka naruszyła obowiązek korzystania z instrumentu płatniczego zgodnie z umową ramową lub obowiązek zgłoszenia dostawcy (bankowi) utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu, a zatem że naruszyła art. 42 ust. 1 lub 2 u.o.u.p. Do utraty pieniędzy z rachunku bankowego nie doszło bowiem w okolicznościach opisanych w tych przepisach, lecz wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez bank świadczenia usługi CUI. SN podzielił stanowisko Sądu Okręgowego i podkreślił, że w niniejszej sprawie w ogóle nie ma mowy o naruszeniu przez powódkę ww. obowiązków.
Komentarz
W stanie faktycznym sprawy prawidłowość rozstrzygnięcia SN nie budzi wątpliwości. Na pozytywną ocenę zasługuje również sama regulacja, która nakłada na bank ciężar dowodu co do naruszenia obowiązków z art. 42 u.o.u.p. przez użytkownika bankowości internetowej. Z regulacji tej wynika, że bank odpowiada za nieautoryzowaną transakcję nie na zasadzie winy, a raczej na zasadzie ryzyka. Nie może bowiem zwolnić się od odpowiedzialności wykazując, że dochował wymaganej staranności w zabezpieczeniu swojego systemu, lecz musi udowodnić dalej idące okoliczności, obciążające klienta. Mają one charakter przesłanek egzoneracyjnych. Takie ukształtowanie odpowiedzialności banku znalazło potwierdzenie w omawianym orzeczeniu SN.
Uzasadnienie wyroku zostało jednakże sformułowane w sposób pozwalający na wywodzenie z niego za daleko idących wniosków. Nie poprzestano bowiem na stwierdzeniu, że bank ponosi odpowiedzialność odszkodowawczą, ponieważ nie wykazał okoliczności, które by go od tej odpowiedzialności zwalniały. Zamiast tego wskazano, że w sprawie nie było w ogóle mowy o naruszeniu przez powódkę obowiązków określonych w art. 42 u.o.u.p. Tak kategoryczna teza niesie ze sobą ryzyko automatycznego przyjmowania, że skuteczność phishingu stosowanego przez zorganizowanych hakerów zawsze obciąża bank, odpowiedzialność klienta ogranicza się zaś do przypadków takich jak zapisanie loginu i hasła na karcie kodów jednorazowych i jej utrata. Wydaje się to za nisko postawioną poprzeczką dla użytkownika bankowości elektronicznej, biorąc pod uwagę powszechność informacji o niebezpieczeństwie wyłudzania danych w internecie. Zastosowana w omawianym wyroku wykładnia art. 42 u.o.u.p. może zatem nadmiernie utrudniać bankom uwolnienie się od odpowiedzialności wtedy, gdy furtką dla zawodowych cyberprzestępców nie jest „dziura” w zabezpieczeniach, lecz niefrasobliwość klientów.
Nie zgadzam się z konkluzją „Wydaje się to za nisko postawioną poprzeczką dla użytkownika bankowości elektronicznej, biorąc pod uwagę powszechność informacji o niebezpieczeństwie wyłudzania danych w internecie. Zastosowana w omawianym wyroku wykładnia art. 42 u.o.u.p. może zatem nadmiernie utrudniać bankom uwolnienie się od odpowiedzialności wtedy, gdy furtką dla zawodowych cyberprzestępców nie jest „dziura” w zabezpieczeniach, lecz niefrasobliwość klientów.”
Sednem phishingu i vishingu nie jest niefrasobliwość, tylko oszustwo. To nie to samo co zapisanie na kartce.
Inna sprawa, że bank jest nie tylko biznesem, ale specjalną instytucją, która ma misję. Misję ochrony mienia (jako podstawą obok misji eliminowania gotówki, oraz wzmacniania obrotu pieniądza w gospodarce). Po to dajemy pieniądze do banku, by zwolnić się z myślenia o nich i nie wozić ich ze sobą, albo dawać do tapczanu.