Przejęcie loginu i hasła przez oprogramowanie szpiegowskie nie oznacza rażącego niedbalstwa po stronie użytkownika – uznał Sąd Okręgowy w Warszawie.
Programy antywirusowe nie są w stanie w 100 proc. zabezpieczyć komputerów przed atakami. Przekonał się o tym klient jednego z banków. Miał on rachunek bankowości internetowej, do korzystania z którego upoważnił również swoją matkę. Komputer kobiety został zainfekowany oprogramowaniem szpiegowskim. Po zalogowaniu się w serwisie wyświetlił się komunikat zachęcający do ubezpieczenia transakcji. Był to efekt działalności hakerów, którzy dzięki podstawionemu formularzowi, imitującemu stronę banku, przejęli kod autoryzacyjny SMS. Z jego pomocą zdefiniowali nowego odbiorcę przelewów, co pozwoliło na ich przekazywanie bez dodatkowych autoryzacji. Przechwycili również login i hasło matki klienta banku, dzięki czemu mogli ogołocić konto. W krótkich odstępach czasu dokonali trzech przelewów na łączną kwotę ponad 77 tys. zł.
Gdy kobieta próbowała zalogować się na konto, okazało się, że ktoś zmienił hasło. Zadzwoniła więc do syna, by ten wszedł do serwisu bankowości internetowej, korzystając ze swych danych dostępowych. To wtedy zorientowali się, że ktoś przetransferował pieniądze. Matka natychmiast zadzwoniła do banku i próbowała zablokować konto, ale odmówiono jej, gdyż jako pełnomocnik nie posiadała takich uprawnień. Zadzwonił więc syn, którego jednak przekierowywano od konsultanta do konsultanta. Ostatecznie po godzinie konto zablokowano, ale przelewy już przeszły i pieniądze zniknęły.
Klient banku zgłosił sprawę policji, która jednak umorzyła ją z powodu niewykrycia sprawców. Bank odmówił zaś zwrotu pieniędzy, twierdząc, że do ich utraty doszło z powodu rażącego niedbalstwa klienta, a przede wszystkim jego matki. To ona bowiem pozwoliła na przejęcie danych dostępowych do konta, a tym samym umożliwiła kradzież środków. Z punktu widzenia banku dyspozycje zostały autoryzowane w sposób prawidłowy.
Sąd Okręgowy w Warszawie nie podzielił tej argumentacji. Rozstrzygając sprawę odwołał się do art. 46, ustawy o usługach płatniczych (t.j. Dz.U. z 2017 r. poz. 2003 ze zm.). Zgodnie z tym przepisem bank musi zwrócić kwoty nieautoryzowanych transakcji płatniczych. Z kolei zgodnie z art. 45 ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika, spoczywa na dostawcy (banku), przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego. Regulacje te wprowadzają więc domniemanie odpowiedzialności banku za każdą nieautoryzowaną transakcję, chyba że użytkownik doprowadził do nich umyślnie albo w wyniku rażącego niedbalstwa.
„Transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na jej wykonanie w sposób przewidziany umową. Powód nie wyraził zgody na wykonanie tych transakcji, o czym świadczy jego natychmiastowa reakcja po stwierdzeniu kradzieży, zabezpieczenie pozostałych środków poprzez ich przelanie na konto osoby trzeciej, telefoniczne powiadomienie pozwanego oraz zawiadomienie policji o popełnieniu przestępstwa” – podkreślił sąd w uzasadnieniu wyroku.
O rażącym niedbalstwie ze strony klienta i jego pełnomocnika miało świadczyć podanie danych autoryzacyjnych przez fałszywą stronę serwisu. Bank zapewniał, że uczulał kli entów, by uważali na działania hakerów.
„W przekonaniu sądu bank w dacie zdarzenia i wcześniej nie ostrzegał swoich klientów w sposób czytelny przed atakami hakerskimi, czy też złośliwym oprogramowaniem. Informacje zaznaczone drobnym drukiem lub też dostępne dopiero po przejściu przez zakładki strony internetowej nie były w ocenie sądu wystarczająco jaskrawym i widocznym ostrzeżeniem dla klienta” – uznał sąd.
Dodatkowym powodem uwzględnienia pozwu była opieszałość pracowników banku po otrzymaniu informacji o kradzieży. Zdaniem sądu blokowanie konta powinno trwać zdecydowanie krócej niż godzinę. Podjęcie natychmiastowych działań mogłoby pozwolić na uratowanie przynajmniej części pieniędzy.
orzecznictwo
Wyrok Sądu Okręgowego w Warszawie z 28 października 2018 r., sygn. akt I C 1208/16. www.serwisy.gazetaprawna.pl/orzeczenia