Nagłówek strony

Treść główna

Nieautoryzowana płatność elektroniczna – odpowiedzialność

W związku ze zbliżającym się okresem światecznym, a co za tym idzie zwiększoną ilościa zakupów w sklepach internetowych, warto pamiętać o zagrożeniach związanych z płatnościami elektronicznymi. Kto odpowiada wobec użytkownika bankowości elektronicznej za skutki ekonomiczne cyberataków na środki pieniężne zgromadzone na jego rachunku bankowym, czy tylko sprawca? Czy także bank lub inna instytucja finansowa prowadząca ten rachunek ?

Sąd Najwyższy w wyroku z dnia 18 stycznia 2018 r. sygn. akt V CSK 141/17, w składzie Sędzia SN Marta Romańska (Przewodniczący), Marian Kocon, Krzysztof Pietrzykowski (spr.) (Sędziowie SN), ustalił, że:

„Zgodnie z art. 45 ust. 1 ustawy z 2011 r. o usługach płatniczych, w drodze wyjątku od zasady określonej w art. 6 k.c., ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika.”

„Cyberprzestępczość” jest poważnym zagrożeniem dla użytkowników bankowości elektronicznej. Przez zakładanie fikcyjnych stron internetowych Banków, na których niezorientowani klienci banków próbują się logować do swoich rachunków, czy przez bezprawne instalowanie w naszych komputerach aplikacji, sprawcy takich przestępstw uzyskują możliwość podejrzenia ekranu naszego komputera, a w konsekwencji bezprawne przejęcie naszych danych osobowych, w tym loginu i hasła do systemu płatności.

Nieautoryzowana płatność elektroniczna

Powstaje pytanie, kto ponosi na płaszczyźnie prawa cywilnego finansową odpowiedzialność za cyberataki, zwłaszcza te dokonane w niewyjaśnionych okolicznościach, gdy nie udaje się ujawnić ich sprawców? Kto wówczas ponosi skutki finansowe takiej cyberprzestępczości: Bank czy użytkownik bankowości elektronicznej?

Sąd Najwyższy wyrokiem z dnia 18 stycznia 2018 r. (sygn. akt: V CSK 141/17) potwierdził liberalną wykładnię obowiązujących przepisów, wyraźnie stawiających w uprzywilejowanej sytuacji „klientów” bankowości elektronicznej. W przedmiotowej sprawie „klientka” bankowości elektronicznej podjęła w przeciągu jednego dnia kilka nieudanych prób logowania do systemu bankowości elektronicznej. Po wpisaniu danych do planowanej transakcji wyświetliła się informacja o przebudowie strony. Kiedy kilka dni później ponownie zalogowała się do systemu bankowości elektronicznej, zauważyła, że na posiadanym rachunku bankowym nie ma znajdujących się wcześniej środków finansowych. Nieustalona osoba (w chwili rozstrzygania sprawy przez Sąd Najwyższy) wykorzystała „nieudane” logowania klientki Banku, pozyskując potrzebne dane za pomocą podsuniętej umiejętnie strony internetowej, łudząco przypominającej rzeczywistą stronę Banku, następnie dokonała zlecenia przelewu większości środków finansowych, znajdujących się na rachunku bankowym.

Stan faktyczny sprawy

Bank po przeprowadzeniu postępowania reklamacyjnego odmówił zwrotu środków z transakcji objętej nieprawidłową autoryzacją. Poszkodowana wniosła pozew. Sąd Rejonowy oddalił powództwo w całości, natomiast Sąd Okręgowy uwzględnił apelację powódki i zasądził na jej rzecz dochodzoną kwotę, stanowiącą równowartość utraconych środków finansowych. Z takim rozstrzygnięciem nie zgodził się Bank i zaskarżył wyrok Sądu Okręgowego kasacją wniesioną do Sądu Najwyższego. Sąd Najwyższy oddalił kasację Banku i przychylił się do argumentacji Sądu Okręgowego, podkreślając rozstrzygające znaczenie art. 45 ust. 1 ustawy o usługach płatniczych. Warto zacytować ten przepis w całości (art. 45):

1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.

1a. Jeżeli transakcja płatnicza jest inicjowana za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej, na dostawcy tym spoczywa ciężar udowodnienia, że w zakresie jego właściwości transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą, za którą ten dostawca odpowiada.

2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

Reasumując, to właśnie Bank ma obowiązek udowodnienia, że transakcja była autoryzowana przez użytkownika bankowości elektronicznej. Ustawodawca oczywiście wskazał obowiązki użytkownika, naruszenie których pozbawi go dochodzenia odszkodowania od Banku, w art. 42 ustawy o usługach płatniczych:

1. Użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany:

1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz

2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.

2. W celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym.

3. Umowa ramowa, o której mowa w ust. 1 pkt 1, powinna zawierać obiektywne, niedyskryminujące i proporcjonalne postanowienia dotyczące wydawania i użytkowania instrumentu płatniczego.

Ciężar dowodu

Rzecz jednak w tym, że to Bank musi udowodnić te okoliczności i wykazać ich związek przyczynowy z kradzieżą środków na rachunku, a nie użytkownik bankowości elektronicznej. Użytkownik nie musi udowadniać, że działania przestępcze innej osoby nie są rezultatem nienależytego wykonywania przez niego umowy z Bankiem, w szczególności że użytkownik przechowywał instrument płatniczy z zachowaniem należytej staranności oraz że nie udostępniał go osobom nieuprawnionym.

Tak więc Bank aby uwolnić się od odpowiedzialności musi wykazać, że klient Banku – użytkownik bankowości elektronicznej – w sposób zawiniony doprowadził do nieautoryzowanej przez niego transakcji, albo wskutek rażącego niedbalstwa naruszył jeden z wymienionych obowiązków. Podkreślenia wymaga, że ustawa o usługach płatniczych nie ma legalnej definicji „rażącego niedbalstwa” i posiłkujemy się kryteriami wypracowanymi orzecznictwie sądowym i doktrynie, gdzie za „rażące niedbalstwo” w realiach omawianego przypadku uznawane są takie okoliczności, jak trzymanie karty i PIN w miejscu, gdzie dostęp ma nieograniczona liczba osób.

Można dojść do konkluzji, że Bank w istocie odpowiada tutaj na zasadzie ryzyka, a nie winy. Stąd Bank nie może uwolnić się od odpowiedzialności finansowej wobec użytkownika bankowości elektronicznej wykazując, że dochował staranności w zabezpieczeniu systemu bankowego, lecz musi udowodnić dalej idące okoliczności, które obciążałyby użytkownika.

Niewątpliwie powyższa regulacja – art. 45 ustawy o usługach płatniczych – ma prokonsumencki charakter. W przypadku ujawnienia i kwestionowania przez płatnika nieautoryzowanych transakcji, to na Banku spoczywa ciężar wskazania i udowodnienia okoliczności obciążających użytkownika. Regulacja ta ma na celu zwiększenie ochrony użytkownika, który mimo, iż dochował należytej staranności w zakresie przechowywania instrumentu płatniczego i wywiązał się z obowiązków nałożonych na niego art. 42 ustawy o usługach płatniczych, wskutek okoliczności niezależnych od niego stał się poszkodowany, bowiem doszło w rzeczywistości do nieautoryzowanego przez niego obciążenia jego rachunku bankowego (kradzieży z niego środków finansowych). A służy temu, co podkreślił Sąd Najwyższy w tezie omawianego wyroku z dnia 18 stycznia 2018 r. sygn. akt V CSK 141/17, odwrócenie ciężaru dowodu. Gdyby stosowano w takich wypadkach ogólne zasady z art. 6 kodeksu cywilnego i art. 232 kodeksu postępowania cywilnego, użytkownik znalazłby się w bardzo trudnej sytuacji procesowej i w praktyce nie byłby w stanie wykazać podstaw odpowiedzialności Banku.

Oczywiście pojawia się kwestia, czy nie jest to zbyt daleko idąca ochrona użytkowników bankowości elektronicznej, także ułatwiająca przecież przestępcze działania, nawet z udziałem samych użytkowników (skoro Banki będą refinansować skutki takiej zmowy) ?

Płatności elektroniczne – bezpieczeństwo

Niemniej wydaje się, że wobec stałego postępu technicznego, profesjonalnego statusu Banków, które same zachęcają, a nawet „sposobem” świadczenia obsługi „przymuszają” klientów do korzystania z usług bankowości elektronicznej w miejsce usług stacjonarnych, a z drugiej strony powszechności przechodzenia na usługi bankowości elektronicznej przez konsumentów nie mających kwalifikowanej wiedzy informatycznej, takie rozwiązanie jest zasadne. W znacznym stopniu „prewencyjne”, bowiem Banki są zmuszone poszukiwać nowych, bezpieczniejszych rozwiązań informatycznych i  inwestować w nowoczesne narzędzia i działania prewencyjne służące zabezpieczeniu teleinformatycznemu przed cyberatakami. Na przykład polegające na monitorowaniu fałszywych stron internetowych i usuwaniu ich niezwłocznie po ujawnieniu.