Kontakt
× Zamknij

Obsługa prawna

Compliance
E – commerce
Fuzje i przejęcia
IT i Nowe technologie
Nieruchomości i inwestycje budowlane
Obsługa administracji samorządowej
Ochrona danych osobowych i cyberbezpieczeństwo
Ochrona własności intelektualnej
Ochrona środowiska
Planowanie sukcesji
Pomoc publiczna
Postępowania sądowe i administracyjne
Prawo energetyczne
Prawo karne
Prawo konkurencji
Prawo korporacyjne
Prawo pracy
Prawo rynków kapitałowych
Restrukturyzacje i postępowania upadłościowe
Windykacja należności
Zamówienia publiczne

Doradztwo podatkowe

Ceny transferowe
Estoński CIT
Niezależny Audyt Funkcji Podatkowej (NAFP) oraz Audyt Funkcji Podatkowej
Planowanie podatkowe
Podatek minimalny
Podatek od nieruchomości
Podatki dochodowe
Podatki międzynarodowe
Podatki pośrednie (VAT, cło, akcyza)
Postępowania podatkowe
Preferencyjne ulgi podatkowe
Raportowanie schematów podatkowych
Rezydencja podatkowa

Audyty

Audyt dokumentacji z zakresu prawa pracy
Audyt nieruchomości
Audyt procedur antymobbingowych
Audyt przeterminowanych wierzytelności
Audyt systemu ochrony danych osobowych
Audyt umów z perspektywy prawa konkurencji
Audyt w zakresie obowiązków wynikających z cen transferowych
Audyt własności intelektualnej
Badanie stanu prawnego przedsiębiorstwa (due dilligence)
Estoński CIT
Kompleksowy audyt korporacyjny
Kompleksowy audyt podatkowy spółki
Podatek u źródła (WHT)
Powiązania w ramach grup podmiotów
Reorganizacja prowadzonej działalności gospodarczej
Schematy podatkowe (MDR)
Zabezpieczenia wierzytelności w umowach

Szkolenia

Aktualne obowiązki w zakresie cen transferowych
Formy prowadzenia działalności gospodarczej
Fundacja Rodzinna
Ochrona danych osobowych w przedsiębiorstwie
Ochrona sygnalistów – obowiązki, wdrożenie przepisów w organizacji
Odpowiedzialność członków zarządu za zobowiązania spółki
Podatek u źródła w praktyce
Praca zdalna oraz kontrola trzeźwości pracowników
Prawo holdingowe
Raportowanie schematów podatkowych
Stosunek pracy: nawiązanie, zmiana oraz rozwiązanie. Niezbędna dokumentacja i kwestie praktyczne
Strategia ochrony praw własności intelektualnej w przedsiębiorstwie
Transakcje krajowe i międzynarodowe w podatku VAT
Ulgi i preferencje podatkowe dla przedsiębiorców
Wybrane podatkowe obowiązki sprawozdawcze oraz procedury
Wybrane zagadnienia z zakresu mobbingu
Wzorce umów w obrocie między przedsiębiorcami
Zabezpieczenia kontraktów handlowych
Zamówienia publiczne w praktyce: wybrane zagadnienia
Zarządzanie informacją poufną w spółce publicznej
Zarządzanie ryzykiem w zakresie prawa ochrony konkurencji
Zwolnienia grupowe i indywidualne – aspekty praktyczne

Doradztwo sukcesyjne

Doradztwo sukcesyjne
Doradztwo sukcesyjne
  1. Główna
  2. Aktualności
  3. OCHRONA DANYCH OSOBOWYCH I CYBERBEZPIECZEŃSTWO
  4. Bank jest obowiązany do zwrotu pieniędzy przelanych z konta bankowego klienta w wyniku ataku hakerskiego

Bank jest obowiązany do zwrotu pieniędzy przelanych z konta bankowego klienta w wyniku ataku hakerskiego

28.08.2023 | OCHRONA DANYCH OSOBOWYCH I CYBERBEZPIECZEŃSTWO

Nieuprawnione transakcje z rachunków bankowych w wyniku przestępczego ataku hakerskiego stanowią podstawę do skierowania powództwa wobec banku i żądania zapłaty wyprowadzonych z konta środków pieniężnych. Bank ponosi odpowiedzialność za atak hakerski na konto swojego klienta. Pozwany bank nie wykonał należycie umowy prowadzenia rachunku powodowej spółki. Środki pieniężne na nim zgromadzone nie zostały należycie zabezpieczone – orzekł Sąd Apelacyjny w Białymstoku.

 

Nieautoryzowane transakcje

 

Powód w pozwie skierowanym przeciwko bankowi żądał zapłaty kwoty 76.000,00 zł wraz z ustawowymi odsetkami za opóźnienie oraz zwrotu kosztów postępowania. Jak twierdził bowiem, padł ofiarą ataku hakerskiego, w wyniku którego dokonano nieautoryzowanych przez niego transakcji płatniczych i wyprowadzenia pieniędzy z jego rachunku bankowego, prowadzonego w pozwanym banku.

 

Zdarzenie miało miejsce w dniu 15 marca 2016 r., o godz. 14, kiedy to doszło do dwukrotnego obciążenia rachunku bankowego powoda – pierwszy przelew na kwotę 297.836,00 zł, drugi zaś na kwotę 87.890,00 zł. 18 marca 2016 r. powód złożył reklamację do pozwanego banku, powołując się na to, że przelewy te nie zostały przez niego autoryzowane.

 

W odpowiedzi bank wskazał, że w momencie otrzymania reklamacji nie miał możliwości zabezpieczenia wypływu środków. Bank podał dodatkowo, że oba przelewy zostały wykonane z tego samego adresy IP komputera, którego kilka minut wcześniej wykonano przelew na kwotę 9.369,65 zł, a który nie był reklamowany. Wszystkie przelewy były podpisane przez powoda.

 

Pozwany bank wnosił o oddalanie powództwa na koszt powoda. Wskazał, że to powód (dyrektor powodowej spółki) swoim nagannym i lekkomyślnym zachowaniem lub zaniedbaniem sam przyczynił się do przejęcia danych i dokonania transakcji przez osoby trzecie. Dodał, że po ujawnieniu, że przelewy z rachunku bankowego powoda mogły zostać zrealizowane w wyniku przestępstwa, nie zbagatelizował sprawy, a niezwłocznie podjął stosowne działania. Podniósł także zarzut przedawnienia roszczenia w przypadku dochodzenia roszczenia na zasadzie odpowiedzialności kontraktowej oraz uwzględnienie zarzutu znacznego przyczynienia się powoda do zaistniałej szkody. Prokuratura Okręgowa w Warszawie umorzyła śledztwo w sprawie uzyskania dostępu do informacji nieprzeznaczonych na rachunku bankowym powoda, z uwagi na niewykrycie sprawcy przestępstwa.

 

Pozwany bank, dopiero w dniu 28 stycznia 2021 r. podał, że system banku wskazał możliwe zagrożenie infekcją wirusa urządzenia powoda.

 

Sąd pierwszej instancji uwzględnił powództwo

 

Sąd Okręgowy przychylił się do stanowiska powoda i zasądził od pozwanego banku na rzecz powoda kwotę 76.000,00 zł wraz z odsetkami ustawowymi za opóźnienie od 18 marca 2016 r. do dnia zapłaty oraz koszty procesu. Zdaniem sądu, który ocenił powództwo na gruncie art. 415 k.c. oraz art. 471 k.c. zasługiwało ono na uwzględnienie. Sąd nie podzielił także zarzutu przedawnienia, podniesionego przez powoda. Zadaniem sądu zarówno w przypadku odpowiedzialności deliktowej jak i kontraktowej roszczenia przedawniają się z upływem 3 lat.

 

Brak reakcji banku

 

Sąd Okręgowy za niezasadne uznał stanowisko pozwanego banku, wedle którego obie analizowane transakcje nie wzbudzały podejrzeń, nie różniły się od dokonywanych wcześniej i autoryzowanych przez powoda, jak chociażby transakcje do ZUS.

 

Kolejno sąd wskazał, że ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Ma to ten skutek, że równoległą podstawą odpowiedzialności banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 r., która przewiduje generalną zasadę, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Sąd akcentował także, że zgodnie z art. 46 ust. 1 ww. ustawy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo w przypadku, gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.

 

Sąd Okręgowy podkreślił następnie, że w sprawie niewątpliwe było, iż doszło do dokonania dwóch nieautoryzowanych przez powoda przelewów z jego rachunku bankowego, przy czym to pozwany bank ponosi za to odpowiedzialność. Sąd zauważył, że indywidualne zabezpieczenia instrumentu płatniczego powoda polegały na autoryzacji każdej transakcji za pomocą eTokena. Nieustaleni sprawcy przełamali zabezpieczenia znajdujące się na komputerze powoda i wyprowadzili z jego konta 297.836 zł i następnie 87.980 zł. Pozwany Bank zauważył nieprawidłowości w dokonaniu tych dwóch przelewów, bowiem w dniu 18 marca 2016 r. do powoda zadzwoniła Dyrektor Oddziału Banku z pytaniem, czy autoryzował dwa przelewy bankowe na kwoty 297.836 zł oraz 87.980 zł, na co dyrektor spółki odpowiedział, że nie dokonywał autoryzacji takich przelewów.

 

Sąd podkreślił, że również z przeprowadzonego w sprawie dowodu z opinii biegłego z zakresu ekonomii i informatyki wynika, że operacje realizowane w bankowości internetowej na danych dostępowych powoda użytkownik w dniu 15 marca 2016 r. różniły się od realizowanych wcześniej, a mianowicie do systemu, w którym zalogowany był na danych dostępowych powoda, z powodzeniem po parudziesięciu sekundach logował się z innego IP użytkownik na tych samych danych dostępowych - sytuacja taka miała miejsce o 9:50:23 i 9:50:52 oraz o 13:55:47 i 13:56:12. Wprowadzone przelewy na kwoty 297.836 zł i 87.980 zł były w wysokości nie występującej na przestrzeni ostatniego roku - trzeci przelew o najwyższej wartości został wykonany 1 lutego 2016 r. i wynosił 65.445,84 zł.
 

Niewystarczająca ochrona rachunku bankowego w pozwanym Banku

 

Sąd podzielił twierdzenia powoda o niewystarczającej ochronie rachunku bankowego w pozwanym banku mając na względzie to, że w dniu 15 marca 2016 r. bank zareagował na możliwość zagrożenia infekcją wirusa urządzenia powoda i jeszcze tego samego dnia zablokował prywatne konta prezesa powodowej spółki.

 

Sąd Okręgowy miał także na uwadze, że prezes powodowej spółki po każdej z nieudanych prób zalogowania się do systemu zgłaszał te problemy pracownikowi pozwanego banku, który jednak nie zrobił nic, aby wyjaśnić tę sytuację i nie dokonał wglądu do rachunku powoda. W ocenie sądu, wysoce prawdopodobne jest, iż to zaniechanie pracownika banku umożliwiło transfer przestępczych poleceń przelewów i uniemożliwiło decyzję co do zablokowania tych transakcji.

 

Apelacja banku oddalona

 

Sąd Apelacyjny za prawidłowe uznał dokonane przez sąd I instancji ustalenia faktyczne. Poza tym - podnoszone w apelacji okoliczności co do braku przełamania zabezpieczeń pozwanego banku nie mogły uwolnić skarżącego od odpowiedzialności wobec powoda z tytułu zwrotu środków przelanych z rachunku tego ostatniego bez jego zgody.

 

Za nietrafne uznał Sąd Apelacyjny zarzuty pozwanego traktujące o tym, że powód przyczynił się do powstania szkody poprzez niezgłoszenie skarżącemu podejrzenia ataku hakerskiego niezwłocznie po jego stwierdzeniu. Po pierwsze dlatego, że powyższe nie mogło zapobiec niniejszej szkodzie, skoro objęte sporem przelewy zostały już zrealizowane. Po drugie, zgromadzony w sprawie materiał dowodowy nie daje podstaw do przypisania powodowej spółce zwłoki w zgłoszeniu przedmiotowego ataku, przy czym czas ten, w ocenie Sądu Apelacyjnego, liczyć należy od chwili stanowczego stwierdzenia, że do takiego ataku doszło, a nie od chwili nabrania przez powoda niepotwierdzonych podejrzeń w tym przedmiocie. Po trzecie zaś, pozwany bank nie podjął nawet próby wykazania, że zgłoszenie mu przez powodową spółkę ataku hakerskiego już kolejnego dnia po dokonaniu wzmiankowanych przelewów przyczyniłoby się (i ewentualnie w jakim zakresie), do ograniczenia rozmiarów szkody, której doznał jego powód.

 

Sąd odwoławczy uznał ostatecznie, że w okolicznościach rozpoznawanej sprawy zachodzi przewidziany w art. 443 k.c., zbieg odpowiedzialności kontraktowej z odpowiedzialnością deliktową. Przy czym, jak wynika z dokonanych przez Sąd rozważań, przesłanki odpowiedzialności pozwanego banku z obu tych podstaw zostały wykazane, a przedawnienie roszczenia z żadnej z tych podstaw nie zaistniało.

Autor

Sylwia Grzebyk
więcej
Sylwia Grzebyk
adwokat
Wróć do listy aktualności
Obowiązek informacyjny RODO ma zastosowanie względem przetwarzania danych osobowych pochodzących z rejestrów publicznych
31.10.2023 | OCHRONA DANYCH OSOBOWYCH I CYBERBEZPIECZEŃSTWO

Obowiązek informacyjny RODO ma zastosowanie względem przetwarzania danych osobowych pochodzących z rejestrów publicznych

UOKIK sprawdza, czy przedsiębiorcy z sektora e-commerce prawidłowo wywiązują się z obowiązków informacyjnych wynikających z Dyrektywy Omnibus
26.09.2023 | OCHRONA DANYCH OSOBOWYCH I CYBERBEZPIECZEŃSTWO

UOKIK sprawdza, czy przedsiębiorcy z sektora e-commerce prawidłowo wywiązują się z obowiązków informacyjnych wynikających z Dyrektywy Omnibus