× Zamknij

Dotacje

Bezpieczeństwo podatkowe

Doradztwo sukcesyjne

Bank jest obowiązany do zwrotu pieniędzy przelanych z konta bankowego klienta w wyniku ataku hakerskiego

28.08.2023 | OCHRONA DANYCH OSOBOWYCH I CYBERBEZPIECZEŃSTWO

Nieuprawnione transakcje z rachunków bankowych w wyniku przestępczego ataku hakerskiego stanowią podstawę do skierowania powództwa wobec banku i żądania zapłaty wyprowadzonych z konta środków pieniężnych. Bank ponosi odpowiedzialność za atak hakerski na konto swojego klienta. Pozwany bank nie wykonał należycie umowy prowadzenia rachunku powodowej spółki. Środki pieniężne na nim zgromadzone nie zostały należycie zabezpieczone – orzekł Sąd Apelacyjny w Białymstoku.

 

Nieautoryzowane transakcje

 

Powód w pozwie skierowanym przeciwko bankowi żądał zapłaty kwoty 76.000,00 zł wraz z ustawowymi odsetkami za opóźnienie oraz zwrotu kosztów postępowania. Jak twierdził bowiem, padł ofiarą ataku hakerskiego, w wyniku którego dokonano nieautoryzowanych przez niego transakcji płatniczych i wyprowadzenia pieniędzy z jego rachunku bankowego, prowadzonego w pozwanym banku.

 

Zdarzenie miało miejsce w dniu 15 marca 2016 r., o godz. 14, kiedy to doszło do dwukrotnego obciążenia rachunku bankowego powoda – pierwszy przelew na kwotę 297.836,00 zł, drugi zaś na kwotę 87.890,00 zł. 18 marca 2016 r. powód złożył reklamację do pozwanego banku, powołując się na to, że przelewy te nie zostały przez niego autoryzowane.

 

W odpowiedzi bank wskazał, że w momencie otrzymania reklamacji nie miał możliwości zabezpieczenia wypływu środków. Bank podał dodatkowo, że oba przelewy zostały wykonane z tego samego adresy IP komputera, którego kilka minut wcześniej wykonano przelew na kwotę 9.369,65 zł, a który nie był reklamowany. Wszystkie przelewy były podpisane przez powoda.

 

Pozwany bank wnosił o oddalanie powództwa na koszt powoda. Wskazał, że to powód (dyrektor powodowej spółki) swoim nagannym i lekkomyślnym zachowaniem lub zaniedbaniem sam przyczynił się do przejęcia danych i dokonania transakcji przez osoby trzecie. Dodał, że po ujawnieniu, że przelewy z rachunku bankowego powoda mogły zostać zrealizowane w wyniku przestępstwa, nie zbagatelizował sprawy, a niezwłocznie podjął stosowne działania. Podniósł także zarzut przedawnienia roszczenia w przypadku dochodzenia roszczenia na zasadzie odpowiedzialności kontraktowej oraz uwzględnienie zarzutu znacznego przyczynienia się powoda do zaistniałej szkody. Prokuratura Okręgowa w Warszawie umorzyła śledztwo w sprawie uzyskania dostępu do informacji nieprzeznaczonych na rachunku bankowym powoda, z uwagi na niewykrycie sprawcy przestępstwa.

 

Pozwany bank, dopiero w dniu 28 stycznia 2021 r. podał, że system banku wskazał możliwe zagrożenie infekcją wirusa urządzenia powoda.

 

Sąd pierwszej instancji uwzględnił powództwo

 

Sąd Okręgowy przychylił się do stanowiska powoda i zasądził od pozwanego banku na rzecz powoda kwotę 76.000,00 zł wraz z odsetkami ustawowymi za opóźnienie od 18 marca 2016 r. do dnia zapłaty oraz koszty procesu. Zdaniem sądu, który ocenił powództwo na gruncie art. 415 k.c. oraz art. 471 k.c. zasługiwało ono na uwzględnienie. Sąd nie podzielił także zarzutu przedawnienia, podniesionego przez powoda. Zadaniem sądu zarówno w przypadku odpowiedzialności deliktowej jak i kontraktowej roszczenia przedawniają się z upływem 3 lat.

 

Brak reakcji banku

 

Sąd Okręgowy za niezasadne uznał stanowisko pozwanego banku, wedle którego obie analizowane transakcje nie wzbudzały podejrzeń, nie różniły się od dokonywanych wcześniej i autoryzowanych przez powoda, jak chociażby transakcje do ZUS.

 

Kolejno sąd wskazał, że ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Ma to ten skutek, że równoległą podstawą odpowiedzialności banku jest ustawa o usługach płatniczych z dnia 19 sierpnia 2011 r., która przewiduje generalną zasadę, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Sąd akcentował także, że zgodnie z art. 46 ust. 1 ww. ustawy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo w przypadku, gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza.

 

Sąd Okręgowy podkreślił następnie, że w sprawie niewątpliwe było, iż doszło do dokonania dwóch nieautoryzowanych przez powoda przelewów z jego rachunku bankowego, przy czym to pozwany bank ponosi za to odpowiedzialność. Sąd zauważył, że indywidualne zabezpieczenia instrumentu płatniczego powoda polegały na autoryzacji każdej transakcji za pomocą eTokena. Nieustaleni sprawcy przełamali zabezpieczenia znajdujące się na komputerze powoda i wyprowadzili z jego konta 297.836 zł i następnie 87.980 zł. Pozwany Bank zauważył nieprawidłowości w dokonaniu tych dwóch przelewów, bowiem w dniu 18 marca 2016 r. do powoda zadzwoniła Dyrektor Oddziału Banku z pytaniem, czy autoryzował dwa przelewy bankowe na kwoty 297.836 zł oraz 87.980 zł, na co dyrektor spółki odpowiedział, że nie dokonywał autoryzacji takich przelewów.

 

Sąd podkreślił, że również z przeprowadzonego w sprawie dowodu z opinii biegłego z zakresu ekonomii i informatyki wynika, że operacje realizowane w bankowości internetowej na danych dostępowych powoda użytkownik w dniu 15 marca 2016 r. różniły się od realizowanych wcześniej, a mianowicie do systemu, w którym zalogowany był na danych dostępowych powoda, z powodzeniem po parudziesięciu sekundach logował się z innego IP użytkownik na tych samych danych dostępowych - sytuacja taka miała miejsce o 9:50:23 i 9:50:52 oraz o 13:55:47 i 13:56:12. Wprowadzone przelewy na kwoty 297.836 zł i 87.980 zł były w wysokości nie występującej na przestrzeni ostatniego roku - trzeci przelew o najwyższej wartości został wykonany 1 lutego 2016 r. i wynosił 65.445,84 zł.
 

Niewystarczająca ochrona rachunku bankowego w pozwanym Banku

 

Sąd podzielił twierdzenia powoda o niewystarczającej ochronie rachunku bankowego w pozwanym banku mając na względzie to, że w dniu 15 marca 2016 r. bank zareagował na możliwość zagrożenia infekcją wirusa urządzenia powoda i jeszcze tego samego dnia zablokował prywatne konta prezesa powodowej spółki.

 

Sąd Okręgowy miał także na uwadze, że prezes powodowej spółki po każdej z nieudanych prób zalogowania się do systemu zgłaszał te problemy pracownikowi pozwanego banku, który jednak nie zrobił nic, aby wyjaśnić tę sytuację i nie dokonał wglądu do rachunku powoda. W ocenie sądu, wysoce prawdopodobne jest, iż to zaniechanie pracownika banku umożliwiło transfer przestępczych poleceń przelewów i uniemożliwiło decyzję co do zablokowania tych transakcji.

 

Apelacja banku oddalona

 

Sąd Apelacyjny za prawidłowe uznał dokonane przez sąd I instancji ustalenia faktyczne. Poza tym - podnoszone w apelacji okoliczności co do braku przełamania zabezpieczeń pozwanego banku nie mogły uwolnić skarżącego od odpowiedzialności wobec powoda z tytułu zwrotu środków przelanych z rachunku tego ostatniego bez jego zgody.

 

Za nietrafne uznał Sąd Apelacyjny zarzuty pozwanego traktujące o tym, że powód przyczynił się do powstania szkody poprzez niezgłoszenie skarżącemu podejrzenia ataku hakerskiego niezwłocznie po jego stwierdzeniu. Po pierwsze dlatego, że powyższe nie mogło zapobiec niniejszej szkodzie, skoro objęte sporem przelewy zostały już zrealizowane. Po drugie, zgromadzony w sprawie materiał dowodowy nie daje podstaw do przypisania powodowej spółce zwłoki w zgłoszeniu przedmiotowego ataku, przy czym czas ten, w ocenie Sądu Apelacyjnego, liczyć należy od chwili stanowczego stwierdzenia, że do takiego ataku doszło, a nie od chwili nabrania przez powoda niepotwierdzonych podejrzeń w tym przedmiocie. Po trzecie zaś, pozwany bank nie podjął nawet próby wykazania, że zgłoszenie mu przez powodową spółkę ataku hakerskiego już kolejnego dnia po dokonaniu wzmiankowanych przelewów przyczyniłoby się (i ewentualnie w jakim zakresie), do ograniczenia rozmiarów szkody, której doznał jego powód.

 

Sąd odwoławczy uznał ostatecznie, że w okolicznościach rozpoznawanej sprawy zachodzi przewidziany w art. 443 k.c., zbieg odpowiedzialności kontraktowej z odpowiedzialnością deliktową. Przy czym, jak wynika z dokonanych przez Sąd rozważań, przesłanki odpowiedzialności pozwanego banku z obu tych podstaw zostały wykazane, a przedawnienie roszczenia z żadnej z tych podstaw nie zaistniało.