Uzasadnienie z 22 lutego 2024, sygn. III Ca 1133/22
Pokaż pozostałe podstawy prawne (9)
Sygn. akt III Ca 1133/22
UZASADNIENIE
Zaskarżonym wyrokiem z dnia 11 kwietnia 2022 roku, wydanym w sprawie z powództwa Gminy D. – Szkoły Podstawowej im. J. W. przeciwko Bankowi Spółdzielczemu Ziemi K. w K. (poprzednio Bankowi Spółdzielczemu Towarzystwu (...) „PA-CO-BANK” w P.) o zapłatę Sąd Rejonowy w Pabianicach:
1. utrzymał w całości w mocy wyrok zaoczny Sądu Rejonowego w Pabianicach z dnia 30 kwietnia 2021 r. wydany w sprawie o sygn. akt I C 113/21,
2. nakazał zwrócić na rzecz Banku Spółdzielczego Ziemi K. w K. ze Skarbu Państwa – Sądu Rejonowego w Pabianicach kwotę 625 zł z tytułu nadpłaconej zaliczki uiszczonej przez pozwanego w dniu 30 września 2021 r. i zaksięgowanej pod poz. 500073611610.
Wyrok ten zapadł w następującym stanie faktycznym:
W dniu 21 grudnia 2018 roku pomiędzy Bankiem Spółdzielczym Towarzystwem (...)-BANK w P., a Szkołą Podstawową im. J. W. w C. została zawarta umowa ramowa numer (...),
w ramach której Bank miał świadczyć na rzecz Szkoły usługi w zakresie prowadzenia rachunków bankowych w złotych lub walutach wymienialnych, wydawania i obsługi kart płatniczych oraz bankowości elektronicznej. Umowa zgodnie z § 20 została zawarta na okres od 1 stycznia 2019 roku do 31 grudnia 2021 roku. Bank przy zawieraniu umowy reprezentowała J. J. – dyrektor oddziału, zaś Szkołę M. W. (1) – dyrektor. Do umowy załączono m.in. przewodnik dla klienta, zawierający instrukcję bankowości elektronicznej. Pozwany Bank zawarł umowę o prowadzenie rachunków bankowych także dla innych jednostek budżetowych Gminy D..
Pozwany bank prowadził dla Gminy D. – Szkoły Podstawowej im. J. W. w C. Drugim rachunek bankowy o numerze (...).
Do czynnego dysponowania rachunkami bankowymi powoda uprawnione były m.in. M. W. (1), R. S. (1), zaś pasywny dostęp został udostępniony m.in. M. R. (1). Pasywni użytkownicy dokonywali logowania do systemu bankowości elektronicznej poprzez wpisanie indywidualnie ustalonego hasła stałego, natomiast aktywni użytkownicy logując się wykorzystywali indywidualnie ustalone hasło stałe, a jako metodę autoryzacji wykorzystywali do września 2019 r. kartę mikroprocesorową.
M. R. (1) nie posiadała uprawnienia do akceptowania przelewów wysłanych z rachunku prowadzonego dla powoda, do akceptacji przelewów w imieniu powoda uprawnione były m.in. M. W. (1) i R. S. (1). Do skutecznego zlecenia przelewu pozwanemu niezbędna była akceptacja stworzonego zlecenia przelewu przez dwie osoby uprawnione do akceptacji przelewu.
Użytkownik systemu składa bankowi wszelkie dyspozycje i zlecenia płatnicze w systemie w postaci elektronicznej, w sposób umożlwiający jego identyfikację i zapoznanie się z treścią dyspozycji (§ 73 ust. 1 regulaminu). Po złożeniu dyspozycji lub zlecenia płatniczego w systemie, użytkownik systemu dokonuje ich autoryzacji przy użyciu środków identyfikacji elektronicznej, z zastosowaniem wymaganych przez bank metod uwierzytelnienia (§ 73 ust. 2 regulaminu). Autoryzacja dyspozycji składanych za pośrednictwem elektronicznych kanałów dostępu odbywa się za pośrednictwem usług bankowości elektronicznej (serwisu internetowego) poprzez użycie karty chipowej oraz numeru (...) lub aplikacji mobilnej T. (...) i (...) do (...) (§ 73 ust. 6 pkt 2 regulaminu). Autoryzacja dokonana przez użytkownika jest równoznaczna z poleceniem bankowi dokonania określonej czynności i stanowi postawę jej dokonania (§ 73 ust. 7 regulaminu).
Jeżeli w zleceniu płatniczym posiadacz rachunku wskazał nieprawidłowy unikatowy identyfikator odbiorcy, bank nie ponosi odpowiedzialności za niewykonanie lub wadliwe wykonanie zlecenia płatniczego (§ 94 ust. 6 regulaminu).
W okresie od lipca 2019 r. do dnia 7 września 2019 roku pozwany Bank przeprowadzał w ramach bankowości elektronicznej zmianę środków dostępowych do rachunku bankowego, co wiązało się z implementacją do polskiego porządku prawnego dyrektywy (...) 2. W Szkole Podstawowej w C. Drugim wymiana urządzeń dostępowych miała miejsce w dniu 4 września 2019 r. Dotychczas potwierdzenie przelewu wymagało zalogowania się przez upoważnioną osobę do bankowości mobilnej, a następnie włożenie karty chip’owej do dedykowanego czytnika wydawanego przez Bank, podłączanego do komputera, co odblokowywało możliwość zatwierdzenia przelewu na stronie Internetowej Banku. Po zmianie procedury stosowane karty chip’owe zostały wymienione na tokeny (...). Nowa procedura potwierdzania przelewu wymagała zalogowania się przez osobę upoważnioną do bankowości elektronicznej na stronie (...), a następnie potwierdzenie przelewu za pomocą aplikacji mobilnej zainstalowanej na tablecie. W dniu 4 września 2019 r. część pracowników powoda dokonywała akceptacji przy użyciu kart chipowych, a część przy użyciu tokena (...).
(...) bankowości elektronicznej dla pozwanego banku prowadzi (...) Bank S.A., która w zakresie bankowości elektronicznej współpracuje z (...) S.A.
Szkoła Podstawowa w C. Drugim na podstawie uchwały Rady Gminy w D. ma obsługiwaną księgowość przez Urząd Gminy D. – czynności księgowe, w tym przygotowywanie przelewów, należy do zadań pracowników działu finansowego Urzędu Gminy D..
M. W. (1), jako dyrektor Szkoły, logowała się do bankowości elektronicznej tylko na jednym komputerze, znajdującym się w jej gabinecie, zwykle raz, góra dwa razy dziennie i tylko w godzinach pracy szkoły tj. od ok. 8 do 15. M. W. (1) nigdy nie pozostawiała karty chip’owej w czytniku bez swojego nadzoru – używała jej tylko bezpośrednio podczas zatwierdzania przelewów.
W dniu 4 września 2019 roku M. R. (1) – pracownik działu finansowego Urzędu Gminy D. przygotowywała przelewy w jednostkach budżetowych oświaty w Gminie D.. O godzinie 8:15:41 zalogowała się do bankowości elektronicznej na dotychczasowych zasadach tj. na komputerze. O godzinie 8:16:04 zarejestrowała przelew do ZUS na kwotę 34.936,86 złotych. Przelew przygotowała w ten sposób, że skopiowała dane przelewu z poprzedniego miesiąca, edytując tylko kwotę 34.936,86 złotych oraz tytułu przelewu – składki ZUS za m-c VIII 2019 r. M. R. (1) orientacyjnie sprawdziła poprawność numeru rachunku bankowego ZUS, który zna na pamięć. Przygotowując przelew w ten sposób nie miała możliwości edycji numeru rachunku bankowego odbiorcy ( (...)) i jego nazwy (Zakład Ubezpieczeń Społecznych). Przed zapisaniem przelewu M. R. (1) widziała kwotę, tytuł i numer kontrahenta. Tak przygotowany przelew M. R. (1) zapisała, o godzinie 8:16:37 wylogowała się z bankowości elektronicznej. Następnie poinformowała R. S. (1) – pracownika działu finansowego Urzędu Gminy D. oraz M. W. (1) – dyrektora Szkoły, o przygotowaniu przelewu do akceptacji.
Następnie dyrektor szkoły podstawowej w C. Drugim M. W. (1) zalogowała się do systemu bankowości elektronicznej na swoim komputerze służbowym korzystając z przeglądarki Internet E.. Po czym dokonała akceptacji przygotowanego przelewu, przy pomocy posiadanej karty mikroprocesorowej o godzinie 12:26:07. Po wylogowaniu się o godzinie 12:26:20, wyciągnęła kartę i więcej tego dnia nie logowała się na stronę banku. Na ekranie monitora M. W. (1) nie widziała nazwy banku odbiorcy. Zawsze sprawdza przed akceptacją tytuł przelewu oraz kwotę. Zwykle orientacyjnie patrzy na numer rachunku bankowego odbiorcy, zazwyczaj na cztery ostatnie cyfry korzystając ze spisu w swoimi notesie czterech ostatnich cyfr numerów bankowych. Nie pamięta czy w dniu 4 września sprawdziła cztery ostatnie cyfry numeru rachunku bankowego odbiorcy. M. W. (1) nie zna numeru rachunku bankowego ZUS. Nigdy nie dokonywała edycji przygotowanego przelewu, jedynie go akceptowała bądź nie.
W dalszej kolejności zatwierdzenia przelewu dokonała R. S. (1) – uprawniony pracownik Urzędu Gminy D. z wykorzystaniem nowych środków dostępowych. Konieczne było skorzystanie przez R. S. (1) z nowego sposobu logowania przy użyciu tabletu na którym zainstalowana był aplikacja bankowości elektronicznej T. (...). Zalogowała się ona o godzinie 15:00:19, a o godzinie 15:00:45 zaakceptowała zlecenie przelewu. Na ekranie tabletu należało wpisać numer (...) i dotknąć przycisk zatwierdzenia przelewu. R. S. (1) wtedy po raz pierwszy autoryzowała przelew za pomocą nowego sposobu. Do systemu bankowości elektronicznej według nowego sposobu R. S. (1) zalogowała się w obecności informatyka M. C., bez ujawniania swojego loginu i hasła. R. S. (1) przy zatwierdzaniu przelewów korzysta z tzw. „ściągi” z numerami rachunków bankowych odbiorców przelewów z Gminy. R. S. (1) widziała kwotę przelewu, nazwę odbiorcy i numer rachunku bankowego odbiorcy – nie widziała nazwy banku odbiorcy. Nigdy nie tworzyła żadnego przelewu do ZUS.
M. R. (1) ma w zwyczaju sprawdzać po 2 – 3 dniach, czy przygotowany i wysłany przelew do ZUS faktycznie dotarł. W przypadku przelewu składek dokonanego 4 września 2019 roku M. R. (1) sprawdziła 5 września 2019 roku czy przelew doszedł – z wynikiem negatywnym. Następnie M. R. (1) przebywała na urlopie do 16 września 2019 roku i nie miała możliwości sprawdzić, czy przelew do ZUS dotarł.
Numer rachunku bankowego na który Gmina D. przekazuje należności wobec ZUS posiada charakterystyczny ciąg cyfr – 10 ostatnich cyfr stanowi numer NIP Gminy.
Przelew kwoty 34.936,86 złotych nie został uznany na rachunku bankowym ZUS. Wskazana kwota, z tytułem przelewu składki ZUS za m-c VIII 2019 i odbiorcą Zakładem Ubezpieczeń Społecznych została uznana 5 września 2019 roku na rachunku bankowym numer (...) prowadzonym przez (...) Bank (...) Spółka Akcyjna z siedzibą w W. dla M. Y.. Tego samego dnia nastąpiła wypłata z ww. konta środków w kwocie 34.917 złotych. Po tej operacji na ww. rachunku pozostała kwota 10,98 złotych.
W dniu 13 września 2019 roku J. J. – dyrektor oddziału (...) pozwanego banku odebrała telefon od pracownika (...) Bank (...) Spółka Akcyjna z siedzibą w W. z prośbą o zainteresowanie się przedmiotową transakcją, która wzbudziła podejrzenia pracowników ww. banku, albowiem przelew był tytułowany jako składki na rzecz ZUS i ten podmiot był wskazany jako odbiorca, a uznanie nastąpiło na rachunku prowadzonym dla osoby fizycznej. J. J. poinformowała o sytuacji przełożonych. J. J. zgłosiła zdarzenie do banku zrzeszającego (...) Banku na dedykowaną skrzynkę mailową z podejrzeniem transakcji fraudowej oraz dokonała zgłoszenia w systemie O. do (...) Bank (...) S.A. o zablokowanie płatności z dnia 4 września 2019 r., co okazało się niemożliwe z uwagi na dokonaną wypłatę środków. Zarząd pozwanego w piątek 13 września 2019 roku podjął decyzję o wszczęciu procedury wyjaśniającej oraz o blokadzie rachunku prowadzonego dla Szkoły Podstawowej w C. Drugim za pośrednictwem bankowości elektronicznej, jak również innych jednostek budżetowych Gminy D. – podmiotów powiązanych. J. J. zwróciła się telefonicznie 13 września 2019 roku około godziny 15:00 do dyrektor szkoły M. W. (1) i do skarbnika Gminy D. – I. M. o sprawdzenie poprawności przedmiotowego przelewu – na pytanie skarbnika pracownik Banku poinformował, że nie jest to pilna sprawa i może „zaczekać” do poniedziałku. M. F. w imieniu pozwanego telefonował także ok. 16:00 do wójta gminy R. J., który poinformował, że nie może rozmawiać.
W poniedziałek 16 września 2019 roku pracownicy budżetowi Gminy D. zorientowali się, że nastąpiła blokada rachunków bankowych. Tego samego dnia pracownicy pozwanego banku spotkali się z przedstawicielami Gminy. Również w tym dniu Bank wystosował pismo do Gminy D. oraz jednostek budżetowych Gminy, którym zablokował konta, w którym poinformował o blokadzie kont od 13 września 2019 roku od godziny 17:00, wskazując powody decyzji oraz procedurę dalszego postępowania. Tego samego dnia M. W. (1) działając w imieniu powoda oraz pozwany złożyli zawiadomienie o podejrzeniu popełnienia na szkodę Szkoły przestępstwa.
Pismem z dnia 18 września 2019 r. pozwany poinformował powoda o warunkach odblokowania dostępu do rachunków.
Pozwany złożył do Komendy Powiatowej Policji pismo z 19 listopada 2019 r. wraz z historią logowań do przedmiotowego rachunku bankowego za okres od 21 sierpnia 2019 r. do 4 września 2019 r.
Komputer, z którego korzystała M. W. (1) został zakupiony pod koniec 2018 roku z nowym oprogramowaniem. Korzystała z niego tylko M. W. (1). (...) operacyjny i programy na tym komputerze wgrywał informatyk współpracujący ze Szkołą – M. K.. Na komputerze zainstalowany był m.in. program TeamViewer, wykorzystywany do zdalnego udostępniania informatykowi ekranu komputera, w celach serwisowych. M. K. przeprowadził audyt tego komputera po zdarzeniu z dnia 4 września 2019 r. Komputer ten 16 września 2019 roku został odłączony od sieci Internet i pozostawał odłączony kilka miesięcy, w oczekiwaniu na jego zabezpieczenie przez Policję, ewentualnie pozwany Bank. Do zabezpieczenia komputera nie doszło, po informacji z Policji został on ponownie podłączony. W szczególności nie dokonano zrzutu pamięci RAM oraz nie skopiowano fizycznie zawartości dysków przedmiotowego komputera.
M. C. dokonał sprawdzenia komputerów R. S. (1) i M. R. (1) programem M. W. B. – programem antywirusowym, w wyniku czego nic nie znaleziono. M. C. nie znalazł żadnych wirusów w komputerach M. R. (1), ani R. S. (1). Na komputerach zainstalowany był program TeamViewer (z wykupioną licencją), wykorzystywany do zdalnego udostępniania informatykowi ekranu komputera, w celach serwisowych. T., z którego korzystała R. S. (1) był zakupiony przez Gminę D. jako nowy i posiadał mobilną aplikację antywirusową, jednakże nie wiadomo, czy była ona zainstalowana już w dniu 4 września 2019 r. Po zdarzeniu z 4 września 2019 roku w Urzędzie Gminy przeznaczono jeden komputer tylko do wykonywania przelewów, a bankowość elektroniczną zabezpieczono adresem IP.
Pozwany Bank oferował możliwość ustanowienia dodatkowych zabezpieczeń bankowości elektronicznej – m.in. poprzez ustawienie numerów IP, z których możliwa była obsługa bankowości elektronicznej, jak również ustawienie godzin, w których bankowość ta mogła się odbywać. W dniu 4 września 2019 roku w powodowej Gminie takie zabezpieczenia nie były ustawione – pracownicy Gminy nie mieli wiedzy, że mogą być ustawione. Latem 2020 roku pracownicy Gminy próbowali ustawić zabezpieczenia IP oraz godzinowe, które jednak były nieskuteczne. Zgłoszenia niedziałania zabezpieczeń miały miejsce w okresie czerwiec – sierpień 2020 roku, a zabezpieczenia zaczęły działać dopiero na przełomie września i października 2020 roku.
(...) Banku S.A., świadczącego usługi bankowości elektronicznej dla pozwanego, P. S. i K. S., nie stwierdzili przełamania systemów zabezpieczenia po stronie Banku. Według danych dostępnych Bankowi przelew wykonano prawidłowo. Nie był ze strony Banku sprawdzany komputer, z którego wykonano przedmiotowy przelew. Bank nie prowadzi listy programów zakazanych z punktu widzenia bezpieczeństwa bankowości elektronicznej.
Pracownik pozwanego Banku przekazał K. K., pracownikowi Banku – informatykowi, audyt komputerów pracowników Gminy D.. Informatyk ten uznał, że klient Banku wykorzystywał nieaktualne oprogramowanie, nieaktualne programy antywirusowe i nieaktualne wersje przeglądarek internetowych. K. K. nie wie skąd pracownik Banku uzyskał takie dane. Komputery nie zostały przekazane Bankowi.
Pismem z dnia 20 września 2019 r. powód poinformował pozwanego o spełnieniu warunków odblokowania dostępu do rachunków. Dostęp do bankowości elektronicznej został odblokowany.
Ustalenie, czy doszło do przełamania zabezpieczeń bankowości elektronicznej po stronie pozwanego i czy istniały, a jeśli tak, to czy przełamane zostały zabezpieczenia w środowisku informatycznym powoda możliwe by było jedynie poprzez badanie źródłowego środowiska informatycznego, w szczególności poprzez analizę pamięci RAM oraz poszczególnych plików znajdujących się na nośniku komputera. Stan faktyczny niniejszej sprawy jest tożsamy z działaniem wirusa komputerowego z rodziny VBKlip, który podmienia numery kont bankowych w trakcie „wykonywania” transakcji. Sama droga infekcji może przebiegać poprzez np. kliknięcie aktualizacji programów znajdujących się w rozpatrywanym systemie lub pobraniu złośliwego załącznika w wiadomości e-mail. W aktach sprawy brak jest analizy czasowej pracy systemu w czasie poprzedzającym oraz w trakcie zaistnienia opisywanej sytuacji. Użytkownik zatwierdzający nie może opierać się na opisie odbiorcy, gdyż jest to informacja nie identyfikująca odbiorcę.
Nieprawomocnym wyrokiem Sądu Rejonowego w Łasku z dnia 24 stycznia 2022 roku M. Y., wydanym w sprawie o sygnaturze akt II K 384/21, został uznany winnym tego, że w dniu 4 września 2019 roku działając w bliżej nieustalonym miejscu za pośrednictwem sieci internetowej, w celu osiągnięcia korzyści majątkowej, dokonał zaboru w celu przywłaszczenia pieniędzy w kwocie 34.936,86 złotych, po uprzednim przełamaniu zabezpieczeń do konta bankowego o numerze (...) prowadzonego dla Szkoły Podstawowej im. J. W. w C. Drugim w Banku Spółdzielczym Towarzystwa (...)-CO-BANK w P. i wpłynięciu bez upoważnienia na automatyczne przekazanie danych informatycznych poprzez zmianę numeru konta odbiorcy przelewu na własny numer konta oskarżonego, czym działał na szkodę Urzędu Gminy w D. i Banku Spółdzielczego Towarzystwa (...)-CO-BANK w P., tj. popełnienia czynu wyczerpującego dyspozycję art. 279 § 1 k.k. w zw. z art. 287 § 1 k.k. w zw. z art. 11 § 2 k.k.
W dniu 17 września 2019 roku powodowa Gmina złożyła reklamację dotyczącą przedmiotowego przelewu, załączając oświadczenia pracowników oraz informację o oprogramowaniu zainstalowanym na komputerach M. R. (1), R. S. (1) i M. W. (1). Pismem z dnia 29 października 2019 roku Bank nie uwzględnił reklamacji. Pismem z dnia 12 listopada 2019 roku Szkoła odwołała się do zarządu Banku od ww. decyzji. Zarząd Banku nie uwzględnił odwołania pismem z dnia 5 grudnia 2019 roku. Pismem z dnia 3 lutego 2020 roku Szkoła odwołała się od decyzji zarządu Banku. Rada Nadzorcza Banku pismem z dnia 25 lutego 2020 roku nie uwzględniła odwołania. Strony podjęły mediację w Centrum Mediacji Sądu Polubownego przy Komisji Nadzoru Finansowego, która nie zakończyła się zawarciem ugody. Pismem z dnia 9 lutego 2021 roku, doręczonym w dniu 12 lutego 2021 r. Gmina wezwała Bank do zapłaty kwoty 34.936,86 złotych, w terminie 7 dni.
Z dniem 30 czerwca 2021 roku Bank Spółdzielczy Towarzystwo (...)-BANK w P. połączył się z Bankiem Spółdzielczym Ziemi K. w K..
Powyższy stan faktyczny Sąd ustalił na podstawie całokształtu zebranego w sprawie materiału dowodowego. Złożone do akt sprawy przez obie strony procesu dokumenty nie budziły wątpliwości Sądu co do ich autentyczności i prawdziwości i nie były kwestionowane przez strony. Za wiarygodne Sąd uznał również złożone zeznania w charakterze strony przez M. W. (1), R. J. i A. B.. Zeznania te w większości znajdują potwierdzenie w załączonych do akt sprawy dokumentach, a także nie były kwestionowane przez strony. Sąd uznał za wiarygodne zeznania świadków M. R. (1), I. M., J. J., R. S. (1), L. K., M. C. i M. F.. Zeznania te są ze sobą spójne, jak również z dokumentami załączonymi do akt sprawy, a także nie były kwestionowane przez strony procesu. Za częściowo nieprzydatne Sąd uznał zeznania P. S., K. S. i K. K. – w zakresie w jakim świadkowie Ci zeznawali, że nie nastąpiło przełamanie zabezpieczeń po stronie Banku. Zdaniem Sądu zeznania w tym zakresie są bardziej opinią świadków, a nie relacją o faktach. Zeznania te nie zostały potwierdzone żadnymi dokumentami, a w szczególności nie zostały potwierdzone opinią biegłego. W ocenie Sądu ustalenie okoliczności związanej z przełamaniem bądź nieprzełamaniem zabezpieczeń wymagało wiedzy specjalnej. Okoliczność ta nie została także ustalona w drodze opinii biegłego T. P.. Podobnie zeznania świadków P. S., K. S. i K. K. Sąd uznał za nieprzydatne dla ustalenia przełamania zabezpieczeń po stronie Szkoły lub Gminy. Twierdzenia te nie zostały poparte żadnymi wiarygodnymi dowodami – w szczególności nie doszło do analizy pamięci komputerów Szkoły i Gminy. Nie ma zatem dowodu na to, że na komputerach zostało zainstalowane nieaktualne oprogramowanie, które miało wpływ na dokonanie nieprawidłowego przelewu.
Jednocześnie opierając się na opinii biegłego T. P. oraz w oparciu o ustalony sposób wprowadzenia numeru rachunku bankowego do systemu bankowego przez M. R. (1) polegający na skopiowaniu danych do przelewu, w tym numeru rachunku bankowego, Sąd ustalił, iż doszło do podmienienia prawidłowego numeru rachunku bankowego ZUS na numer rachunku bankowego (...) na skutek działania osoby trzeciej i zewnętrznego oprogramowania.
Zeznania świadka A. D. były nieprzydatne do rozstrzygnięcia niniejszej sprawy, gdyż dotyczyły współpracy innej szkoły z pozwanym bankiem, zaś świadek nie miał żadnych informacji na temat zdarzenia z dnia 4 września 2019 r.
Wobec tak ustalonego stanu faktycznego, Sąd pierwszej instancji zwrócił uwagę, że zgodnie z treścią art. 725 k.c. przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych.
Sąd pierwszej instancji wskazał, że zawarcie umowy rachunku bankowego powoduje, że środki pieniężne posiadacza przechodzą na własność banku. Mimo braku jednoznacznego sformułowania w odnośnych przepisach ustawy, w doktrynie i w orzecznictwie powszechny i w zasadzie niekontrowersyjny jest pogląd, że bank uzyskuje własność deponowanych pieniędzy (E. Niezbecka, (w:) Kodeks Cywilny. Komentarz. Tom III, red. A. Kidyba, Warszawa 2014, s 704-705; Z. Ofiarski, Prawo bankowe. Komentarz, Warszawa 2013, s. 384; wyrok Sądu Najwyższego z 13 lutego 2004 r., sygn. akt IV CK 40/03, Legalis nr 66917; wyrok Sądu Apelacyjnego w Krakowie z 5 lutego 2014 r., sygn. akt I ACa 917/12, Legalis nr 1093113; wyrok Sądu Apelacyjnego w Poznaniu z 27 października 2010 r., sygn. akt I ACa 733/10, Legalis nr 270878). Zgodnie z treścią art. 726 k.c. bank może obracać czasowo wolne środki pieniężne zgromadzone na rachunku bankowym z obowiązkiem ich zwrotu w całości lub w części na każde żądanie, chyba że umowa uzależnia obowiązek zwrotu od wypowiedzenia. Wynikające z umowy uprawnienie posiadacza rachunku stanowi wierzytelność do banku każdocześnie wymagalną, a jej rozmiary wskazuje stan konta. Z chwilą realizacji wierzytelności, przez zwrot środków pieniężnych, posiadacz rachunku odzyskuje ich posiadanie i także własność, bądź inne prawo rzeczowe lub obligacyjne, które było z nimi związane przed zdeponowaniem.
Reasumując, mimo wyłudzenia przez osobę nieuprawnioną mienia stanowiącego własność banku, nie dojdzie do powstania szkody po stronie posiadacza rachunku, gdyż bank nadal pozostanie zobowiązany do zaspokojenia jego wierzytelności w pełnej wysokości ze swoich środków. Ochronę wierzytelności gwarantują posiadaczowi przepisy prawa cywilnego, finansowego i oparta na nich umowa z bankiem (por. postanowienie Sądu Najwyższego z 28 kwietnia 2016 r., sygn. akt I KZP 3/16, Legalis nr 1442847). Ze swojego długu wobec posiadacza rachunku bank nie zwolni się nawet wtedy, gdy dochowa należytej staranności przy dokonywaniu wypłaty osobie nieuprawnionej.
Przytoczone twierdzenia faktyczne nakazywały rozpoznawać żądanie powoda na dwóch płaszczyznach tj. odpowiedzialności Banku za nienależyte wykonanie zobowiązania wynikającego z Umowy o prowadzenie rachunku lub na podstawie uregulowań ustawy o usługach płatniczych z dnia 19 sierpnia 2011 r. (Dz. U. Nr 199, poz. 1175) z późn. zm., dalej także: "u.u.p.".
Ustawa o usługach płatniczych określa zasady świadczenia usług płatniczych oraz wydawania i wykupu pieniądza elektronicznego, w tym m.in.:
- warunki świadczenia usług płatniczych, w szczególności dotyczące przejrzystości postanowień umownych i wymogów w zakresie informowania o usługach płatniczych;
- prawa i obowiązki stron wynikające z umów o świadczenie usług płatniczych, a także zakres odpowiedzialności dostawców z tytułu wykonywania usług płatniczych;
- warunki wydawania i wykupu pieniądza elektronicznego (art. 1 (...) pkt 1 - 2a u.u.p.).
Ustawa ta co istotne stanowi wdrożenie do polskiego porządku prawnego dyrektywy 2007/64/WE Parlamentu Europejskiego i Rady z dnia 13 listopada 2007 r. w sprawie usług płatniczych w ramach rynku wewnętrznego i dyrektywy Parlamentu Europejskiego i Rady (UE) (...) z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, którą to dyrektywą uchylono dyrektywę 2007/64/WE.
Na gruncie u.u.p. istotne jest odróżnienie uwierzytelnienia od autoryzacji. Nie są o to bowiem pojęcia tożsame.
Przez uwierzytelnianie należy rozumieć procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających (art. 2 pkt 33b u.u.p.).
Transakcję płatniczą uważa się natomiast za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą (art. 40 ust. 1 u.u.p.). Zgoda ta powinna być udzielona przez płatnika przed wykonaniem transakcji płatniczej albo kolejnych transakcji płatniczych, chyba że płatnik i jego dostawca uzgodnili, że zgoda może zostać udzielona także po ich wykonaniu. Zgody na wykonanie transakcji płatniczej można również udzielić za pośrednictwem odbiorcy, dostawcy odbiorcy albo dostawcy świadczącego usługę inicjowania transakcji płatniczej (art. 40 ust. 2 u.u.p.)
Na gruncie powołanych przepisów u.u.p. słusznie zwraca się uwagę w doktrynie, że autoryzację trzeba odróżnić od uwierzytelnienia. Uwierzytelnienie jest bowiem czynnością wykonywaną przez dostawcę i ma na celu upewnienie się, że do transakcji użyty jest prawidłowy instrument płatniczy, jak również, że zlecenie płatnicze pochodzi od uprawnionego użytkownika. Indywidualne dane uwierzytelniające powinny być zatem znane tylko użytkownikowi i dostawcy. Funkcję tę spełnia (...) albo hasło do instrumentu płatniczego albo innego rodzaju informacja znana tylko wydającemu instrument płatniczy dostawcy i klientowi. Autoryzacja jest natomiast oświadczeniem woli użytkownika-płatnika, skierowanym do jego dostawcy usług płatniczych i wyrażającym zgodę wykonanie transakcji płatniczej (por. M. Grabowski, Ustawa o usługach płatniczych. Komentarz, Warszawa 2020 r.).
W świetle poczynionych powyżej uwag o ile uwierzytelnienie można uznać za element autoryzacji, to jednak pojęcia te nie są tożsame treściowo. Autoryzacją nie jest bowiem wyłącznie uwierzytelnienie, którego elementem jest m.in. weryfikacja tożsamości użytkownika, ale przede wszystkim oświadczenie woli użytkownika - płatnika. Można zatem uznać, że uwierzytelnienie będzie świadczyło o autoryzacji, ale wyłącznie wtedy, kiedy będzie dokonane przez użytkownika - płatnika bądź za jego zgodą przez osobę upoważnioną. Tylko wtedy będzie ono zawierało w sobie także wyraz woli użytkownika - płatnika dokonania określonej transakcji płatniczej. Inaczej mówiąc transakcja nie będzie mogła zostać uznana za autoryzowaną, kiedy wprawdzie zostanie uwierzytelniona w sposób przewidziany w umowie, ale nastąpi to wbrew woli użytkownika - płatnika.
Zgodnie z art. 42 ust. 1 u.u.p. użytkownik uprawniony do korzystania z instrumentu płatniczego (zindywidualizowanego urządzenia lub uzgodnionego przez użytkownika i dostawcę zbioru procedur, wykorzystywanych przez użytkownika do złożenia zlecenia płatniczego - art. 2 pkt 10 u.u.p.) jest obowiązany:
1) korzystać z instrumentu płatniczego zgodnie z umową ramową oraz
2) zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. W celu spełnienia obowiązku, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych danych uwierzytelniających, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (art. 42 ust. 2 u.u.p.).
Z art. 44 ust. 1 u.u.p. wynika, że użytkownik niezwłocznie powiadamia dostawcę o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych. Słusznie zwraca się uwagę, że wskazany w tym przepisie obowiązek użytkownika do niezwłocznego powiadomienia o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych powinien być interpretowany w zgodzie z okolicznościami danego przypadku oraz przy uwzględnieniu obowiązującego prawa krajowego (por. M. Grabowski, Ustawa o usługach płatniczych. Komentarz, Warszawa 2020 r.). Jeżeli zaś użytkownik nie dokona powiadomienia, o którym mowa w powołanym art. 44 ust. 1 u.u.p., w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana, roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają (art. 44 ust. 2 u.u.p.). W przypadku gdy użytkownik nie korzysta z rachunku płatniczego, termin, o którym mowa w ust. 2, liczy się od dnia wykonania nieautoryzowanych lub nienależycie wykonanych transakcji płatniczych albo od dnia, w którym transakcja płatnicza miała być wykonana (art. 44 ust. 3 u.u.p.).
Istotna na gruncie u.u.p. jest kwestia ciężaru udowodnienia autoryzacji transakcji przez użytkownika. To na kim ciężar ten spoczywa zostało przez ustawodawcę uregulowane w art. 45 u.u.p. Zgodnie z ust. 1 tego artykułu to na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Jeżeli transakcja płatnicza jest inicjowana za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej, na dostawcy tym spoczywa ciężar udowodnienia, że w zakresie jego właściwości transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą, za którą ten dostawca odpowiada (art. 45 ust. 1a u.u.p.). Co zaś istotne wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.
Uwzględniając treść powołanego art. 45 u.u.p. należy stwierdzić, że w drodze wyjątku od zasady określonej w art. 6 k.c. rozkłada on ciężar udowodnienia, iż transakcja płatnicza była autoryzowana przez użytkownika (por. wyrok Sądu Najwyższego z dnia 18 stycznia 2018 r., sygn. akt V CSK 141/17, Lex nr 2481983). Ciężar ten spoczywa bowiem nie na użytkowniku - płatniku, a na dostawcy - a zatem w niniejszej sprawie pozwanym. Dalsze obowiązki dowodowe dostawcy statuuje natomiast powołany art. 45 ust. 2 u.u.p. Inaczej rzecz ujmując dostawca chcąc wykazać, że transakcja płatnicza została przez użytkownika autoryzowana nie może poprzestać na wykazaniu zarejestrowanego użycia instrumentu. Okoliczność ta w świetle powołanych uregulowań nie jest bowiem wystarczająca do stwierdzenia, że transakcja płatnicza została autoryzowana przez użytkownika.
Kwestia odpowiedzialności w przypadku wystąpienia nieautoryzowanej transakcji płatniczej została uregulowane w art. 46 u.u.p. I tak w świetle ust. 1 tego artykułu z zastrzeżeniem art. 44 ust. 2 (wygaśnięcie roszczeń w przypadku ich nie zgłoszenia w terminie 13 miesięcy), w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą. Z ust. 2 art. 46 u.u.p. wynika natomiast, że płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 50 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem:
1) posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym lub
2) przywłaszczenia instrumentu płatniczego. Z tym jednak wyjątkiem, że zgodnie z art. 46 ust. 2a u.u.p. uregulowania tego nie stosuje się, w przypadku gdy:
1) płatnik nie miał możliwości stwierdzenia utraty, kradzieży lub przywłaszczenia instrumentu płatniczego przed wykonaniem transakcji płatniczej, z wyjątkiem przypadku gdy płatnik działał umyślnie, lub
2) utrata instrumentu płatniczego przed wykonaniem transakcji płatniczej została spowodowana działaniem lub zaniechaniem ze strony pracownika, agenta lub oddziału dostawcy płatnika lub podmiotu świadczącego na jego rzecz usługi, o których mowa w art. 6 pkt 10. Z kolei płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 (art. 46 ust. 3 u.u.p.). Po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 płatnik nie odpowiada zaś za nieautoryzowane transakcje płatnicze, chyba że płatnik doprowadził umyślnie do nieautoryzowanej transakcji (art. 46 ust. 4 u.u.p.).
Przenosząc poczynione uwagi na grunt niniejszej sprawy na początku należy wskazać, że z dokonanych ustaleń wynika, iż zebrany w sprawie materiał dowodowy pozwala na jednoznaczne ustalenie, iż doszło do nieautoryzowanej transakcji. Bezsporne jest, iż osoby dokonujące zlecenia przelewu miały wolę przekazania środków na rachunek ZUS. W żaden sposób nie wykazano, ani nawet nie twierdzono, aby osoby działające w imieniu Szkoły celowo dokonały wprowadzenia numeru rachunku bankowego nieznanej im osoby. W ocenie Sądu o braku woli dokonania przelewu na rachunek (...) świadczą także działania pozwanego Banku, który analizując dokonane przelewy przyjął, iż transakcja mogła mieć charakter przestępczy i zablokował wszystkie rachunku bankowe Gminy. Ustalony stan faktyczny pozwala natomiast przyjąć, iż w chwili wykonywania transakcji doszło do podmienienia numeru rachunku bankowego.
Powyższe okoliczności nakazywały przyjąć, iż strona pozwana - na której ciążył tu obowiązek dowodowy - nie wykazała, aby transakcja była wykonana za zgodą powoda.
Zbadać należało więc, czy strona pozwana zdołała wykazać przesłanki zwalniające ją z obowiązku wypłaty powodom kwot przelanych w sposób nieautoryzowany tj. czy do zdarzenia tego powód doprowadził umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z podstawowych jego obowiązków. Obowiązki te zostały określone w art. 42 u.u.p. i przytoczone powyżej, jak również uszczegółowione w Regulaminie.
W sprawie nie zostało wykazane przez stronę pozwaną, by do przelewu środków mogło dojść w konsekwencji nie stosowania przez powoda aktualnego oprogramowania ochronnego i antywirusowego. W tym zakresie pozwany nie przedstawił dowodów, które pozwoliłyby na poczynienie stosownych ustaleń przez biegłego z zakresu informatyki. Biegły wyraźnie wskazał, iż bez analizy pamięci RAM komputerów nie jest możliwe przeprowadzenie analizy czy doszło do przełamania zabezpieczeń. Jednocześnie pozwany nie przejawiał inicjatywy w celu wykazania, że oprogramowanie stosowane przez stronę powodową było nieaktualne, niewystarczające bądź miało wpływ na dokonaną transakcję.
Natomiast ustalenie, że doszło do podmienienia numeru rachunku bankowego w momencie zlecania transakcji przez M. R. (1) powoduje, że kluczowe dla rozstrzygnięcia w sprawie było więc stwierdzenie, czy brak weryfikacji numeru rachunku bankowego po wklejeniu do systemu, a następnie brak weryfikacji numeru rachunku bankowego przez kolejne osoby dokonujące uwierzytelnienia, było konsekwencją umyślnego działania powoda, albo działania noszącego cechę rażącego niedbalstwa. Strona pozwana nie twierdziła, aby mogło tu dojść do umyślnego działania przedstawicieli strony powodowej, ta okoliczność była więc bezsporna.
Zdaniem Sądu, nie sposób było jednak także przypisać działaniom pracowników Gminy cech rażącego niedbalstwa. Słusznie zwraca się uwagę, że wypadek rażącego niedbalstwa wymaga uwzględnienia obiektywnego stanu zagrożenia oraz kwalifikowanej postaci braku zwykłej staranności w przewidywaniu skutków, a więc uwzględnienia staranności wymaganej działającej osoby oraz okoliczności, w których doszło do zaniechania pożądanych zachowań z jej strony. Rażące niedbalstwo to bowiem coś więcej niż brak zachowania zwykłej staranności w działaniu (por. wyrok Sądu Okręgowego we Wrocławiu z dnia 8 października 2018 r., sygn. akt II Ca 1353/17, Lex nr 2636997). Wykładnia tego pojęcia powinna zatem uwzględniać kwalifikowaną postać braku zwykłej lub podwyższonej staranności w przewidywaniu skutków działania. Chodzi tu o takie zachowanie, które graniczy z umyślnością. Przy czym ocenę, czy konkretne zachowanie poszkodowanego cechuje rażące niedbalstwo, odnosić należy do okoliczności konkretnej sprawy, wymagających jednak pogłębionej oceny (por. wyrok Sądu Najwyższego z dnia 29 stycznia 2009 r., sygn. akt V CSK 291/08, Lex nr 484739). Przypisanie określonej osobie niedbalstwa uznaje się za uzasadnione wtedy, gdy osoba ta zachowała się w określonym miejscu i czasie w sposób odbiegający od właściwego dla niej miernika należytej staranności. Przez rażące niedbalstwo rozumie się natomiast niezachowanie minimalnych (elementarnych) zasad prawidłowego zachowania się w danej sytuacji. O przypisaniu pewnej osobie winy w tej postaci decyduje więc zachowanie się przez nią w określonej sytuacji w sposób odbiegający od miernika staranności minimalnej (por. wyrok Sądu Apelacyjnego w Katowicach z dnia 25 lipca 2013 r., sygn. akt V ACa 472/12, Lex nr 1356490 i wyrok Sądu Najwyższego z dnia 11 maja 2005 r., sygn. akt III CK 522/04, Lex nr 151664).
Oceniając zachowanie pracowników Gminy przez pryzmat wskazanych mierników, nie można uznać, aby w trakcie uwierzytelniania transakcji pracownicy nie zachowali elementarnych zasad ostrożności, których należałoby oczekiwać.
Podkreślić należy, że ocena działań trzech osób mających wpływ na dokonanie przelewu musi uwzględniać rolę każdej z tych osób na etapie uwierzytelnienia.
Podstawowy wpływ na zlecenie przelewu miała M. R. (1), która dokonała skopiowania numeru rachunku bankowego z poprzedniego przelewu. W ocenie Sądu, osoba wpisująca dane szczegółowe związane z przelewem (odbiorca, numer rachunku, kwota) winna być szczególnie wyczulona na kwestię weryfikację prawidłowości wykonywanych czynności. M. R. (1) wskazała, że dokonała weryfikacji numeru rachunku bankowego w chwili, gdy go skopiowała, lecz nie analizowała go cyfra po cyfrze. Biorąc od uwagę, że M. R. (1) zajmowała się zlecaniem dużej ilości przelewów w jednostkach budżetowych oraz w Urzędzie Gminy, można przyjąć, że oparła się ona na rutynowych praktykach związanych ze sposobem zlecania przelewów. Oczywiście w ocenie Sądu wzorcowym modelem postępowania byłoby weryfikowanie każdego przelewu poprzez sprawdzenie prawidłowości danych przelewu, lecz brak takiego sprawdzenia nie może oznaczać bezpośredniego przyjęcia rażącego niedbalstwa. Konieczne jest zwrócenie uwagi, że M. R. (1) zlecała wiele przelewów, w imieniu wielu podmiotów. Czynności te miały charakter rutynowy, lecz pomimo tego nigdy wcześniej nie zdarzyło się, aby przelew został zrealizowany nieprawidłowo. Także pomimo, że M. R. (1) dokonywała tego samego dnia innych przelewów, problem pojawił się tylko w wypadku tego jednego zlecenia. W chwil zatwierdzenia przelewu M. R. (1) widziała kwotę, tytuł i numer kontrahenta. Nie miała możliwości edytowania numeru rachunku bankowego. W ocenie Sądu działań M. R. nie można kwalifikować jako rażącego niedbalstwa.
Kolejne osoby dokonujące autoryzacji – M. W. (1) oraz R. S. (1) działały w zaufaniu do czynności wykonanych przez M. R. (1). Bezsporne jest, że osoby te miały możliwość weryfikacji numeru rachunku bankowego. Jednakże w ocenie Sądu działania R. S. (1) miały także charakter rutynowy, na co wskazuje wypowiedź świadka, zgodnie z którą zazwyczaj weryfikowała numery rachunków, lecz nie była w stanie stwierdzić, czy dokonała weryfikacji także w tym wypadku. Sposób uwierzytelnienia poprzez akceptację przelewu przez kolejną osobę bez możliwości edytowania wprowadzonego przelewu powoduje, że weryfikacja ta następuje w sposób wzrokowy, przy czym zrozumiałe jest, że weryfikacja ta odbywała się rutynowo przez sprawdzenie odbiorcy. I w tym wypadku należy uznać, że wzorcowym modelem postępowania byłoby weryfikowanie każdego przelewu poprzez sprawdzenie prawidłowości wszystkich danych przelewu, lecz brak uprzednich niekorzystnych skutków rutynowych czynności miał wpływ na sposób działania R. S. (1). Podkreślić także należy, że dzień uwierzytelnienia przelewu był pierwszym dniem uwierzytelniania według nowego sposobu, co powodowało problemy techniczne oraz większą koncentrację R. S. (1) na aspektach technicznych dokonania przelewu, a nie na treści samego przelewu.
Także działania dyrektora Szkoły – M. W. (2) nie mogą wskazywać na rażące niedbalstwo z jej strony. M. W. (1) dokonywała uwierzytelnienia przelewu, lecz w ocenie Sądu rola dyrektora sprowadzała się do potwierdzenia czynności innego pracownika. M. W. jako dyrektor Szkoły nie miała w ocenie Sądu obowiązku znania pełnego numeru rachunku bankowego ZUS, co pozwoliłoby na weryfikację przelewu wyłącznie poprzez identyfikator. M. W. nigdy nie edytowała przelewów, nie znała numeru rachunku bankowego ZUS, wobec czego weryfikacja numeru rachunku nie była w jej wypadku możliwa. M. W. w sposób zrozumiały opierała się na zaufaniu do osób, które wprowadziły dane do przelewu.
Oceniając działania pracowników Urzędu Gminy i Szkoły, Sąd brak także pod uwagę, iż pozwany w żaden sposób nie wykazał, aby zwracał uwagę na możliwe przestępne działania osób wpływających na wykonywanie transakcji bankowych. Z doświadczenia życiowego wynika, iż wiele banków już od kilku lat ostrzega w sposób bardzo wyraźny o niebezpieczeństwie związanym z kopiowaniem numerów rachunków bankowych jako ciągu 26 cyfr. Część banków ostrzega o tym przy każdym wklejeniu skopiowanego ciągu liczb. Pozwala to na wyostrzenie uwagi osoby zlecającej i zachowanie przez nią dodatkowej ostrożności.
W konsekwencji Sąd nie stwierdził, by działaniu powoda można było przypisać cech rażącego niedbalstwa.
Mając na uwadze powyższe, w sprawie znalazł zastosowanie art. 46 ust. 1 u.u.p. skutkujący obowiązkiem Banku zwrotu kwoty nieautoryzowanej transakcji.
Nie można było też uznać, aby powód w sposób rażąco niedbały naruszył wynikający z art. 42 ust. 1 pkt 2 u.u.p. obowiązek niezwłocznego poinformowania pozwanego o nieautoryzowanej transakcji. Powód o jej dokonaniu dowiedział się od samego pozwanego, który uznał transakcję za podejrzaną. W tych okolicznościach nie można zatem uznać, aby powód naruszył obowiązek niezwłocznego poinformowania pozwanego nieautoryzowanej transakcji.
Przechodząc do dalszych rozważań trzeba wskazać, że skoro pozwany nie wykazał, aby to powód autoryzował transakcję, ani aby doprowadził do niej umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42, to zaktualizowała się odpowiedzialność pozwanego, o której mowa w art. 46 ust. 1 u.u.p. Odpowiedzialność ta w przypadku wystąpienia nieautoryzowanej transakcji płatniczej sprowadza się do obowiązku niezwłocznego nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwrócenia płatnikowi kwoty nieautoryzowanej transakcji płatniczej. Przepis te w swoim brzmieniu jest kategoryczny i ściśle określa jakie obowiązki spoczywają na dostawcy, w przypadku wystąpienia nieautoryzowanej transakcji. Skoro zaś kwota nieautoryzowanych transakcji dokonanych na rachunku powoda w dniu 4 września 2019 r. wyniosła 34.936,86 zł, to pozwany zgodnie z dokonanymi ustaleniami i treścią art. 46 ust. 1 u.u.p. był zobowiązany do jej zwrócenia.
W ocenie Sądu Rejonowego, na zasadność roszczenia nie miał wpływu przepis art. 143 ust. 1 u.p.p., zgodnie z którym zlecenie płatnicze uznaje się za wykonane na rzecz właściwego odbiorcy, jeżeli zostało wykonane zgodnie z informacjami, o których mowa w art. 23 ust. 1 pkt 1 lub w art. 27 pkt 2 lit. b, a w przypadku wskazania w treści zlecenia płatniczego unikatowego identyfikatora - jeżeli zostało wykonane zgodnie z tym unikatowym identyfikatorem bez względu na dostarczone przez użytkownika inne informacje dodatkowe. Dostawca wobec powyższego nie ma obowiązku sprawdzania prawidłowości pozostałych informacji czy danych, jeśli podany został identyfikator użytkownika, nawet jeśli podany identyfikator nie jest zbieżny z pozostałymi danymi (nazwą odbiorcy, adresem). W przypadku realizowania transakcji z wykorzystaniem rachunku bankowego unikatowym identyfikatorem jest zwykle numer rachunku bankowego – zgodnie z treścią ust. 3 omawianego artykułu. Podstawą bowiem odpowiedzialności pozwanego nie jest fakt rozbieżności pomiędzy identyfikatorem a pozostałymi danymi, lecz odpowiedzialność za nieautoryzowaną transakcję. Podkreślić należy, że przepis art. 143 ust. 3 u.p.p. wyłącza wyłącznie odpowiedzialność dostawcy przewidzianą na podstawie art. 144-146 u.p.p., nie zaś na podstawie art. 46 ust. 1 u.p.p.
Uwzględnieniu podlegało też żądanie zasądzenia odsetek ustawowych za opóźnienie od kwoty i daty wskazanej w pozwie. Zgodnie z art. 481 § 1 k.c. jeżeli dłużnik opóźnia się ze spełnieniem świadczenia pieniężnego, wierzyciel może żądać odsetek za czas opóźnienia, chociażby nie poniósł żadnej szkody i chociażby opóźnienie było następstwem okoliczności, za które dłużnik odpowiedzialności nie ponosi. W przedmiotowej sprawie roszczenie główne było zasadne w całości. Pozwany zgodnie z treścią art. 46 ust. 1u.u.p. miał obowiązek zwrócić kwotę 34.936,86 zł niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, a zatem w okolicznościach niniejszej sprawy nie później niż do końca dnia 13 września 2019 r. Żądanie odsetek ustawowych za opóźnienie od dnia 20 lutego 2021 r. zasługiwało zatem na uwzględnienie.
O kosztach procesu w wyroku zaocznym orzeczono na podstawie art. 98 § 1 i 3 k.p.c., zgodnie z zasadą odpowiedzialności za wynik sprawy. W przedmiotowej sprawie stroną przegrywającą proces w całości był pozwany i to on winien zwrócić powodowi poniesione koszty procesu. Na koszty poniesione przez powoda złożyły się opłata sądowa od pozwu w kwocie 1.347 zł, wynagrodzenie pełnomocnika powoda w wysokości 3.600 zł obliczone stosownie do wartości przedmiotu sporu, zgodnie z § 2 pkt 5 Rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (t. j. Dz. U. z 2015 r., poz. 1804 w brzmieniu obowiązującym zgodnym z Dz. U. z 2018 r., poz.265).
Mając na uwadze powyższe, a także treść przepisu art. 347 k.p.c., przy ponownym rozpoznaniu sprawy Sąd wydał wyrok, którym utrzymał w mocy wyrok zaoczny Sądu Rejonowego w Pabianicach z dnia 30 kwietnia 2021 r.
Apelację od powyższego wyroku złożył pozwany, zaskarżając go w całości. Wydanemu rozstrzygnięciu zarzucił:
1) naruszenie przepisów postępowania mające istotny wpływ na treść orzeczenia tj. naruszenie (w myśl art. 368 § 1 k.p.c. wskazane niżej zostają także fakty ustalone przez sąd I instancji niezgodnie z rzeczywistym stanem rzeczy oraz istotne dla rozstrzygnięcia fakty nieustalone przez sąd pierwszej instancji):
- art. 11 k.p.c. poprzez poczynienie w sprawie ustaleń faktycznych sprzecznych z treścią skazującego wyroku karnego wydanego przez Sąd Rejonowy w Łasku, sygn. akt II K 384/21, a istotnych dla rozstrzygnięcia sprawy, tj. ustalenie niezgodnie z rzeczywistym stanem rzeczy, że autoryzując sporny przelew M. W. (1) i R. S. (1) przynajmniej pobieżnie weryfikowały prawidłowość numeru rachunku adresata przelewu oraz nieustalenie, że obie one nie zauważyły numeru rachunku adresata przelewu, nieustalenie rzeczywistego przebiegu zdarzeń towarzyszących autoryzacji spornego przelewu, tj. okoliczności, że numer rachunku adresata przelewu został zmieniony po pierwotnym stworzeniu przelewu przez M. R. (1) a przed autoryzacją go przez M. W. (1) i R. S. (1) oraz w końcu nieustalenie, że do przełamania zabezpieczeń doszło po stronie Powoda w świetle ustaleń sądu karnego, że „przed zatwierdzeniem projektu przez te osoby [Pań S. i W.], oskarżony zalogował się przez Internet do konta Szkoły. Z. to nastąpiło „z poziomu” Pani M. W. (1). Dokonał wówczas modyfikacji opisanego wyżej projektu przelewał, w ten sposób że w miejsce numeru konta ZUS, wpisał numer własnego konta bankowego”.
- art. 321 § 1 k.p.c., poprzez orzeczenie w niniejszej sprawie w oparciu o założenie, że sporna transakcja płatnicza była nieautoryzowana, podczas gdy powód, reprezentowany przez profesjonalnego pełnomocnika, za podstawę swoich roszczeń podawał odpowiedzialność kontaktową, względnie deliktową, nie kwestionując prawidłowego autoryzowania spornej transakcji płatniczej.
- art. 233 § 1 k.p.c. poprzez dokonanie dowolnej tj. jednostronnej i selektywnej (a nie swobodnej), jak również sprzecznej z zasadami logiki i doświadczenia życiowego oceny dowodów, bez wszechstronnego rozważenia zebranego w sprawie materiału dowodowego, polegające na:
-ustaleniu niezgodnie z rzeczywistym stanem rzeczy, że autoryzując sporny przelew M. W. (1) i R. S. (1) przynajmniej pobieżnie weryfikowały prawidłowość numeru rachunku adresata przelewu oraz że robią to zawsze w przynajmniej ograniczonej formie „wzrokowej” kontroli lub kontroli kilku cyfr, w sytuacji gdy:
- ze złożonego przez M. W. (1) zawiadomienia o możliwości popełnienia przestępstwa, jednoznaczne wynika, że nie weryfikowała numeru rachunku adresata spornego przelewu, gdyż zeznawała „ja zatwierdzając ten przelew do ZUS nie sprawdzałam poprawności podanego numeru konta, czy jest to właściwe konto ZUS” (karta 3 verte akt postępowania przygotowawczego załączonych do niniejszej sprawy), a w czasie rozprawy z dnia 28.06.2021 r. (po dwóch latach) zeznawała już, że „zawsze sprawdzam nazwę, kwotę i patrzę na numer. Kwota była sprawdzona, nazwa (Sędzia: nazwa czego?) Nazwa przelewu tzn. gdzie ten przelew idzie. I były tam składki na ZUS. (Sędzia: kwota, nazwa przelewu i co jeszcze?) i orientacyjnie patrzę też na numer. (Sędzia: czy Pani wtedy też orientacyjnie). Nie pamiętam to było 2 lata temu, zwłaszcza, że cała sytuacja rozwinęła się dwa tygodnie później, (e-protokół rozprawy z 28.06.2021 r. 00:28:35). W dalszej części zeznań podniosła, że jednak aktualnie nie pamięta, czy zweryfikowała numer rachunku adresata spornego przelewu, zeznając „nie pamiętam jaki numer widziałam 4 września” (e- protokół rozprawy z 28.06.2021 r., 00:58:42 - 00:59:11). Zeznania M. W. (1), jako sprzeczne z dokumentami i wcześniejszymi zeznaniami, nie zasługiwały więc na wiarę w zakresie w jakim twierdziła ona o weryfikowaniu przez nią numerów rachunków adresatów przelewów, w tym przede wszystkim numeru rachunku adresata spornego przelewu.
- ze złożonego przez R. S. (1) zawiadomienia o możliwości popełnienia przestępstwa, jednoznaczne wynika, że nie weryfikowała numeru rachunku adresata spornego przelewu, gdyż zeznawała ..w opisie przelewów był ZUS, ja przed zatwierdzeniem nie sprawdzałam, czy są podane prawidłowe numery kont do tych przelewów, czy są to na pewno konta ZUS, sprawdziłam tytuł przelewu i je zatwierdziłam” (karta 14 akt postępowania przygotowawczego załączonych do niniejszej sprawy), a w czasie rozprawy z dnia 20.09.2021 r. (po dwóch latach) zeznawała, odpowiadając na pytanie „pamięta Pani, że w tym przypadku sprawdziła ten konkretny numer rachunku bankowego?” - ..nie pamiętam tej akurat konkretnej sytuacji”, a następnie, po okazaniu kart jej zawiadomienia o możliwości popełnienia przestępstwa z akt postępowania przygotowawczego, zeznała, że wówczas musiała lepiej pamiętać te zdarzenia - na pytanie ..czy Pani pamiętała te zdarzenia lepiej niż teraz?” odpowiedziała ..Pewnie tak” (e-protokół rozprawy z 20.09.2021 r., 00:31:42 - 00:39:08). Zeznania R. S. (2), jako sprzeczne z dokumentami i wcześniejszymi zeznaniami, nie zasługiwały więc na wiarę w zakresie w jakim twierdziła ona o weryfikowaniu przez nią numerów rachunków adresatów przelewów, w tym przede wszystkim numeru rachunku adresata spornego przelewu.
- ustaleniu niezgodnie z rzeczywistym stanem rzeczy, że pracownicy Gminy nie mieli wiedzy, że mogą być ustanowione zabezpieczenia bankowości elektronicznej w postaci ograniczenia adresów' IP z których i godzin w których można logować się do bankowości elektronicznej, w sytuacji, gdy informacje takie zawarte są w P. dla Klienta na stronie 14.
- nieustaleniu, pomimo jednoznacznej wypowiedzi biegłego w tym zakresie, że użytkownik zatwierdzający nie może opierać się na opisie odbiorcy, gdyż jest to informacja nie identyfikująca odbiorcy.
- art. 229 w zw. z art. 233 § 1 k.p.c. w zw. z art. 6 k.c. w zw. z art. 45 ustawy o usługach płatniczych, poprzez ustalenie, że Powód nie sprostał wykazaniu, że wykonanie spornego przelewu nastąpiło w wyniku autoryzowanej transakcji płatniczej i bezsporne było, że w sprawie doszło do nieautoryzowanej transakcji płatniczej, w sytuacji, gdy zgodnie z treścią skazującego wyroku karnego wydanego przez Sąd Rejonowy w Łasku, sygn. akt II K 384/21, M. W. (1) i R. S. (1) nie zauważyły, że w zatwierdzanym przez nie zleceniu przelewu widnieje numer rachunku bankowego przestępcy, zatwierdziły przelew na taki rachunek, prawidłowo autoryzując transakcję płatniczą, a jednocześnie sam powód oraz M. W. i R. S. (1) w swoich zeznaniach nie twierdzili, aby nie zatwierdzili takiej transakcji płatniczej na taki numer rachunku. Okolicznością bezsporną w niniejszej sprawie jest, że obie Panie osobiście zalogowały się do bankowości elektronicznej i osobiście, posługując się udostępnionymi im środkami dostępowymi zatwierdziły polecenie przelewu - nikt nie twierdził na żadnym etapie postępowania, że to nie R. S. (1) i M. W. (1) zatwierdziły transakcję w sposób ustalony przez strony.
- art. 233 § 1 w zw. z art. 278 § 1 w zw. z art. 227 k.p.c. poprzez dokonanie dowolnej tj. jednostronnej i selektywnej (a nie swobodnej), jak również sprzecznej z zasadami logiki i doświadczenia życiowego oceny dowodów, bez wszechstronnego rozważenia zebranego w sprawie materiału dowodowego, a nadto bezpodstawnego pominięcia części zeznań P. S., K. S. i K. K. istotnych dla sprawy, w sytuacji, gdy świadkowie Ci zeznawali na okoliczności dotyczące faktów przeprowadzenia audytów informatycznych po stronie powoda i podmiotów świadczących dla niego obsługę bankowości elektronicznej, które nie wykazały, aby doszło do przełamania zabezpieczeń systemów po stronie Powoda. Okoliczności te nie były wiadomościami specjalnymi lecz wiadomości o znanych świadkom faktach przeprowadzenia audytów i faktach niewykazania przez nie nieprawidłowości. Jednocześnie zasady doświadczenia życiowego wskazują, że w razie przełamania zabezpieczeń po stronie banku, doszłoby do nieporównywalnie większych szkód po stronie klientów banku i samego banku, niż ma to miejsce w niniejszej, jednostkowej sprawie.
- naruszenie przepisów prawa materialnego tj.:
a) art. 40 ust. 1 ustawy o usługach płatniczych, poprzez przyjęcie, że nie doszło do prawidłowej autoryzacji spornego przelewu, w sytuacji, gdy uprawnieni pracownicy powoda prawidłowo zatwierdzili sporny przelew, działając osobiście i w sposób przewidziany w umowie stron, a biegły w sprawie wprost wskazał, że użytkownik zatwierdzający nie może opierać się na opisie odbiorcy, gdyż jest to informacja nie identyfikująca odbiorcy.
b) art. 46 ust. 3 w zw. z art. 42 ust. 1 pkt 1 ustawy o usługach płatniczych, poprzez przyjęcie, że zachowanie pracowników powoda polegające na niezweryfikowaniu numeru rachunku adresata spornego przelew nie nosi cech rażącego niedbalstwa, w tym mimo jednoznacznej wypowiedzi biegłego w tym zakresie, że użytkownik zatwierdzający nie może opierać się na opisie odbiorcy, gdyż jest to informacja nie identyfikująca odbiorcy oraz pomimo wyraźnego i nie budzącego wątpliwości istnienia świadomości gminy i szkoły o ciążącym na nich obowiązku weryfikacji przelewów przed ich zatwierdzeniem co potwierdza chociażby Skarbnik Gminy I. M. wskazując, że pracownicy mają obowiązek przelewu w zakresie odbiorca numer rachunku i tytułem - c; przelew (e-protokół rozprawy z 28.06.2021 r., 02:13:50 - 02:14:1:
c) art. 143 ust. 1 ustawy o usługach płatniczych, poprzez przyjęcie płatnicze wykonano na rzecz nieprawidłowego odbiorcy, mimo ż je zgodnie ze wskazanym w treści zlecenia płatniczego i identyfikatorem.
W konkluzji skarżący wniósł o zmianę orzeczenia w całości i uchylenie wyroku zaocznego w całości i oddalenie powództwa w całości, a także rozstrzygnięcie o kosztach procesu w tym o kosztach zastępstwa procesowego poprzez ich zasądzenie w całości od powoda pozwanego. Nadto wniósł o zasądzenie zwrotu kosztów postępowania apelacyjnego, kosztami zastępstwa procesowego od powoda na rzecz pozwanego według przepisanych wraz z odsetkami ustawowymi za opóźnienie od dnia uprawomocni orzeczenia do dnia zapłaty.
Apelujący wniósł o przeprowadzenie dowodu z dokumentu - wyroku 1 wydanego przez Sąd Rejonowy w Łasku, sygn. akt II K 384/21 zaopatrzonego w klauzulę prawomocności, na okoliczności - fakty podlegające stwierdzeniu: prawomocności skazującego wydanego w związku z niniejszą sprawą, wiążącego sądy cywilne orzeka niniejszej sprawie, który to wyrok jeszcze przed uprawomocnieniem, wraz z uzasadnieniem stanowił już dowód w niniejszej sprawie. Wskazuję, że wniosek dowodowy stawiany jest na tym etapie postępowania, ponieważ, dopiero teraz Pozwany dysponuje wyrokiem zaopatrzonym w klauzulę prawomocności, a sam wyrok uprawomocnił się po zamknięciu rozprawy przez Sąd I instancji.
W odpowiedzi na apelacją powód wniósł o oddalenie apelacji oraz o zasądzenie od pozwanego na rzecz powoda zwrotu kosztów postępowania apelacyjnego, w tym kosztów zastępstwa procesowego, według norm przepisanych wraz z odsetkami za opóźnienie od dnia uprawomocnienia się orzeczenia do dnia zapłaty.
Sąd Okręgowy dodatkowo ustalił, że prawomocnym wyrokiem Sądu Rejonowego w Łasku z dnia 24 stycznia 2022 roku M. Y., wydanym w sprawie o sygnaturze akt II K 384/21, został uznany winnym tego, że w dniu 4 września 2019 roku działając w bliżej nieustalonym miejscu za pośrednictwem sieci internetowej, w celu osiągnięcia korzyści majątkowej, dokonał zaboru w celu przywłaszczenia pieniędzy w kwocie 34.936,86 złotych, po uprzednim przełamaniu zabezpieczeń do konta bankowego o numerze (...) prowadzonego dla Szkoły Podstawowej im. J. W. w C. Drugim w Banku Spółdzielczym Towarzystwa (...)-CO-BANK w P. i wpłynięciu bez upoważnienia na automatyczne przekazanie danych informatycznych poprzez zmianę numeru konta odbiorcy przelewu na własny numer konta oskarżonego, czym działał na szkodę Urzędu Gminy w D. i Banku Spółdzielczego Towarzystwa (...)-CO-BANK w P., tj. popełnienia czynu wyczerpującego dyspozycję art. 279 § 1 k.k. w zw. z art. 287 § 1 k.k. w zw. z art. 11 § 2 k.k. (kopia prawomocnego wyroku w sprawie II K 384/21 k. 482-483) .
Sąd Okręgowy zważył, co następuje:
Apelacja pozwanego okazała się bezzasadna i jako taka podlegała oddaleniu.
Podniesiony w apelacji zarzut naruszenia art. 233 §1 k.p.c. nie zasługuje na uwzględnienie. Sąd Okręgowy podziela w pełni ustalenia faktyczne dokonane przez Sąd I instancji i przyjmuje je, jako własne.
Jak wielokrotnie wyjaśniano w orzecznictwie Sądu Najwyższego, zarzut naruszenia art. 233 § 1 k.p.c. może być uznany za zasadny jedynie w wypadku wykazania, że ocena materiału dowodowego jest rażąco wadliwa, czy w sposób oczywisty błędna, dokonana z przekroczeniem granic swobodnego przekonania sędziowskiego, wyznaczonych w tym przepisie. Sąd drugiej instancji ocenia bowiem legalność oceny dokonanej przez Sąd I instancji, czyli bada czy zostały zachowane kryteria określone w art. 233 § 1 k.p.c. Należy zatem mieć na uwadze, że - co do zasady - Sąd ocenia wiarygodność i moc dowodów według własnego przekonania na podstawie wszechstronnego rozważenia zebranego materiału, dokonując wyboru określonych środków dowodowych. Jeżeli z danego materiału dowodowego sąd wyprowadza wnioski logicznie poprawne i zgodne z doświadczeniem życiowym, to ocena Sądu nie narusza reguł swobodnej oceny dowodów i musi się ostać, choćby w równym stopniu, na podstawie tego materiału dowodowego, dawały się wysnuć wnioski odmienne. Przeprowadzona przez sąd ocena dowodów może być skutecznie podważona tylko wtedy, gdy brak jest logiki w wiązaniu wniosków z zebranymi dowodami lub, gdy wnioskowanie sądu wykracza poza schematy logiki formalnej albo, wbrew zasadom doświadczenia życiowego, nie uwzględnia jednoznacznych praktycznych związków przyczynowo - skutkowych (por. przykładowo postanowienie Sądu Najwyższego z dnia 11 stycznia 2001 r., I CKN 1072/99, Prok. i Pr. 2001 r., Nr 5, poz. 33, postanowienie Sądu Najwyższego z dnia 17 maja 2000 r., I CKN 1114/99, wyrok Sądu Najwyższego z dnia 14 stycznia 2000r., I CKN 1169/99, OSNC 2000 r., nr 7-8, poz. 139).
Jak wskazał Sąd Najwyższy w licznych orzeczeniach (np. wyrok z dnia 16 grudnia 2005 r., sygn. akt III CK 314/05, wyrok z dnia 21 października 2005r., sygn. akt III CK 73/05, wyrok z dnia 13 października 2004 r. sygn. akt III CK 245/04, LEX nr 174185), skuteczne postawienie zarzutu naruszenia przez sąd przepisu art. 233 § 1 k.p.c. wymaga wykazania, że sąd uchybił zasadom logicznego rozumowania lub doświadczenia życiowego, to bowiem może być jedynie przeciwstawione uprawnieniu sądu do dokonywania swobodnej oceny dowodów. Nie jest natomiast wystarczające przekonanie o innej, niż przyjął sąd wadze (doniosłości) poszczególnych dowodów i ich odmiennej ocenie, niż ocena sądu. Dla skuteczności zarzutu naruszenia art. 233 § 1 k.p.c. nie wystarcza stwierdzenie o wadliwości dokonanych ustaleń faktycznych, odwołujące się do stanu faktycznego, który w przekonaniu skarżącego odpowiada rzeczywistości. Konieczne jest tu wskazanie przyczyn dyskwalifikujących postępowanie sądu w tym zakresie. W szczególności skarżący powinien wskazać, jakie kryteria oceny naruszył sąd przy ocenie konkretnych dowodów, uznając brak ich wiarygodności i mocy dowodowej lub niesłusznie im je przyznając (por. wyrok Sądu Apelacyjnego w Szczecinie z dnia 19 czerwca 2008r., I ACa 180/08, LEX nr 468598).
Takiego działania skarżącego zabrakło w rozpoznawanej sprawie, bowiem prawidłowo Sąd Rejonowy dokonał ustaleń w oparciu o przeprowadzone bezpośrednio przez siebie dowody z zeznań świadków i stron oraz opinii biegłego informatyka. Jak wynika z zeznań M. R. (1), która tworzyła przelew do ZUS w ten sposób, że skopiowała przelew poprzedniego miesiąca , następnie go edytowała. W momencie edycji takiego skopiowanego przelewu można było tylko edytować kwotę przelewu i jego tytuł. Nic z rachunkiem bankowym nie robiła pozatym. W momencie skopiowania przelewu spojrzała na konto, było to samo, nie analizowała cyfry po cyfrze. Prawidłowo w oparciu o zeznania świadka M. W. (1) Sąd I instancji ustalił, że na ekranie monitora M. W. (1) nie widziała nazwy banku odbiorcy. Zawsze sprawdza przed akceptacją tytuł przelewu oraz kwotę. Zwykle orientacyjnie patrzy na numer rachunku bankowego odbiorcy, zazwyczaj na cztery ostatnie cyfry korzystając ze spisu w swoimi notesie czterech ostatnich cyfr numerów bankowych. Nie pamięta czy w dniu 4 września sprawdziła cztery ostatnie cyfry numeru rachunku bankowego odbiorcy. M. W. (1) nie zna numeru rachunku bankowego ZUS. Nigdy nie dokonywała edycji przygotowanego przelewu, jedynie go akceptowała bądź nie. Te ustalenia znajdują potwierdzenie w zeznaniach M. W.. Brak jest sprzeczności w zeznaniach dyrektor szkoły złożonych przez Sądem i złożonych podczas zawiadamiania o popełnieniu przestępstwa. M. W. przed Sądem nie zeznała, że wykonując przedmiotowy przelew sprawdziła numer konta ZUS, mówiła ona o praktyce, że zwykle patrzy na numer konta, ale nie pamięta, czy wtedy sprawdzała. Sprawdziła tylko kwotę i odbiorcę przelewu. Również brak jest sprzeczności w zeznaniach świadka R. S. (1), która nie twierdziła, ani przed Sądem ani dokonując złożenia o popełnieniu przestępstwa, że sprawdzała numer konta ZUS podczas autoryzacji przelewu.
Niezasadny jest również zarzut naruszenia art. 11 k.p.c. poprzez poczynienie w sprawie ustaleń faktycznych sprzecznych z treścią skazującego wyroku karnego wydanego przez Sąd Rejonowy w Łasku, sygn. akt II K 384/21. Moc wiążącą w postępowaniu cywilnym mają jedynie ustalenia co do popełnienia przez oskarżonego czynu, który wypełnia dyspozycję normy karnej i został mu przypisany jako przestępstwo (por. art. 413 KPK). Zgodnie z art. 11 KPC zakres związania prawomocnych wyroków skazujących dotyczy ustaleń co do okoliczności popełnienia przestępstwa zawartych w sentencji wyroku (wyr. SN z 2.2.2012 r., II CSK 330/11, L.). Związanie dotyczy ustalonych w sentencji wyroku znamion przestępstwa, a także okoliczności jego popełnienia, dotyczących czasu, miejsca, poczytalności sprawcy itp. Wszelkie inne ustalenia prawomocnego skazującego wyroku karnego, wykraczające poza elementy stanu faktycznego przestępstwa, nie mają mocy wiążącej dla sądu cywilnego, nawet jeśli są zawarte w sentencji wyroku. Sąd cywilny może więc czynić własne ustalenia w zakresie okoliczności, które nie dotyczą popełnienia przestępstwa, mimo że pozostają w związku z przestępstwem. Ustalenia te mogą różnić się od tych, których dokonał sąd karny (wyr. SN z 21.3.2019 r., II CSK 82/18, L.).
Sprawca zgonie z wyrokiem karnym został uznany winnym tego, że w dniu 4 września 2019 roku działając w bliżej nieustalonym miejscu za pośrednictwem sieci internetowej, w celu osiągnięcia korzyści majątkowej, dokonał zaboru w celu przywłaszczenia pieniędzy w kwocie 34.936,86 złotych, po uprzednim przełamaniu zabezpieczeń do konta bankowego o numerze (...) prowadzonego dla Szkoły Podstawowej im. J. W. w C. Drugim w Banku Spółdzielczym Towarzystwa (...)-CO-BANK w P. i wpłynięciu bez upoważnienia na automatyczne przekazanie danych informatycznych poprzez zmianę numeru konta odbiorcy przelewu na własny numer konta oskarżonego, czym działał na szkodę Urzędu Gminy w D. i Banku Spółdzielczego Towarzystwa (...)-CO-BANK w P., tj. popełnienia czynu wyczerpującego dyspozycję art. 279 § 1 k.k. w zw. z art. 287 § 1 k.k. w zw. z art. 11 § 2 k.k. (kopia prawomocnego wyroku w sprawie II K 384/21 k. 482-483) .
Owszem sąd cywilny jest związany ustaleniem, że doszło do przełamania zabezpieczeń do konta bankowego o numerze (...) prowadzonego dla Szkoły Podstawowej im. J. W. w C. Drugim w Banku Spółdzielczym Towarzystwa (...)-CO-BANK w P.. Jednakże z ustaleń tych nie wynika, że doszło do przełamania zabezpieczeń z powodu nieprawidłowości leżących po stronie szkoły, a mianowicie z ustaleń tych nie wynika, że szkoła posiadała np. nieaktualne oprogramowanie antywirusowe, wadliwy sprzęt komputerowy ani też, że na dokonanie przełamania nie miała wpływu robiona przez pozwany bank akurat w tym dniu tj. 4.09.2019 r. w szkole zmiana środków dostępowych do rachunku bankowego, bowiem jak wynika z prawidłowych ustaleń pozwany Bank przeprowadzał w ramach bankowości elektronicznej zmianę środków dostępowych do rachunku bankowego właśnie tego dnia w szkole. Tak wiec przeprowadzone dowody z zeznań świadków, stron ani też dowód z opinii biegłego nie stoją w sprzeczności z ustaleniami wyroku karnego, którymi Sąd Cywilny jest związany. Sąd cywilny czynił własne ustalenia w zakresie okoliczności, które nie dotyczyły popełnienia przestępstwa, mimo że pozostają w związku z przestępstwem i mają znaczenie dla rozstrzygnięcia niniejszej sprawy. Tym samym zarzut naruszenia art. 11 k.p.c. jest niezasadny.
Niezasadny jest również zarzut naruszenia przez Sąd Rejonowy art. art. 233 § 1 w zw. z art. 278 § 1 w zw. z art. 227 k.p.c. poprzez dokonanie dowolnej tj. jednostronnej i selektywnej (a nie swobodnej), jak również sprzecznej z zasadami logiki i doświadczenia życiowego oceny dowodów, bez wszechstronnego rozważenia zebranego w sprawie materiału dowodowego, a nadto bezpodstawnego pominięcia części zeznań P. S., K. S. i K. K., bowiem okoliczności na które świadkowie zeznawali nie miały istotnego znaczenia dla rozstrzygnięcia sprawy, okoliczność przeprowadzania audytów u pozwanego w świetle opinii biegłego informatyka, który dysponował wiadomościami specjalnymi, nie miały znaczenia. Należy podnieść, że nie był ze strony banku ani policji sprawdzany komputer, z którego wykonano przedmiotowy przelew. Z opinii biegłego informatyka jednoznacznie wynika, że aby ustalić czy doszło do przełamań zabezpieczeń bankowości elektronicznej po stronie pozwanego i czy też zostały przełamane zabezpieczenia w środowisku informatycznym powoda, należy dokonać badania źródłowego środowiska informatycznego w szczególności analizy pamięci RAM przedmiotowego komputera czy też komputerów oraz poszczególnych plików na nośniku. Wtedy biegły mógłby wyizolować złośliwe oprogramowania. W świetle powyższego nieuprawnione jest twierdzenie pozwanego, że zasady doświadczenia życiowego wskazują, że w razie przełamania zabezpieczeń po stronie banku, doszłoby do nieporównywalnie większych szkód po stronie klientów banku i samego banku, niż ma to miejsce w niniejszej, jednostkowej sprawie.
Niezasadny okazał się również zarzut naruszenia art. 321 § 1 k.p.c., poprzez orzeczenie w niniejszej sprawie w oparciu o założenie, że sporna transakcja płatnicza była nieautoryzowana, podczas gdy powód, reprezentowany przez profesjonalnego pełnomocnika za podstawę swoich roszczeń podawał odpowiedzialność kontaktową, względnie deliktową, nie kwestionując prawidłowego autoryzowania spornej transakcji płatniczej.
Trzeba wskazać, że przepis art. 321 k.p.c. reguluje zakaz orzekania przez sąd co do przedmiotu, który nie był objęty żądaniem oraz zakaz orzekania ponad żądanie. Rozstrzygając merytorycznie sprawę sąd nie może orzekać o czymś innym niż żądał powód, ani w rozmiarze większym niż zgłoszone żądanie, bez względu na to, czy ustalenia faktyczne poczynione przez sąd uzasadniałyby wystąpienie z jeszcze innym roszczeniem lub z tym samym roszczeniem, ale w większym zakresie. Konieczność zachowania zgodności przedmiotu wyrokowania z przedmiotem procesu dotyczy także podstawy faktycznej rozstrzygnięcia. Nie jest zatem dopuszczalne uwzględnienie powództwa na innej podstawie faktycznej niż wskazana przez powoda (wyr. SN z 27.3.2008 r., II CSK 524/07, L.; wyr. SN z 18.3.2005 r., II CK 556/04, OSNC 2006, Nr 2, poz. 38). Do naruszenia komentowanego przepisu dochodzi także wtedy, kiedy sąd orzeka na podstawie przeprowadzonych z urzędu dowodów na okoliczności, które nie wchodziły w zakres podstawy faktycznej żądania powoda (wyr. SN z 24.11.2009 r., V CSK 169/09, L.).
Nie stoi natomiast w sprzeczności w rozważaną zasadą zastosowanie przez sąd innej niż wskazana przez powoda podstawy prawnej (wyr. SN z 12.12.2008 r., II CSK 367/08, L.).
Przenosząc powyższe rozważania na grunt niniejszej sprawy trzeba wskazać, że powód występując z niniejszym roszczeniem już w pozwie powoływał się na podstawę faktyczną dotyczącą nieautoryzacji transakcji płatniczej, opisywał stan faktyczny dotyczący dokonania przelewu, a ponadto wskazał podstawę prawną odpowiedzialności pozwanego powołując się na odpowiedzialność pozwanego wprost na art. 46 ustawy o usługach płatniczych (k.9) . Tak więc Sąd mógł orzec o odpowiedzialności pozwanego na powyższej podstawie prawnej, mimo, że powód wskazywał również na odpowiedzialność pozwanego z kontraktu i deliktu. Tak wiec powyższy zarzut jest całkowicie niezasadny bowiem podstawa faktyczna odpowiedzialności pozwanego nie uległa zmianie i zarzut ten nie może odnieść zamierzonego skutku.
Przechodząc do omawiania zarzutów naruszenia prawa materialnego należy wskazać, że art. 46 ust. 1 ustawy o usługach płatniczych. Ustawa ta statuuje podstawową zasadę, że dostawca ma prawo wykonać transakcję płatniczą tylko w przypadku jej autoryzacji przez płatnika. Ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością internetową. Stosownie do art. 46 ust. 1 w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku, gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. W myśl art. 45 ust. 1 ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Tego zabrakło w niniejszej spawie. Z okoliczności sprawy wynikało, że powód nie autoryzował transakcji w podanym znaczeniu. Transakcja płatnicza nosi przymiot autoryzowanej tylko wówczas, gdy płatnik wyrazi zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie pomiędzy płatnikiem a jego dostawcą (art. 40 ustęp 1). Użycie przez użytkownika zarejestrowanego instrumentu płatniczego nie jest wystarczające do stwierdzenia, że transakcja płatnicza została przez użytkownika autoryzowana. W sprawie brak jest innych okoliczności wskazujących na autoryzację transakcji płatniczej przez płatnika. Jednocześnie zgodnie z art. 43 pkt 1 w/w ustawy dostawca wydający instrument płatniczy jest obowiązany do zapewnienia, że indywidualne zabezpieczenia instrumentu płatniczego nie są dostępne dla osób innych niż użytkownik uprawniony do korzystania z tego instrumentu. Z obowiązkiem tym skorelowana jest powinność użytkownika instrumentu płatniczego do korzystania z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszania niezwłocznie dostawcy utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu.
Zdaniem Sądu Okręgowego zgromadzony materiał dowodowy uzasadniał wniosek, że w dniu 4.09.2019 roku ustalona w postępowaniu karnym osoba uzyskała bez wiedzy powoda dostęp do internetowego systemu transakcyjnego i dokonała podmiany numeru rachunku bankowego odbiorcy przelewu. W konsekwencji doszło do ustanowienia nowego numeru odbiorcy, a następnie wykonania spornego przelewu na rzecz tego podmiotu. Brak było podstaw do uznania, że transakcje płatnicza z dnia 4.09.2019 roku była autoryzowana przez dyrektorkę szkoły i pracownika gminy. Sam fakt prawidłowego logowania do systemu bankowości internetowej przy użyciu prawidłowej nazwy użytkownika oraz hasła, a następnie sformułowanie zlecenia przelewu w oparciu o opcję „kopiuj zlecenie” i potwierdzenie zlecenia przez M. W. (1) i R. S. (1) z podstawionym w międzyczasie przez przestępcę numerem rachunku odbiorcy, nie przesądza jeszcze, że wykonana w tym dniu transakcja była autoryzowana przez powoda. Nie sposób uznać, że powód akceptował w jakikolwiek sposób dokonanie przelewu na rzecz osoby, która została skazana prawomocnym wyrokiem za ten czyn oraz że miał zamiar przeprowadzić transakcję, której beneficjentem byłyby właśnie ten podmiot. Ponadto osoby wykonujące w dniu 4.09.2019 roku przelew i go autoryzujące nigdy nie udostępniały żadnej osobie danych uprawniających do korzystania z internetowego systemu transakcyjnego banku. Powód zgodnie z treścią łączącej go z pozwanym umowy, regulaminu, jak również normą art. 42 ust. 2 u.u.p. przechowywał dane związane z instrumentem płatniczym z zachowaniem należytej ostrożności. Nadto używany przez niego sprzęt komputerowy wyposażony był w legalne oprogramowanie systemowe oraz antywirusowe. Pozwany nie udowodnił w toku procesu, że było inaczej. Ponadto nie wiadomo czy na podmianę numeru rachunku bankowego w szkole miała wpływ okoliczność, że pozwany Bank przeprowadzał w ramach bankowości elektronicznej zmianę środków dostępowych do rachunku bankowego. W Szkole Podstawowej w C. Drugim wymiana urządzeń dostępowych miała miejsce akurat w dniu 4 września 2019 r.
Nie można przyjąć, że z samego faktu wykonania przelewu na rachunek odbiorcy nie można wyciągać wniosków prowadzących do uznania transakcji za autoryzowaną. Bezspornym pozostaje fakt, że dokonanie tego typu operacji wymagało autoryzacji poprzez dwie osoby. Niekwestionowaną jest również okoliczność, że pracownica gminy edytowała przelew poprzez korzystanie z opcji „kopiuj zlecenie”. Z zeznań M. R. (1), która tworzyła przelew do ZUS wynika, że zrobiła to w ten sposób, że skopiowała przelew z poprzedniego miesiąca , następnie go edytowała. W momencie edycji takiego skopiowanego przelewu można było tylko edytować kwotę przelewu i jego tytuł. Nic z rachunkiem bankowym nie robiła . W momencie skopiowania przelewu spojrzała na konto, było to samo. Nazwa odbiorcy nie została zmieniona, a celem skorzystania z opcji „kopiuj zlecenie” było wykorzystywanie przez użytkownika szablonu przelewu z danymi odbiorcy, przede wszystkim z wpisanym tam numerem jego rachunku bankowego. Zatem brak jest przesłanek do uznania, iż to sam użytkownik dokonał zmiany numeru rachunku bankowego. Ponadto z zeznań świadka M. W. (1) wynika, że na ekranie monitora M. W. (1) nie widziała nazwy banku odbiorcy. Zawsze sprawdza przed akceptacją tytuł przelewu oraz kwotę. Również R. S. (1) dokonując autoryzacji sprawdziła odbiorcę, którym był ZUS i kwotę przelewu. Trudno jednak przyjąć, aby intencją ich pozostawało dokonanie tego typu operacji na rzecz osoby trzeciej , skoro miały one zamiar opłacić składki ZUS. Ponadto nie można wykluczyć, że pozwany posiadał wadliwy internetowy system obsługi rachunku, który umożliwił podstawienie numeru rachunku bankowego odbiorcy w sytuacji korzystania z opcji „kopiuj zlecenie”. Pozwany również i tych wątpliwości w toku procesu nie rozwiał, które były istotne dla rozstrzygnięcia sprawy.
Trzeba wskazać, że w postępowaniu karnym ustalono ponadto właściciela rachunku bankowego, na który został wysłany przelew, jak również dalsze losy środków pieniężnych przelanych przez powoda, Przyjęcie odmiennej koncepcji i uznanie, że powód w istocie autoryzował tę czynność nie prowadzi jednak do automatycznego stwierdzenia, że autoryzował on również przelew na rzecz nieznanej mu osoby, tym bardziej, że brak podstaw do tego, aby stwierdzić, że podmieniony rachunek bankowy odbiorcy był w ogóle widoczny dla użytkownika i aby miał on możliwość reakcji na to zdarzenie.
Wobec powyższego trzeba podnieść, że nie zostało przez pozwanego udowodnione, że doszło do autoryzowanej transakcji pomimo ciążącego na nim obowiązku. Bank uznał że skoro w wyroku karnym ustalono, że doszło przełamania zabezpieczeń po stronie szkoły, to nie musi wykazywać tych okoliczności, i że to szkoła ponosi odpowiedzialność za nienależyte zabezpieczenie sytemu . Jednakże nie można wykluczyć, że możliwe było przełamanie zabezpieczeń w szkole z uwagi na nienależyte zabezpieczenie przez bank dostarczonego powodowi systemu do internetowej obsługi rachunku bankowego. Wobec tego może bank nie zapewnił więc, aby uzgodniony przez użytkownika i dostawcę zbiór procedur, wykorzystywany przez użytkownika do złożenia zlecenia płatniczego nie był dostępny dla osób trzecich. Nie można wykluczyć, że internetowy system bankowy umożliwił podmianę przez osobę nieuprawnioną numeru rachunku bankowego odbiorcy, bez udziału użytkownika. Użytkownik, przy formułowaniu zlecenia korzystał z opcji „kopiuj zlecenie”. Jak wynika przy tym z zeznań świadka M. R. (1) dokonała on zmian jedynie w polach „kwota transakcji” i „tytułem”, nie edytował ona pola numeru rachunku bankowego. Jeszcze raz należy wskazać, że nazwa odbiorcy nie została zmieniona, a celem skorzystania z opcji „kopiuj zlecenie” było wykorzystywanie przez użytkownika szablonu przelewu z danymi odbiorcy, przede wszystkim z wpisanym tam numerem jego rachunku bankowego. Zatem brak jest przesłanek do uznania, iż to sam użytkownik dokonał zmiany numeru rachunku bankowego. Ponadto nie mogła ona korzystając z tej funkcji kopiuj zlecenie dokonać zmiany numeru konta. Zmiany numeru konta nie dokonywały również osoby dokonując autoryzacji. Powyższe świadczy o tym, ze powód stał się ofiarą przestępstwa oszustwa. Podmiana zaś numeru rachunku bankowego odbiorcy przelewu odbyła się bez udziału powoda.
W ocenie Sądu Okręgowego nie można obciążyć użytkownika odpowiedzialnością za dokonanie czynności zmierzających do autoryzacji zlecenia z nieprawidłowym numerem rachunku bankowego odbiorcy jak również uznać przyczynienia się powoda do szkody. Skorzystał on bowiem z opcji „kopiuj zlecenie” przelewu poprzednio już sformułowanego i wykorzystywanego wielokrotnie, aby nie przepisywać ponownie i nie sprawdzać kilkukrotnie wskazanego numeru. Dlatego niezasadne jest przerzucenie odpowiedzialności z pozwanego banku na powodowego użytkownika poprzez zarzut, że po skopiowaniu zlecenia, a przed autoryzacją przelewu, osoby dokonujące autoryzacji nie sprawdzały ponownie skopiowanego wcześniej numeru rachunku bankowego odbiorcy. Tym bardziej, że pozwany nie wykazał, że podmieniony numer rachunku bankowego odbiorcy był w ogóle widoczny dla użytkownika podczas wykonywania transakcji i że miał on możliwość i czas na reakcję. Ponadto nie ma dowodu na to, że na komputerach u powoda zostało zainstalowane nieaktualne oprogramowanie, które miało wpływ na dokonanie nieprawidłowego przelewu.
Nie doszło zatem do naruszenia przez Sąd I instancji art. 40 ust. 1 ustawy o usługach płatniczych zgodnie z którymi transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą, zgoda może dotyczyć także kolejnych transakcji płatniczych. Zgoda powinna być udzielona przez płatnika przed wykonaniem transakcji płatniczej albo kolejnych transakcji płatniczych, chyba że płatnik i jego dostawca uzgodnili, że zgoda może zostać udzielona także po ich wykonaniu. W literaturze przedmiotu przyjmuje się, że autoryzacja jest oświadczeniem woli użytkownika-płatnika, skierowanym do jego dostawcy usług płatniczych (M. Grabowski: Komentarz do art. 40 ustawy o usługach płatniczych, sip.legalis.pl; także B. Bajor: Komentarz do art. 40 ustawy o usługach płatniczych, lex.online.wolterskluwer.pl).
Z niewadliwych ustaleń Sądu I instancji wynika, iż działający w imieniu powoda pracownik wykonując przedmiotowy przelew jak już ustalono wybrał opcję „kopiuj zlecenie” wyłącznie w odniesieniu do swego rzeczywistego odbiorcy ZUS i jego konkretnego rachunku. Edytował jedynie pola związane z kwotą i tytułem przelewu, w każdym bądź razie nie doszło do modyfikacji wcześniej określonego numeru rachunku bankowego tego odbiorcy. Taki bowiem jest sens i istota powyższej opcji bankowości internetowej. Skoro później doszło do zatwierdzenia tego przelewu to oczywiste było, że w zamiarze jego autora miał on odnosić się do wybranego, konkretnego z nazwy odbiorcy, a nie zupełnie innej osoby, która na skutek nieprzewidzianej i niezamierzonej (de facto przestępczej) zmiany rachunku bankowego i wbrew woli dysponenta, stała się rzeczywistym beneficjentem takiej transakcji. Nie sposób więc uznać taką autoryzację za prawidłową, wywołującą skutki prawne, o których mowa w art. 40 ust. 1 ustawy o usługach płatniczych.
Niezasadny okazał się również zarzut naruszenia art. art. 143 ust. 1 ustawy o usługach płatniczych, poprzez przyjęcie, że polecenie płatnicze wykonano na rzecz nieprawidłowego odbiorcy, mimo że jest zgodne ze wskazanym w treści zlecenia płatniczego i identyfikatorem, bowiem jak już ustalono to nie pracownik gminy wstawił numer konta wadliwy i taki też numer został autoryzowany przez osoby upoważnione do tego. Trzeba wskazać, że w ramach odpowiedzialności kontraktowej pozwanego uwzględnić także należy kwestię zaniechania sprawdzenia czy podany przez powoda numer rachunku dotyczy wierzyciela oznaczonego w poleceniu przelewu. Należy podnieść, że odbiorcą środków była instytucja ZUS, zaś w tytule przelewu były składki ZUS i był to przelew wykonywany przez powoda cyklicznie. Zdaniem Sądu Okręgowego zaniechanie to jest jednak przejawem braku należytej staranności, tym bardziej że dopiero pracownik innego banku poinformował pozwany bank, że coś z tym przelewem jest nie tak skoro numer konta dotyczył osoby fizycznej a jako odbiorca wpisana była instytucja ZUS i tytuł przelewu dotyczył składek ZUS. To inny bank dopatrzył się niezgodności i poinformował o tym pozwanego. Nie wydaje się więc tak jednoznaczne wyłączenie odpowiedzialności dostawcy wobec podania przez płatnika błędnie nieprawidłowego unikatowego identyfikatora, niezgodnego z pozostałymi danymi. Stosownie do art. 50 ust2. Prawa bankowego Bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.
W tym wypadku nie można wyłączyć odpowiedzialności odszkodowawczej banku opartej na zasadach ogólnych.
W świetle powyższego wykonanie zlecenia płatniczego zgodnie z treścią art. 143 ustawy o usługach płatniczych nie przesądza jeszcze o braku odpowiedzialności dostawcy płatnika, jeżeli uzasadnione okażą się w stosunku do tego dostawcy zarzuty naruszenia obowiązków wynikających ustawy bądź umowy.
W konsekwencji, na gruncie art. 46 ust. 1 tej ustawy należy przyjąć, że w przedmiotowym przypadku wystąpiła nieautoryzowana transakcja płatnicza uprawniająca płatnika do żądania od jego dostawcy zwrotu kwoty nieautoryzowanej transakcji płatniczej. Dlatego słusznie Sąd Rejonowy doszedł do wniosku, że roszczenie powoda miało oparcie w tym przepisie.
Mając na uwadze powyższe rozważania Sąd Okręgowy uznał, że apelacja pozwanego jest niezadana i podlega oddaleniu na podstawie art. 385 k.p.c.
O kosztach procesu w instancji odwoławczej orzeczona zgodnie z art. 98 i art. 108 § 1 k.p.c. oraz 5 i § 10 ust. 1 pkt 2 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz.U. z 2018, poz. 265 z póź zm.)