sygn. I C 952/23 15 stycznia 2026 Sąd Rejonowy w Kłodzku

Zarządzenie z 15 stycznia 2026, sygn. I C 952/23

Data orzeczenia 15 stycznia 2026

Sąd Sąd Rejonowy w Kłodzku

Wydział I Wydział Cywilny

Przewodniczący Sędzia Izabela Kosińska-Szota

Tagi

#Sąd Rejonowy w Kłodzku #I Wydział Cywilny #zarządzenie

Podstawa prawna

art. 6 kc art. 98 kc art. 471 kc art. 481 kc art. 725 kc

Sygn. akt I C 952/23

UZASADNIENIE

Powód Ł. U. wniósł o zasądzenia od (...) Spółka Akcyjna z siedzibą w C. 78 000 zł tytułem zwrotu pieniędzy utraconych w wyniku nieautoryzowanych transakcji z ustawowymi odsetkami za opóźnienie od 3 marca 2023 r., a także o zasądzenie kosztów procesu w tym kosztów zastępstwa procesowego w wysokości dwukrotności norm prawem przepisanych.

W uzasadnieniu pozwu powód wskazał, że będąc stroną umowy rachunku bankowego u strony pozwanej w dniu 28 lutego 2023 r. padł ofiarą oszustwa, w wyniku którego utracił środki zgromadzone na koncie bankowym obsługiwanym przez stronę pozwaną. Powód podał, że oszustwo to polegało na tym, że po wyrażeniu zainteresowania ofertą powoda dotycząca sprzedaży opon samochodowych osoba zaproponowała powodowi zakup połączony z przesyłką kurierską wraz z usługą płatności i zamówienia kuriera po odbiór zamówionej rzeczy i kupujący miał dokonać przelewu ceny sprzedaży i odbioru rzeczy za pośrednictwem wysłanego linka służącego do weryfikacji tożsamości powoda i zatwierdzenia sprzedaży, a po użyciu linku otworzyła się strona do danych dotyczących zamieszkania powoda, danych karty płatniczej celem odbioru zapłaty, na kolejnej stronie pojawiły się dane banku nie wzbudzające podejrzeń powoda, ponieważ wyglądała jak strona pozwanego Banku. Powód wskazał, że kolejny krok polegał na pojawieniu się okna logowania do rachunku bankowego , do którego wpisał dane, a następnie strona się zawiesiła, a na numer telefonu powoda przyszła wiadomość SMS od banku z informacją o konieczności ponownej aktywacji aplikacji (...), czego nie zlecał i nie wykonywał, natomiast przeraził się, bo zauważył, że zniknęły z rachunku środki pieniężne. Powód podał, że zadzwonił na infolinię banku i poinformowano go, że z jego konta zlecone zostały 4 przelewy kwot 20 000 zł, 20 000 zł, 25 000 zł oraz 13 000 zł, zgłosił natychmiast reklamację i zastrzegł wszystkie nieautoryzowane transakcje. Powód podniósł, że do zdarzenia doszło w wyniku tzw. phishingu, czyli formy oszustwa, polegającej na podszyciu się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji lub zainfekowania urządzeń szkodliwym oprogramowaniem. Powód podniósł także zarzut, że system bezpieczeństwa banku nie zareagował ani na logowanie do bankowości elektronicznej z innego adresu IP i z innej miejscowości niż zlecone, ani na wykonane w krótkim czasie transakcje. Nadto powód zarzucił, że system banku nie zareagował na zmianę urządzenia zaufanego w bankowości elektronicznej, zmiany narzędzia autoryzacji, a następnie zlecenia znacznych kwot przelewów. Powód wskazał, że w odpowiedzi na reklamacje strona pozwana odmówiła ich uwzględnienia argumentując, iż wszystkie transakcje były prawidłowo autoryzowane. Powód 1 marca 2023 r. złożył zawiadomienie o popełnieniu przestępstwa w Komisariacie Policji w S..

Strona pozwana (...)Spółka Akcyjna z siedzibą w C. w odpowiedzi na pozew wniosła o oddalenie powództwa w całości oraz o zasądzenie kosztów postępowania. W uzasadnieniu strona pozwana wskazała, że 28 lutego 2023 r. z rachunku bankowego powoda dokonano czterech przelewów o łącznej wysokości 78 000 zł, wszystkie kwestionowane przez powoda przelewy zostały zrealizowane przy użyciu aplikacji mobilnej (...), zainstalowanej na telefonie i autoryzowane w aplikacji kodem mPIN. Strona pozwana stwierdziła, że powód ujawniając osobom trzecim na stronie imitującej stronę banku, dane do bankowości elektronicznej oraz kody uwierzytelniające, w tym kod głosowy (...), doprowadził do aktywowania na urządzeniu, którym posługiwali się sprawcy, aplikacji (...). Strona pozwana podniosła, że samodzielne aktywowanie aplikacji (...) mogło nastąpić wyłącznie przy wykorzystaniu kodu aktywacyjnego podanego przez wiadomość głosową i ze względów bezpieczeństwa, a metoda ta jest dostępna wyłącznie dla klienta, którego nr telefonu dysponuje bank. W niniejszej sprawie, bank przesłał kod na nr telefonu należący do powoda. Bank wskazał, że bezpośrednim skutkiem zainstalowania aplikacji (...) na innym urządzeniu w następstwie wcześniejszego udostępnienia przez powoda danych logowania do bankowości elektronicznej oraz kodu (...) nieuprawnionym osobom trzecim, była niemożność kontrolowania przez powoda transakcji dokonywanych z innego urządzenia, albowiem to urządzenie stało się także narzędziem autoryzacyjnym. Strona pozwana wskazała, że w systemie bankowości elektronicznej, oferowanej klientom, nie ma możliwości dokonania operacji bez znajomości unikalnego loginu i hasła przyporządkowanego do danego klienta oraz potwierdzenia dokonania operacji kodem autoryzacyjnym.

W dalszych pismach strony podtrzymały swoje stanowiska.

Sąd ustalił następujący stan faktyczny:

Powód Ł. U. jest posiadaczem rachunku bankowego nr (...) prowadzonego przez pozwaną (...) S.A. z siedzibą w C. od 6 marca 2008 r. Powód posiada także w pozwanym Banku rachunek firmowy nr (...).

Okoliczność bezsporna

Powód z aplikacji (...) na telefonie korzystał tylko do sprawdzania salda, nie wykonywał żadnych przelewów. Powód przelewy wykonywał na komputerze, wiedział, że limit dzienny przelewów wynosi 20 000 zł, jak również to, że przelewy musi potwierdzać kodami sms, które przychodziły na jego nr telefonu, niezależnie od wysokości przelewu i dopiero po jego wpisaniu istniała możliwość wykonania przelewu. Powód Ł. U. wystawił na sprzedaż opony samochodowe za pośrednictwem portalu (...) W dniu 28 lutego 2023 r. w późnych godzinach wieczornych wyniku powyższego ogłoszenia otrzymał na swój nr telefonu (...) wiadomość na komunikatorze (...) z nr (...) z informacją, że osoba chce zakupić opony i że wysyła link do firmy kurierskiej (...), na który powód miał się zalogować, by przyjechał kurier i odebrał opony, a także by potwierdził otrzymanie płatności. Powód kliknął w przesłany link i na phishingowej stronie wypełnił pola zawierające jego adres, dane karty płatniczej i jej numer, a następnie w celu „potwierdzenia płatności” za towar został przekierowany na stronę z wyborem banków, gdzie po wybraniu swojego banku wpisał swoje dane uwierzytelniające (login i hasło) na phishingowej stronie niezbędne do zalogowania się do swojego konta. Strona logowania do bankowości elektronicznej wyglądała tak jak zwykle, powód nie zauważył żadnych różnic w wyglądzie strony po wpisaniu loginu pojawił się obrazek bezpieczeństwa, strona nie budziła żadnych wątpliwości co do jej autentyczności. Po zalogowaniu pojawiło się konto powoda. Nie można się wykluczyć, że klikając w link w celu załadowania podglądu strony można jednocześnie zainfekować telefon złośliwym kodem (malware). Jeśli powód nie instalował aplikacji z niepewnego źródła to mógł to być malware typu fileless rezydujący w pamięci RAM zainfekowanego telefonu powoda (stosowne dane i metadane z tych działań są na serwerach pod kontrolą cyberprzestępców). O godz. 22:46 do powoda przyszedł z numeru (...) (numer używany do aktywacji aplikacji (...) w (...)) SMS: „Aktywujesz (...) z dostępem do konta. Nie udostepniaj ani nie pobieraj od nikogo poufnego klucza (...)”. SMS został odesłany o godz. 22:46 na numer (...)(numer ten jest wykorzystywany w procesie weryfikacji numeru telefonu i aktywacji mobilnej autoryzacji) „Szczegóły wiadomości Typ: SMS Priorytet: Normalny Od: (...) Do: (...) Wysłano: 02/28/23 10:46 PM”. W międzyczasie do powoda zadzwonił mężczyzna podający się za „pracownika banku”, któremu pod pretekstem weryfikacji powód podał kod (...). Na komunikatorze W.powoda widoczne były połączenia przychodzące z nr (...) i (...) O godz. 22:49 powód otrzymał SMS-a z informacją, że aplikacja (...) została aktywowana: „Aplikacja (...) zostala wlasnie aktywowana na telefonie o numerze (...). Jeśli aktywowal ja ktoś inny niż Ty – skontaktuj sie z nami pod numerem (...).” O godz. 22:50 powód otrzymał SMS-a z informacją, że nastąpiła zmiana narzędzia autoryzacji na mobilna autoryzacje: „Zmiana narzedzia autoryzacji na mobilna autoryzacje; Uważaj na oszustow, którzy podaja się za pracowników baku! Kod SMS nr 2: (...)”. Po tym wszystko się zawiesiło, nic nie można było zrobić, a czas rozmowy biegł dalej. Powód zresetował telefon, wyciągnął baterię. Powód zorientował się, że padł ofiarą cyberprzestępców i zalogował się na swoim koncie i wówczas zobaczył, że nie ma pieniędzy na koncie w kwocie 78 000 zł. W dniu 28 lutego 2023 r. na konto powoda było logowanie z dwóch różnych adresów IP: (...) (adres IP cyberprzestępcy, adres IP z Rosji) i (...) (adres IP powoda). Powód padł ofiarą ataku phishingowego pod wpływem działań socjotechnicznych i manipulacji wchodził poprzez linki wysłane mu przez wyspecjalizowanych cyberprzestępców na phishingowe strony będące pod ich kontrolą, a służące do wyłudzania danych wrażliwych dotyczących uwierzytelnienia, autoryzacji do konta, kodów i danych karty płatniczej powoda. Nie da się wykluczyć, że złośliwe oprogramowanie mogło zostać wstrzyknięte do pamięci telefonu w okresie czasu jak powód był – poprzez udostępniony link – na phishingowych stronach. Osoba trzecia (cyberprzestępca) nie mająca fizycznego dostępu do telefonu lub innego urządzenia, ale której udało się zainfekować urządzenie ofiary złośliwym kodem (malware np.: trojan bankowy), jest w stanie zdalnie wykonać praktycznie wszystko co jest potrzebne do uwierzytelnienia się do konta bankowego, przejęcia smsKodów, do autoryzacji transakcji i wykonania innych dyspozycji w ramach usług bankowości elektronicznej na koncie ofiary. Funkcjonalność malware zależy od pomysłowości, potrzeb i umiejętności technicznych przestępców.

Dowód:

- częściowo zeznania świadka X. J., k. 138-139, 166-174

- zeznania powoda - k. 102 verte – 103

- opinia biegłego sądowego P. C. – k.230 - 282

Cyberprzestępcy z konta firmowego powoda nr (...) przelali kwotę 41 000 zł na konto prywatne powoda nr (...) i z tego rachunku wykonali 4 przelewy na dwa różne konta założone na 2 różne osoby prowadzone również w pozwanym banku. W wyniku działań osób trzecich, 28 lutego 2023 r. o godz.23:06:20 i 23:08:24 z rachunku bankowego powoda (...) przelano na konto należące do Ł. A. o nr (...) kwoty 25 000 zł oraz 13 000 zł, a o godz. 23:13:29 i 23:14:44 dokonano dwóch przelewów na konto należące I. I. o nr (...) w kwotach 20 000 zł (łącznie 40 000 zł).

Dowód:

- szczegóły transakcji dla odbiorcy I. I. - k. 11

- szczegóły transakcji dla odbiorcy I. I. - k. 12

- szczegóły transakcji dla odbiorcy Ł. A. - k. 13

- szczegóły transakcji dla odbiorcy Ł. A. - k. 14

- zestawienie operacji za okres 24.02.2023 – 05.03.2023 – k.42

- opinia biegłego sądowego P. C. – k.246

Powód gdy zorientował się, że pieniądze z jego konta zostały przelane bez jego akceptacji 28 lutego 2023 r. o godzinie 23:31 skontaktował się z infolinią strony pozwanej gdzie złożył zgłoszenie reklamacyjne. Powód w dniach 28 lutego – 1 marca 2023 r. dzwonił na infolinię banku 6 razy. Na podstawie tego zgłoszenia zablokowano (...) oraz kartę oraz usunięto urządzenia zaufane. Następnego dnia tj. 1 marca 2023 r. o godzinie 6:20 powód złożył zawiadomienie o oszustwie w Komisariacie Policji w S.. Postanowieniem z dnia 5 października 202 3r. umorzono dochodzenie w wyniku niewykrycia sprawcy przestępstwa.

Dowód:

- karta zgłoszenia nr (...) - k. 41

- nagrania rozmów powoda z infolinią (...) S.A. - płyta CD - k. 79

- akta Komisariatu Policji w S. (...)

- potwierdzenie złożenia zawiadomienia - k. 22

- protokół z ustnego zawiadomienia o przestępstwie - k. 156-157 verte

Strona pozwana w piśmie z 1 marca 2023 r. poinformowała powoda, że nie uznała reklamacji z uwagi na to, że wspomniane przelewy dokonane na nr (...) oraz (...) zostały wykonane zgodnie z dyspozycjami zleconymi po zalogowaniu się do (...) danymi powoda z urządzenia o IP (...) i potwierdzone były mobilną autoryzacją powiązaną z nr telefonu (...). Nadto strona pozwana wskazała, że do transakcji doszło w związku z otwarciem przez powoda otrzymanego linku kierującego na fałszywą stronę, gdzie wprowadzono dane do logowania oraz kod autoryzacyjny. Bank uznał, że podanie danych autoryzacyjnych na stronie internetowej otwartej z linku nieznanego pochodzenia stanowi rażące niedbalstwo powoda i skutkuje jego odpowiedzialnością za nieautoryzowane operacje bankowe. W odpowiedzi na powyższe stanowisko strony pozwanej, powód 2 marca 2023 r. zgłosił w placówce banku (...) S.A. (...)w S. odwołanie od decyzji banku, w którym wskazał, że nie autoryzował takich operacji, nie zmieniał metody autoryzacji na mobilną i zawsze autoryzował operacje przy pomocy kodów sms przez bankowość elektroniczną (...), a aplikację mobilną (...) używał jedynie do weryfikacji salda rachunku. W odpowiedzi z 21 marca 2023 r. strona pozwana podtrzymała swoje stanowisko.

Dowód:

karta zgłoszenia z 02.03.2023 r. nr (...) - k. 15

pismo Banku o nieuznaniu reklamacji z 01.03.2023 r. - k. 16-18

pismo Banku z 21.03.2023 t. podtrzymujące stanowisko o nieuznaniu reklamacji - k. 19-21

Po dokonaniu przelewów o łącznej wartości 78 000 zł, bliżej nieustalone osoby wypłaciły te środki z bankomatu przy ul. (...). Wizerunek tych osób utrwalony za pomocą monitoringu przy bankomacie w godz. 22:45 – 23:45 w dniu 28 lutego 2023 r. jest słabo widoczny. Pozwany Bank zawiadomił o podejrzeniu popełnienia przestępstwa Prokuraturę Rejonową (...) w W. w dniu 19 stycznia 2024 r. Postanowieniem z dnia 11 czerwca 2024 r. postępowanie w sprawie umorzono.

Dowód: akta (...): zawiadomienie o podejrzeniu popełnienia przestępstwa – k.1, postanowienie z 11.06.2024 r. protokół oględzin płyty DVD+R z zapisem monitoringu z kamery bankomatu (...) S.A. – k.100 – 101 verte

System bankowości elektronicznej strony pozwanej jest usługą świadczoną na rzecz klientów, w tym na rzecz powoda, na podstawie umowy rachunku bankowego. Umowa taka odsyła w szczegółach dotyczących usług bankowości elektronicznej do „Regulaminu Rachunki Oszczędnościowego oraz usług bankowości elektronicznej (...) (...) S.A.” który był zastępowany kolejnymi regulacjami wewnętrznymi. W dniu 28 lutego 2023 r. obowiązywały zasady określone w „Szczegółowych warunkach świadczenia usług bankowości elektronicznej i usług bankowości telefonicznej oraz składania oświadczeń w (...) S.A.” Zgodnie z powyższymi regulacjami wewnętrznymi, klient był zobowiązany do zachowania tajemnicy informacji zapewniających bezpieczne korzystanie z usług bankowości elektronicznej lub bankowości telefonicznej, w tym informacji przekazanych Bankowi dla celów weryfikacji oraz nieudostępniania i nieujawniania innym osobom instrumentów uwierzytelniających. Nadto każdy klient był zobowiązany do należytego zabezpieczenia urządzeń i oprogramowania, którymi posługiwał się w celu korzystania z usług bankowości elektronicznej. W dalszej części powyższych warunków, wskazane zostało, że klienta obciążają w pełnej wysokości nieautoryzowane transakcje płatnicze, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia, co najmniej jednego z obowiązków wymienionych we wcześniejszych postanowieniach, w tym obowiązku niezwłocznego zgłoszenia przez klienta m.in. nieuprawnionego dostępu do usług bankowości elektronicznej.

Dowód:

szczegółowe warunki świadczenia usług bankowości elektronicznej i usług bankowości telefonicznej oraz składania oświadczeń w (...) S.A. - k. 56-59

Cyberprzestępcy nie mając fizycznego dostępu do telefonu lub innego urządzenia, które udało się zainfekować złośliwym oprogramowaniem, są w stanie zdalnie wykonać praktycznie wszystko co jest potrzebne do autoryzacji transakcji i wykonania innych dyspozycji w ramach bankowości elektronicznej na koncie ofiary przestępstwa. Nawet obecność oprogramowania antywirusowego nie eliminuje całkowicie możliwości zainfekowania urządzeń, a niektóre sposoby infekcji uniemożliwiają wykrycie po zdarzeniach fraudowych, po ponownym uruchomieniu urządzenia. W takcie badań telefonu powoda, biegły nie wykazał obecności złośliwego oprogramowania. Telefon powoda nie był przywracany do ustawień fabrycznych, ale widoczne są ślady ingerencji w dane polegające na wykasowaniu komunikatora W., braku niektórych wiadomości sms z dnia zdarzenia fraudowego. Na telefonie powoda nie ujawniono zainstalowanego oprogramowania do dostępu zdalnego. Powód nieświadomie naruszył zasady bezpieczeństwa w obrębie korzystania przez powoda z jego telefonu komórkowego. Aby zapobiec transakcjom fraudowym powód powinien lepiej wyedukować się w zakresie zagrożeń phisingowych. Mając taką wiedzę należało nie klikać w link przesłany do powoda. Działania na koncie powoda nie powstały w skutek awarii ani innego rodzaju usterki technicznej usług bankowości elektronicznej. Nie przełamano także zabezpieczeń systemów bankowych. Błędy istnieją zarówno po stronie powoda, jak i po stronie pozwanego Banku. Po stronie powoda brak było wymaganej ostrożności i kliknięcie w nieznany link z wiadomości kierujących do phisingowych stron oraz nieświadome przekazanie danych wrażliwych oraz brak wystarczającej wiedzy w zakresie metod phisingowych pomimo dostępnych informacji. Powód wykazał pozytywne działania w zakresie bezpieczeństwa poprzez niezwłoczne zadzwonił na infolinię banku i zgłosił reklamację, zablokowana została karta płatnicza i konto oraz zgłosił potrzebę cofnięcia operacji fraudowych u konsultantów banku, ponadto posiadał ochronę antymalware na telefonie. Powód szybko dokonał zawiadomienia o popełnieniu przestępstwa na Policję powoda. Po stronie banku w dniu fraudu występował:

- brak wdrożonych skutecznych technologii antyphisingowych zabezpieczających klientów banku, którzy zostali skutecznie zaatakowani phisingiem opartym na socjotechnice

- brak techniki zaciemnienia ekranu w aplikacji mobilnej banku przy zdalnym połączeniu,

- nieoptymalne i niewystarczające skonfigurowanie algorytmów i reakcji systemów informatycznych pozwanego banku na działanie nietypowe na koncie klienta,

- zbyt pobieżne i wybiórcze zbieranie danych i metadanych przez systemy informatyczne obsługujące bankowość elektroniczną

- brak odrębnych logowań do konta firmowego i prywatnego

W zakresie pozytywnych działań strony pozwanej w zakresie bezpieczeństwa, biegły wskazał na wdrożony system silnego uwierzytelniania dwuskładnikowego, system informowania klientów o zagrożeniach w zakresie incydentów z zakresu cyberbezpieczeństwa, zablokowanie konta po transakcjach fraudowych – jednakże post factum po zgłoszeniu poszkodowanego, a także współpraca merytoryczna z organami ścigania. Pomimo zaawansowanych rozwiązań technicznych zaimplementowanych w systemach pozwanego banku, nie doszło do przełamania ochrony systemu bankowego, jednak należy zauważyć, że na dzień zdarzeń fraudowych, technicznie była możliwa kradzież środków pieniężnych z konta powoda. Oznacza to, że bank na dzień 28 lutego 2023 r. nie miał zaimplementowanych wystarczająco skutecznych technologii, które w sposób wystarczający zabezpieczałyby wszystkie kanały dostępu do bankowości elektronicznej. Pozwany bank w dacie zdarzenia nie miał zaimplementowanych co najmniej kilku bardzo skutecznych technologii ograniczających w ogromnym stopniu straty klientów opartych na ataku phisingowym.

Dowód: opinia biegłego sądowego P. C. - k. 229-289

Sąd zważył, co następuje:

Powództwo okazało się zasadne i zasługiwało na uwzględnienie w całości.

Wskazać należy, że bezsporne między stronami było, że powód jest posiadaczem dwóch rachunków bankowych firmowego i prywatnego prowadzonych przez pozwany Bank oraz, że w dniu 28 lutego 2023 r. z rachunku bankowego powoda jako osoby prywatnej dokonano przelewów w kwotach 25 000 zł, 13 000 zł, i dwa razy po 20 000 zł, a także przelewu kwoty 41 000 zł z konta firmowego na prywatne konto powoda. Spór powstał na tle kwestii udostępnienia osobom trzecim przy użyciu aplikacji mobilnej (...) kodów uwierzytelniających, w tym kodu głosowego (...) przez powoda oraz zakwalifikowaniu zachowania powoda jako rażącego niedbalstwa. Ponadto, strona pozwana zarzuciła, że w pozwie brak jest rozważań pozwalających na ustalenie przebiegu zdarzeń, jak choćby wyświetlenia się obrazku bezpieczeństwa oraz sposobu udostępniania sprawcom kodów autoryzacyjnych.

Sąd dokonał ustaleń stanu faktycznego na podstawie dowodów z dokumentów, przy czym w przeważającej części dokumenty złożone jako dowody przez stronę pozwaną dotyczyły okoliczności, które nie były kwestionowane przez strony, w związku z czym Sąd pominął je w ustaleniach stanu faktycznego. Sąd wskazał jako dowody dokumenty, z których wynikały okoliczności istotne, w ocenie Sądu, do rozstrzygnięcia sprawy. Ponadto, Sąd poczynił ustalenia faktyczne na podstawie dowodów z zeznań powoda, częściowo zeznań świadka X. J., nagrań rozmowy powoda na infolinii, dokumentach związanych z zawiadomieniami o popełnieniu przestępstw. Ze względu na to, że sprawa wymagała wiadomości specjalnych – wbrew twierdzeniom pełnomocnika powoda – Sąd dopuścił dowód z opinii biegłego sądowego z zakresu informatyki, techniki komputerowej, oprogramowania, praw autorskich, najnowszych technologii P. C.. Dowód ten był kluczowy, ponieważ pozwalał ustalić najbardziej prawdopodobną sekwencję zdarzeń oraz metody działania sprawców przestępstwa. Sporządzona przez biegłego sądowego P. C. opinia jest pełna, jasna i w przeważającej części kategoryczna. Jej tezy potwierdziły, że powód Ł. U. padł ofiarą ataku socjotechniczno – phishingowego przez dotychczas nieustalonych sprawców. Zwrócić należy uwagę, że opinia biegłego nie była kwestionowana przez żadną ze stron, choć każda wyciągnęła z niej zupełnie odmienne wnioski wyrażając swoje stanowisko przez zamknięciem rozprawy. Biegły w opinii wskazał, że od końca 2020 r. zaobserwowano kampanie phishingowe, których celem byli i są sprzedawcy działający na różnych portalach ogłoszeniowych, w 2021 r. była to jedna z częściej obserwowanych kampanii phishingowych, a przestępcy wykorzystywali niską świadomość istnienia takiego oszustwa oraz chęć sprzedającego do szybkiej finalizacji transakcji. Jak wynika z opinii biegłego sądowego P. C., w 2022 r. popularne było niestandardowe rozwiązanie w postaci techniki Browser In The Browser, która polega na wyświetlaniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. Okno stanowiło jedynie element strony, dobrze wykonany graficznie, przez co ofiara mogła je pomylić z faktycznym nowym oknem aplikacji. Dodatkowo, wyświetlany w nim fałszywy pasek adresu zawierał poprawną domenę strony logowania. Użytkownik, który sprawdził zawartą w nim domenę przed wpisaniem wrażliwych danych, mógł sądzić, że znajduje się na właściwej stronie. Technika ta zazwyczaj imituje zachowanie strony podczas logowania za pomocą dostawcy tożsamości. W ocenie Sądu w rozstrzyganej sprawie miała miejsce taka sytuacja, ponieważ powód w zeznaniach wskazywał, że za pośrednictwem linka przesłanego na komunikatorze W. po przejściu kilku kroków, wyświetliła się strona pozwanego Banku, która w jego ocenie w żaden sposób nie różniła się od strony Banku, na których powód dotychczas się logował.

Zwrócić należy też uwagę, że z żadnej z informacji przesłanych do powoda przez pozwany Bank w dniu 28 lutego 2023 r. nie wynikało jednoznacznie, że aktywacja aplikacji nastąpiła na nowym urządzeniu, innym niż telefon powoda, ponieważ do powoda przychodziły sms-y o treści wskazanej w stanie faktycznym. Żadna z tych informacji skierowanych do powoda dotyczących aktywowania aplikacji nie zawierała też treści wskazującej na to, że od tej pory to nie telefon powoda o numerze (...) tylko inny telefon będzie służył jako narządzenie uwierzytelniające dokonywanie operacji na jego rachunku bankowym lub też je autoryzujące.

Biegły sądowy wyczerpująco i w przeważających częściach kategorycznie przedstawił sekwencję zdarzeń i wysnuł wnioski, z których wynika, że pewne zaniedbania wystąpiły po stronie powoda, ale również po stronie pozwanego Banku. Z przychodzących wiadomości i zachowania powoda opisanego zarówno w jego zeznaniach, jak i opinii biegłego stwierdzić należy jednoznacznie, że nie sposób uznać, że powód rażąco naruszył postanowienia szczegółowych warunków świadczenia usług bankowości elektronicznej i usług bankowości telefonicznej oraz składania oświadczeń w (...) S.A. Ze stanu faktycznego jednoznacznie wynika, że wszystkie przelewy wykonane w dniu 28 lutego 2023 r. w łącznej kwocie 78 000 zł, po wcześniejszym przelewie 41 000 zł z konta firmowego powoda na konto prywatne, nie były przez powoda autoryzowane, ponieważ powód ich nie zlecał, nie potwierdzał ich kodami SMS, nie akceptował ich, lecz został oszukany przez inne osoby, które niewątpliwie wykorzystały jego niewiedzę i nieostrożność przy braku odpowiedniej reakcji pozwanego Banku zarówno w chwili dokonywania przelewów, jak i krótko po nich. Zwrócić należy uwagę, że duże zdziwienie budzi bierność po stronie pozwanej, gdy o późnej porze dochodziło do przelewu dużej kwoty. Ze strony banku brak było jakiejkolwiek reakcji w postaci choćby kontaktu telefonicznego z powodem celem ustalenia, czy faktycznie dokonuje takich operacji bankowych.

W tym miejscu przytoczyć wypada stanowisko Sądu Okręgowego w Kielcach wyrażone w uzasadnieniu wyroku z dnia z 29 października 2025 r., które Sąd rozpoznający niniejszą sprawę podziela: „W orzecznictwie trafnie wskazuje się, że ryzyko dokonania wypłaty środków z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością elektroniczną. Wynika to z regulacji zawartej w art. 45 ust. 1 i 2 ustawy o usługach płatniczych. Skoro dostawcy samodzielnie oraz zarobkowo organizują swoją działalność gospodarczą na rynku usług płatniczych, można od nich oczekiwać odpowiedniego poziomu profesjonalizmu i przypisać im ciężar udowodnienia, że transakcja, która podlega wykonaniu, została autoryzowana przez płatnika albo wystąpiły inne relewantne okoliczności dotyczące jego odpowiedzialności za transakcję nieautoryzowaną. Użytkowników - w relacjach z dostawcami - traktuje się jako stronę strukturalnie słabszą, która wymaga ochrony prawnej przez korzystne dla nich ukształtowanie reguł dowodowych w odniesieniu do autoryzacji transakcji płatniczych oraz kwestii pokrewnych związanych z odpowiedzialnością. Powyższa reguła pozostaje również w związku z zasadą wskazaną w art. 46 ustawy [o usługach płatniczych], która kształtuje generalną zasadę odpowiedzialności dostawcy za nieautoryzowane transakcje płatnicze, która jest oparta na zasadzie ryzyka. Dostawca - bank nie może zwolnić się od odpowiedzialności poprzez wykazanie, że realizował umowę z zachowaniem należytej staranności. Podkreślenia wymaga, że udowodnienie autoryzowania transakcji nie może ograniczać się do wywodu, że transakcje zostały potwierdzone przez wprowadzenie danych uwierzytelniających . Samo uwierzytelnienie transakcji za pomocą określonych danych jest pojęciem odmiennym od pojęcia autoryzacji. Obowiązek należytego zabezpieczenia środków powoda był obowiązkiem pozwanego Banku, który powinien opracować takie procedury weryfikacji transakcji, aby niemożliwe było dokonywanie transakcji przez osoby nieuprawnione. Bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W aktualnym orzecznictwie nie znajduje już aprobaty prezentowane przed laty stanowisko wyrażające się minimalizacją wymagań co do staranności banków przy wykonywaniu zobowiązań wobec swoich kontrahentów (wyrok Sądu Najwyższego z dnia 7 stycznia 1964 r., III CR 365/63, OSNC 1964/11/231). W licznych orzeczeniach z późniejszego okresu dominuje już restryktywne, a zarazem w pełni uzasadnione jurydycznie, podejście, stawiające bankom wysokie wymagania pod względem oceny staranności zachowań niezbędnych przy wykonywaniu ich zobowiązań (por. uchwała Sądu Najwyższego z dnia 20 listopada 1992 r., III CZP 138/92, OSNC 1993/6/96; wyroki Sądu Najwyższego z dnia 28 maja 1999 r., III CKN 196/98, OSNC 2000/1/8; z dnia 16 stycznia 2001 r., II CKN 344/00; z dnia 26 lipca 2001 r., II CKN 1269/00, OSP 2002/9/121). W wyroku z dnia 14 kwietnia 2003 r. w sprawie I CKN 308/01 Sąd Najwyższy wyraził zapatrywanie, że zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności. Stosownie do art. 46 ust. 1 powołanej ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Art. 45 ust. 1 analizowanej ustawy stanowi, że ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika spoczywa na dostawcy tego użytkownika, przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.”

Stanowisko to jest spójne z wnioskami opinii biegłego sądowego P. C., który wskazał jednoznacznie, że cyberprzestępcy byli wysoko wyspecjalizowani i powód, jako osoba nie posiadająca takiej wiedzy mógł nie mieć świadomości, że za pośrednictwem linka nadesłanego na komunikator W. dojdzie do aktywowania (...) na nowym urządzeniu tylko poprzez podanie loginu i hasła do serwisu bankowości elektronicznej i następnie kodu weryfikacyjnego rzekomemu pracownikowi banku. Ponadto działał pod presją czasu. Niemniej jednak powód nie podawał celem wykonania transakcji przelewów kodów SMS osobom trzecim (cyberprzestępcom), a zatem nie autoryzował przelewów, nie miał świadomości, że inne osoby dokonują operacji na jego rachunkach bankowych i z tym się nie godził. Oczywistym jest, że powód winien bardziej wyedukować się w zakresie zagrożeń phishingowych, ponieważ błędem było wpisywanie danych wrażliwych na stronach phishingowych z linku bez weryfikacji adresu strony, certyfikatów zabezpieczających stronę i logowanie się do banku poprzez te strony www. Natomiast, co należy podkreślić, to pozwany Bank z odpowiednim kapitałem, będący w czołówce polskich banków powinien był wdrożyć przed 28 lutego 2023 r. w kanałach dostępu do bankowości elektronicznej skutecznych technologii softwere’owo – hardwere’owych zapobiegającym skutkom ataków phishingowychna klientów pozwanego banku np. weryfikacja biometrii behawioralnej, weryfikacja użytkowania lub/i jego urządzenia oparta na sprzętowych kryptograficznych kluczach zabezpieczeń U2Fzgodnych ze standardem FIDO2 oraz zaciemnienia ekranu w przypadku stwierdzenia zdalnego połączenia z urządzeniem posiadającym zainstalowana aplikację mobilną banku. Brak również było po stronie pozwanej nieoptymalnych i niewystarczających skonfigurowanych algorytmów i reakcji systemów informatycznych pozwanego banku na działania nietypowe na koncie klienta, zbyt pobieżne i wybiórcze zbieranie danych i metadanych przez systemy informatyczne obsługujące bankowość elektroniczną, brak odrębnych logowań do rachunku firmowego i prywatnego.

W związku z powyższym, nie sposób ustalić, że odpowiedzialność za nieautoryzowane transakcje płatnicze w postaci 4 przelewów na łączną kwotę 78 000 zł ponosi powód. Powód podał ofiarą przestępstwa, nie zlecał dokonania tych operacji, nie akceptował ich, został oszukany przez osoby, które wykorzystały jego nieostrożność i wykorzystały brak odpowiedniej reakcji pozwanego Banku. Zdaniem Sądu, wobec pojawienia się w bardzo krótkim czasie przelewów na wysokie kwoty, pozwany Bank winien podjąć działania chociażby w postaci kontaktu telefonicznego z powodem celem weryfikacji, czy istotnie zlecał takie transakcje, tym bardziej, że powód posiadał, jak zeznał limit przelewów. W przypadku braku możliwości kontaktu z powodem taka transakcja powinna być zablokowana, choćby z ostrożności tym bardziej, że w przypadku rachunku powoda w krótkim czasie nastąpiły cztery duże przelewy.

Jak już wskazano wyżej, w sprawie zastosowanie znajdą przepisy ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (tekst jednolity Dz. U. z 2025 r., poz.611ze zm.). W myśl art.40 ust. 1 tej ustawy transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. W niniejszej sprawie powód nie wyraził takiej zgody. Zdaniem Sądu, powód spełnił wymagania wynikające z art. 42 ust. 1 ww. ustawy. Wskazać należy, że przepis art. 45 przywołanej ustawy odwraca reguły dowodowe wynikające z treści art. 6 k.c., przerzucając ciężar dowodzenia, że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej lub dopuścił się naruszenia obowiązków na dostawcę usług. Zatem, to pozwany winien był wykazać, że powód umyślnie lub na skutek rażącego niedbalstwa dopuścił się naruszenia obowiązków wynikających z art. 42 ust. 1-2 ustawy. Zeznania świadka X. J. w przeważającej części pokrywają się z opinia biegłego sądowego P. C., lecz świadek ten wskazywał, że automatyczna wiadomość informowała klienta o możliwym zagrożeniu. Okoliczność ta jednak nie pozwala na stwierdzenie po stronie powoda rażącego niedbalstwa. Ocena, czy zachodzi wypadek rażącego niedbalstwa wymaga uwzględnienia obiektywnego stanu zagrożenia oraz kwalifikowanej postaci braku zwykłej staranności w przewidywaniu skutków, a więc uwzględnienia staranności wymaganej od działającej osoby oraz okoliczności, w których doszło do zaniechania pożądanych zachowań z jej strony. Rażące niedbalstwo to coś więcej niż brak zachowania zwykłej staranności w działaniu. Wykładnia tego pojęcia powinna zatem uwzględniać kwalifikowaną postać braku zwykłej lub podwyższonej staranności w przewidywaniu skutków działania. Chodzi tu o takie zachowanie, które graniczy z umyślnością (vide: wyrok Sądu Najwyższego z dnia 29 stycznia 2009 r. sygn. akt V CSK 291/08). Rażące niedbalstwo można zatem przypisać w wypadku nieprzewidywania szkody jako skutku zaniechania określonego działania, o ile doszło do przekroczenia podstawowych, elementarnych zasad staranności (vide: wyrok Sądu Okręgowego we Wrocławiu z dnia 8 października 2018 r. sygn. akt II Ca 1353/17, publ. LEX nr 2636997). Jednocześnie zauważyć należy, ze świadek ten zeznał, że sprawcy uzyskali możliwość dostępu do rachunku klienta i musieli dokonać zmiany sposobu autoryzacji transakcji. Czynności tych nie dokonywał powód. W ocenie Sądu, biorąc pod uwagę sposób działania cyberprzestępców nie sposób uznać, że każdy posiadacz rachunku bankowego, kart płatniczych i kredytowych jest w stanie ma mieć świadomość, wiedzę oraz odpowiednio reagować na zagrożenia, których najczęściej nawet nie ma świadomości. To każdy bank, w tym i pozwany winni jako profesjonaliści zorganizować swoją działalność w taki sposób, by zapobiegać skutecznie cyberoszustom.

Zwrócić należy także uwagę, że analiza akt sprawy prowadzonej z zawiadomienia o podejrzeniu popełnienia przestępstwa przez pozwany Bank pozwala na stwierdzenie, że monitoring zainstalowany przy bankomacie w C. na ul. (...), gdzie dokonano wypłaty środków pieniężnych z rachunków, na które przelano środki pieniężne powoda, nie spełnił zupełnie swej roli. Skoro taki monitoring został zainstalowany, to rzeczą pozwanego Banku było, by twarze osób dokonujących operacji przy bankomacie były widoczne. Tymczasem taki monitoring stanowi w istocie swego rodzaju atrapę, niż spełnia swoją funkcję.

Ponadto stwierdzić wypada, że ze stanowiska pozwanego Banku wynika, że zasadniczo więcej obowiązków ma spoczywać na powodzie w razie ataków phishingowych niż na stronie pozwanej będącej przecież podmiotem profesjonalnym z określonym zapleczem finansowym pozwalającym na wdrażanie odpowiednich zabezpieczeń.

Skoro powód w sposób nieświadomy udostępnił osobom trzecim swoje dane do logowania, to po jego stronie nie wystąpiło rażące niedbalstwo. Ponadto powód podjął szereg czynności próbując zapobiec utracie środków pieniężnych, co szczegółowo zostało opisane w stanie faktycznym, a wynikało z zeznań powoda, nagrania rozmowy na infolinii i opinii biegłego.

Zgodnie z art. 50 ust. 2 ustawy Prawo bankowe bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. Powyższe oznacza w szczególności, że bank ponosi ryzyko dokonania wypłaty z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną (wyrok Sądu Okręgowego w Warszawie z 17 kwietnia 2023 r., sygn.. akt XXV C 324/22).

Skoro w myśl art. art. 725 k.c. przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz, jeżeli umowa tak stanowi, do przeprowadzania na jego zlecenie rozliczeń pieniężnych, to zgodnie z art.471 k.c. bank obowiązany jest naprawienia szkody wynikłej nienależytego wykonania zobowiązania. W związku z tym na podstawie powołanego przepisu art.471 k.c. Sąd zasądził od strony pozwanej na rzecz powoda kwotę 78 000 zł z odsetkami ustawowymi za opóźnienie od dnia 3 marca 2023 r. na mocy art.481 § 1 i 2 k.c. Termin początkowy naliczania odsetek nie był kwestionowany przez stronę pozwaną.

O kosztach procesu orzeczono na podstawie art.98 k.c. Pełnomocnik powoda nie wnioskował przed zamknięciem rozprawy o przyznanie koszów zastępstwa procesowego w podwójnej stawce, lecz według norm przepisanych. Z tego względu Sąd zasądził tytułem kosztów procesu kwotę 6 451 zł, na którą składają się opłata od pozwu 1 000 zł, koszty zastępstwa procesowego 5 400 zł, opłata skarbowa od pełnomocnictwa 17 zł i 34 zł tytułem kosztów przesyłek (6,80 zł zgodnie z wnioskiem pełnomocnika powoda x 5, vide: k.24, 72, 84, 108 i 151).

04.02.2026 r.

ZARZĄDZENIE

1. odpis wyroku z uzasadnieniem doręczyć pełnomocnikowi strony pozwanej;

2. poinformować Prokuraturę Rejonową (...)w (...), że akta (...) o czyn z art.(...) nadal pozostają dołączone do sprawy (...), w której złożono opinię, SR w Kłodzku wydał wyrok 15.01.2026 r., sporządził uzasadnienie i obecnie strona pozwana może wnieść apelację. Jeżeli akta są pilnie potrzebne SR w Kłodzku zwraca się o zwrócenie się o nie pismem;

3. kal. 14 dni.