Wyrok z 25 września 2024, sygn. I C 313/23
W skrócie
Sygn. akt I C 313/23
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 25 września 2024 roku
Sąd Rejonowy w Zambrowie I Wydział Cywilny w składzie:
Przewodnicząca – Asesor sądowy Aleksandra Łapińska
Protokolant – Agnieszka Dmochowska
po rozpoznaniu w dniu 25 września 2024 roku w Zambrowie
na rozprawie
sprawy z powództwa G. M. (1)
przeciwko (...) Bank (...) Spółce Akcyjnej z siedzibą w W.
o zapłatę
I. zasądza od pozwanej (...) Bank (...) Spółki Akcyjnej z siedzibą w W. na rzecz powódki G. M. (1) kwotę 57.600,00 (pięćdziesiąt siedem tysięcy sześćset i 00/100) złotych z odsetkami ustawowymi za opóźnienie od dnia 18 sierpnia 2023 roku do dnia zapłaty;
II. oddala powództwo w pozostałym zakresie;
III. zasądza od pozwanej (...) Bank (...) Spółki Akcyjnej z siedzibą w W. na rzecz powódki G. M. (1) kwotę 454,64 (czterysta pięćdziesiąt cztery i 64/100) złotych tytułem zwrotu kosztów procesu wraz z ustawowymi odsetkami za opóźnienie od dnia uprawomocnienia się orzeczenia do dnia zapłaty;
IV. nakazuje zwrócić pozwanej (...) Bank (...) Spółce Akcyjnej z siedzibą w W. kwotę 184,46 (sto osiemdziesiąt cztery i 46/100) złotych z zaliczki zaewidencjonowanej pod pozycją (...) sum na zlecenie.
Sygn. akt I C 313/23
UZASADNIENIE
wyroku z dnia 25 września 2024 roku
Powódka – G. M. (1) wniosła o zasądzenie od pozwanego (...) Bank (...) Spółki Akcyjnej z siedzibą w W. ( dalej: (...) ) na swoją rzecz kwoty 97.100,00 złotych wraz z odsetkami ustawowymi za opóźnienie od dnia 18 sierpnia 2023 roku do dnia zapłaty. Ponadto wniosła o zasądzenie od pozwanego kosztów postępowania wraz z odsetkami ustawowymi za opóźnienie od dnia uprawomocnienia się orzeczenia do dnia zapłaty.
W uzasadnieniu wskazała, że strony łączy umowa rachunku oszczędnościowo – rozliczeniowego na podstawie której pozwany zobowiązał się do otwarcia i prowadzenia rachunku bankowego oraz realizacji dyspozycji posiadacza rachunku. Bank zobowiązał się także do zapewnienia powódce dostępu do rachunku w ramach usług bankowości elektronicznej, co odbywało się za pośrednictwem serwisu internetowego (...). Około 2 lata temu powódka zainteresowała się inwestycją w kryptowaluty i w tym celu założyła konto na portalu www.blockchair.com. 4 lipca 2023 roku, gdy przebywała w pracy, skontaktowała się z nią osoba, która przedstawiła się jako doradca inwestycyjny. Przekazał jej, że wartość kryptowalut widniejących na jej koncie na wskazanym portalu wynosi 3.778,66 USD i zadeklarował pomoc w ich dalszej inwestycji bądź odzyskaniu. W celu uzyskania jego wsparcia technicznego i szybkiego przeprowadzenia całej procedury zainstalowała, za jego namową, na komputerze stacjonarnym oraz telefonie specjalne oprogramowanie (...). Za jego pomocą mężczyzna uzyskał dostęp do tych urządzeń, a przez to, do danych niezbędnych do zalogowania się do serwisu (...). Następnie bez jej wiedzy i zgody, zerwał lokatę terminową na kwotę 50.000 złotych, z rachunku bankowego do którego miała pełnomocnictwo przelał na jej rachunek bankowy kwotę 39.500 złotych oraz zrealizował sześć przelewów na łączną kwotę 97.100 złotych. Gdy powódka zorientowała się, że z jej rachunku zniknęły pieniądze, zaczęła domagać się od niego wyjaśnień. Mężczyzna zapewniał, że musi to być jakiś błąd i zaraz sytuacja zostanie wyjaśniona. Przesłał jej skan potwierdzenia zwrotu brakującej kwoty. Środki jednak nigdy do niej nie wróciły, a po jakimś czasie powódka zorientowała się, że padła ofiarą oszustwa. Całe zdarzenie zgłosiła więc na Policję oraz do pozwanego, który odmówił jednak przyjęcia reklamacji i zwrotu brakującej kwoty ( pozew – k. 3 - 7).
W odpowiedzi na pozew pozwany wniósł o oddalenie powództwa w całości oraz zasądzenie od powódki na rzecz pozwanego kosztów procesu, w tym kosztów zastępstwa procesowego, według norm przepisanych w podwójnej wysokości wraz z ustawowymi odsetkami za opóźnienie od dnia uprawomocnienia się orzeczenia oraz opłatą skarbową od pełnomocnictwa. Uzasadniając swoje stanowisko strona pozwana wskazała, że zaprzecza jakoby to nie powódka autoryzowała transakcje płatnicze, że to osoby trzecie w imieniu powódki dokonały transakcji płatniczych, że powódka nie ujawniła osobom trzecim indywidualnych danych uwierzytelniających do systemów bankowych (login i hasło), że powódka nie ujawniła osobom trzecim indywidualnych kodów autoryzacyjnych, że bank nie podjął kroków w celu ustalenia poprawności wykonanych transakcji, że powódka dokonywała niezbędnych środków służących zapobieżeniu naruszeniu zasad bezpieczeństwa, w tym indywidualnych danych uwierzytelniających, że bank nie zapewnił należytej ochrony przed nieuprawnionym dostępem osób trzecich do systemów bankowych, że dyspozycje wydane w przedmiotowej sprawie nastąpiły przez osobę nieuprawnioną. Podniósł za to, że powódka co najmniej udostępniła osobom trzecim wszystkie indywidualne dane niezbędne do logowania na jej konto bankowe, że powódka posiadała bieżącą wiedzę na temat zawartych transakcji płatniczych jeszcze przed ich autoryzacją, że powódka dokonała autoryzacji transakcji płatniczych udostępniając unikalny kod autoryzacji przesłany na jej numer telefonu, że powódka dopuściła się rażącego niedbalstwa w zakresie zapobieżenia naruszenia indywidualnych danych uwierzytelniających, w szczególności nie przechowywała instrumentu płatniczego z zachowaniem należytej staranności oraz udostępniała go osobom nieuprawnionym ( odpowiedź na pozew – k. 42 – 44).
Sąd ustalił, co następuje:
W dniu 20 stycznia 1998 roku G. M. (1) zawarła z bankiem (...) umowę rachunku oszczędnościowo – rozliczeniowego zwanego „kontem osobistym”. Na jej podstawie bank zobowiązał się do otwarcia i prowadzenia konta osobistego zgodnie z postanowieniami umowy, regulaminu i obowiązującymi w tym zakresie przepisami prawa oraz do realizowania dyspozycji posiadaczki rachunku. Następnie, w dniu 19 listopada 2005 roku, strony zawarły umowę o świadczenie usług bankowości elektronicznej, na podstawie której bank zobowiązał się do zapewnienia G. M. (1) dostępu do jej rachunków w ramach usług bankowości elektronicznej. W umowie tej przewidziano, że dyspozycje składane w ramach bankowości elektronicznej są wykonywane po dokonaniu przez (...) identyfikacji posiadacza rachunku na podstawie identyfikatora, hasła dostępu oraz dodatkowych pytań i odpowiedzi – podczas rozmowy z konsultantem serwisu telefonicznego. Jednocześnie przewidziano, że w celu zapewnienia bezpieczeństwa dyspozycji złożonych przez posiadacza rachunku (...) stosuje autoryzację, która jest dokonywana z wykorzystaniem kodów jednorazowych. Wskazano także, że identyfikator, hasło dostępu oraz kody jednorazowe mają charakter poufny i nie mogą być udostępniane osobom trzecim (§3.1. - §5.1. umowy)( umowa rachunku z dn. 20.01.1998 r. – k. 9 – 12; umowa o świadczenie usług bankowości elektronicznej z dn. 19.11.2005 r. – k. 13).
Około 2021 roku G. M. (1) zainteresowała się inwestycją w kryptowaluty. W związku z tym założyła konto w serwisie internetowym (...) W dniu 4 lipca 2023 roku, gdy kobieta była w pracy (pracuje na stanowisku skarbnika w (...) R.), skontaktował się z nią telefonicznie mężczyzna, który przedstawił się jako doradca inwestycyjny M. P.. Poinformował ją, że w ramach pakietu startowego przyznanego jej na wskazanym portalu internetowym została wypracowana kwota ponad 3.000 dolarów. Dodał, że środki te może zainwestować bądź zdecydować się na ich upłynnienie. Mężczyzna na potwierdzenie przesłał jej skan z serwisu (...)ze stanem konta opiewającym na kwotę 3.778,66 USD oraz, na jej prośbę o podanie numeru licencji, skan ze strony internetowej Komisji Nadzoru Finansowego potwierdzający, że jest on licencjonowanym doradcą inwestycyjnym. Kobieta zdecydowała się na wypłatę środków. W celu uzyskania jego wsparcia technicznego oraz pomocy w sprawnym i szybkim przeprowadzeniu całej procedury, tj. przede wszystkim w celu pomocy przy przewalutowaniu tych środków oraz w celu uniknięcia przekazywania komukolwiek hasła i loginu do bankowości elektronicznej, musiała zainstalować na komputerze stacjonarnym i telefonie komórkowym aplikację (...)( wyjaśnienia i zeznania G. M. – k. 121v – 122 oraz k. 281v - 282; skan z serwisu (...) – k. 15; skan ze strony internetowej (...) k. 16).
Kobieta zgodnie z zaleceniami zainstalowała aplikację na swoim telefonie oraz umożliwiła mężczyźnie tymczasowy zdalny dostęp do swojego komputera służbowego. Następnie, na prośbę mężczyzny, na obu urządzeniach zalogowała się do swojego rachunku bankowego, z tym że w przypadku telefonu nastąpiło to poprzez aplikację (...). Potrzebę tą tłumaczył koniecznością śledzenia czy środki ze sprzedaży kryptowalut wpłynęły na jej rachunek bankowy. Przed tym dniem autoryzacja transakcji dokonywanych przez G. M. (1) następowała przy pomocy aplikacji (...). Po tym, gdy mężczyzna podający się za doradcę inwestycyjnego uzyskał zdalny dostęp do jej urządzeń, doszło do zmiany narzędzia autoryzacji na kody SMS i w tym celu na numer telefonu kobiety przyszedł o godzinie 13:45 sms, w którym wskazany został opis podejmowanego działania, ostrzeżenie przed oszustami oraz kod autoryzacyjny. Następnie o godzinie 14:37 przyszła kolejna wiadomość, tym razem z kodem autoryzującym zmianę limitów przelewów i płatności w Internecie. W tym momencie na rachunku bankowym G. M. (1) o numerze (...) znajdowała się kwota 20.903,73 złotych. Po udanej zmianie limitów, o godzinie 14:40, zlecony został z tego rachunku pierwszy przelew na kwotę 19.800 złotych na konto P. P. (1). W wyniku tej transakcji na rachunku G. M. (1) pozostała kwota 1.103,73 złotych. W celu uzyskania dodatkowych środków z rachunku nr (...) należącego do M. G. (1) na rachunek G. M. (1) została przelana kwota 39.500,00 złotych. Pełnomocnictwem z dnia 4.10.2019 roku do rachunku M. G. (1) dysponowała G. M. (1). Następnie z rachunku G. M. (1), o godzinie 14:44, został wykonany kolejny przelew na konto P. P. (1), tym razem na kwotę 19.900,00 złotych. W dalszej kolejności o godzinie 15:03 doszło do zerwania lokaty nr (...) na kwotę 50.000,00 złotych. Środki te trafiły na rachunek bankowy G. M. (1) nr (...). Po tym, z tego właśnie rachunku dokonano kolejnych 4 przelewów na kwoty kolejno: 19.800,00 złotych i 9.800,00 złotych na rachunek A. K. (1), 19.800,00 złotych na rachunek G. S. oraz 8.000,00 złotych na konto M. D. (1). W wyniku tych transakcji na rachunku G. M. (1) pozostała kwota 13.303,73 złotych. Za każdym razem na numer telefonu G. M. (1) przychodziły SMS-y z opisem danej czynności bądź transakcji (numer rachunku bankowego odbiorcy, kwota przelewu), ostrzeżeniem przed oszustami oraz kodem uwierzytelniającym daną transakcję. Kobieta nie była jednak świadoma dokonywanych transakcji i przychodzących SMS-ów bowiem wszystkie działania i transakcje były inicjowane przez mężczyznę, który przedstawił się jako doradca inwestycyjny. To także on, poprzez zdalny dostęp do telefonu G. M. (1), odczytywał wszystkie przychodzące do niej wiadomości, tak że nie była ona w ogóle świadoma tego, że je otrzymywała ( wyciąg z logów systemowych związanych z kontem bankowym powódki oraz wykaz SMS-ów przesłanych na jej nr telefonu – k. 125 – 126; wyciąg z rachunku bankowego – k. 17v – 18; pełnomocnictwo do rachunku M. G. – k. 14; historia rachunku M. G. – k. 19 – 20; wyciągi z rachunków P. P., A. K., M. D. – k. 21 – 24; wyjaśnienia i zeznania G. M. – k. 121v – 122 oraz k. 281v - 282).
W którymś momencie G. M. (1) zajrzała na swój rachunek i zobaczyła, że zniknęły z niego pieniądze. Wzięła wtedy swój telefon i zorientowała się, że cały czas jest on niejako zablokowany, bo makler jest w dalszym ciągu połączony. Powiedziała mu wtedy o swoim odkryciu, domagając się zwrotu pieniędzy. Mężczyzna stwierdził, że musi to być jakiś błąd i obiecał, że zaraz wszystko wyjaśni. Trwało to przez jakiś czas, a pieniądze w dalszym ciągu nie wracały, jednak mężczyzna cały czas zapewniał ją, że procedury zostały uruchomione i prosił o cierpliwość. W końcu stwierdził, że wszystko zostało naprawione, a na potwierdzenie wysłał jej e-mail ze skanem dwóch przelewów: jednego na kwotę 95.00,00 złotych, a drugiego na kwotę 2.500,00 złotych. Kobieta, nie sprawdzając czy środki rzeczywiście wróciły na jej rachunek bankowy, uwierzyła mężczyźnie i uspokojona wróciła do domu.
Dopiero tam bliscy uświadomili jej, że najprawdopodobniej padła ofiarą oszustwa. Udała się na Policję, gdzie powiedziano jej, że skoro pieniądze mają wrócić, to powinna poczekać do następnego dnia. Gdy okazało się, że środków dalej nie ma na koncie złożyła zawiadomienie o przestępstwie. Sprawę natychmiast zgłosiła także na infolinię (...) ( wyjaśnienia i zeznania G. M. – k. 121v – 122 oraz k. 281v – 282; skany potwierdzeń przelewów – k. 25 – 26; protokół przyjęcia ustnego zawiadomienia o przestępstwie – k. 37 – 38; nagranie na płycie CD – k. 289).
Następnego dnia próbowała jeszcze skontaktować się z mężczyzną, który dzień wcześniej do niej dzwonił, ale okazało się, że numer telefonu należy do zupełnie innej osoby, która przyznała, że oszuści wykorzystali jego numer, bo podobna sytuacja zdarza mu się kolejny raz. Do tego, że padłą ofiarą oszustwa G. M. (1) przyznała się kolejnego dnia koleżance z pracy J. D. ( wyjaśnienia i zeznania G. M. – k. 121v – 122 oraz k. 281v – 282; zeznania świadek J. D. – k. 122v; zestawienie wiadomości sms – k. 138 – 140).
Pismem z dnia 5 lipca 2023 roku (...) poinformował, że nie uznaje jej reklamacji, gdyż wszystkie przelewy były zlecone po zalogowaniu jej danymi w serwisie (...) i były zatwierdzone przy użyciu narzędzia autoryzacyjnego przypisanego do niej. Kobieta złożyła odwołanie, ale (...) podtrzymał swoje stanowisko w decyzji z dnia 10 sierpnia 2023 roku ( pismo (...) z dn. 5.07.2023 r. – k. 27; odwołanie – k. 29; decyzja (...) z dn. 10.08.2023 r. – k. 31 – 32).
W związku z powyższym, pismem z dnia 8 sierpnia 2023 roku, G. M. (1) wezwała (...) do zapłaty, w terminie 7 dni od dnia odebrania wezwania, kwoty 97.100,00 złotych na podstawie art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych. Wezwanie do zapłaty zostało odebrane w dniu 10 sierpnia 2023 roku. Bank podtrzymał stanowisko ( przedsądowe wezwanie do zapłaty wraz z potwierdzeniem odbioru – k. 33 – 35; pismo (...) z dn. 7.09.2023 r. – k. 36).
W dacie 4 lipca 2023 roku jeżeli klient logował się do rachunku bankowego za pomocą przeglądarki komputerowej, to jednocześnie było możliwe nawiązanie połączenia z komputerem osoby trzeciej za pomocą aplikacji AnyDesk. Wtedy taka osoba miał podgląd do rachunku, mogła wpisać dane do przelewu i mogła go zatwierdzić, o ile znała kod autoryzacyjny. Natomiast w przypadku aplikacji (...) klient mógł się zalogować do niej, jeżeli jednocześnie miał zainstalowaną na telefonie aplikację (...) ale jeżeli trwała sesja między dwoma urządzeniami, to aplikacja (...) automatycznie się wyłączała. Natomiast w dalszym ciągu osoba połączona z telefonem klienta miała podgląd do telefonu, w tym przychodzących SMS-ów. Od marca 2024 roku pulpity zdalne są wykrywane również w przypadku przeglądarek internetowych. Ponadto bank (...) posiada systemy monitorujące działania na podstawie reguł, które działają autonomicznie. W związku z tym kiedy system nie wskaże, że dana transakcja jest do sprawdzenia, to jest ona realizowana. Żadna transakcja przeprowadzona na rachunku bankowym powódki w dniu 4 lipca 2023 roku nie została wskazana przez system jako transakcja do sprawdzenia ( zeznania P. C. – k. 200v – 201).
Sąd ustalił powyższy stan faktyczny na podstawie dowodów z dokumentów oraz wydruków komputerowych, których rzetelności i prawdziwości żadna ze stron nie kwestionowała, a także na podstawie zeznań przesłuchanych w sprawie świadków. J. D. tak naprawdę nie miała zbytniej wiedzy co do przebiegu przedmiotowego zdarzenia z wyjątkiem tego, że słyszała jak następnego dnia powódka mówiła do kogoś, że ją oszukał i powiedziała jej, że straciła ponad 90.000 złotych. Zaś P. C. jest co prawda pracownikiem pozwanego, ale tak naprawdę zeznawał wyłącznie o procedurach bezpieczeństwa jakie obowiązywały u pozwanego w dacie zdarzenia oraz możliwościach logowania do systemów bankowości elektronicznej w sytuacji jednoczesnego aktywnego korzystania z aplikacji AnyDesk. Sąd nie doszukał się więc żadnych okoliczności, które podważałyby ich wiarygodności.
Sąd za wiarygodne uznał również zeznania powódki G. M. (1), gdyż korespondują one z pozostałym zgormadzonym materiałem dowodowym. Jej wersję co do tego, że nie przekazywała nikomu swojego loginu i hasła do rachunku bankowego oraz następnie kodów uwierzytelniających każdą kolejną transakcję, potwierdza przede wszystkim to, że praktycznie od razu po zorientowaniu się, że padła ofiarą oszustwa zgłosiła ten fakt nie tylko pozwanemu, ale i Policji. Także sam sposób działania aplikacji AnyDesk i możliwości jakie daje korzystanie z niej czyni wiarygodną wersję powódki o braku świadomości co przychodzących na jej telefon SMS-ów zawierających kody autoryzacyjne do kolejnych transakcji. W konsekwencji Sąd doszedł do przekonania, że zeznania powódki zasługują na danie im wiary.
W toku przedmiotowej sprawy Sąd skorzystał także z opinii biegłego z zakresu informatyki mgr inż. A. C., który w sporządzonej opinii stwierdził, że badany komputer (znajdujący się w miejscu pracy powódki, tj. (...) K.) służy powódce m.in. do wykonywania przelewów i ich autoryzacji dla gminy. W badanej dacie nie stwierdzono żadnych zdarzeń bezpieczeństwa. Badany komputer ma zainstalowano oprogramowanie antywirusowe i antyspamowe z wbudowaną zaporą firewall, jest zabezpieczony hasłem, a użytkownik ma utworzone dodatkowe konto. Jednakże badanie urządzenia po kilku miesiącach od zdarzenia jest niewymierne, ponieważ większość z istotnych informacji dotyczących badanego zdarzenia zostało utraconych. Końcowo stwierdził, że badany przypadek przelewu środków finansowych jest cyberprzestępstwem o charakterze oszustwa tzw. voice phishingu polegającym na kontakcie telefonicznym z wykorzystaniem spoofingu, czyli podszycia się pod dowolny numer telefonu. Vishing jest w Polsce często spotykanym rodzajem oszustwa, a wykorzystana w tym scenariuszu inżynieria społeczna i socjotechnika z naciskiem na wywieranie presji, szybkiego zarobku czy niepewności jest bardzo skuteczna. Profil ryzyka banku powinien obejmować opisany w opinii schemat oszustwa, a jego dział bezpieczeństwa IT (SOC) powinien w swoich regułach bezpieczeństwa, oprogramowaniu zajmującym się monitorowaniem transakcji, wykrywać tego rodzaju defraud i blokować go ( pulpity zdalne) (opinia biegłego z zakresu informatyki – k. 246 – 260). Żadna ze stron nie kwestionowała powyższej opinii.
Sąd zważył, co następuje:
Powództwo zasługiwało na uwzględnienie w części.
Powódka występując z powództwem w niniejszej sprawie powołała się na art. 46 ust. 1 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych ( dalej: u.u.p.) zgodnie, z którym z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą.
W takiej sytuacji kluczowe jest ustalenie kiedy mamy do czynienia z transakcją autoryzowaną a kiedy z nieautoryzowaną, bowiem pozwany w pierwszej kolejności bronił się przed odpowiedzialnością twierdząc, że wszystkie transakcje, które zostało przeprowadzone na rachunku powódki były przez nią autoryzowane.
Art. 40 ust. 1 u.u.p. przewiduje, że transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. Z tego wynika zatem, że to płatnik, a nie nikt inny ma wyrazić zgodę na dokonanie danej konkretnej transakcji. Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub, że została wykonana prawidłowo spoczywa na dostawcy, czyli banku o czym mówi art. 45 ust. 1 u.u.p.. W tym celu bank musi jednak przywołać inne dowody niż sam fakt prawidłowego skorzystania z procedur autoryzacji przewidzianych umową, bowiem sam ten fakt nie oznacza, że transakcja została autoryzowana przez użytkownika.
Przenosząc powyższe na grunt niniejszej sprawy Sąd doszedł do przekonania, że pozwany nie sprostał temu ciężarowi. Nie budzi bowiem wątpliwości Sądu, że powódka nie wyraziła zgody na dokonanie transakcji, które były przeprowadzane na jej rachunku bankowym w dniu 4 lipca 2023 roku. Wynika to z jej zeznań, które Sąd uznał za wiarygodne, a w których wskazała, że nie miała wiedzy o dokonanych transakcjach (zorientowała się o ich zaistnieniu już po fakcie) i nie miała nawet zamiaru ich dokonania. Zeznania te znajdują potwierdzenie w fakcie, że natychmiast o zaistniałym zdarzeniu powiadomiła pozwanego dzwoniąc na infolinię oraz udając się na Policję, w celu złożenia zawiadomienia o przestępstwie.
Skoro powódka zaprzeczała, że wyraziła zgodę na dokonanie przedmiotowych transakcji, a pozwany nie przedstawił żadnego dowodu, który wskazywałby, że było jednak inaczej, to Sąd uznał, że transakcje, które miały miejsce w dniu 4 lipca 2023 roku na rachunku bankowym powódki prowadzonym przez (...), a które wymieniła ona w treści pozwu, były transakcjami nieautoryzowanymi.
Na taką ewentualność pozwany podnosił natomiast zarzut, że do transakcji doszło na skutek rażącego niedbalstwa powódki. Stwierdzenie takiego stopnia niedbalstwa uwalniałoby go bowiem od odpowiedzialności na podstawie art. 46 ust. 3 u.u.p.. Jednakże w ocenie Sądu powódce nie można przypisać rażącego niedbalstwa w naruszeniu obowiązków wynikających z art. 42 u.u.p..
Z dokonanych w sprawie ustaleń nie wynika, aby powódka przekazywała komukolwiek swoje hasło bądź login do bankowości elektronicznej. Postępowanie dowodowe nie potwierdziło, aby przekazywała ustnie bądź pisemnie kody zatwierdzające poszczególne transakcje, które były feralnego dnia dokonywane na jej rachunku bankowym. Przed 4 lipca 2023 roku autoryzacja transakcji w przypadku powódki odbywała się przy pomocy aplikacji (...), a zmiana sposobu autoryzacji nastąpiła dopiero właśnie 4 lipca 2023 r. i to bezpośrednio przed przedmiotowymi transakcjami. Taka zmiana była natomiast niewątpliwie potrzebna oszustowi, aby móc dokonać tych przelewów. Świadek będący pracownikiem banku zeznał bowiem, że w tamtym okresie aplikacja (...) nie działała w momencie jednoczesnego udostępnienia zdalnego dostępu do telefonu, gdyż samoczynnie się wyłączała. Bez zmiany sposobu autoryzacji na kody sms oszust nie byłby zatem w stanie zatwierdzać dokonywanych przez siebie przelewów. Również te okoliczności uwiarygadniają tłumaczenia powódki twierdzącej, że to nie ona dokonała takiej zmiany. Tak samo Sąd uznał za wiarygodne to, że nie widziała przesyłanych przez bank smsów z kodami autoryzacyjnymi. Skoro bowiem oszust miał zdalny dostęp do jej telefonu, to niewątpliwie to on musiał je odczytywać, sprawiając, że nie wyświetlały się one na ekranie jako nieodczytane. W konsekwencji skoro nie była świadoma, że takie kody są jej wysyłane, to i nie mogła ich nikomu przekazywać.
Niewątpliwie można jednak zarzucić powódce, że w sposób niedopuszczalny posłużyła się komputerem służbowym do celów prywatnych, tj. zalogowania się do prywatnego rachunku bankowego i co gorsze umożliwiła zdalny dostęp do tego komputera nieznanej jej osobie. Pominąwszy fakt, że w ten sposób pozwoliła mu na wgląd w jej rachunek bankowy (poprzez brak wylogowania się z niego przez większość dnia), to jeszcze w ten sposób naraziła swój zakład pracy na ewentualny atak hakerski. Było to tym bardziej niewłaściwe, że jako osoba odpowiadająca za finanse jednostki samorządu terytorialnego powinna z ogromną dozą ostrożności podchodzić do korzystania z komputera służbowego w celach pozasłużbowych, a już tym bardziej do wszelkich kontaktów w trakcie pracy ze strony osób jej nieznanych.
Mimo powyżej wskazanych okoliczności należy jednak zauważyć, że komputer ten posiadał aktywne zabezpieczenie antywirusowe i zaporę firewall, których wymagał bank, a więc był odpowiednio zabezpieczony. Zatem zdaniem Sądu powódka niewątpliwie zachowała się łatwowiernie i nieodpowiedzialnie wierząc dzwoniącej do niej, nieznanej jej osobie, nie sprawdzając jej danych i wykonując jej polecenia, w tym umożliwiając zdalny dostęp do swojego telefonu i komputera i w tym czasie jednocześnie logując się do bankowości elektronicznej. Było to nieodpowiedzialne także z tego względu, że cała ta sytuacja miała miejsce w czasie kiedy przebywała w pracy, a więc kiedy jej uwaga była skupiona na wielu różnych rzeczach, przez co z całą pewnością nie mogła w pełni rzetelnie i racjonalnie ocenić prośby dzwoniącego. Powinna była chociażby poprosić go o to, aby zadzwonił później, gdy będzie już w domu i będzie mogła na spokojnie zastanowić się nad jego prośbą.
Na jej usprawiedliwienie działa natomiast fakt, że rzeczywiście założyła konto na portalu blockchair, co usprawiedliwiało ewentualny kontakt w celu ustalenia czy w dalszym ciągu jest zainteresowana inwestowaniem w kryptowaluty. Poza tym oszust przesłał jej skan, który wyglądał jak skan ze strony (...), z którego wynikało, że mężczyzna jest zarejestrowanym doradcą inwestycyjnym, a więc osobą sprawdzoną. Co ważne, jak wynika z jej zeznań, zrobił to na jej prośbę, a więc nie było tak, że od razu bezrefleksyjnie mu uwierzyła. Przesłał jej także skan jej konta na portalu blockchair, co również w jakimś zakresie go uwiarygadniało.
Poza tym, mimo coraz lepszej wiedzy na temat oszukańczych sposobów działania różnych podmiotów i szeroko zakrojonych akcji informujących i ostrzegających o nich, zdaniem Sądu w dalszym ciągu wiedza przeciętnego człowieka jest zbyt mała, żeby w każdym przypadku uchronić się przed oszustwem. Sama powódka przyznała, że nigdy wcześniej nie słyszała o programie AnyDesk i zdaniem Sądu nie jest to jakiś odosobniony przypadek, a raczej norma. Choć trzeba też wskazać, że powódka jako osoba zajmująca się finansami w urzędzie gminy powinna jednak być szczególnie wyczulona na wszelkiego rodzaju podejrzenia oszustwa.
Wszystkie te okoliczności sprawiają, że zdaniem Sądu nie sposób uznać, że powódka dopuściła się rażącego niedbalstwa, za które należy uznać niezachowanie staranności, jakiej można by wymagać od osób najmniej nawet rozgarniętych. Można jej niewątpliwie zarzucić niedbalstwo, ale w ocenie Sądu nie jest to jednak rażące niedbalstwo.
Dodatkowo należy zwrócić uwagę na zobowiązanie pozwanego względem powódki jako posiadacza rachunku wynikające z art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe ( Dz.U.2023.2488), który to stanowi, że bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W ocenie Sądu pozwany nie dołożył takiej należytej staranności. Świadczy o tym fakt, że mimo tylu transakcji, które były tego dnia, w krótkim odstępie czasu, dokonywane na rachunku powódki, mimo znacznych kwot, na które te transakcje opiewały, mimo zerwania lokaty powódki na kwotę 50.000 złotych, mimo przelania znacznych środków z konta, do którego powódka miała pełnomocnictwo, mimo, że przelewy następowały na rachunki osób, które wcześniej nie pojawiały się w historii konta powódki, mimo kilkukrotnej zmiany limitów transakcji oraz mimo zmiany sposobu autoryzacji przelewów, w żaden sposób nie zadziałały zabezpieczenia banku. O tyle jest to zaskakujące, że jak zeznała G. M. (1), gdy wcześniej dokonywała przelewów na znaczne kwoty zawsze miała telefon z banku w celu ich potwierdzenia. Tym razem, mimo wszystkich wskazanych powyżej okoliczności, które w powiązaniu z całą pewnością mogły wzbudzić wątpliwości, takiego telefonu nie dostała.
Na fakt, że zabezpieczenia banku nie były jednak wystarczające wskazuje również to, że kilka miesięcy później wprowadzono zabezpieczenie umożliwiające wykrywanie zdalnych ekranów również w sytuacji logowania się na rachunek za pomocą przeglądarki komputerowej. Gdyby takie zabezpieczenie istniało w lipcu 2023 r. najprawdopodobniej nigdy nie doszłoby do oszustwa na szkodę powódki.
W ocenie Sądu samo zamieszczenie informacji na stronie internetowej banku ostrzegające o różnych formach oszustw nie jest wystarczające. Strona taka zawiera bowiem szereg informacji różnego typu i trudno oczekiwać od klientów, żeby wszystkie te informacje na bieżąco sprawdzali. W konsekwencji Sąd co do zasady uwzględnił żądanie powódki ( pkt I sentencji).
Nie uwzględnił jednak roszczenia w całości, bowiem rachunek powódki powinien zostać przywrócony do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. W tym kontekście należy zauważyć, że przed działaniami ze strony oszusta na rachunku bankowym powódki nie znajdowała się kwota 39.500 złotych. Kwota ta została przelana z rachunku bankowego, do którego pełnomocnictwem dysponowała powódka w wyniku działania oszusta, a nie powódki czy właścicielki tego rachunku bankowego. Dlatego też zdaniem Sądu to nie powódka jest legitymowana do dochodzenia tej kwoty. Niejako potwierdził to zresztą pełnomocnik powódki, który w piśmie z dnia 6 września 2024 r. stwierdził „ Przesunięcie bowiem środków na kwotę 39.500,00 zł stanowi odrębną nieautoryzowaną transakcję płatniczą, co do której osoba, której kosztem zrealizowano świadczenie pieniężne posiada własne, stosowne uprawnienia i roszczenia.”. Gdyby zatem uznać jego stanowisko i zasądzić na rzecz powódki kwotę 39.500,00 zł, a jednocześnie za jakiś czas właścicielka tego rachunku również wystąpiłaby z żądaniem zapłaty tej samej kwoty, to bank byłby narażony na jej dwukrotną zapłatę. Jeszcze raz należy wskazać, że rachunek bankowy powódki ma być przywrócony do stanu sprzed nieautoryzowanych transakcji, a przed ich dokonaniem kwota 39.500,00 zł nie znajdowała się na rachunku powódki.
O odsetkach Sąd orzekł na podstawie art. 481 § 1 k.c. w zw. z art. 455 k.c.. W wezwaniu do zapłaty z dnia 8 sierpnia 2023 roku został wyznaczony termin 7 dni na spełnienie świadczenia. Pismo zostało odebrane przez pracownika (...) w dniu 10 sierpnia 2023 r., a więc termin upływał z dniem 17 sierpnia 2023 r. Zatem żądanie zasądzenia odsetek od dnia 18 sierpnia 2023 roku zasługiwało na uwzględnienie.
O kosztach procesu Sąd orzekł na podstawie art. 98 § 1 i 11 k.p.c., art. 99 k.p.c. oraz art. 100 k.p.c..
Na koszty poniesione przez powódkę składały się:
opłata od pozwu w wysokości 1.000 złotych (art. 13a ustawy z dnia 28 lipca 2005 r. o kosztach sądowych w sprawach cywilnych – Dz.U.2021.2257 t.j.),
wynagrodzenie pełnomocnika w wysokości 5.400 złotych (§2 pkt 6 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 roku w sprawie opłat za czynności adwokackie – Dz.U.2015.1800),
opłata skarbowa za złożenie dokumentu stwierdzającego udzielenie pełnomocnictwa w wysokości 17 złotych (art. 1 ust. 1 pkt 2 ustawy z dnia 16 listopada 2006 roku o opłacie skarbowej – Dz.U.2021.1923 t.j.). Łącznie 6.417,00 złotych.
Na koszty poniesione przez pozwanego składało się:
wynagrodzenie pełnomocnika w wysokości 5.400 złotych (§2 pkt 6 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 roku w sprawie opłat za czynności radców prawnych – Dz.U.2018.265 t.j.),
opłata skarbowa za złożenie dokumentu stwierdzającego udzielenie pełnomocnictwa w wysokości 17 złotych (art. 1 ust. 1 pkt 2 ustawy z dnia 16 listopada 2006 roku o opłacie skarbowej – Dz.U.2021.1923 t.j.),
wykorzystana zaliczka na poczet dowodu z opinii biegłego w wysokości 2.815,54 złotych. Łącznie 8.232,54 złotych.
Powódka wygrała w 59,3 %, a pozwany w 40,7 % i dlatego po stosownych rozliczeniach pozwany powinien zwrócić powódce kwotę 454,64 złotych tytułem zwrotu kosztów procesu wraz z ustawowymi odsetkami za opóźnienie za czas od dnia uprawomocnienia się orzeczenia do dnia zapłaty ( pkt III sentencji). Kwota 184,46 złotych uiszczona tytułem zaliczki na poczet dowodu z opinii biegłego podlegała zwrotowi na rzecz pozwanego w związku z jej niewykorzystaniem ( pkt IV sentencji).
Mając na uwadze powyższe, Sąd orzekł jak w sentencji.
ZARZĄDZENIE
(...)