X

Serwis Internetowy Portal Orzeczeń używa plików cookies. Jeżeli nie wyrażają Państwo zgody, by pliki cookies były zapisywane na dysku należy zmienić ustawienia przeglądarki internetowej. Korzystając dalej z serwisu wyrażają Państwo zgodę na używanie cookies , zgodnie z aktualnymi ustawieniami przeglądarki.

BIP
Rozmiar tekstu
Kontrast

II Ca 1191/25 - zarządzenie, wyrok, uzasadnienie Sąd Okręgowy w Kielcach z 2025-10-29

Sygn. akt II Ca 1191/25

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 29 października 2025 roku

Sąd Okręgowy w Kielcach, II Wydział Cywilny Odwoławczy

w składzie następującym:

Przewodniczący: Sędzia Sądu Okręgowego Hubert Wicik

Protokolant: Monika Dudek

po rozpoznaniu w dniu 24 października 2025 roku w Kielcach na rozprawie

sprawy z powództwa W. M.

przeciwko (...) Bank (...) S.A. z siedzibą w W.

o zapłatę

na skutek apelacji powoda od wyroku Sądu Rejonowego w Jędrzejowie z dnia 9 maja 2025 roku, wydanego w sprawie I C 195/23

I.  zmienia zaskarżony wyrok w całości i zasądza od (...) Bank (...) S.A. z siedzibą w W. na rzecz W. M. :

a)  kwotę 39.950 (trzydzieści dziewięć tysięcy dziewięćset pięćdziesiąt) złotych wraz z odsetkami ustawowymi za opóźnienie od dnia 15 maja 2023 roku do dnia zapłaty,

b)  kwotę 4.617 (cztery tysiące sześćset siedemnaście) złotych tytułem kosztów procesu wraz z odsetkami ustawowymi za opóźnienie od dnia 6 listopada 2025 roku do dnia zapłaty;

II.  zasądza od (...) Bank (...) S.A. z siedzibą w W. na rzecz W. M. kwotę 3.717 (trzy tysiące siedemset siedemnaście) złotych tytułem kosztów postępowania apelacyjnego wraz z odsetkami ustawowymi za opóźnienie za czas od dnia uprawomocnienia się orzeczenia zasądzającego te koszty do dnia zapłaty.

Sygn. akt II Ca 1191/25

UZASADNIENIE

Wyrokiem z dnia 9 maja 2025 roku, wydanym w sprawie I C 195/23, Sąd Rejonowy w Jędrzejowie oddalił powództwo W. M. przeciwko (...) Bank (...) S.A. z siedzibą w W. o zapłatę (pkt I) oraz zasądził od powoda na rzecz pozwanego kwotę 5.117 zł tytułem kosztów procesu wraz z ustawowymi odsetkami za opóźnienie liczonym od dnia uprawomocnienia się wyroku do dnia faktycznej zapłaty (punkt II).

Apelację od tego wyroku wywiódł powód, zaskarżając go w całości. Zarzucił istotne naruszenie przepisów postępowania w stopniu mającym wpływ na wynik postępowania, tj. art. 233 § 1 k.p.c. (szczegółowo wskazując na czym podlegają wadliwości Sądu Rejonowego w zakresie ustaleń faktycznych i oceny dowodów) oraz naruszenie przepisów prawa materialnego, tj. art. 46 ust. 1 w zw. z art. 46 ust. 3 i art. 42 ustawy o usługach płatniczych, art. 725 k.c. i art. 50 ust. 2 ustawy Prawo bankowe. W oparciu o te zarzuty wniósł o zmianę zaskarżonego wyroku w punkcie I poprzez uwzględnienie powództwa w całości i zasądzenie od pozwanego na rzecz powoda kwoty 39.950 zł wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia 15 maja 2023 roku do dnia zapłaty; zmianę zaskarżonego wyroku w punkcie II poprzez zasądzenie od pozwanego na rzecz powoda kosztów procesu, w tym kosztów zastępstwa procesowego według norm przepisanych wraz z odsetkami. Powód wniósł także o zasądzenie od pozwanego kosztów postępowania przed Sądem II instancji, w tym kosztów zastępstwa procesowego według norm przepisanych wraz z odsetkami.

Pozwany w odpowiedzi na apelację wniósł o jej oddalenie i zasądzenie od pozwanego na rzecz powoda kosztów postępowania apelacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych.

Sąd Okręgowy zważył, co następuje:

Apelacja zasługiwała na uwzględnienie.

Ustalenia faktyczne Sądu Rejonowego w większości są prawidłowe, ale niekompletne. Sąd Rejonowy pominął część okoliczności faktycznych istotnych dla rozstrzygnięcia sprawy, w tym zwłaszcza to, że z żadnej z informacji przesłanych do powoda przez pozwany Bank w dniu 30 marca 2023 roku nie wynikało jednoznacznie, że aktywacja aplikacji (...) nastąpiła na nowym urządzeniu, innym niż telefon powoda, jak również to kiedy doszło do zablokowania przez pozwany Bank narzędzia autoryzacyjnego, wreszcie czy Bank skontaktował się niezwłocznie z W. M. po dokonaniu tej blokady, a których uwzględnienie doprowadziło do odmiennego wyniku postępowania. Ustalenia faktyczne Sądu Rejonowego należało uzupełnić w następujący sposób. W ramach procedury zainstalowania aplikacji (...) na nowym urządzeniu, którym posługiwał się sprawca przestępstwa popełnionego na szkodę W. M. i jej aktywacji na tym urządzeniu, żaden z komunikatów, które zostały skierowane do powoda nie zawierał jednoznacznej informacji, że ta aktywacja dotyczy innego urządzenia niż telefon, który powód wówczas posiadał i którego posiadania nie utracił. Pierwsza informacja, stanowiąca wiadomość sms znajdującą się w aktach sprawy (k. 193) miała treść „Aktywujesz (...) z dostępem do konta. Nie udostępniaj ani nie pobieraj od nikogo poufnego klucza” (po której poddany był ciąg cyfr i liter). Druga informacja, głosowa zawierała treść „Dzień dobry, dzwonimy z (...) Banku (...). Za chwilę podamy Ci Twój poufny kod, którym aktywujesz aplikację mobilną (...). Dzięki niej możesz szybko i sprawnie płacić za zakupy stacjonarne i online, zlecać przelewy na telefon oraz wpłacać i wypłacać gotówkę. Jeśli to nie Ty chcesz aktywować (...), rozłącz się teraz i skontaktuj z naszą Infolinią. Może być to próba oszustwa. Jeśli to Ty chcesz ją aktywować, pamiętaj – poufny kod aktywacyjny wpisz tylko w swojej aplikacji (...). Nie przekazuj kodu osobom trzecim. Inaczej możesz stracić pieniądze i dostęp do konta. Pracownicy banku nigdy Cię o niego nie poproszą. Twój kod aktywacyjny to” (po którym był podany numer 4-cyfrowego kodu). Trzecia informacja to sms o treści „Aplikacja (...) została właśnie aktywowana na telefonie o numerze(...). Jeśli aktywował ją ktoś inny niż Ty – skontaktuj się z nami pod numerem (...)” ( dowód: pismo Biura Rzecznika Klienta z dnia 09.05.2023 roku - k. 106-106v). Żadna z tych informacji skierowanych do powoda dotyczących aktywowania aplikacji (...) nie zawierała też treści wskazującej na to, że od tej pory to nie telefon powoda o numerze (...), tylko inny telefon będzie służył jako narządzenie uwierzytelniające (autoryzacyjne) dokonywanie operacji na jego rachunku bankowym. Sąd Okręgowy uzupełniająco ustalił także, że powód aż do rozmowy telefonicznej zainicjowanej przez konsultanta (...) w dniu 31 marca 2023 roku o godz. 16:44 nie został poinformowany o tym, że nastąpiło zablokowanie jego urządzenia autoryzacyjnego do aplikacji (...), ani w wyniku blokady dokonanej w dniu 30 marca 2023 roku o godz. 16:44:02, ani w wyniku blokady dokonanej w dniu 30 marca 2023 roku o godz. 22:37:26 ( dowód : zeznania powoda, przy braku dowodu przeciwnego, również opinia biegłego sądowego z zakresu informatyki M. B., który wskazał, że nie znalazł informacji, aby Bank powiadomił powoda o takiej blokadzie).

Po aktywowaniu aplikacji (...) na urządzeniu sprawcy przestępstwa, o godz. 16:57 próbowano dokonać operacji bankowej dotyczącej płatności w euro, dających kwotę 7.715,54 zł. Operacja ta nie została jednak przez Bank zrealizowana, okazała się nieskuteczna ( dowód : nagranie rozmowy z konsultantem pozwanego z dnia 31 marca 2023 roku rozpoczęte o godz. 17:03 – od min. 9:40 tego nagrania). Dopiero po dokonaniu w dniu 30 marca 2023 roku operacji bankowych polegających na wykonaniu dwóch przelewów w kwotach 20.000 zł i 19.000 zł, oraz wypłat z bankomatu w kwotach 400 zł, 300 zł i 250 zł, zareagował system zabezpieczeń pozwanego Banku, blokując nowe urządzenie autoryzacyjne o godzinie 22:37:26 ( dowód: dokument historii zmian narzędzi autoryzacyjnych k. 99, k. 101). Środki przelane w dniu 30 marca 2023 roku na rachunek bankowy prowadzony na rzecz E. S. w łącznej kwocie 39.000 zł pozostawały na nim do następnego dnia do godziny 13:00, kiedy zostały wypłacone poprzez operacje bankowe wypłat z bankomatu. Konsultantka pozwanego Banku podczas rozmowy telefonicznej z powodem w dniu 1 kwietnia 2023 roku od godz. 12:39 poinformowała powoda o wypłacie tych środków o tej godzinie z rachunku bankowego sprawcy przestępstwa, oświadczając, że gdyby powód zauważył te wypłaty ze swojego rachunku wcześniej i zadzwonił do Banku wcześniej, to Bank zdążyłby te środki zablokować i środki te by do powoda wróciły ( dowód : nagranie tej rozmowy od min. 11:00). Powód nie został jednak niezwłocznie powiadomiony o zablokowaniu urządzenia autoryzacyjnego, a tym samym o stwierdzonych przez Bank nieprawidłowościach, podejrzeniach, które skutkowały tą blokadą. Bank skontaktował się z nim dopiero następnego dnia, tj. 31 marca 2023 roku o godz. 16:44.

Uzupełnione w powyższy sposób ustalenia faktyczne nie pozwalały na podzielenie stanowiska Sądu Rejonowego, że w sprawie zaistniały podstawy do zastosowania regulacji art. 46 ust. 3 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych, Dz.U.2025.611 t.j., dalej jako u.u.p. i obciążenia W. M. odpowiedzialnością za nieautoryzowane operacje bankowe (transakcje płatnicze) zaistniałe na jego rachunku bankowym w dniu 30 marca 2023 roku.

Na wstępie rozważań prawnych wskazać należy, że nie budzi wątpliwości, że wszystkie operacje bankowe objęte podstawą faktyczną żądania powoda nie były autoryzowane, co prawidłowo ustalił Sąd Rejonowy. Powód padł ofiarą przestępczej działalności innej osoby, nie zlecał dokonania tych operacji, nie akceptował ich, został po prostu oszukany przez inną osobę, która wykorzystała jego nieostrożność oraz skorzystała na braku odpowiedniej reakcji pozwanego Banku, zarówno w chwili dokonywania transakcji płatniczych, jak i w kolejnych godzinach po ich dokonaniu, kiedy jeszcze realna była szansa na odwrócenie skutków dokonanych przesunięć pomiędzy rachunkiem bankowym powoda a rachunkiem bankowym sprawcy przestępstwa. Z przepisu art. pkt 33b ustawy o usługach płatniczych wynika, że uwierzytelnianie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających. Autoryzacji zaś jest poświęcony cały rozdział 2 tej ustawy. Zgodnie z jej art. 40 ust. 1 transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. Z ust. 2 wynika, że zgoda powinna być udzielona przez płatnika przed wykonaniem transakcji płatniczej albo kolejnych transakcji płatniczych, chyba że płatnik i jego dostawca uzgodnili, że zgoda może zostać udzielona także po ich wykonaniu. Zgody na wykonanie transakcji płatniczej można również udzielić za pośrednictwem odbiorcy, dostawcy odbiorcy albo dostawcy świadczącego usługę inicjowania transakcji płatniczej. Samo uwierzytelnienie transakcji za pomocą określonych danych jest zatem pojęciem odmiennym od pojęcia autoryzacji, które oznacza wyrażenie zgody na przeprowadzenie operacji.

W orzecznictwie trafnie wskazuje się, że ryzyko dokonania wypłaty środków z rachunku bankowego do rąk osoby nieuprawnionej oraz dokonanie rozliczenia pieniężnego na podstawie dyspozycji wydanej przez osobę nieuprawnioną obciąża bank, także w sytuacji objęcia umowy rachunku bankowego bankowością elektroniczną. Wynika to z regulacji zawartej w art. 45 ust. 1 i 2 ustawy o usługach płatniczych. Skoro dostawcy samodzielnie oraz zarobkowo organizują swoją działalność gospodarczą na rynku usług płatniczych, można od nich oczekiwać odpowiedniego poziomu profesjonalizmu i przypisać im ciężar udowodnienia, że transakcja, która podlega wykonaniu, została autoryzowana przez płatnika albo wystąpiły inne relewantne okoliczności dotyczące jego odpowiedzialności za transakcję nieautoryzowaną. Użytkowników - w relacjach z dostawcami - traktuje się jako stronę strukturalnie słabszą, która wymaga ochrony prawnej przez korzystne dla nich ukształtowanie reguł dowodowych w odniesieniu do autoryzacji transakcji płatniczych oraz kwestii pokrewnych związanych z odpowiedzialnością. Powyższa reguła pozostaje również w związku z zasadą wskazaną w art. 46 ustawy, która kształtuje generalną zasadę odpowiedzialności dostawcy za nieautoryzowane transakcje płatnicze, która jest oparta na zasadzie ryzyka. Dostawca - bank nie może zwolnić się od odpowiedzialności poprzez wykazanie, że realizował umowę z zachowaniem należytej staranności. Podkreślenia wymaga, że udowodnienie autoryzowania transakcji nie może ograniczać się do wywodu, że transakcje zostały potwierdzone przez wprowadzenie danych uwierzytelniających. Samo uwierzytelnienie transakcji za pomocą określonych danych jest pojęciem odmiennym od pojęcia autoryzacji . Obowiązek należytego zabezpieczenia środków powoda był obowiązkiem pozwanego Banku, który powinien opracować takie procedury weryfikacji transakcji, aby niemożliwe było dokonywanie transakcji przez osoby nieuprawnione. Bank jest zobowiązany do dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W aktualnym orzecznictwie nie znajduje już aprobaty prezentowane przed laty stanowisko wyrażające się minimalizacją wymagań co do staranności banków przy wykonywaniu zobowiązań wobec swoich kontrahentów (wyrok Sądu Najwyższego z dnia 7 stycznia 1964 roku, III CR 365/63, OSNC 1964/11/231). W licznych orzeczeniach z późniejszego okresu dominuje już restryktywne, a zarazem w pełni uzasadnione jurydycznie, podejście, stawiające bankom wysokie wymagania pod względem oceny staranności zachowań niezbędnych przy wykonywaniu ich zobowiązań (por. uchwała Sądu Najwyższego z dnia 20 listopada 1992 roku, III CZP 138/92, OSNC 1993/6/96; wyroki Sądu Najwyższego z dnia 28 maja 1999 roku, III CKN 196/98, OSNC 2000/1/8; z dnia 16 stycznia 2001 roku, II CKN 344/00; z dnia 26 lipca 2001 roku, II CKN 1269/00, OSP 2002/9/121). W wyroku z dnia 14 kwietnia 2003 roku w sprawie I CKN 308/01 Sąd Najwyższy wyraził zapatrywanie, że zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności. Stosownie do art. 46 ust. 1 powołanej ustawy, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej, dostawca płatnika jest obowiązany niezwłocznie dokonać na rzecz płatnika zwrotu kwoty nieautoryzowanej transakcji płatniczej albo, w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Art. 45 ust. 1 analizowanej ustawy stanowi, że ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika spoczywa na dostawcy tego użytkownika, przy czym do zrealizowania tego obowiązku dowodowego nie jest wystarczające wykazanie samego zarejestrowanego użycia instrumentu płatniczego. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

W myśl art. 42 ustawy z dnia 19 sierpnia 2011 roku o usługach płatniczych, użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (ust. 1), przy czym w celu spełnienia obowiązku korzystania z instrumentu płatniczego zgodnie z umową ramową użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym (ust. 2). Z art. 44 ust. 1 analizowanej ustawy wynika, że użytkownik niezwłocznie powiadamia dostawcę o stwierdzonych nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcjach płatniczych. Z ust. 2 wynika, że istotne jest to czy powiadomienie, o którym mowa w ust. 1 zostało dokonane w terminie 13 miesięcy od dnia obciążenia rachunku płatniczego albo od dnia, w którym transakcja miała być wykonana. Dopiero w razie niezachowania tego terminu, roszczenia użytkownika względem dostawcy z tytułu nieautoryzowanych, niewykonanych lub nienależycie wykonanych transakcji płatniczych wygasają. Pozwany Bank zarzucał rażące naruszenie przez powoda zasad bezpieczeństwa, jednakże nie wykazał ani naruszenia tych zasad (co najmniej w zakresie przeprowadzonej procedury aktywacji aplikacji (...) w dniu 30 marca 2023 roku, o czym będzie dalej mowa), ani tym bardziej związku przyczynowego pomiędzy takim naruszeniem a dokonaniem nieautoryzowanych transakcji płatniczych (dodajmy, że chodzi o taki związek, w którym to naruszenie tych zasad stało się wyłączną przyczyną przeprowadzenia nieautoryzowanych transakcji, bez wadliwości po stronie czynności samego banku). Pozwany nie wykazał, które konkretnie zasady dokonywania aktywacji aplikacji (...), o jakiej treści, gdzie uregulowane, zostały przez powoda pominięte czy naruszone, a tym bardziej, że to naruszenie miało charakter rażącego niedbalstwa. Przepis art. 46 u.u.p. za istotne uznaje naruszenie obowiązków, o których mowa w jej art. 42 umyślnie lub wskutek rażącego niedbalstwa (gdy bank wymagał silnego uwierzytelnienia) lub tylko umyślnie (gdy bank nie wymagał takiego silnego uwierzytelnienia). Ocena, czy zachodzi wypadek rażącego niedbalstwa wymaga uwzględnienia obiektywnego stanu zagrożenia oraz kwalifikowanej postaci braku zwykłej staranności w przewidywaniu skutków, a więc uwzględnienia staranności wymaganej od działającej osoby oraz okoliczności, w których doszło do zaniechania pożądanych zachowań z jej strony. "Rażące niedbalstwo" to coś więcej niż brak zachowania zwykłej staranności w działaniu. Wykładnia tego pojęcia powinna zatem uwzględniać kwalifikowaną postać braku zwykłej lub podwyższonej staranności w przewidywaniu skutków działania. Chodzi tu o takie zachowanie, które graniczy z umyślnością (por. wyrok Sądu Najwyższego z dnia 29 stycznia 2009 roku, sygn. akt V CSK 291/08). Rażące niedbalstwo można zatem przypisać w wypadku nieprzewidywania szkody jako skutku zaniechania określonego działania, o ile doszło do przekroczenia podstawowych, elementarnych zasad staranności. Trafnie zauważa skarżący, że należy wyraźnie odróżnić "rażące niedbalstwo" od "zwykłego niedbalstwa", czyli takiego zachowania osoby, która przewiduje skutki swojego działania lub zaniechania, lecz spodziewa się, że ich uniknie oraz gdy skutków tych nie przewiduje, chociaż może i powinna była je przewidzieć. Przypisanie określonej osobie niedbalstwa uznaje się za uzasadnione wtedy, gdy osoba ta zachowała się w określonym miejscu i czasie w sposób odbiegający od właściwego dla niej miernika należytej staranności. Przez rażące niedbalstwo rozumie się natomiast niezachowanie minimalnych (elementarnych) zasad prawidłowego zachowania się w danej sytuacji. Stopień naruszenia obowiązków musi być przy tym rażący, co oznacza brak elementarnej staranności płatnika (K. Osajda (red. serii), J. Dybiński (red. tomu), Ustawa o usługach płatniczych. Komentarz, Warszawa 2022; B. Bajor w: Ustawa o usługach płatniczych. Komentarz, wyd. II, red. J. Byrski, A. Zalcewicz, Warszawa 2021, art. 46). Na gruncie analizowanych przepisów w orzecznictwie można spotkać stanowiska, że za rażące niedbalstwo nie uznaje się nawet takich zachowań jak kliknięcie w link zawarty w wiadomości od nadawcy podszywającego się pod operatora, co zainicjowało proces pobierania złośliwego oprogramowania i umożliwiło dokonanie nieautoryzowanych transakcji (tak w wyroku Sądu Apelacyjnego w Łodzi z dnia 30 czerwca 2023 roku, w sprawie I ACa 785/22). Pamiętać też należy o przepisie art. 8 ustawy o usługach płatniczych. Zgodnie z nim, postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego nie mogą być mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy, chyba że ustawa stanowi inaczej (ust. 1). Postanowienia umów o usługi płatnicze oraz umów o wydanie pieniądza elektronicznego mniej korzystne dla użytkowników i posiadaczy pieniądza elektronicznego niż przepisy ustawy są nieważne; zamiast nich stosuje się odpowiednie przepisy ustawy (ust. 2). Bank nie mógł w drodze regulaminu narzucić definicji rażącego niedbalstwa.

W kwestii ciężaru dowodowego należy się odwołać do regulacji art. 45 ustawy o usługach płatniczych. Z jego ust. 1 wynika, że na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej. Z jego ust. 2 wynika z kolei, że wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy. Choć w literaturze można spotkać stanowiska, że polska regulacja (wymagająca wykazania autoryzacji) odbiega od zapisów dyrektywy Parlamentu Europejskiego i Rady (UE) (...) (jej art. 72 wymaga wykazania uwierzytelnienia), to w judykaturze nie ma wątpliwości co do tego, że brzmienie art. 45 analizowanej ustawy nakłada na dostawcę usług płatniczych ciężar udowodnienia, że transakcja płatnicza została autoryzowana a nie tylko uwierzytelniona (por. np. wyrok Sądu Najwyższego z dnia 18 stycznia 2018 roku, V CSK 141/17 oraz wyrok Sądu Najwyższego z dnia 15 września 2023 roku, (...)). W tym ostatnim wyroku wskazano, że wykazanie uwierzytelnienia przez dostawcę usług nie jest równoznaczne z wykazaniem autoryzacji, co potwierdza art. 45 ust. 2 ustawy o usługach płatniczych. W sprawie tej Sąd Najwyższy analizował m.in. różnice pomiędzy tym przepisem a art. 72 ust. 1 dyrektywy, gdy zdaniem skarżącego brzmienie art. 45 ust. 1 tej ustawy, nakładającego na dostawcę użytkownika - w razie, gdy użytkownik kwestionuje autoryzację transakcji - ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika, nie oddaje prawidłowo treści art. 72 ust. 1 dyrektywy, który rozróżnia autoryzację oraz uwierzytelnienie i wskazuje na ciężar udowodnienia przez dostawcę uwierzytelnienia transakcji płatniczej. W uzasadnieniu tego wyroku Sąd Najwyższy m.in. wskazał, że wprawdzie część doktryny zwraca uwagę, że wykazanie przez dostawcę uwierzytelnienia przenosi ciężar dowodu co do braku autoryzacji na użytkownika (płatnika), jednakże in casu jest to o pozbawione znaczenia, ponieważ Sąd odwoławczy ustalił jednoznacznie, iż powód nie udzielił zgody na przedmiotowe przelewy, a więc ich nie autoryzował. Również w naszej sprawie nie budzi wątpliwości, że powód nie udzielił zgody na przedmiotowe transakcje, które odbyły się poza jego wiedzą i zgodą, co potwierdza zarówno niezwłoczna reakcja powoda w postaci złożenia zawiadomienia o popełnieniu przestępstwa na jego szkodę w tym samym dniu, w którym uzyskał z pozwanego Banku wiadomość o dokonanych na jego rachunku operacjach w dniu 30 marca 2023 roku oraz determinacja z jaką powód dążył do wyjaśnienia tych kwestii, zarówno podczas rozmów z konsultantami Banku, jak i w postępowaniach sądowych.

Podkreślenia wymaga, że powództwo zostało oparte na przesłankach z art. 46 ust. 1 ustawy o usługach płatniczych. Zgodnie z art. 46 ust. 1 u.u.p., z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia, zwraca płatnikowi kwotę nieautoryzowanej transakcji płatniczej, z wyjątkiem przypadku gdy dostawca płatnika ma uzasadnione i należycie udokumentowane podstawy, aby podejrzewać oszustwo, i poinformuje o tym w formie pisemnej organy powołane do ścigania przestępstw. W przypadku gdy płatnik korzysta z rachunku płatniczego, dostawca płatnika przywraca obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Data waluty w odniesieniu do uznania rachunku płatniczego płatnika nie może być późniejsza od daty obciążenia tą kwotą. Z ust. 3 tego przepisu wynika, że płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Użycie słów „doprowadził” oraz „w wyniku” oznacza, że pomiędzy umyślnym lub będącym skutkiem rażącego niedbalstwa naruszeniem obowiązków z art. 42 ustawy a przeprowadzeniem nieautoryzowanej transakcji płatniczej musi istnieć adekwatny związek przyczynowy. Nie ma podstaw do formułowania w tym zakresie jakichkolwiek domniemań korzystnych dla dostawcy usług płatniczych. Odpowiedzialność dostawcy ma charakter odpowiedzialności gwarancyjnej, albowiem dostawca odpowiada w razie wystąpienia określonego zdarzenia (wykonania nieautoryzowanej transakcji płatniczej).

Analiza przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) (...) z dnia 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, (...), (...) i rozporządzenie (UE) nr (...) oraz uchylająca dyrektywę 2007/64/WE nie prowadzi do odmiennych wniosków. Przywołać należy jej motyw 71, z którego wynika, że w przypadku nieautoryzowanej transakcji płatniczej dostawca usług płatniczych powinien bezzwłocznie zwrócić płatnikowi kwotę tej transakcji, co szczegółowo regulują art. 73 i 74. Z motywu 72 wynika, że aby ocenić ewentualne zaniedbanie lub rażące zaniedbanie ze strony użytkownika usług płatniczych, należy uwzględnić wszystkie okoliczności. Fakt i stopień domniemanego zaniedbania powinny być zasadniczo oceniane zgodnie z prawem krajowym. O ile jednak pojęcie zaniedbania oznacza niedopełnienie obowiązku dochowania należytej staranności, rażące zaniedbanie powinno oznaczać więcej niż zwykłe zaniedbanie i odnosić się do postępowania odznaczającego się znaczącym stopniem niedbalstwa; na przykład przechowywanie danych uwierzytelniających stosowanych do autoryzacji transakcji płatniczej w pobliżu instrumentu płatniczego, w formie jawnej i łatwo rozpoznawalnej dla stron trzecich. Warunki umowne dotyczące dostarczenia i używania instrumentu płatniczego, których skutkiem byłoby zwiększenie ciężaru dowodu spoczywającego na konsumencie lub zmniejszenie ciężaru dowodu spoczywającego na wydawcy, powinny być uznane za nieważne. Ponadto w szczególnych sytuacjach, a w szczególności w przypadku gdy instrumentu płatniczego nie ma w punkcie sprzedaży, jak ma to miejsce w przypadku płatności online, należy postanowić, że obowiązek przedstawienia dowodów domniemanego zaniedbania spoczywa na dostawcy usług płatniczych, ponieważ płatnik dysponuje w takich przypadkach bardzo ograniczonymi środkami w tym względzie. Zwrócić należy uwagę, że pojęcie autoryzacji, którego używa dyrektywa w istocie nie odbiega od pojęcia autoryzacji użytego w ustawie o usługach płatniczych. Z art. 64 ust. 1 dyrektywy wynika, że państwa członkowskie zapewniają, aby transakcję płatniczą uznawano za autoryzowaną tylko pod warunkiem udzielenia przez płatnika zgody na wykonanie transakcji płatniczej. Z ust. 2 wynika, że w przypadku braku zgody transakcję płatniczą uznaje się za nieautoryzowaną. Przepis art. 64 ust. 1 i 2 dyrektywy nawiązuje nie do samego uwierzytelnienia lecz do zgody płatnika na wykonanie transakcji płatniczej. Odpowiada to brzmieniu art. 40 ust. 1 ustawy o usługach płatniczych, który za transakcję autoryzowaną uznaje taką, na którą płatnik wyraził zgodę w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Wskazywany przez pozwanego art. 72 ust. 1 dyrektywy posługuje się wprawdzie sfomułowaniem „udowodnienie, że transakcja została uwierzytelniona”, jednakże nie w wąskim pojęciu uwierzytelnienia używanym w ustawie o usługach płatniczych. Zwrócić bowiem należy uwagę na ust. 2 art. 72 tej dyrektywy, z którego wynika, że w przypadku gdy użytkownik usług płatniczych zaprzecza, że autoryzował wykonaną transakcję płatniczą, użycie instrumentu płatniczego zarejestrowane przez dostawcę usług płatniczych, w tym dostawcę świadczącego usługę inicjowania płatności, stosownie do sytuacji, samo w sobie niekoniecznie jest wystarczające do udowodnienia, że dana transakcja płatnicza została przez płatnika autoryzowana albo że płatnik działał w nieuczciwych zamiarach lub dopuścił się celowego lub rażącego zaniedbania co najmniej jednego z obowiązków przewidzianych w art. 69. Ponadto jest to przepis dotyczący jedynie ciężaru dowodowego, a nie jest wykluczone uregulowanie w prawie krajowym zasad ciężaru dowodowego w sposób korzystniejszy dla osób korzystających z usług płatniczych, jako strony słabszej w relacjach z dostawcą takich usług, w tym z bankami. W orzecznictwie dostrzega się zresztą, że wykładanie zapisów art. 72 ust. 1 dyrektywy jako nawiązujących jedynie do uwierzytelnienia, w rozumieniu jakie starają się narzucić dostawcy usług płatniczych, mianowicie, że do uwolnienia się od odpowiedzialności wystarcza wykazanie samego prawidłowego uwierzytelnienia transakcji, nie byłoby zgodne z celami dyrektywy i prowadziłoby do istotnego osłabienia ochrony strony słabszej w stosunku dostawca usług płatniczych-odbiorca usług płatniczych. Nałożenie na bank obowiązku wykazania jedynie uwierzytelnienia a nie autoryzacji prowadziłoby choćby do takich sytuacji, gdzie nawet skazanie wyrokiem karnym bezpośredniego sprawcy szkody pozwalałoby dowieść bankowi, że transakcja taka, przy wykorzystaniu skradzionego instrumentu płatniczego, została prawidłowo wykonana przez bank, po jej uwierzytelnieniu. Odpowiedzialność banku byłaby w zasadzie ograniczona do transakcji zakłóconych jedynie przez awarię techniczną, czy inny defekt (por. trafne rozważania w uzasadnieniu wyroku Sądu Apelacyjnego w Warszawie z dnia 24 maja 2018 roku, VI ACa 217/17).

Sąd Okręgowy jedynie częściowo zgadza się ze stanowiskiem Sądu Rejonowego co do oceny zachowania powoda w dniu 30 marca 2023 roku. Dotyczy to czynności polegających na kliknięciu w link, który przekierował powoda na fałszywą stronę internetową, imitującą stronę (...) pozwanego Banku, na której powód podał swoje dane w postaci numeru karty, hasła, loginu, stanowiące część danych niezbędnych do dokonywania operacji na jego rachunku bankowym. Dodatkowo należało ustalić, że powód nie sprawdził czy jest to oryginalna strona pozwanego Banku, co powinno nastąpić poprzez sprawdzenie czy połączenie to jest szyfrowane (kłódką), a obowiązek tego sprawdzenia został na powoda nałożony także poprzez stosowne zapisy postanowień umowy (por. zapisy przewodnika po aplikacji (...)). Do tego etapu zachowaniu W. M. można by nawet przypisać rażące niedbalstwo, zwłaszcza gdy uwzględnić, że jest osobą młodą, mającą duże doświadczenie w posługiwaniu się tą aplikacją bankową, dokonującą wielu transakcji z jej udziałem, także z wykorzystaniem kontaktów przez portal (...) oraz świadomą zagrożeń związanych z próbami oszustw internetowych.

Zdaniem Sądu Okręgowego uwzględnić jednak należało to, że dane, które sprawca przestępstwa uzyskał do tego etapu (przy wykorzystaniu tej niefrasobliwości powoda, sięgającej nawet rażącego niedbalstwa), nie wystarczały do wykonywania operacji na jego rachunku bankowym w dniu 30 marca 2023 roku, ani gdy chodzi o przelewy, ani o wypłaty z bankomatu. Brakowało bowiem dostępu sprawcy przestępstwa do urządzenia (narzędzia) autoryzacyjnego, jakim był telefon powoda o numerze (...), na który przychodziły komunikaty pozwalające na zatwierdzenie zlecanych transakcji. W tym celu sprawca przestępstwa podjął czynności zmierzające do uzyskania zmiany urządzenia autoryzacyjnego na urządzenie, którym sam się posługiwał, które okazały się skuteczne i zakończyły się taką zmianą. Podkreślić jednak należy, że W. M. nie został przez pozwany Bank prawidłowo poinformowany o zmianie urządzenia autoryzacyjnego. Z uzupełniających ustaleń Sądu Okręgowego wynika, że żadna z informacji, która przyszła do powoda i dotyczyła aktywacji aplikacji (...) nie zawierała jednoznacznej informacji, że ta aktywacja następuje i nastąpiła na innym urządzeniu (innym telefonie) niż telefon powoda, który cały czas miał przy sobie i którego posiadania nie utracił. Przyznała to zresztą w istocie pełnomocnik pozwanego na rozprawie apelacyjnej, oświadczając jednak, że zawieranie w informacjach tekstowych czy głosowych skierowanych do powoda zapisu o aktywacji tej aplikacji na innym urządzeniu nie było konieczne, bo było to oczywiste. Uwzględnić należało, że pozwany Bank jako profesjonalista w tej dziedzinie jest zobowiązany do zachowania szczególnej staranności, zwłaszcza gdy dokonuje czynności z udziałem konsumentów, a tak właśnie było w rozważanym przypadku. W ramach tej szczególnej staranności można i należy wymagać od pozwanego kierowania do konsumentów jednoznacznych informacji, dotyczących dokonywanych czynności, ich wpływu na możliwość dokonywania czynności bankowych. Jest to tym istotniejsze, gdy chodzi o czynności łączące się ze zwiększonym ryzykiem, takie jak prawidłowa zmiana sposobu autoryzacji, czy zmiana samego urządzenia do autoryzacji. Te czynności są często wykorzystywane przez przestępców internetowych. Zdaniem Sądu Okręgowego, pozwany Bank tej szczególnej staranności nie dochował, co oznacza, że nie może przerzucić na powoda odpowiedzialności za nieautoryzowane transakcje płatnicze z powołaniem się na przepis art. 46 ust. 3 w/w ustawy, mający charakter szczególny i nie podlegający wykładni rozszerzającej. Po pierwsze, procedura dokonywania zmiany urządzenia do autoryzacji powinna być jasno określona w przepisach pozwanego Banku. Tymczasem z żadnego z dokumentów znajdujących się w aktach sprawy nie wynika, jak ta procedura powinna wyglądać, jakie ma etapy, jakie informacje powinny być wysłane do klienta, nie wynika też, że powód został o tej procedurze prawidłowo poinformowany. Nie jest wystarczające, aby o tej procedurze opowiedział świadek, będący pracownikiem pozwanego Banku i to bez odwołania się do określonych zapisów umownych, bo z uwagi na wagę tej czynności procedura ta powinna być jednoznacznie określona stosownymi uregulowaniami prawnymi, zwłaszcza, że sposób jej przeprowadzenia, o którym zeznawał świadek może budzić wątpliwości. Chodzi o brak identyfikacji przez system pozwanego Banku numeru telefonu, z którego następuje próba dokonania zmiany urządzenia do autoryzacji (telefonu), o czym wspominał świadek P. C. (por. nagranie jego przesłuchania od min. 51:30, w którym zeznał, że to nowe urządzenie mogło mieć nowy numer telefonu, ale aplikacja nie pobiera tego nowego numeru telefonu). Skoro system (aplikacja) nie sprawdza tego czy próba aktywacji aplikacji (...) na nowym urządzeniu następuje z tego samego numeru telefonu czy z innego, a w tym wypadku niewątpliwie ta próba aktywacji aplikacji musiała pochodzić z innego numeru telefonu, bowiem telefon z kartą sim o numerze (...) cały czas był w posiadaniu powoda, to wysyłana końcowo do powoda informacja, że nastąpiło aktywowanie aplikacji (...) na telefonie numer (...) (...) była nieprawdziwa, wprowadzająca w błąd. Przepis art. 42 u.u.p. odwołuje się do obowiązku korzystania z instrumentu płatniczego zgodnie z umową ramową, stąd pozwany Bank odwołując się do art. 46 ust. 3 u.u.p., który z kolei odwołuje się do art. 42 u.u.p. powinien wskazać na konkretny zapis umowy, który został w tym wypadku naruszony – co dotyczy zapisów procedury aktywowania aplikacji (...) czy zmiany urządzenia autoryzacyjnego w tej aplikacji. Nawet jeśli taka procedura znajdowałaby się gdzieś na stronach internetowych pozwanego Banku, to aby się na nią powołać Bank powinien ją „wprowadzić” jako materiał dowodowy do niniejszego procesu. Nie jest to powiem fakt powszechnie znany w rozumieniu art. 228 k.p.c. Na okoliczność tą zwracał uwagę Przewodniczący na rozprawie apelacyjnej. Po drugie, procedura, którą zastosowano w tym wypadku nie zawierała wyraźnej informacji, że doszło do zmiany urządzenia służącego do autoryzacji operacji w aplikacji (...) czy (...). Z przepisu art. 42 u.u.p. wynika obowiązek przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. Tak rozumiany obowiązek, przy uwzględnieniu, że powód nie miał wiedzy o zmianie urządzenia służącego do autoryzacji (bowiem wszystkie wysłane do niego komunikaty nie zawierały informacji, że następuje zmiana urządzenia służącego do autoryzacji, że nastąpiło aktywowanie aplikacji (...) na nowym urządzeniu), nie został przez powoda naruszony, bowiem nie utracił swojego telefonu o numerze (...). Sąd Okręgowy w tym składzie uważa, że z uwagi na wagę zagadnienia zmiany urządzenia służącego do autoryzacji, informacje kierowane do posiadacza rachunku bankowego powinny zawierać wyraźne stwierdzenie, że przeprowadzona aktywacja dotyczy innego urządzenia niż to, które było dotychczas wykorzystywane do autoryzacji. Wówczas konsument, widząc wiadomości tekstowe lub słysząc wiadomości głosowe wyraźnie wskazujące na inne urządzenie, miałby czytelny sygnał, że dochodzi do próby uzyskania dostępu do jego rachunku bankowego przez osobę trzecią, na którą powinien niezwłocznie zareagować. Tymczasem w tym wypadku końcowa informacja, że nastąpiła aktywacja aplikacji (...) na telefonie o numerze 722 *** 202, była niepełna, a w zasadzie myląca, bo nie dawała W. M. jednoznacznego sygnału, że doszło do aktywowania tej aplikacji na innym telefonie niż jego własny, który posiadał wówczas przy sobie, z którego dalej korzystał zarówno tego dnia, jak i w dniu następnym. W rzeczywistości doszło do aktywacji tej aplikacji nie na telefonie o numerze (...), tylko na innym telefonie, którym posługiwał się sprawca i który przecież nie posiadał karty SIM z tym numerem telefonu. Wprawdzie w tej końcowej informacji zawarte było drugie zdanie „Jeśli aktywował ją ktoś inny niż Ty - skontaktuj się z nami pod numerem 800 302 302”, ale skoro to powód przeprowadził wówczas procedurę aktywacyjną, najpierw przez odebranie sms o godz. 16:43, następnie odesłanie wiadomości do pozwanego Banku (co potwierdza billing połączeń wychodzących – por. sms wysłany z numeru telefonu powoda do pozwanego Banku o godz. 16:43:49 – k. 368), wreszcie odsłuchanie połączenia głosowego z Banku informującego o nowym 4-cyfrowym kodzie do autoryzacji (w tym zakresie Sąd Okręgowy nie dał powodowi wiary, że takiego połączenia nie odebrał, podzielając pisemną opinię biegłego oraz uwzględniając wydruk z systemu pozwanego dotyczący wygenerowania kodu (...) przekazanego powodowi), to końcowa informacja o aktywowaniu aplikacji (...) na jego telefonie nie była na tyle alarmująca, aby przyjąć, że brak skontaktowania się z Bankiem niezwłocznie po jej uzyskaniu stanowił rażące niedbalstwo. Otrzymując ją powód miał prawo zakładać, że sposób autoryzacji operacji na jego rachunku bankowym przy użyciu aplikacji (...) nie uległ zmianie, skoro aplikacja ta została aktywowana na telefonie o numerze (...). Mógł zakładać, że w dalszym ciągu do dokonywania transakcji płatniczych obciążających jego rachunek bankowy konieczne jest dysponowanie jego telefonem jako narzędziem autoryzacyjnym, zatem dopóki nie utraci posiadania tego telefonu, to nie istnieje realne ryzyko dokonania nieautoryzowanych przez niego transakcji płatniczych.

Dodać należy, że z opinii biegłego M. B. nie wynika jednoznacznie w jaki sposób doszło do przekazania sprawcy przestępstwa 4-cyfrowego kodu autoryzacyjnego, w szczególności jakie konkretnie czynności musiał wykonać powód po zakładanym odsłuchaniu nagrania podającego ten kod, aby dotarł on do wiadomości sprawcy. Biegły snuł w tym zakresie jedynie przypuszczenia, że mógł się pojawić napis odeślij otrzymany SMS i wpisz podany kod, mogło też dojść do przejęcia kontroli nad telefonem powoda przez sprawcę przy użyciu aplikacji AnyDesk i zatarciu następnie śladów jej działania, jednakże powód zaprzeczył, aby miał kiedykolwiek zainstalowaną taką aplikację. Wspominał też o możliwości zawirusowania telefonu powoda „jakimś trojanem”, uznając to jednak za mało prawdopodobne, bowiem tego rodzaju wirusy są wykrywane przez obecne zabezpieczenia telefonów komórkowych, a powód po otrzymaniu z Banku informacji o „wyczyszczeniu” konta, dokonał sprawdzenia stanu swojego telefonu przez program skanujący, który nie wykrył takich nieprawidłowości. Zauważyć należy, że również w ustaleniach Sądu Rejonowego brakuje ustalenia w jaki sposób ten 4-cyfrowy kod autoryzacyjny dotarł do sprawcy przestępstwa. Po ustaleniu bowiem, że w trakcie instalacji aplikacji (...) na numer telefonu powoda automatycznie przekazano wygenerowany kod autoryzacyjny, Sąd Rejonowy ustalił jedynie, że o godz. 16:46 na urządzeniu osoby trzeciej została skutecznie zainstalowana aplikacja (...) poprzez wprowadzenie wygenerowanego wcześniej kodu autoryzacyjnego umożliwiająca mobilną autoryzację transakcji. Zresztą cały wydźwięk opinii biegłego jakby przeczy przyjęciu rażącego niedbalstwa, skoro biegły wskazywał, że powód stał się ofiarą phishingu i nieświadomie aktywował sprawcy aplikację (...). Dodać należy, że nieuprawnione jest traktowanie tej opinii jako potwierdzenia, że wszystkie systemy pozwanego Banku mające stanowić zabezpieczenie były wystarczające. Biegły stwierdził jedynie tyle, że zabezpieczenia Banku nie zostały przełamane. Nie analizował natomiast obowiązujących w tym Banku procedur, które zmierzają do wychwytywania nietypowych transakcji i reagowania na nie. Nie analizował też procedury zmiany urządzenia autoryzacyjnego, w tym tego, że system bankowy nie sprawdza numeru telefonu, z którego dokonywana jest próba zmiany urządzenia autoryzacyjnego, tego czy jest to to ten sam numer telefonu a zmienia się tylko samo urządzenie, czy chodzi o nowe urządzenie z innym numerem telefonu. Taka analiza nie wynika z treści opinii, ani w części pisemnej, ani ustnej.

Dodatkowo przeciwko odpowiedzialności powoda za w/w nieautoryzowane transakcje płatnicze przemawia to, że procedury zabezpieczające pozwanego Banku nie okazały się na tyle skuteczne, aby wychwycić zawczasu nietypową aktywność na rachunku bankowym powoda, podkreślmy, że aktywność, która nastąpiła w krótkim czasie po faktycznej zmianie urządzenia autoryzacyjnego, bo jeszcze tego samego dnia. W orzecznictwie zwraca się uwagę i na ten aspekt, w odwołaniu do podwyższonej staranności banków. Akcentuje się właśnie obowiązek wychwycenia nietypowej transakcji i przykładowo - telefonicznego potwierdzenia u właściciela rachunku, czy aby na pewno ma zamiar zlecić przelew środków pieniężnych zdeponowanych na jej rachunku (por. w tej kwestii np. rozważania zawarte w uzasadnieniu wyroku Sądu Apelacyjnego w Łodzi z dnia 30 czerwca 2023 roku, I ACa 785/22). Potrzeba wprowadzania takich procedur jest tym bardziej widoczna, że skala oszustw dokonywanych przy wykorzystywaniu systemów bankowości elektronicznej jest coraz większa i cierpi na tym coraz większa rzesza klientów banków. Podkreślenia wymaga, że klient banku nie ma żadnego wpływu na to jakie procedury weryfikacyjne „wyłapywania” nietypowych transakcji stosuje bank, które z transakcji wybiera do takiej weryfikacji przed ich dokonaniem, np. dzwoniąc do klienta o potwierdzenie, że to on je zlecił. Wiedzy na temat sposobu weryfikacji transakcji nie dostarczył świadek P. C. stwierdzając jedynie, że to system sam wykazuje, które transakcje należy sprawdzić, a przy prawidłowym uwierzytelnieniu nie wszystkie transakcje są monitorowane. Wiedzy na ten temat nie dostarczyła też pełnomocnik pozwanego na rozprawie apelacyjnej, jedynie ogólnikowo przywołując stosowanie przez Bank stosownych algorytmów, dość często zmienianych. W tym wypadku ta „podejrzana” aktywność na rachunku bankowym powoda rozpoczęła się 30 marca 2023 roku już o godzinie 16:57, kiedy to odnotowano próbę dokonania płatności w euro, na szczęście nieskuteczną, ale stanowiącą pierwszy sygnał nietypowej dla rachunku złotowego aktywności. O tym, że próba dokonania tej transakcji płatniczej miała charakter nietypowy i powinna wzbudzić zainteresowanie Banku świadczy nawet treść rozmowy powoda z konsultantką pozwanego Banku z dnia 31 marca 2023 roku od godz. 17.03. Kiedy powód starał się wówczas dowiedzieć jakie transakcje zostały przeprowadzone na jego rachunku poprzedniego dnia, konsultantka stwierdziła, że pierwsze co jej się rzuciło w oczy, to właśnie ta próba transakcji w euro – por. od min. 9:40 tego nagrania. Kolejny przejaw tej nietypowej aktywności to pierwszy przelew na kwotę 20.000 zł o godz. 21:59:46 (godzina ustalona na podstawie historii autoryzacji k. 100v), zatem dość znaczącą, który nie określał tytułu przesunięcia majątkowego (por. zapis „przelew środków”) i został skierowany do osoby, której dane osobowe wskazywały na wschodnioeuropejskie pochodzenie. Biegły B. bazując na swoim doświadczeniu w opiniowaniu w podobnych sprawach wskazał, że próby przejęcia kontroli nad rachunkami bankowymi są najczęściej dokonywane przez osoby z tego kręgu, co do których nawet na infolinii da się wyczuć obcy, wschodni akcent podczas rozmowy. Okoliczność ta powinna być pozwanemu Bankowi znana i w ramach należytego zabezpieczenia środków swoich klientów przed tego rodzaju przestępczymi działaniami pozwany powinien opracować takie procedury, które za wstępnie „podejrzane”, zatem wymagające weryfikacji poprzedzającej realizację zlecenia, traktują przelewy dokonywane do osób o niepolsko brzmiącym imieniu i nazwisku, sugerującym pochodzenie wschodnioeuropejskie, nie określające tytułu przelewu, tym bardziej dokonywane krótko po istotnych zmianach dotyczących dostępu do rachunku bankowego, takich choćby jak zmiana urządzenia autoryzacyjnego do dokonywania transakcji internetowych. Tym bardziej „podejrzany” był kolejny przelew do tej samej osoby, na kwotę 19.000 zł i dokonany niespełna dwie minuty później, o godz. 22:01:11 (godzina ustalona na podstawie historii autoryzacji k. 100v), który także nie został przez Bank odpowiednio wcześniej zidentyfikowany jako „podejrzany” i tym samym wymagający weryfikacji zgodności zlecenia z rzeczywistą wolą właściciela rachunku bankowego, mimo że przestępcy bardzo często stosują właśnie metodę dokonywania nie jednej tylko kilku następujących po sobie transakcji na mniejsze kwoty. Co więcej, operacje te zmierzały do „wyczyszczenia” tego rachunku bankowego ze środków, co zostało dopełnione kolejno dokonanymi trzema wypłatami z bankomatu, po których środki pozostawione na rachunku powoda to jedynie nieco ponad 50 zł. Dodać należy, że wszystkie te operacje zostały dokonane w godzinach nocnych, miały charakter nietypowy, gdy uwzględnić dotychczasową historię rachunku bankowego powoda, choćby z całego miesiąca marca 2023 roku. Te ostatnie operacje w postaci wypłat w bankomacie w R. miały miejsce około godzinę po tym, jak powód opuścił galerię handlową w K.. Podkreślenia wymaga, że świadek P. C. zgłoszony przez pozwany Bank nie potrafił wyjaśnić z jakich przyczyn to właśnie Bank jako pierwszy skontaktował się z klientem w sprawie dokonanych poprzedniego dnia transakcji płatniczych. Sąd Okręgowy zapoznał się z nagraniem z jego przesłuchania i odniósł wrażenie jakby świadek albo unikał odpowiedzi, albo błędnie zakładał, że pierwszy kontakt w tej sprawie zainicjował posiadacz rachunku bankowego. Ostatecznie stwierdził, że nie wie dlaczego i w którym momencie Bank ocenił, że transakcje są jednak nieprawidłowe, podejrzane, snując przypuszczenia, że być może Bank zauważył, że odbiorca jest osobą podejrzaną. Kwestia ta została poruszona w apelacji powoda i nie spotkała się z żadną reakcją w odpowiedzi na apelację, która pomijała to zagadnienie. Wobec wagi tego zagadnienia Przewodniczący na rozprawie apelacyjnej starał się uzyskać od pełnomocnika pozwanego Banku informacje na ten temat. Pełnomocnik Banku na rozprawie apelacyjnej początkowo nie potrafiła wyjaśnić kiedy dokładnie i z jakich przyczyn pozwany Bank nabrał podejrzeń co do przeprowadzonych operacji bankowych (transakcji płatniczych). Nie potrafiła wskazać dlaczego to Bank jako pierwszy skontaktował się z powodem następnego dnia, aby upewnić się czy zlecał te operacje bankowe. Przewodniczący wskazał wówczas na dokument złożony do odpowiedzi na pozew, z którego wynika, że doszło do zablokowania narzędzia autoryzacyjnego w dniu 30 marca 2023 roku o godz. 22:37:26, interpretując to w ten sposób, że jest to moment, którym Bank najpóźniej nabrał podejrzeń co do dokonanych operacji na rachunku bankowym powoda, na tyle poważnych, że zablokował narzędzie autoryzacyjne. Pełnomocnik pozwanego Banku nie kwestionując tej interpretacji oświadczyła, że Bank opracowuje algorytmy, zmieniające się dość często, które zmierzają do wychwycenia prób nietypowych operacji na rachunkach bankowych. Nie wyjaśniła jednak jak działają te algorytmy, oświadczając, że w istocie nie da się tego obecnie ustalić. Podała, że nie ma możliwości, aby na tę okoliczność powołać świadka, bo są to algorytmy banku zmienne w krótkich perspektywach czasowych a ponadto są obłożone wielką tajemnicą. Powód zarzucał w tym postępowaniu, że Bank nie zastosował odpowiednich zabezpieczeń przed tego rodzaju operacjami bankowymi, a na rozprawie apelacyjnej podał przykład, kiedy pozwany Bank weryfikował przez kontakt telefoniczny inną transakcję, zleconą przez niego i opiewającą jedynie na kwotę 300 zł. Wyjaśnienie to tym bardziej nie pozwalało na przyjęcie, że zabezpieczenia pozwanego Banku, które nie wychwyciły jako „podejrzanych”: najpierw próby transakcji w euro zaledwie po kilku minutach od zmiany narzędzia autoryzacyjnego, a następnie poleceń wykonania przelewów, poczynając od pierwszego przelewu na kwotę 20.000 zł z godz. 21:59, poprzez drugi przelew na kwotę 19.000 zł z godz. 22:01, a kończąc na wypłatach bankomatowych w kolejnych minutach, nie były wystarczające, zrywając tym samym związek przyczynowy pomiędzy nieprawidłowościami w zachowaniu powoda, a „wyczyszczeniem” jego rachunku bankowego z niemal wszystkich środków pod koniec dnia 30 marca 2023 roku.

Odwołać się wreszcie należy do zasad słuszności, mianowicie do tego, że pozwany Bank mógł odwrócić skutki dokonanych przesunięć pomiędzy rachunkami bankowymi powoda a E. S., gdyby niezwłocznie po zablokowaniu nowego narzędzia autoryzacyjnego skontaktował się z powodem jeszcze w dniu 30 marca 2023 roku lub nawet dopiero następnego dnia rano. Skoro o godzinie 22:37:26 zareagował system zabezpieczeń Banku, blokując nowe urządzenie autoryzacyjne, to czekanie z kontaktem z W. M. do dnia 31 marca 2023 roku do godziny 16:44, kiedy zresztą podano mu w pierwszej rozmowie nieprawdziwą informację, że wątpliwości dotyczą operacji bankowej na kwotę 2.000 zł, z pewnością nie odpowiadało wysokim standardom staranności, której należy oczekiwać od banków, mając na uwadze ich obowiązki dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych (art. 50 ust. 2 ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe, Dz.U.2024.1646 t.j.). Choć obowiązek przewidziany w tym przepisie ma co do zasady charakter publicznoprawny, co oznacza, że jego przestrzeganie lub nieprzestrzeganie nie ma bezpośredniego wpływu na odpowiedzialność cywilną banku wobec posiadacza rachunku, to jednak przyjmuje się, że formułuje on podstawę dla dyrektyw interpretacyjnych, które są wykorzystywane przy wykładni przepisów określających odpowiedzialność banku za zwrot środków deponentowi w przypadku wypłaty osobie nieupoważnionej (B. Smykla w: Prawo bankowe. Komentarz, red. A. Mikos-Sitek, P. Zapadka, LEX/el. 2025, art. 50). Ustawodawca nałożył zatem na banki odpowiedzialność za środki pieniężne powierzane przez klientów. Z chwilą ich wpłacenia, posiadacze rachunków tracą bowiem kontrolę nad tym, jak środki te będą zabezpieczone. Skoro z uzupełniających ustaleń Sądu Okręgowego wynika, że środki w łącznej kwocie 39.000 zł przelane na rachunek bankowy E. S. pozostawały na tym rachunku aż do godz. 13 w dniu 31 marca 2023 roku, a był to rachunek bankowy prowadzony w tym samym Banku (...), to pozwany Bank miał wystarczająco dużo czasu na to, aby zablokować możliwość ich wypłaty z tego rachunku, gdyby tylko niezwłocznie po nabraniu w dniu 30 marca 2023 roku o godzinie 22:37:26 podejrzeń, skontaktował się z powodem i uzyskał od niego potwierdzenie, że tych operacji bankowych nie zlecał i nie autoryzował. Uprawnienie banku do dokonania takiej blokady, maksymalnie na okres 72 godzin wynika z art. 106a ust. 3 ustawy Prawo bankowe.

Z tych przyczyn Sąd Okręgowy przyjął, że pozwany Bank nie wykazał zaistnienia okoliczności uwalniających go od odpowiedzialności, do których odwołuje się art. 46 ust. 3 u.u.p. Skutkowało to zasadniczą zmianą zaskarżonego wyroku i uwzględnieniem powództwa w całości, zarówno co do żądanej kwoty głównej, jak i co do odsetek za opóźnienie. Domaganie się zasadzenia odsetek od dnia 15 maja 2023 roku było w pełni uzasadnione w świetle art. 481 § 1 k.c. (gdy uwzględnić zgłoszone przez powoda reklamacje), tym bardziej, że przepis art. 46 ust. 1 u.u.p. przewiduje obowiązek przywrócenia stanu rachunku niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony rachunek płatnika, lub po dniu otrzymania stosownego zgłoszenia.

Skutkiem zmiany rozstrzygnięcia o żądaniu głównym była zmiana rozstrzygnięcia o kosztach procesu. Skoro ostatecznie to powód wygrał sprawę w całości, to należy mu się zwrot całości poniesionych kosztów procesu, wynoszących 4.617 zł i obejmujących 1.000 zł należnej opłaty od pozwu, 3.600 zł wynagrodzenia pełnomocnika będącego adwokatem (ustalonego na podstawie § 2 pkt 5 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 roku w sprawie opłat za czynności adwokackie, Dz.U.2023.1964 t.j.) i 17 zł opłaty skarbowej od pełnomocnictwa. Wprawdzie powód uiścił tytułem opłaty od pozwu kwotę 1.998 zł, ale uczynił to samodzielnie, bez stosownego wezwania, nie uwzględniając treści art. 13a ustawy z dnia 28 lipca 2005 roku o kosztach sądowych w sprawach cywilnych, Dz.U.2025.1228 t.j. Zresztą Przewodniczący Wydziału w Sądzie Rejonowym wydał w dniu 3 lipca 2023 roku zarządzenie ustalające wysokość opłaty od pozwu właśnie na kwotę 1.000 zł (k. 1). O odsetkach od zasądzonych kosztów orzeczono na podstawie art. 98 § 1 1 k.p.c.

Orzeczenie o kosztach postępowania apelacyjnego oparto na regulacji art. 98 § 1 i 3 k.p.c., art. 99 k.p.c., art. 108 § 1 k.p.c. w zw. z art. 391 § 1 k.p.c. Wobec tego, że powód wygrał w całości sprawę w postępowaniu apelacyjnym, należy mu się zwrot całości kosztów tego postępowania obejmujących opłatę od apelacji w wysokości 1.000 zł, wynagrodzenie radcy prawnego w kwocie 2.700 zł oraz opłatę skarbową od pełnomocnictwa w wysokości 17 zł. Powód był w postępowaniu apelacyjnym reprezentowany przez innego pełnomocnika niż w postępowaniu przed Sądem Rejonowym (pierwsze pełnomocnictwo zostało przez niego wypowiedziane po przegraniu sprawy w I instancji), stąd wysokość jego wynagrodzenia należało ustalić na poziomie 75% stawki minimalnej, zgodnie z § 2 pkt 5, § 10 ust. 1 pkt 1 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 roku w sprawie opłat za czynności radców prawnych, Dz.U.2023.1935 t.j. O odsetkach od zasądzonych kosztów postępowania apelacyjnego orzeczono na podstawie art. 98 § 1 1 k.p.c. w zw. z art. 391 § 1 k.p.c.

SSO Hubert Wicik

ZARZĄDZENIE

(...)

(...)

Dodano:  ,  Opublikował(a):  Ilona Kwiatkowska Tiesler
Podmiot udostępniający informację: Sąd Okręgowy w Kielach
Osoba, która wytworzyła informację:  Sędzia Sądu Okręgowego Hubert Wicik
Data wytworzenia informacji: